crumb.isLink crumb.isFinalCrumb crumb.getClass crumb.css crumb.separatorCss crumb.getCss crumb.finalCrumb crumb.getText crumb.getIsLink crumb.getWrapperCss crumb.type crumb.url crumb.getUrl crumb.getType crumb.hashCode crumb.equals crumb.toString crumb.wrapperCss crumb.text crumb.getSeparatorCss crumb.class
crumb.isLink crumb.isFinalCrumb crumb.getClass crumb.css crumb.separatorCss crumb.getCss crumb.finalCrumb crumb.getText crumb.getIsLink crumb.getWrapperCss crumb.type crumb.url crumb.getUrl crumb.getType crumb.hashCode crumb.equals crumb.toString crumb.wrapperCss crumb.text crumb.getSeparatorCss crumb.class
crumb.isLink crumb.isFinalCrumb crumb.getClass crumb.css crumb.separatorCss crumb.getCss crumb.finalCrumb crumb.getText crumb.getIsLink crumb.getWrapperCss crumb.type crumb.url crumb.getUrl crumb.getType crumb.hashCode crumb.equals crumb.toString crumb.wrapperCss crumb.text crumb.getSeparatorCss crumb.class
crumb.isLink crumb.isFinalCrumb crumb.getClass crumb.css crumb.separatorCss crumb.getCss crumb.finalCrumb crumb.getText crumb.getIsLink crumb.getWrapperCss crumb.type crumb.url crumb.getUrl crumb.getType crumb.hashCode crumb.equals crumb.toString crumb.wrapperCss crumb.text crumb.getSeparatorCss crumb.class
Hallo!
Ist es möglich beim Speedport W 925V eine VPN- Verbindung einzurichten?
Wenn ja: können Sie mir eine paar Schlagwörter für einen Techniker meines Softwarehauses geben, wie das gemacht werden kann?
Wenn nein: muß der Speedport gegen eine Digitalisierungsbox getauscht werden?
Oder davor oder dahinter geschaltet werden?
Kann ich mit dieser meine ISDN-Telefonanlage weiter nutzen?
Oder gleich lieber eine Fritzbox?
Ich würde mich über ein wenig Licht ins Dunkle freuen.
Vielleicht kann ich dann auch den Techniker verstehen...
Verzweifelter Laie
Gelöst! Gehe zu Lösung.
Hallo @Schmidt77
Am Speedport 925 kann eine VPN-Verbindung ins eigene Heimnetz nur mit Hilfe eines nachgelagerten Servers (z.B. auf dem PC oder NAS) aufgebaut werden.
Betreff Digibox anstelle des Speedport, hier ist eine VPN-Verbindung möglich und die ISDN-Telefonanlage kann damit betrieben werden.
Das Selbe gilt auch für die Fritzbox, sofern sie einen ISDN-Bus hat (z.B. 7490, 7580, 7590)
Ob nun Digi- oder Fritzbox, das musst Du ggf. in Absprache mit dem Softwarehaus, dann selbst entscheiden.
Hallo @Schmidt77
Am Speedport 925 kann eine VPN-Verbindung ins eigene Heimnetz nur mit Hilfe eines nachgelagerten Servers (z.B. auf dem PC oder NAS) aufgebaut werden.
Betreff Digibox anstelle des Speedport, hier ist eine VPN-Verbindung möglich und die ISDN-Telefonanlage kann damit betrieben werden.
Das Selbe gilt auch für die Fritzbox, sofern sie einen ISDN-Bus hat (z.B. 7490, 7580, 7590)
Ob nun Digi- oder Fritzbox, das musst Du ggf. in Absprache mit dem Softwarehaus, dann selbst entscheiden.
22.01.2018 14:01
In der Bedienungsanleitung taucht VPN nicht auf.
Die Standardversion der Digibox kann auch kein VPN.
Das kann erst die Premium-Version der DigiBox. Siehe Bedienungsanleitung S. 164.
