Digitalisierungsbox Premium V1 - Digibox-Web-GUI über IPSec-VPN nicht erreichbar

Gelöst

Hallo,

 

ich habe es geschafft, auf der Digitalisierungsbox ein IPSec-VPN (IKEv2, End-To-Site) für den Zugriff mit Apple-Geräten einzurichten. Grundsätzlich funktioniert das VPN, ich kann mich mit einem iPhone aus der Ferne damit verbinden und auf alle Ressourcen im LAN zugreifen, einzige Ausnahme: die Konfigurations-Oberfläche der Digibox. Jeder Aufruf läuft in einen Timeout. Nutze ich für den Zugriff dagegen ein Wireguard-VPN (Wireguard-Server läuft auf einem separaten Rechner im LAN), kann ich auf alles incl. der Konfig-Oberfläche der Digibox zugreifen. Auch der Zugriff auf den Rechner, auf dem der Wireguard-Server läuft, ist kein Problem.

 

Habe ich bei der Einrichtung des VPN in der Digibox irgendwas übersehen oder ist es generell nicht möglich, per IPSec-VPN auf die Konfig-Oberfläche der Digibox zuzugreifen?

 

Grüße vom Sonnenhügler

1 AKZEPTIERTE LÖSUNG
Lösung
@Sonnenhügler_1  schrieb:
Leider kann ich unter "Administrativer Zugriff" die VPN-Verbindung nicht freigeben - sie taucht dort schlicht nicht auf.

Die betreffende VPN-Schnittstelle muss dort erst hinzugefügt werden! Also unten auf hinzufügen klicken und die entspr. VPN-Schnittstelle auswählen!

Lösung in ursprünglichem Beitrag anzeigen  

@Sonnenhügler_1  schrieb:
Habe ich bei der Einrichtung des VPN in der Digibox irgendwas übersehen oder ist es generell nicht möglich, per IPSec-VPN auf die Konfig-Oberfläche der Digibox zuzugreifen?

Doch, ist möglich. Aber vermutlich ist der Zugriff auf das Webinterface für die VPN-Verbindung nicht freigegeben. Das muss separat erfolgen (s.h. "Administrativer Zugang" in der Konfiguration der Digibox).

Danke für deine Antwort.

 

Leider kann ich unter "Administrativer Zugriff" die VPN-Verbindung nicht freigeben - sie taucht dort schlicht nicht auf. Die dort aufgeführten Schnittstellen sind dieselben wie ohne VPN, nämlich br0, en1-4 und en1-4-1, wobei der http- und https-Zugriff bei br0 und en1-4 gestattet und bei en1-4-1 deaktiviert ist.

 

In den Standardfilterregeln der Firewall ist die VPN-Verbindung dagegen vorhanden. Sie ist auf "vertrauenswürdig" gesetzt. Trotzdem komme ich nicht auf die Weboberfläche der Digibox, ich kann sie noch nicht einmal anpingen (was auch verhindert, dass meine Wake-on-LAN-Regeln funktionieren). Auf alle anderen Ressourcen im LAN habe ich dagegen Zugriff. Ich kann sie auch anpingen.

 

Es wäre schön, wenn jemand Licht ins Dunkel bringen könnte.

 

Grüße vom Sonnenhügler

Lösung
@Sonnenhügler_1  schrieb:
Leider kann ich unter "Administrativer Zugriff" die VPN-Verbindung nicht freigeben - sie taucht dort schlicht nicht auf.

Die betreffende VPN-Schnittstelle muss dort erst hinzugefügt werden! Also unten auf hinzufügen klicken und die entspr. VPN-Schnittstelle auswählen!

@NDiTFAlles klar, das war's! Vielen Dank für deinen Tipp. Ich kann die Digibox jetzt auch über VPN anpingen, d. h. meine WOL-Regeln funktionieren wieder.

 

Die Digibox-Bedienoberfläche ist jetzt nicht gerade ein Vorbild, was intuitive Bedienbarkeit betrifft. Bei den Firewall-Standardfilterregeln wird VPN-Schnittstelle automatisch hinzugefügt, beim administrativen Zugriff muss man sie manuell hinzufügen. Ein wenig inkonsistent, aber irgendjemand wird sich dabei schon etwas gedacht haben :verwirrtes_Gesicht:

 

Es ist allerdings jetzt etwas eingetreten, was mich zweifeln lässt, ob ich das Digibox-VPN weiter verwende. Die Digibox hat heute vormittag ohne ersichtlichen Grund einen Neustart ausgeführt. Ein bisschen Recherche im Netz hat ergeben, dass das an einem Bug in IKEv2 liegen könnte. Genau das habe ich seit gestern aktiviert. Ich bin jetzt am Überlegen, ob ich im Interesse eines stabilen Betriebs der Digibox auf den IPSec-Zugriff verzichte und wieder zu Wireguard zurückkehre. Das läuft bei mir auf einem Server im LAN und funktioniert einwandfrei. Außerdem hat das Digibox-VPN noch eine Macke: es unterbricht die Verbindung nach ein paar Minuten. Auch hier bin ich am Grübeln, ob sich eine Ursachensuche lohnt oder ob ich mich nicht einfach wieder mit Wireguard zufriedengebe.

