Willkommen in der Business Community

we-tech-la · ‎18.08.2015

Hallo Telekom-Hilft.

Wir nutzen bei einem Kunden die Digitalisierungsbox Standard an einem DeutschlandLAN IP Voice/Data Anschluss. Soweit so gut. Das Internet klappt, die Telefonie über die integrierten S0-Ports mit einer Telefonanlage dahinter auch!

Nun haben wir jedoch ein schwerwiegendes Problem:

Der Kunde nutzt eine Firewall an der zuvor eine FRITZ!Box 7490 angeschlossen war. Die FRITZ!Box fungierte als Router und TK-Gateway. Sie war als "ExposedHost" eingestellt, sodass Sie alle eingehenden Verbindungen direkt an die dahinterliegende Firewall ohne Prüfung weitergereicht hat. Dies ist auch zwingend notwendig, da sonst der VPN-Tunnel von Standort A zu Standort B sowie die eingehenden Webserver-Verbindungen auf interne Server nicht funktionieren würden.

Der Grund für den Wechsel auf die DigiBox ist der zweite S0-Port. Der Kunde hat momentan noch einen Mehrgeräteanschluss bei Versatel, der nun zur Telekom portiert wird. Die Rufnummern sollen nachher auf die DigiBox bzw. auf den zweiten S0-Port geleitet werden, damit der Kunde wie gewohnt seine TK-Anlage mit allen Rufnummern und 4 Kanälen nutzen kann.

Leider gibt es bei der DigiBox keine "ExposedHost"-Funktion wie bei der FRITZ!Box, sodass der VPN- und Webserver-Verkehr nicht zur dahinterliegenden Firewall durchgereicht wird. Das ist äußerst ärgerlich. Zudem ist die Konfiguration der DigiBox nervenaufreibend und hat (dem Kunden und uns) schon sehr viel Zeit und Geld gekostet. Der Kunde überlegt nun einfach eine zweite FRITZ!Box zu kaufen, damit alles wie gewünscht funktioniert.

Wie können wir das Problem mit der DigiBox lösen? Sie soll die eingehenden Verbindungen nicht prüfen und direkt transparent an die Firewall durchreichen, so wie es die FB7490 auch macht! Man sieht im internen Protokoll (siehe Screenshot), dass ALLES was kein "normaler Internetverkehr" ist, geblockt wird.

Wir haben bereits alles versucht:

- NAT für alle Ports freigeschaltet

- Firewall-Ausnahmen

- Firewall komplett aus

Vielen Dank im Voraus! Ich hoffe Sie können helfen...

Jörg D. · ‎12.02.2016

Hallo @mschicker_1,

willkommen in unserer Community. Mit den Screenshots kann ich nicht weiterhelfen.

Aber schauen Sie sich die angehängte PDF-Datei an.

Kommen Sie damit weiter?

Gruß Jörg D.

Lösung in ursprünglichem Beitrag anzeigen

we-tech-la · ‎19.08.2015

Es funktioniert nun mit folgenden Einstellungen:

https://www.dropbox.com/s/scq8lvhb434rte4/digibox_nat_fertig.JPG?dl=0
https://www.dropbox.com/s/18cqh8riqawd5s2/digibox_nat_fertig2.JPG?dl=0

Die Konfigurationsbeispiele haben geholfen... Ich hätte einfach unter den Downloads der DigiBox Premium schauen sollen... Dann hätte ich es sofort gehabt! Vielen vielen Dank für Ihre Hilfe!!!!!

Lösung in ursprünglichem Beitrag anzeigen

Kalle2014 · ‎18.08.2015

Der Router in der Digibox entspricht dem der bintec RS353, und es gibt eigentlich (fast) nichts was nicht geht.

Es ist wichtig, das die DigiBox mit der aktuellen Firmware 10.1 Rev. 3 Patch 8 konfiguriert wird bzw. wurde.

Nachtrag: Das richtige Stichwort heisst übrigens DMZ und nicht Exposed Host , denn eine Protected DMZ ist dem "Pseudo-DMZ", wie man Exposed Host nennt, vorzuziehen.

we-tech-la · ‎18.08.2015

Hallo Kalle.

Danke für den Hinweis.

Gibt es hier ggf. ein Konfigurationsbeispiel bzw. eine einfache Lösung die protected DMZ einzurichten? Oder muss man hierführ "bintec-geschult" sein?