Die DB Premium kann ISDN, somit kann ggf. die TK-Anlage entfallen, außer sie bietet Funktionen, welche die DB nicht bietet. Schnurlostelefone müssen über eine eigene Basisstation verfügen, wenn sie an der DB betrieben werden sollen.
Welche Art von VPN einzurichten ist und ob eine der Boxen (DB oder Fritz) das unterstützt, hängt vom VPN der Gegenstelle ab.
Wie VPN eingerichtet wird, sollte der Techniker eigentlich Wissen. und RTFM sollte ihm auch bekannt sein.
Gruß
22.01.2018 14:04
"VPN" ist viel zu wenig spezifisch. Du soltest erklären von wo nach wo ein VPN aufgebaut werden soll und mit welcher Software.
Wenn ich unterwegs bin, dann kann ich auf meine heimische Fritzbox per VPN zugreifen, bin dann quasi im heimischen Netz.
Das geht mit dem W925V nicht. Nicht ohne einen VPN-Server wie es @aluny bereits erklärt hat. Ein solcher VPN-Server kann eine Digibox sein. Oder eine Fritzbox. Oder ein Raspberry Pi. Oder...
Wenn ich daheim bin, dann kann ich durch die Fritzbox hindurch aber auch durch den Speedport W925 hindurch eine VPN-Verbindung zu einem externen Server (z.B. Firma) aufbauen. Das geht also auch mit dem W925V - zumindest prinzipiell. Man muss allerdings sehen, dass Speedports auf solche "komplizierteren" Fälle nicht zwangsläufig getrimmt sind und da eher mal Probleme bereiten.
22.01.2018 14:07
@aluny schrieb:
Am Speedport 925 kann eine VPN-Verbindung ins eigene Heimnetz nur mit Hilfe eines nachgelagerten Servers (z.B. auf dem PC oder NAS) aufgebaut werden.
Dann muss aber das nachgelagerte Gerät eine Firewall haben, denn bei Nutzung des W925V im Modembetrieb ist die intergrierte Firewall nicht mehr aktiv. Empfehlenswert ist an dieser Stelle eine UTM oder pfsense. Wenn mehrere Geräte genutzt werden sollen braucht es auch eine Routingfunktion und DHCP. Das kann ggf. ein Server machen, aber auch den würde ich nicht ohne Firewall direkt an das Internet anbinden.
Gruß
22.01.2018 14:08
@Dilbert-MD schrieb:
Die Standardversion der Digibox kann auch kein VPN.
Hallo @Dilbert-MD
Wie kommst Du darauf, das die Digibox Standard kein VPN kann?
Siehe Bedienungsanleitung Seite 154
22.01.2018 14:10
Alle Digitalisierungsboxen beherschen VPN (IPSec).
22.01.2018 14:12 Zuletzt bearbeitet: 22.01.2018 14:12 durch den Autor
Dilbert-MD schrieb:Dann muss aber das nachgelagerte Gerät eine Firewall haben, denn bei Nutzung des W925V im Modembetrieb ist die intergrierte Firewall nicht mehr aktiv.
Das mit der Firewall stimmt.
Das mit dem Modembetrieb normalerweise nicht - bzw. den W925V nur im Modembetrieb zu betreiben macht kaum Sinn, treibt nur die Stromrechnung. Noch nicht einmal WLAN-To-Go hätte man damit (so der W925V das unterstützen würde). In der skizzierten Lösung würde der W925V die PPPoE Session aufbauen und würde eine Portweiterleitung zur Digibox benötigen.
22.01.2018 14:12
@Dilbert-MD schrieb:
Dann muss aber das nachgelagerte Gerät eine Firewall haben, denn bei Nutzung des W925V im Modembetrieb ist die intergrierte Firewall nicht mehr aktiv.
Warum sollte man den Speedport nur als Modem betreiben, wenn der VPN-Server auf dem PC bzw NAS läuft?
22.01.2018 14:23
Ich verstehe die BA S. 247 so , dass der Speedport die Internetverbindung wie gewohnt aufbaut und an LAN 4 durchreicht, ohne NAT und ohne Firewall. Quasi als Exposed Host, ähnlich wie es die Fritzbox macht. Dann sollte es eigentlich auch nicht erforderlich sein, eine Portweiterleitung einzurichten, weil eben ALLES durchgereicht wird.
