Speedport W 925V VPN einrichten

---

@aluny schrieb:

 

Am Speedport 925 kann eine VPN-Verbindung ins eigene Heimnetz nur mit Hilfe eines nachgelagerten Servers (z.B. auf dem PC oder NAS) aufgebaut werden.

 

---

Dann muss aber das nachgelagerte Gerät eine Firewall haben, denn bei Nutzung des W925V im Modembetrieb ist die intergrierte Firewall nicht mehr aktiv. Empfehlenswert ist an dieser Stelle eine UTM oder pfsense. Wenn mehrere Geräte genutzt werden sollen braucht es auch eine Routingfunktion und DHCP.  Das kann ggf. ein Server machen, aber auch den würde ich nicht ohne Firewall direkt an das Internet anbinden.

Gruß

---

@Dilbert-MD schrieb:

 

Die Standardversion der Digibox kann auch kein VPN.

 

---

Hallo @Dilbert-MD

Wie kommst Du darauf, das die Digibox Standard kein VPN kann?

Siehe Bedienungsanleitung Seite 154

@Dilbert-MD

Alle Digitalisierungsboxen beherschen VPN (IPSec).

@Dilbert-MD

---

Dilbert-MD schrieb:

Dann muss aber das nachgelagerte Gerät eine Firewall haben, denn bei Nutzung des W925V im Modembetrieb ist die intergrierte Firewall nicht mehr aktiv.  

 

---

Das mit der Firewall stimmt.

Das mit dem Modembetrieb normalerweise nicht - bzw. den W925V nur im Modembetrieb zu betreiben macht kaum Sinn, treibt nur die Stromrechnung. Noch nicht einmal WLAN-To-Go hätte man damit (so der W925V das unterstützen würde). In der skizzierten Lösung würde der W925V die PPPoE Session aufbauen und würde eine Portweiterleitung zur Digibox benötigen.

---

@Dilbert-MD schrieb:

---

Dann muss aber das nachgelagerte Gerät eine Firewall haben, denn bei Nutzung des W925V im Modembetrieb ist die intergrierte Firewall nicht mehr aktiv.

---

Warum sollte man den Speedport nur als Modem betreiben, wenn der VPN-Server auf dem PC bzw NAS läuft?

Ich verstehe die BA S. 247 so , dass der Speedport die Internetverbindung wie gewohnt aufbaut und an LAN 4 durchreicht, ohne NAT und ohne Firewall. Quasi als Exposed Host, ähnlich wie es die Fritzbox macht. Dann sollte es eigentlich auch nicht erforderlich sein, eine Portweiterleitung einzurichten, weil eben ALLES durchgereicht wird.

Aus der BA ist leider nicht zu erkennen, ob die Telefonfunktion dabei am Speedport erhalten bleibt.

Bei der Fritzbox kann ein LAN-Anschluss als Exposed Host konfiguriert werden und trotzdem bleiben Telefon, Gast-W-LAN und Gast-LAN funktionsfähig. Daher ist eine FB mit nachgeschalteter UTM auch einigermaßen sinnvoll, weil die FB so als TK-Anlage und für Gastzugänge genutzt werden kann und die UTM bietet die Schutzfunktionen und VPN.

Gruß

Vielen Dank für die schnellen Antworten!

Für mich als Laie, der zwischen Telekom und Softwarehaus sitzt, sind das alles böhmische Dörfer!

Wir hatten bis zur Umstellung auf VOIP ein funktonierendes System.

Für uns ist es wichtig, dass das Softwarehaus per VPN auf unseren Server zugreifen kann.

Mehr kann ich dazu nicht sagen.

Anscheinend wurde ich von den Telekommitarbeitern falsch beraten, ich fragte speziell nach der Digibox und mir wurde gesagt, dass diese praktisch in dem "super neuen Speedport" schon integriert sei... Schade! Und sehr ärgerlich!

Ich hätte gehofft, dass es noch irgendeinen Trick gibt, oder ein Softwareupdate für den Speedport.

Dann werd ich wohl tauschen müssen.

Können sie mir noch sagen, ob ich dann einfach vom Speedport aud die Digibox "umstecken" kann?

Natürlich muß ich diese dann wieder einrichten bzw anmelden, aber die Anschlüße sind die selben? 

