Willkommen in der Business Community

Die Telekom Community für Geschäftskunden

  • Sie sind hier:
  • Community 
    crumb.isLink
crumb.isFinalCrumb
crumb.getClass
crumb.css
crumb.separatorCss
crumb.getCss
crumb.finalCrumb
crumb.getText
crumb.getIsLink
crumb.getWrapperCss
crumb.type
crumb.url
crumb.getUrl
crumb.getType
crumb.hashCode
crumb.equals
crumb.toString
crumb.wrapperCss
crumb.text
crumb.getSeparatorCss
crumb.class
  • Geschäftskunden 
    crumb.isLink
crumb.isFinalCrumb
crumb.getClass
crumb.css
crumb.separatorCss
crumb.getCss
crumb.finalCrumb
crumb.getText
crumb.getIsLink
crumb.getWrapperCss
crumb.type
crumb.url
crumb.getUrl
crumb.getType
crumb.hashCode
crumb.equals
crumb.toString
crumb.wrapperCss
crumb.text
crumb.getSeparatorCss
crumb.class
  • Fragen & Diskussionen 
    crumb.isLink
crumb.isFinalCrumb
crumb.getClass
crumb.css
crumb.separatorCss
crumb.getCss
crumb.finalCrumb
crumb.getText
crumb.getIsLink
crumb.getWrapperCss
crumb.type
crumb.url
crumb.getUrl
crumb.getType
crumb.hashCode
crumb.equals
crumb.toString
crumb.wrapperCss
crumb.text
crumb.getSeparatorCss
crumb.class
  • Festnetz & Internet 
    crumb.isLink
crumb.isFinalCrumb
crumb.getClass
crumb.css
crumb.separatorCss
crumb.getCss
crumb.finalCrumb
crumb.getText
crumb.getIsLink
crumb.getWrapperCss
crumb.type
crumb.url
crumb.getUrl
crumb.getType
crumb.hashCode
crumb.equals
crumb.toString
crumb.wrapperCss
crumb.text
crumb.getSeparatorCss
crumb.class
  • AW: Digitalisierungsbox Standard - HTTPS 
    crumb.isLink
crumb.isFinalCrumb
crumb.getClass
crumb.css
crumb.separatorCss
crumb.getCss
crumb.finalCrumb
crumb.getText
crumb.getIsLink
crumb.getWrapperCss
crumb.type
crumb.url
crumb.getUrl
crumb.getType
crumb.hashCode
crumb.equals
crumb.toString
crumb.wrapperCss
crumb.text
crumb.getSeparatorCss
crumb.class
Aktueller Hinweis

Digitalisierungsbox Standard - HTTPS

Gelöst

‎09.11.2015 10:36

Hallo zusammen!

 

Wir setzen bei einem Kunden eine Digitalisierungsbox Standard als VDSL-Router und ISDN-Gateway ein. Hinter der DigiBox ist eine Firewall geschaltet, welches das Netzwerk verwaltet. D.h., dass die DigiBox im Grund "nur" die Internet- und Telefonieeinwahl macht. Alle relevanten Netzwerkports für einen IPsec-VPN-Tunnel, ActiveSync oder Webserver werden direkt an die Firewall geroutet - funktioniert auch alles wunderbar.

 

Es gibt hierbei nur ein einziges Problem:

 

Für einen Tobit David Active Sync Zugriff verbinden sich die externen Clients (Notebook, Smartphone, Tablet) via https://feste-ip-adresse mit dem Server. Von extern funktioniert dies auch einwandfrei. Problem ist jetzt nur, dass wenn sich die Clients intern im WLAN befinden, den Server nicht finden, da der Port 443 dann direkt zur DigiBox geroutet wird. Dies ist auch nur beim Port 443 der Fall. Via Port 80 gibt es noch einen Webserver-Zugriff, der sowohl extern als auch intern im WLAN über http://feste-ip funktioniert.

 

Gibt es in der DigiBox-Konfiguration einen Punkt, der sich mit dieser "automatischen HTTPS-Weiterleitung" auseinandersetzt?

 

Vielen Dank im Voraus!

