- Beitrag abonnieren
- Beitrag stummschalten
- Beitrag als ungelesen kennzeichnen
- Beitrag als gelesen kennzeichnen
Digitalisierungsbox Standard im Firmennetzwerk
18.08.2015 12:30
Hallo Telekom-Hilft.
Wir nutzen bei einem Kunden die Digitalisierungsbox Standard an einem DeutschlandLAN IP Voice/Data Anschluss. Soweit so gut. Das Internet klappt, die Telefonie über die integrierten S0-Ports mit einer Telefonanlage dahinter auch!
Nun haben wir jedoch ein schwerwiegendes Problem:
Der Kunde nutzt eine Firewall an der zuvor eine FRITZ!Box 7490 angeschlossen war. Die FRITZ!Box fungierte als Router und TK-Gateway. Sie war als "ExposedHost" eingestellt, sodass Sie alle eingehenden Verbindungen direkt an die dahinterliegende Firewall ohne Prüfung weitergereicht hat. Dies ist auch zwingend notwendig, da sonst der VPN-Tunnel von Standort A zu Standort B sowie die eingehenden Webserver-Verbindungen auf interne Server nicht funktionieren würden.
Der Grund für den Wechsel auf die DigiBox ist der zweite S0-Port. Der Kunde hat momentan noch einen Mehrgeräteanschluss bei Versatel, der nun zur Telekom portiert wird. Die Rufnummern sollen nachher auf die DigiBox bzw. auf den zweiten S0-Port geleitet werden, damit der Kunde wie gewohnt seine TK-Anlage mit allen Rufnummern und 4 Kanälen nutzen kann.
Leider gibt es bei der DigiBox keine "ExposedHost"-Funktion wie bei der FRITZ!Box, sodass der VPN- und Webserver-Verkehr nicht zur dahinterliegenden Firewall durchgereicht wird. Das ist äußerst ärgerlich. Zudem ist die Konfiguration der DigiBox nervenaufreibend und hat (dem Kunden und uns) schon sehr viel Zeit und Geld gekostet. Der Kunde überlegt nun einfach eine zweite FRITZ!Box zu kaufen, damit alles wie gewünscht funktioniert.
Wie können wir das Problem mit der DigiBox lösen? Sie soll die eingehenden Verbindungen nicht prüfen und direkt transparent an die Firewall durchreichen, so wie es die FB7490 auch macht! Man sieht im internen Protokoll (siehe Screenshot), dass ALLES was kein "normaler Internetverkehr" ist, geblockt wird.
Wir haben bereits alles versucht:
- NAT für alle Ports freigeschaltet
- Firewall-Ausnahmen
- Firewall komplett aus
Vielen Dank im Voraus! Ich hoffe Sie können helfen...
Gelöst! Gehe zu Lösung.
12.02.2016 10:44
Hallo @mschicker_1,
willkommen in unserer Community. Mit den Screenshots kann ich nicht weiterhelfen.
Aber schauen Sie sich die angehängte PDF-Datei an.
Kommen Sie damit weiter?
Gruß Jörg D.
19.08.2015 15:13 Zuletzt bearbeitet: 19.08.2015 15:13 durch den Autor
Es funktioniert nun mit folgenden Einstellungen:
https://www.dropbox.com/s/scq8lvhb434rte4/digibox_nat_fertig.JPG?dl=0
https://www.dropbox.com/s/18cqh8riqawd5s2/digibox_nat_fertig2.JPG?dl=0
Die Konfigurationsbeispiele haben geholfen... Ich hätte einfach unter den Downloads der DigiBox Premium schauen sollen... Dann hätte ich es sofort gehabt! Vielen vielen Dank für Ihre Hilfe!!!!!
18.08.2015 13:47 Zuletzt bearbeitet: 18.08.2015 14:16 durch den Autor
Der Router in der Digibox entspricht dem der bintec RS353, und es gibt eigentlich (fast) nichts was nicht geht.
Es ist wichtig, das die DigiBox mit der aktuellen Firmware 10.1 Rev. 3 Patch 8 konfiguriert wird bzw. wurde.