Die Digibox soll alle eingehenden Verbindungen an die IP-Adresse 192.168.2.2 weiterleiten bzw. komplett durchreichen. Die 192.168.2.2 ist eine Firewall, die an LAN 1-4 angeschlossen ist. Oder muss man hierfür den LAN5 nutzen?

Kalle2014 · ‎18.08.2015

Wieso alle Verbindungen? Die Ports für den Webserver sind eindeutig, und das gleiche gilt auch für die VPN - Verbindung.
Es dient nur der Sicherheit, wenn eine gute SIF - Firewall wie die in der DigiBox, aktiv bleibt. Das BSI empfiehlt ein zweistufiges Firewall-Sicherheitskonzept.

Ich würde dafür eine LAN-Schnittstelle abtrennen, z.B. als en1-3. Diese bekommt dann aber eine andere IP-Adresse.

we-tech-la · ‎18.08.2015

Das ist richtig. Nur habe ich die Portfreigaben bereits entsprechend eingerichtet, jedoch ohne Erfolg.
Wie im Screenshot angezeigt werden die Verbindungen trotzdem rausgeblockt.

Ein Screenshot zur Einrichtung der Postfreigaben für 443 und 1723 wäre äußerst hilfreich. Ich habe bereits alles (mir) mögliche getestet und stehe nun auf dem Schlauch... ;-)...

Die Idee mit der Trennung der LAN-Schnittstelle ist an sich gar nicht so schlecht... Jedoch wird mein NAT-/Portfreigaben-Problem dadurch noch nicht gelöst...

Kalle2014 · ‎18.08.2015

Tragen Sie mal in der Firewall einen Eintrag mit 3 x any (Quelle, Ziel, Dienst) und Zugriff ein.

Sollte das nicht helfen, dann wurde die DigiBox nicht mit der aktuellen Firmware eingerichtet und Sie müssen unter Firewall -> Richtlinien -> Optionen die Firewall auf Werkseinstellungen zurücksetzen.

Danach nochmal das oben geschriebene hinzufügen.

Sind Sie sicher, das Ihre NAT - Einträge richtig sind? Sonst machen Sie bitte Screenshots davon.

Ich bin ab ca. 22:15 Uhr wieder zuhause und kann sie mir dann ansehen.

we-tech-la · ‎18.08.2015

Vielen Dank für die schnelle Antwort.

Leider ist die DigiBox zurzeit nicht mehr angeschlossen. Ich habe sie heute Mittag testweise bei uns im Betrieb angeschlossen und das Szenario des Kunden nachgestellt.

Ich hoffe, ich komme morgen dazu das Ganze erneut nachzustellen und sende Ihnen dann die Screenshots zu.

Kalle2014 · ‎18.08.2015

Noch ein Hinweis: Das Konfigurationsbeispiel der Telekom für einen NAT-Eintrag ist schlecht gewählt, denn es geht von einem Company Connect Anschluss mit einem LAN - Anschluss als WAN-Interface aus.
I.d.R. wird man aber als WAN das eingebaute VDSL verwenden, und dann muss der VDSL-WAN-Account als Quelle angegeben werden.

we-tech-la · ‎19.08.2015

Hallo!

Hier die Screenshots sowie die aktuelle (Test)-Konfiguration:

https://www.dropbox.com/sh/5zuk76kqzzt3vax/AADqYUqFx-dyX2gokCQJO1dCa?dl=0

Zugriff geht leider (noch) nicht. Dahinter ist wie bereits erwähnt eine Watchguard-Firewall. In dem Netzwerk der Watchguard ist ein Webserver angeschlossen, der via 443 erreicht werden sollte...

we-tech-la · ‎19.08.2015

UPDATE:

Laut Status der Watchguard, kommt nichts an... Es wird also vorher "weggeblockt"...

Kalle2014 · ‎19.08.2015

Leider geht bei Ihnen keiner ans Telefon.

we-tech-la · ‎19.08.2015

Es funktioniert nun mit folgenden Einstellungen:

https://www.dropbox.com/s/scq8lvhb434rte4/digibox_nat_fertig.JPG?dl=0
https://www.dropbox.com/s/18cqh8riqawd5s2/digibox_nat_fertig2.JPG?dl=0

Die Konfigurationsbeispiele haben geholfen... Ich hätte einfach unter den Downloads der DigiBox Premium schauen sollen... Dann hätte ich es sofort gehabt! Vielen vielen Dank für Ihre Hilfe!!!!!