0 Kudos
Letzte Aktivität
am von
7.192 Ansichten
0 Kudos
12 Antworten
Alle anzeigen
1 AKZEPTIERTE LÖSUNG
Lösung
Antwort auf Gelöschter Nutzer

‎09.11.2015 12:32 Zuletzt bearbeitet: ‎09.11.2015 12:34 durch den Autor

Wenn der Zugriff von extern funktioniert, nicht aber bei einem internen Zugriff über die externe Adresse, dann liegt es am fehlenden NAT Loopback. Nat Loopback ist standardmäßig bei der Digitalisierungsbox nicht aktiv.

 

Bitte macht die Einstellung für das WAN - Interface bezogen auf "vertrauenswürdig" wieder rückgängig. Denn es ist ja wohl nicht gewünscht, das im IPv6 das System wie ein offenes Scheunentor läuft. Nur interne Netze sollten als vertrauenswürdig gelten.

Lösung in ursprünglichem Beitrag anzeigen  

Letzte Aktivität
am von
12.774 Ansichten
12 Antworten
Alle anzeigen
«
»
« »
Gelöschter Nutzer

‎09.11.2015 11:10 Zuletzt bearbeitet: ‎09.11.2015 11:13 durch den Autor

Falls ihr das WAN und das interne Netz in der Digibox als "unsicher" deklariert habt, könnte eine Firewallregel für den Zugriff auf extern 443 fehlen. Was sagt denn das Logbuch der Digibox?

Wenn eure eigene Firewall das interne Netz verwaltet, könnte das Subnetz zwischen Digibox und Firewall in der Box als "Vertrauenswürdig" deklariert werden. Das spart doppelte Regelwerke.

 

Oder ist es so, das der interne Zugriff auf 443 fälschlicherweise statt zu Eurem Server zur Digibox geroutet wird? Dann ist die Digibox aber Unschuldig - oder? Das Routing macht doch dann Eure Firewall/ Euer Server...

0 Kudos
Letzte Aktivität
am von
7.085 Ansichten
0 Kudos
12 Antworten
Alle anzeigen
Antwort auf Gelöschter Nutzer

‎09.11.2015 11:20

Vielen Dank für die schnelle Antwort!

 

Der "Monitoring"-Log sagt leider gar nichts dazu...

Wo finde ich denn die Möglichkeit das Netz als "vertrauenswürdig" zu deklarieren?

 

 

0 Kudos
Letzte Aktivität
am von
7.080 Ansichten
0 Kudos
12 Antworten
Alle anzeigen
Antwort auf we-tech-la

‎09.11.2015 11:21

Das Routing ist richtig eingestellt...
0 Kudos
Letzte Aktivität
am von
7.079 Ansichten
0 Kudos
12 Antworten
Alle anzeigen
Gelöschter Nutzer
Antwort auf we-tech-la

‎09.11.2015 11:55 Zuletzt bearbeitet: ‎09.11.2015 11:59 durch den Autor

@we-tech-la schrieb:
Das Routing ist richtig eingestellt...

Dann funktioniert es auch Zwinkernd

 

Firewall-->Richtlinien n+1 vertrauenswürdige Schnittstellen --> Schraubenschlüssel

 

Bezüglich des Logs: Ich habe den Eindruck, das erheblich mehr Meldungen protokolliert werden, wenn ein externer Syslogserver konfiguriert wird.

Per default werden in der Box nur 50 Meldungen protokolliert. Den Wert kann man unter Globale Einstellungen --> System --> max. Anzahl der Syslogeintrage konfigurieren. Per ext. syslogserver kann der Loglevel auf debug gestellt werden. Da läuft dann einiges mehr auf.

0 Kudos
Letzte Aktivität
am von
7.073 Ansichten
0 Kudos
12 Antworten
Alle anzeigen
Lösung
Antwort auf Gelöschter Nutzer

‎09.11.2015 12:32 Zuletzt bearbeitet: ‎09.11.2015 12:34 durch den Autor

Wenn der Zugriff von extern funktioniert, nicht aber bei einem internen Zugriff über die externe Adresse, dann liegt es am fehlenden NAT Loopback. Nat Loopback ist standardmäßig bei der Digitalisierungsbox nicht aktiv.