---

@aluny schrieb:

---

@Dilbert-MD schrieb:

---

Dann muss aber das nachgelagerte Gerät eine Firewall haben, denn bei Nutzung des W925V im Modembetrieb ist die intergrierte Firewall nicht mehr aktiv.

---

Warum sollte man den Speedport nur als Modem betreiben, wenn der VPN-Server auf dem PC bzw NAS läuft?

---

Du meinst die Variante mit Portweiterleitungen im Speedport für VPN und einen VPN-Server auf dem NAS zu nutzen?

Dann kann auf das NAS zugegriffen werden. Aber auch auf andere Geräte im Netzwerk?

@Schmidt77

Du bist hier im Forenbereich für Privatkundenanschlüsse - da werden eigentlich eher selten Server betrieben, auf die ein externer Dienstleister zugreift.

Da ist dann häufig auch ein Speedport vollkommen ausreichend.

Aber so wie Du schreibst klingt das mittlerweile mehr nach einem Geschäftskundenaschluss. Und da würde ich alleine schon aus Sicherheitsüberlegungen entweder einen anderen Router (z.B. eine Digibox statt des Speedport) oder zumindest auf eine pfsense hinter dem Speedport setzen.

---

@Dilbert-MD schrieb:

---

@aluny schrieb:

---

@Dilbert-MD schrieb:

---

Dann muss aber das nachgelagerte Gerät eine Firewall haben, denn bei Nutzung des W925V im Modembetrieb ist die intergrierte Firewall nicht mehr aktiv.

---

Warum sollte man den Speedport nur als Modem betreiben, wenn der VPN-Server auf dem PC bzw NAS läuft?

---

Du meinst die Variante mit Portweiterleitungen im Speedport für VPN und einen VPN-Server auf dem NAS zu nutzen?

Dann kann auf das NAS zugegriffen werden. Aber auch auf andere Geräte im Netzwerk?

 

 

---

Je nach Konfiguration des VPN ja. Betreibe ich selbst auf einem Raspberry. Ist der VPN entsprechend eingerichtet, kann auf alle Geräte im heimischen Netz zugegriffen werden.

@Schmidt77

Welches VPN-Protokoll wird denn nun durch das Systemhaus verwendet?

Eventuell läuft der VPN-Server schon und es müssen nur die entsprechenden Port-Weiterleitungen zum Server eingerichtet werden.

@muc80337_2

Rein aus Interesse: Welche Sicherheitsrelevanten Vorteile bietet eine Digibox gegenüber einem Speedport?

Ich wurde anscheinend wirklich fehlerhaft beraten!

Ích hab explizit nach einer Digibox gefragt und bin auf den speedport verwiesen worden!

---

@Schmidt77 schrieb:

Ich wurde anscheinend wirklich fehlerhaft beraten!

Ích hab explizit nach einer Digibox gefragt und bin auf den speedport verwiesen worden!

---

Bleibt trotzdem die Frage, welche Protokolle vom Systemhaus verwendet werden, und wohin sich diese verbinden. Auf den Router oder direkt auf den Server.

Die Digibox verwendet als VPN-Protokoll IPSec. Solange du die obigen Fragen nicht beantwortest, wird dir keiner sagen können, ob der Tausch auf eine Digibox sinnvoll ist.

---

Anscheinend wurde ich von den Telekommitarbeitern falsch beraten,

---

Nein. Ja. Vielleicht.

Du solltest bei Anwendungen im professionellen Umfeld NICHT selber in einen Shop für Privatkunden gehen und dort eine spezifische Beratung erwarten.

Mein Rat, den du wirklich unbedingt befolgen solltest:

Gehe zu deinem Systemhaus. Lass dich dort beraten.

So ein Router mit VPN will ja auch eingerichtet werden. Und zwar so, dass der VPN Zugang funktioniert UND sicher ist.

Wer richtet dir denn, wenn du dir eine Digibox gekauft hast, diese ein?

Genau der, der das einrichtet, muss das Produkt kennen.

Und da gibt es halt Systemhäuser, die Cisco präferieren, andere schwören auf Lancom, wieder andere auf Teldat oder Sophos.

Ich finde es bedenklich, hier Produktempfehlungen auszusprechen, ohne zu wissen, was der, der das am Ende einrichten muss und benutzen wil, eigentlich kann.