Kalle2014 · ‎20.08.2015

Anmerkung: Sicherheitsfeatures kann man nicht genug haben, denn die Risiken im Internet werden immer größer. Von daher hätte ich die etwas aufwendigere Variante genommen, alle notwendigen Ports einzeln einzutragen und die Firewall nicht zu deaktivieren. Aber das muss jeder für sich selbst entscheiden.

mschicker_1 · ‎10.02.2016

Leider sind die Screenshots nicht mehr verfügbar auf der Dropbox. Können Sie diese bitte erneut zur Verfügung stellen. Vielen Dank!

Kalle2014 · ‎11.02.2016

Kommst du mit der Konfigurationsanleitung der Telekom nicht klar?

mschicker_1 · ‎11.02.2016

Hallo Hr. Schmidthaus,

selbst ein Lancom lässt sich via SSH einfacher konfigurieren als die Bintec Geräte. Da offensichtlich jemand exakt mein Anliegen bereits einmal gelöst hat, war es naheliegend direkt nach den Screenshots zu fragen. Ein Bild sagt mehr als tausend Worte

Jörg D. · ‎12.02.2016

Hallo @mschicker_1,

willkommen in unserer Community. Mit den Screenshots kann ich nicht weiterhelfen.

Aber schauen Sie sich die angehängte PDF-Datei an.

Kommen Sie damit weiter?

Gruß Jörg D.

mschicker_1 · ‎14.02.2016

Vielen Dank, das hat mir geholfen. Schönen Sonntag noch.

horst.wollnitz · ‎20.01.2023

Können Sie die Links in der Dropbox neu einstellen, was ist gemeint mit Download Digibox.
Ich habe zwei Digiboxen Smart und Premium und einen Dual Wan Router Cisco RV340 VPN site to site

läuft nicht, komme auch mit TightVNC nicht mehr auf die Computer. Standort der Anlage ist Gießen.

Louisa G. · ‎23.01.2023

Schönen guten Morgen @horst.wollnitz,

wie heißt denn der Vertrag, an dem Sie Ihren Aufbau nutzen?
Dieser Thread ist ja inzwischen schon etwas älter, daher möchte ich Ihnen gern Unterstützung anbieten.

Wir bieten für Geschäftskundenanschlüsse auch einen Remote Service an, der bei der Konfiguration aus der Ferne unterstützen kann. Wenn Sie Hilfe Wünschen, vervollständigen Sie bitte Ihr Profil und ergänzen Sie dort Ihre Kundennummer und eine Rückrufnummer. Unter "Zusätzliche Informationen" können Sie auch ein Zeitfenster angeben, in dem Ihnen ein Telefonat gut passt.

Geben Sie mir bitte hier im Thread Bescheid, wenn Sie Ihre Daten hinterlegt haben.

Beste Grüße

Louisa G.

horst.wollnitz · ‎23.01.2023

Hallo Louisa G.

ich habe das Profil vervollständigt.

Ein Hr. Schmidthaus hatt scheinbar die Lösung einmal in einer Dropbox gepostet,

leider sind diese beiden Links nicht mehr verfügbar.

Beste Güße

Horst Wollnitz

Kalle2014 · ‎23.01.2023

Hallo Herr @horst.wollnitz ,

Ihr Problem passt nicht in diesen Thread, wenn ich das richtig verstehe. SIE haben ein VPN - Problem, und neben der DigiBox noch einen CISCO im Einsatz. IPSec mit Fremdgeräten ist immer ein Risiko, denn durch ein Firmware Update verhalten sich die Systeme durchaus plötzlich ganz anders als vorher.

horst.wollnitz · ‎23.01.2023

Hallo Herr Schmidthaus,

könnten Sie die mir die Informationen die im Link enthalten waren zugänglich machen, der Anwender kam wohl damit zurecht!?

Mein Problem: Zwei Internet Zugänge von der Telekom, Digiboxen im Modem-Modus, VPN läuft. Einwahldaten im Cisco Router

via PPPoE.

Leider die Download Speed nur von einem Zugang trotz Load Balancing.(50)

Alternative Einstellung:

Zugangsdaten in den Digiboxen (Router), Cisco Router Verbindung zu den Digiboxen Static,

doppelte Download Speed(100), leider kein VPN mehr auch keine Portweiterleitung..

Beste Grüße

Horst Wollnitz

Willkommen in der Business Community

Die Telekom Community für Geschäftskunden

Digitalisierungsbox Standard im Firmennetzwerk