Nachtrag: Das richtige Stichwort heisst übrigens DMZ und nicht Exposed Host , denn eine Protected DMZ ist dem "Pseudo-DMZ", wie man Exposed Host nennt, vorzuziehen.
18.08.2015 14:50
Danke für den Hinweis.
Gibt es hier ggf. ein Konfigurationsbeispiel bzw. eine einfache Lösung die protected DMZ einzurichten? Oder muss man hierführ "bintec-geschult" sein?
Die Digibox soll alle eingehenden Verbindungen an die IP-Adresse 192.168.2.2 weiterleiten bzw. komplett durchreichen. Die 192.168.2.2 ist eine Firewall, die an LAN 1-4 angeschlossen ist. Oder muss man hierfür den LAN5 nutzen?
18.08.2015 18:08
Es dient nur der Sicherheit, wenn eine gute SIF - Firewall wie die in der DigiBox, aktiv bleibt. Das BSI empfiehlt ein zweistufiges Firewall-Sicherheitskonzept.
Ich würde dafür eine LAN-Schnittstelle abtrennen, z.B. als en1-3. Diese bekommt dann aber eine andere IP-Adresse.
18.08.2015 18:42
Wie im Screenshot angezeigt werden die Verbindungen trotzdem rausgeblockt.
Ein Screenshot zur Einrichtung der Postfreigaben für 443 und 1723 wäre äußerst hilfreich. Ich habe bereits alles (mir) mögliche getestet und stehe nun auf dem Schlauch... ;-)...
Die Idee mit der Trennung der LAN-Schnittstelle ist an sich gar nicht so schlecht... Jedoch wird mein NAT-/Portfreigaben-Problem dadurch noch nicht gelöst...
18.08.2015 18:44 Zuletzt bearbeitet: 18.08.2015 18:48 durch den Autor
Tragen Sie mal in der Firewall einen Eintrag mit 3 x any (Quelle, Ziel, Dienst) und Zugriff ein.
Sollte das nicht helfen, dann wurde die DigiBox nicht mit der aktuellen Firmware eingerichtet und Sie müssen unter Firewall -> Richtlinien -> Optionen die Firewall auf Werkseinstellungen zurücksetzen.
Danach nochmal das oben geschriebene hinzufügen.
Sind Sie sicher, das Ihre NAT - Einträge richtig sind? Sonst machen Sie bitte Screenshots davon.
Ich bin ab ca. 22:15 Uhr wieder zuhause und kann sie mir dann ansehen.
18.08.2015 18:58
Leider ist die DigiBox zurzeit nicht mehr angeschlossen. Ich habe sie heute Mittag testweise bei uns im Betrieb angeschlossen und das Szenario des Kunden nachgestellt.
Ich hoffe, ich komme morgen dazu das Ganze erneut nachzustellen und sende Ihnen dann die Screenshots zu.
18.08.2015 19:10
I.d.R. wird man aber als WAN das eingebaute VDSL verwenden, und dann muss der VDSL-WAN-Account als Quelle angegeben werden.
19.08.2015 13:47
Hier die Screenshots sowie die aktuelle (Test)-Konfiguration:
https://www.dropbox.com/sh/5zuk76kqzzt3vax/AADqYUqFx-dyX2gokCQJO1dCa?dl=0
Zugriff geht leider (noch) nicht. Dahinter ist wie bereits erwähnt eine Watchguard-Firewall. In dem Netzwerk der Watchguard ist ein Webserver angeschlossen, der via 443 erreicht werden sollte...
19.08.2015 13:52
Laut Status der Watchguard, kommt nichts an... Es wird also vorher "weggeblockt"...
19.08.2015 13:53
19.08.2015 15:13 Zuletzt bearbeitet: 19.08.2015 15:13 durch den Autor
Es funktioniert nun mit folgenden Einstellungen:
https://www.dropbox.com/s/scq8lvhb434rte4/digibox_nat_fertig.JPG?dl=0
https://www.dropbox.com/s/18cqh8riqawd5s2/digibox_nat_fertig2.JPG?dl=0
Die Konfigurationsbeispiele haben geholfen... Ich hätte einfach unter den Downloads der DigiBox Premium schauen sollen... Dann hätte ich es sofort gehabt! Vielen vielen Dank für Ihre Hilfe!!!!!