Grundsätzlich handelt es sich bei den Speedports um Produkte, die für den Privatkunden optimiert sind. Ein Einsatz im gewerblichen Umfeld ist natürlich möglich, aber es wird halt nicht alles unterstützt, was dort eventuell notwendig ist (und den Privatkunden bei der Nutzung und Einrichtung massiv überfordern würde!).

---

d3sTrUcToR schrieb:

Rein aus Interesse: Welche Sicherheitsrelevanten Vorteile bietet eine Digibox gegenüber einem Speedport?

---

@d3sTrUcToR

Beispiele, die mir spontan einfallen wo Digiboxen mehr können:

Die Speedports können typischerweise nur ein LAN - Defaultadressen 192.168.2.x - und da keine Separierung

Die Speedports blockieren IPv6 von außen komplett - man ist also auf IPv4 angewiesen

@muc80337_2

Richtig, Speedports können LAN's ausschließlich im Class-C Netz 192.168.x.x und auch keine VLAN-Separierung.

Auch dein Punkt mit IPv6 ist korrekt. Aber bis es soweit ist, dass die Telekom IPv4 abschaltet, werden noch viiiieele Router Generationen rauskommen. Und diese werden vermutlich auch eine ordentliche V6 Implementierung haben.

Aber trotzdem nochmal die Nachfrage: Was bringen die oben genannten Eigenschaften für einen Mehrwert beim Thema Sicherheit?

Dass Digiboxen grundsätzlich mehr können als Speedports steht außer Frage. Aber du hast geschrieben, dass du wegen der sicherheitsrelevanten Aspekte die Digibox dem Speedport vorziehen würdest.

Daher explizit die Nachfrage, was macht eine Digibox von außen sicherer als den Speedport?

@d3sTrUcToR

Hatte ich mich tatsächlich auf "außen" beschränkt?

Hm

Da die Möglichkeit besteht, IPv6 zu nutzen hat man eine inhärent höhere Sicherheit als mit IPv4 weil bei IPv4 Sicherheit noch kein Thema war und erst nachträglich mit reinkam. Das heißt noch nicht, dass bei einem konkreten Use Case eine höhere Sicherheit zum tragen kommt - bei einem anderen aber schon.

Einer Digibox Firewall traue ich irgendwie mehr zu als einer Speedport Firewall.

Dadurch, dass die Möglichkeit interner Segmentierung gegeben ist kann mancher Angriff von außen nicht so leicht von einem Segment ins andere rüberschwappen (Beispiel: Wurm).

Die Antwort vom Softwarehaus:

"Wir verwenden IPSec, von GW. Lancom Router im Rechenzentrum zum GW. Lancom Router.

IPSec wird zwischen Gateways im so genannten Tunneling-Modus verwendet.

Der IKE-Verbindungsaufbau erfolgt über den UDP-Port 500. Dieser muss entsprechend in einer vorgeschalteten Firewall freigeschaltet/weitergeleitet sein (z. B. in vorgeschaltetem VoIP-Router von der Telekom).

• Der eigentliche IPSEC-Datenstrom erfolgt über das portlose IP-Protokoll 50 (ESP).
• Alternativ kann durch die Aktivierung von NAT-Traversal der IPSEC-Datenstrom über den UDP-Port 4500 geleitet werden. Auch dieser Port muss dann in vorgeschalteter Firewall freigeschalten/weitergeleitet sein.

Beide Ports sind auf ihrem Router freigeschaltet. Leider reicht ihr Telekom Router W925v die Anfragen nicht zu unserem Lancom 1781VA weiter. So das keine VPN Verbindung aufgebaut werden kann.

Der Telekom Router muss bzw. soll selber keine VPN Verbindung aufbauen. Die VPN Verbindung wird ausschließlich durch unseren Lancom Router durchgeführt."

Die Ports müssen nicht nur freigeschaltet sein sondern sie müssen auch auf das richtige Ziel gerichtet sein.

Ein Neustart des W925V kann das in der aktuellen freigegebenen Firmware alles durcheinanderwirbeln, sodass dann die Portfreigabe auf ein anderes Gerät zeigt wie z.B. auf ein Smartphone.

Deshalb: überprüfe mal ob die Portweiterleitung noch beim richtigen Gerät rauskommt.

@Schmidt77

Dumme Frage, wozu brauchts einen zusätzlichen Router, wenn ein Lancom 1781VA vorhanden ist?