Aus der BA ist leider nicht zu erkennen, ob die Telefonfunktion dabei am Speedport erhalten bleibt.
Bei der Fritzbox kann ein LAN-Anschluss als Exposed Host konfiguriert werden und trotzdem bleiben Telefon, Gast-W-LAN und Gast-LAN funktionsfähig. Daher ist eine FB mit nachgeschalteter UTM auch einigermaßen sinnvoll, weil die FB so als TK-Anlage und für Gastzugänge genutzt werden kann und die UTM bietet die Schutzfunktionen und VPN.
Gruß
22.01.2018 14:25
Vielen Dank für die schnellen Antworten!
Für mich als Laie, der zwischen Telekom und Softwarehaus sitzt, sind das alles böhmische Dörfer!
Wir hatten bis zur Umstellung auf VOIP ein funktonierendes System.
Für uns ist es wichtig, dass das Softwarehaus per VPN auf unseren Server zugreifen kann.
Mehr kann ich dazu nicht sagen.
Anscheinend wurde ich von den Telekommitarbeitern falsch beraten, ich fragte speziell nach der Digibox und mir wurde gesagt, dass diese praktisch in dem "super neuen Speedport" schon integriert sei... Schade! Und sehr ärgerlich!
Ich hätte gehofft, dass es noch irgendeinen Trick gibt, oder ein Softwareupdate für den Speedport.
Dann werd ich wohl tauschen müssen.
Können sie mir noch sagen, ob ich dann einfach vom Speedport aud die Digibox "umstecken" kann?
Natürlich muß ich diese dann wieder einrichten bzw anmelden, aber die Anschlüße sind die selben?
22.01.2018 14:32
@aluny schrieb:
@Dilbert-MD schrieb:
Dann muss aber das nachgelagerte Gerät eine Firewall haben, denn bei Nutzung des W925V im Modembetrieb ist die intergrierte Firewall nicht mehr aktiv.Warum sollte man den Speedport nur als Modem betreiben, wenn der VPN-Server auf dem PC bzw NAS läuft?
Du meinst die Variante mit Portweiterleitungen im Speedport für VPN und einen VPN-Server auf dem NAS zu nutzen?
Dann kann auf das NAS zugegriffen werden. Aber auch auf andere Geräte im Netzwerk?
22.01.2018 14:48
Du bist hier im Forenbereich für Privatkundenanschlüsse - da werden eigentlich eher selten Server betrieben, auf die ein externer Dienstleister zugreift.
Da ist dann häufig auch ein Speedport vollkommen ausreichend.
Aber so wie Du schreibst klingt das mittlerweile mehr nach einem Geschäftskundenaschluss. Und da würde ich alleine schon aus Sicherheitsüberlegungen entweder einen anderen Router (z.B. eine Digibox statt des Speedport) oder zumindest auf eine pfsense hinter dem Speedport setzen.
22.01.2018 14:49 Zuletzt bearbeitet: 22.01.2018 15:21 durch den Autor
@Dilbert-MD schrieb:
@aluny schrieb:
@Dilbert-MD schrieb:
Dann muss aber das nachgelagerte Gerät eine Firewall haben, denn bei Nutzung des W925V im Modembetrieb ist die intergrierte Firewall nicht mehr aktiv.Warum sollte man den Speedport nur als Modem betreiben, wenn der VPN-Server auf dem PC bzw NAS läuft?
Du meinst die Variante mit Portweiterleitungen im Speedport für VPN und einen VPN-Server auf dem NAS zu nutzen?
Dann kann auf das NAS zugegriffen werden. Aber auch auf andere Geräte im Netzwerk?
Je nach Konfiguration des VPN ja. Betreibe ich selbst auf einem Raspberry. Ist der VPN entsprechend eingerichtet, kann auf alle Geräte im heimischen Netz zugegriffen werden.