20.08.2015 12:07
10.02.2016 23:03
Leider sind die Screenshots nicht mehr verfügbar auf der Dropbox. Können Sie diese bitte erneut zur Verfügung stellen. Vielen Dank!
11.02.2016 10:08
Kommst du mit der Konfigurationsanleitung der Telekom nicht klar?
11.02.2016 18:01
Hallo Hr. Schmidthaus,
selbst ein Lancom lässt sich via SSH einfacher konfigurieren als die Bintec Geräte. Da offensichtlich jemand exakt mein Anliegen bereits einmal gelöst hat, war es naheliegend direkt nach den Screenshots zu fragen. Ein Bild sagt mehr als tausend Worte
12.02.2016 10:44
Hallo @mschicker_1,
willkommen in unserer Community. Mit den Screenshots kann ich nicht weiterhelfen.
Aber schauen Sie sich die angehängte PDF-Datei an.
Kommen Sie damit weiter?
Gruß Jörg D.
14.02.2016 13:56
Vielen Dank, das hat mir geholfen. Schönen Sonntag noch.
20.01.2023 08:34
Können Sie die Links in der Dropbox neu einstellen, was ist gemeint mit Download Digibox.
Ich habe zwei Digiboxen Smart und Premium und einen Dual Wan Router Cisco RV340 VPN site to site
läuft nicht, komme auch mit TightVNC nicht mehr auf die Computer. Standort der Anlage ist Gießen.
23.01.2023 08:58
Schönen guten Morgen @horst.wollnitz,
wie heißt denn der Vertrag, an dem Sie Ihren Aufbau nutzen?
Dieser Thread ist ja inzwischen schon etwas älter, daher möchte ich Ihnen gern Unterstützung anbieten.
Wir bieten für Geschäftskundenanschlüsse auch einen Remote Service an, der bei der Konfiguration aus der Ferne unterstützen kann. Wenn Sie Hilfe Wünschen, vervollständigen Sie bitte Ihr Profil und ergänzen Sie dort Ihre Kundennummer und eine Rückrufnummer. Unter "Zusätzliche Informationen" können Sie auch ein Zeitfenster angeben, in dem Ihnen ein Telefonat gut passt.
Geben Sie mir bitte hier im Thread Bescheid, wenn Sie Ihre Daten hinterlegt haben.
Beste Grüße
Louisa G.
23.01.2023 13:14
Hallo Louisa G.
ich habe das Profil vervollständigt.
Ein Hr. Schmidthaus hatt scheinbar die Lösung einmal in einer Dropbox gepostet,
leider sind diese beiden Links nicht mehr verfügbar.
Beste Güße
Horst Wollnitz
23.01.2023 13:34
Hallo Herr @horst.wollnitz ,
Ihr Problem passt nicht in diesen Thread, wenn ich das richtig verstehe. SIE haben ein VPN - Problem, und neben der DigiBox noch einen CISCO im Einsatz. IPSec mit Fremdgeräten ist immer ein Risiko, denn durch ein Firmware Update verhalten sich die Systeme durchaus plötzlich ganz anders als vorher.
23.01.2023 17:06
Hallo Herr Schmidthaus,
könnten Sie die mir die Informationen die im Link enthalten waren zugänglich machen, der Anwender kam wohl damit zurecht!?
Mein Problem: Zwei Internet Zugänge von der Telekom, Digiboxen im Modem-Modus, VPN läuft. Einwahldaten im Cisco Router
via PPPoE.
Leider die Download Speed nur von einem Zugang trotz Load Balancing.(50)
Alternative Einstellung:
Zugangsdaten in den Digiboxen (Router), Cisco Router Verbindung zu den Digiboxen Static,
doppelte Download Speed(100), leider kein VPN mehr auch keine Portweiterleitung..
Beste Grüße
Horst Wollnitz