 

Bitte macht die Einstellung für das WAN - Interface bezogen auf "vertrauenswürdig" wieder rückgängig. Denn es ist ja wohl nicht gewünscht, das im IPv6 das System wie ein offenes Scheunentor läuft. Nur interne Netze sollten als vertrauenswürdig gelten.

Letzte Aktivität
am von
12.775 Ansichten
12 Antworten
Alle anzeigen
Gelöschter Nutzer
Antwort auf Kalle2014

‎09.11.2015 12:48 Zuletzt bearbeitet: ‎09.11.2015 12:50 durch den Autor

@Kalle2014 schrieb:

 

Bitte macht die Einstellung für das WAN - Interface bezogen auf "vertrauenswürdig" wieder rückgängig. Denn es ist ja wohl nicht gewünscht, das im IPv6 das System wie ein offenes Scheunentor läuft. Nur interne Netze sollten als vertrauenswürdig gelten.

Von WAN als vertrauenswürdig war nicht die Rede, sondern vom Subnetz zw. Box und interner FW.

Ich hatte es bisher so verstanden, das alles über interne/lokale IP's läuft, weil der Zugriff von aussen wohl via VPN (auf der eigenen FW?)  realisiert ist.

Damit wäre NAT-Loopback auch aus dem Spiel. Die Vertrauenswürdigkeit lässt sich darüber hinaus getrennt für IPv4 und v6 Schnittstellen einrichten.

0 Kudos
Letzte Aktivität
am von
5.768 Ansichten
0 Kudos
12 Antworten
Alle anzeigen
Antwort auf Kalle2014

‎09.11.2015 13:22

Das Loopback war es! Danke!!!
0 Kudos
Letzte Aktivität
am von
5.759 Ansichten
0 Kudos
12 Antworten
Alle anzeigen
Antwort auf Gelöschter Nutzer

‎09.11.2015 13:27

Ok, ich wollte auch nur sicherstellen das die Einstufung als Vertrauenswürdig nicht falsch verstanden oder falsch eingesetzt wird. Denn im Unterschied zu den eigenen IPv4 - Regeln hat die Stellung einer Schnittstelle noch weitere Auswirkungen.
0 Kudos
Letzte Aktivität
am von
5.757 Ansichten
0 Kudos
12 Antworten
Alle anzeigen
Gelöschter Nutzer
Antwort auf Kalle2014

‎09.11.2015 16:10

Wenn Loopback die Ursache war - warum ging es auf Port 80?

0 Kudos
Letzte Aktivität
am von
5.752 Ansichten
0 Kudos
12 Antworten
Alle anzeigen
Antwort auf Gelöschter Nutzer

‎13.01.2016 22:21

Hallo zusammen,

 

ich habe fast das gleiche Problem. Wir haben seit ein paar Tagen eine Digitalisierungsbox Standard und eine Einbruchmeldeanlage auf die wir mit einer App zugreifen können. Mit dyndns klappt der Zugriff von ausserhalb einwandfrei, nur aus dem eigenen Netz über wlan geht es nicht.

 

Bei welcher Schnittstelle muss ich den Loopback aktivieren, damit es klappt?

Bei WAN Internetzugang kann man loopback nicht anhaken.

 

Würde mich über Antworten freuen;-)

 

Patrick

0 Kudos
Letzte Aktivität
am von
920 Ansichten
0 Kudos
12 Antworten
Alle anzeigen
Antwort auf patrickky

‎13.01.2016 22:25

Das "Loopback aktiv" muss auf dem LAN - Interface gesetzt werden, also BRIDGE_BR0.

0 Kudos
Letzte Aktivität
am von
917 Ansichten
0 Kudos
12 Antworten
Alle anzeigen
Telekom hilft Team
Antwort auf Kalle2014

‎22.01.2016 15:03

Hallo @patrickky,

konnte der Tipp von @Kalle2014 Ihnen weiterhelfen?

Ich freue mich auf Ihre Rückmeldung.

Gruß Jörg D.
0 Kudos
Letzte Aktivität
am von
885 Ansichten
0 Kudos
12 Antworten
Alle anzeigen
«
»
« »
-->