Welches VPN-Protokoll wird denn nun durch das Systemhaus verwendet?
Eventuell läuft der VPN-Server schon und es müssen nur die entsprechenden Port-Weiterleitungen zum Server eingerichtet werden.
Rein aus Interesse: Welche Sicherheitsrelevanten Vorteile bietet eine Digibox gegenüber einem Speedport?
22.01.2018 15:28
Ich wurde anscheinend wirklich fehlerhaft beraten!
Ích hab explizit nach einer Digibox gefragt und bin auf den speedport verwiesen worden!
22.01.2018 15:33
@Schmidt77 schrieb:Ich wurde anscheinend wirklich fehlerhaft beraten!
Ích hab explizit nach einer Digibox gefragt und bin auf den speedport verwiesen worden!
Bleibt trotzdem die Frage, welche Protokolle vom Systemhaus verwendet werden, und wohin sich diese verbinden. Auf den Router oder direkt auf den Server.
Die Digibox verwendet als VPN-Protokoll IPSec. Solange du die obigen Fragen nicht beantwortest, wird dir keiner sagen können, ob der Tausch auf eine Digibox sinnvoll ist.
22.01.2018 16:37
Anscheinend wurde ich von den Telekommitarbeitern falsch beraten,
Nein. Ja. Vielleicht.
Du solltest bei Anwendungen im professionellen Umfeld NICHT selber in einen Shop für Privatkunden gehen und dort eine spezifische Beratung erwarten.
Mein Rat, den du wirklich unbedingt befolgen solltest:
Gehe zu deinem Systemhaus. Lass dich dort beraten.
So ein Router mit VPN will ja auch eingerichtet werden. Und zwar so, dass der VPN Zugang funktioniert UND sicher ist.
Wer richtet dir denn, wenn du dir eine Digibox gekauft hast, diese ein?
Genau der, der das einrichtet, muss das Produkt kennen.
Und da gibt es halt Systemhäuser, die Cisco präferieren, andere schwören auf Lancom, wieder andere auf Teldat oder Sophos.
Ich finde es bedenklich, hier Produktempfehlungen auszusprechen, ohne zu wissen, was der, der das am Ende einrichten muss und benutzen wil, eigentlich kann.
Grundsätzlich handelt es sich bei den Speedports um Produkte, die für den Privatkunden optimiert sind. Ein Einsatz im gewerblichen Umfeld ist natürlich möglich, aber es wird halt nicht alles unterstützt, was dort eventuell notwendig ist (und den Privatkunden bei der Nutzung und Einrichtung massiv überfordern würde!).
22.01.2018 17:18
@Dilbert-MD schrieb:
Ich verstehe die BA S. 247 so , dass der Speedport die Internetverbindung wie gewohnt aufbaut und an LAN 4 durchreicht, ohne NAT und ohne Firewall. Quasi als Exposed Host, ähnlich wie es die Fritzbox macht. Dann sollte es eigentlich auch nicht erforderlich sein, eine Portweiterleitung einzurichten, weil eben ALLES durchgereicht wird.
Fast korrekt, dann ist der Speedport tatsächlich ein Modem, es wird aber keine Internetverbindung aufgebaut. Es wird dann ein Gerät dahinter benötigt, welches die PPPoE Session aufbaut und dann erst sind wir bei IP und Co.
22.01.2018 17:46 Zuletzt bearbeitet: 22.01.2018 17:47 durch den Autor
d3sTrUcToR schrieb:
Rein aus Interesse: Welche Sicherheitsrelevanten Vorteile bietet eine Digibox gegenüber einem Speedport?
Beispiele, die mir spontan einfallen wo Digiboxen mehr können:
Die Speedports können typischerweise nur ein LAN - Defaultadressen 192.168.2.x - und da keine Separierung
Die Speedports blockieren IPv6 von außen komplett - man ist also auf IPv4 angewiesen
22.01.2018 17:57
Richtig, Speedports können LAN's ausschließlich im Class-C Netz 192.168.x.x und auch keine VLAN-Separierung.