 

Grüße vom Sonnenhügler

Vermutlich hast du die Firmware-Ver. 11.01.03.114 installiert, da ist das Problem bekannt. Es gibt bereits 2 neuere Versionen, wo das Problem behoben ist. Ver 11.01.03.115 wurde jedoch aufgrund eines anderen Fehler wieder zurückgezogen und die Ver. 11.01.03.116 noch nicht freigegeben.

Nein, bei mir ist die 115 drauf. Sie wurde bei der automatischen Einrichtung installiert.

 

Die Mängel bei der 115 betreffen mich nicht. Abwurf und Mini-Callcenter nutze ich nicht.

Hi Zusammen,

 

schaut mal unter:

https://telekomhilft.telekom.de/t5/Hardware-IT/digi-box-Smart-2-IPSEC-EAP-MS-CHAPv2-failed-no-MD4-ha...

 

ich bin mit dem Telekomsupport in Kontakt, und habe vor 15 min die Info erhalten, dass es die genannten VPN Probleme 

gibt, als auch weitere und man arbeitet an einem neuen FW Update.

 

Ich habe die alte FW erhalte, …15.01 von Sept. 2023 und dort läuft VPN ohne Probleme..

 

DB2 FW: 16.40.2.15.01

https://magentacloud.de/s/N9m4epqaXPY5PTf

 

!!! Wichtig im Anschluss : Auto. FW Update ist AUS !! alle beide Schalter, !!!

 

viele Grüße 

Wolle

 

Nachtrag:

dies betrifft bei uns die DB Smart 2, somit auch die Premium V1.

 

VG

Wolle

@Wolle457Danke für die Info. Dann bin ich mal gespannt, wann das Update kommt.

 

Bei mir ist es allerdings nicht so dringend. Ich nutze inzwischen wieder Wireguard. Dafür gibt es neben den beschriebenen Verbindungsproblemen noch einen anderen Grund: wenn man IKEv2 nutzen möchte, lassen sich Windows-Rechner nur über einen Client von Bintec oder NCP verbinden. Beide Clients sind kostenpflichtig und beim Bintec-Client befürchte ich wegen der Bintec-Insolvenz Probleme mit der Lizensierung. Eine Alternative wäre der kostenlose Shrewsoft-Client, aber der unterstützt nur IKEv1.

 

Wireguard ist da erheblich problemloser, allerdings muss dafür immer ein separater Server laufen. Ich hatte gehofft, eine VPN-Verbindung ohne diesen Server herstellen zu können, aber das funktioniert vermutlich nicht so wie ich das gerne hätte.

 

Wenn das Update da ist, kann ich mich ja nochmal mit IPSec beschäftigen.

 

Eine Frage hätte ich noch: ich habe gelesen, dass man in der Digibox alle Peers löschen soll, damit die Box nicht mehr abstürzt. Ich würde die IPSec-Konfiguration aber gerne erstmal so lassen, damit ich sie nicht neu erstellen muss, wenn ich Versuche mit der neuen Firmware anstellen will. Ich habe den Peer (bisher ist es nur einer) daher erstmal nicht gelöscht, sondern nur deaktiviert. Außerdem habe ich IPSec als ganzes deaktiviert. Seither ist meine Box auch nicht mehr abgestürzt, allerdings scheint mir die CPU-Last etwas höher zu sein als früher (früher: nahe 0%, jetzt 3-5% im Leerlauf). Ist es empfehlenswert, im Interesse eines stabilen Betriebs die IPSec-Konfiguration incl. Peer und aller IKE-Profile komplett zu löschen oder kann ich das erstmal so lassen?

 

Grüße vom Sonnenhügler

Die Digibox Smart 2 ist ist doch eine ganz andere Hardware und Firmware, Hersteller ist hier Zyxel und nicht Bintec (nur einige Bestandteile der Firmware stammen noch von Bintec aber die basiert nicht mehr auf BOSS).