Auch dein Punkt mit IPv6 ist korrekt. Aber bis es soweit ist, dass die Telekom IPv4 abschaltet, werden noch viiiieele Router Generationen rauskommen. Und diese werden vermutlich auch eine ordentliche V6 Implementierung haben.
Aber trotzdem nochmal die Nachfrage: Was bringen die oben genannten Eigenschaften für einen Mehrwert beim Thema Sicherheit?
Dass Digiboxen grundsätzlich mehr können als Speedports steht außer Frage. Aber du hast geschrieben, dass du wegen der sicherheitsrelevanten Aspekte die Digibox dem Speedport vorziehen würdest.
Daher explizit die Nachfrage, was macht eine Digibox von außen sicherer als den Speedport?
22.01.2018 19:24
Hatte ich mich tatsächlich auf "außen" beschränkt?
Hm
Da die Möglichkeit besteht, IPv6 zu nutzen hat man eine inhärent höhere Sicherheit als mit IPv4 weil bei IPv4 Sicherheit noch kein Thema war und erst nachträglich mit reinkam. Das heißt noch nicht, dass bei einem konkreten Use Case eine höhere Sicherheit zum tragen kommt - bei einem anderen aber schon.
Einer Digibox Firewall traue ich irgendwie mehr zu als einer Speedport Firewall.
Dadurch, dass die Möglichkeit interner Segmentierung gegeben ist kann mancher Angriff von außen nicht so leicht von einem Segment ins andere rüberschwappen (Beispiel: Wurm).
23.01.2018 08:30
Die Antwort vom Softwarehaus:
"Wir verwenden IPSec, von GW. Lancom Router im Rechenzentrum zum GW. Lancom Router.
IPSec wird zwischen Gateways im so genannten Tunneling-Modus verwendet.
Der IKE-Verbindungsaufbau erfolgt über den UDP-Port 500. Dieser muss entsprechend in einer vorgeschalteten Firewall freigeschaltet/weitergeleitet sein (z. B. in vorgeschaltetem VoIP-Router von der Telekom).
Beide Ports sind auf ihrem Router freigeschaltet. Leider reicht ihr Telekom Router W925v die Anfragen nicht zu unserem Lancom 1781VA weiter. So das keine VPN Verbindung aufgebaut werden kann.
Der Telekom Router muss bzw. soll selber keine VPN Verbindung aufbauen. Die VPN Verbindung wird ausschließlich durch unseren Lancom Router durchgeführt."
23.01.2018 08:35
Die Ports müssen nicht nur freigeschaltet sein sondern sie müssen auch auf das richtige Ziel gerichtet sein.
Ein Neustart des W925V kann das in der aktuellen freigegebenen Firmware alles durcheinanderwirbeln, sodass dann die Portfreigabe auf ein anderes Gerät zeigt wie z.B. auf ein Smartphone.
Deshalb: überprüfe mal ob die Portweiterleitung noch beim richtigen Gerät rauskommt.
23.01.2018 10:44
Dumme Frage, wozu brauchts einen zusätzlichen Router, wenn ein Lancom 1781VA vorhanden ist?
23.01.2018 11:47
@Schmidt77 schrieb:
- Der eigentliche IPSEC-Datenstrom erfolgt über das portlose IP-Protokoll 50 (ESP).
Geht nicht.
Wenn dann nur so. Also 500 und 4500 und der Dienstleister soll auf NAT Traversal umstellen. Frage: Warum macht man das nicht umgekehrt? Von zu Hause/Büro die Verbindung aufbauen? Dann kann man sich den ganzen Aufwand m.E. sparen.
Schmidt77 schrieb:Alternativ kann durch die Aktivierung von NAT-Traversal der IPSEC-Datenstrom über den UDP-Port 4500 geleitet werden. Auch dieser Port muss dann in vorgeschalteter Firewall freigeschalten/weitergeleitet sein.
Füllen Sie schnell und unkompliziert unser Online-Kontaktformular aus, damit wir sie zeitnah persönlich beraten können.
Informieren Sie sich über unsere aktuellen Internet-Angebote.