 

Für die Smart 2 wird es auch noch Firmware-Updates geben, für die Smart 1 und Premium 1 dagegen wohl nicht mehr (von der *.116 mal abgesehen die evtl. noch freigegeben wird), denn woher soll die Firmware noch kommen. Von daher kann man die VPN-Probleme mit der Smart 2 nicht 1:1 auf die Smart 1 oder Premium 1 übertragen.

Die 116 ist die Firmware-Version, auf die ich noch warte. Wenn sie da ist, werde ich IPSec mit der Digibox nochmal ausprobieren. Wenn es dann immer noch nicht funktioniert, bleibe ich bei Wireguard.

 

Nach der 116 erwarte ich aber auch keine weiteren Updates mehr.

 

Grüße vom Sonnenhügler

Hallo Sonnenhügler,


Du der BinTec Client ist von NCP, und hier in dem Fall nur als OEM. Wir nutzen hier auch nur den org. von NCP.

Aber wenn BinTec insolvent ist, wird es.. wie üblich.. dies vom anderen Unternehmen für ein Apple und Ei übernommen.

 

Zu deinem Problem… Ich gehe mal schwweeerrr davon auf, dass es wieder ein Bug in der FW ist.

Im kl Umfeld, und wenn man nicht auf den S0 (ISDN) angewiesen ist, dann hole dir ne AVM FritzBox oder etwas

gebrauchtes/günstiges von Cisco über https://www.tonitrus.com/de/netzwerk/cisco/router/?gad_source=1&gclid=Cj0KCQjwkdO0BhDxARIsANkNcrc6cx...

 

Wir können uns doch nicht leisten, troubleshooting.. stundenlang zu betreiben, um festzustellen, dass das Produkt buggy ist.

 

Dies wiederum erklärt, warum TK soviel Problem mit BinTec Produkte hat ( kurz vor Insolenz) , denn die guten Leute sind

bestimmt schon weg… Fachleute werde ja wie Sand am Meer gesucht…


viel Glück

Wolle

 

 

@Wolle457Danke für den Tipp, aber wenn IPSec mit der Firmware .116 (wer weiß, ob und wann die kommt...) nicht laufen sollte, verwende ich weiterhin Wireguard. Dafür muss zwar ein extra Server laufen, aber es funktioniert wenigstens, und zwar ohne Klimmzüge auf allen Endgeräten (Windows, MacOS, Linux, Android, iOS). Kostenlos ist es außerdem.

 

Die Fritzbox-Ära ist bei mir vorbei. Allenfalls als IP-Client (Switch/WLAN-AP) darf eine Fritzbox bei mir noch werkeln. Business-Router sind Fritzboxen in punkto Telefonie und Netzwerkfunktionen so haushoch überlegen, dass ich mir die Unzulänglichkeiten von Fritzboxen nicht mehr antue. ISDN werde ich allerdings voraussichtlich noch so lange weiter nutzen, wie es noch Geräte gibt, die das unterstützen. Erst letztens habe ich ein schnurgebundenes, analoges Tischtelefon im Hobbyraum ersetzt und hatte dabei die Wahl zwischen einem VoIP-Telefon oder einem ISDN-Telefon. Die Wahl fiel auf ein (gebrauchtes) ISDN-Telefon. Begründung: das Telefon wird über den S0-Bus mit Strom versorgt, war also ganz einfach in Betrieb zu nehmen. Bei einem VoIP-Telefon hätte ich ein Netzteil oder einen PoE-Injector gebraucht. Auch mein Faxgerät ist über die FB 7490 als Analog-/ISDN-Wandler als ISDN-Nebenstelle an der Digitalisierungsbox angemeldet. Praktischerweise hat die Digibox ja 2 interne S0-Ports :lächelndes_Gesicht_mit_Sonnenbrille:

 

Ansonsten werde ich die weitere Entwicklung beim Support von Bintec-Geräten jetzt beobachten und wenn es notwendig sein sollte, meine Digibox ersetzen. Das dann aber ganz bestimmt nicht durch eine Fritzbox, sondern durch einen Business-Router z. B. von Lancom. Auch eine Digibox Premium 2 käme in Frage, wenn sich herausstellen sollte, dass die von Zyxel weiter supportet wird.

 

Grüße vom Sonnenhügler

@Wolle457  schrieb:
Dies wiederum erklärt, warum TK soviel Problem mit BinTec Produkte hat ( kurz vor Insolenz)

Nein, nicht "kurz vor Insolvenz", das "Insolvenzverfahren in Eigenverantwortung" ist gescheitert. Bintec hat bereits den Betrieb eingestellt (ist also bereits "tot").

 

 

@Wolle457  schrieb:

denn die guten Leute sind

bestimmt schon weg…

Ja, die sind weg. Und nicht nur die guten…