@weissnix_

im Log finden sich bei mir ähnliche Anfragen. habe mit tracert mal nachspioniert und festgestellt, dass sie bei mir von 1und1 kommen (bei denen ich keinen Vertrag habe). Broadcast von 1und1 auf Telekom-Leitungen? 

Bei Deinen IP Adressen steckt ein serverprofi24.eu dahinter...

 

IB-P

Das müsste sich über den Standort begrenzen lassen.

 

Nachtrag: Bei meiner be.ip plus sowie den von mir betreuten Octopus F50 oder auch elmeg Hybird Systemen kann ich unter dem Subsystem Filter "VoIP" keine solche Eintragungen im Log finden, und das obwohl dieses auf "Debug" eingestellt ist. Zufall? Ich weiß es nicht. 

Nächste Frage: gibt es irgendwo ein Tutorial (bei Bintec hießen die immer "Workshops"), wie man ein Windows Mobile Device (WP8.1) per VPN (IKEv2 oder PPT L2TP) an die Digibox dranhängt? Ein echtes IPSec scheint es mobile-Device-seitig nicht zu sein, weil die klassischen Terminologien (preshared key etc.) fehlen.

 

DANKE

 

IB-P

Hallo IB_Pitloun, muss bei den Experten nachfragen - melde mich wieder. Grüße PR

Hallo weißnix, Ja, die Digitalisierungsbox muss zwingend auf der WAN-Seite auf 5060 reagieren, da durch die Registrierung der MSNs, z.B. von einem Deutschland LAN IP Voice & Data, der Port in der Firewall und in der NAT geöffnet ist. Ebenso kann nicht davon ausgegangen werden, dass bei einem eingehenden Anruf dieser vom selben SIP-Server übermittelt wird, bei dem sich die Digitalisierungsbox registriert hat. Es existieren da ein paar mehr im Netz der Deutschen Telekom … Nichtsdestotrotz greifen im Hintergrund natürlich Mechanismen um einen Missbrauch zu verhindern, hier nur zwei Beispiele jeweils für intern bzw. extern: 1. Standorte und, falls nicht explizit definiert, im internen Teilnehmer das Default Verhalten, dass nur Registrierungen aus dem privaten Netzwerk (RFC1918) möglich sind. 2. Bei einem Fehlversuch aus dem WAN (-> ggf. versuchter Angriff) werden für eine gewisse Zeitspanne (60s) Zugriffe von dieser IP-Adresse durch einen NAT-Eintrag komplett geblockt. Das verhindert sog. „Brute Force“ Angriffe mit Wörterbuchattacken. Die oben aufgeführten Debug-Meldungen stammen übrigens wahrscheinlich von so einem Versuch. Hier kann man sehen, dass durch einen fehlerhaften Versuch der IP 209.126.117.236 auf den Port 5060 getriggert, das VoIP Subsystem für exakt 60s eine entsprechende Sperregel angelegt hat. Man kann natürlich durch entsprechende Konfiguration auch eine Digitalisierungsbox komplett „offen und schutzlos“ ins Netz stellen … Nachsatz: Es sollten trotzdem immer sichere Passwörter verwendet werden, nur so können Angriffe aus dem eigenen LAN ebenso wirksam unterbunden werden! Grüße PR

Hallo IB_Pitloun, In einem Test der Firmware 10.1 Rev. 3 Patch 8 mit verschiedenen DynDNS Providern konnten keine Probleme lokalisiert werden. Sind im Setup der DB irgendwelche Besonderheiten? Gibt denn das „Interne Protokoll“ weiteren Aufschluss? Ggf. zur Auswertung in den „Globalen Einstellungen“ den Loglevel auf „Debug“ setzen und die Anzahl der gespeicherten Logmessages auf 500 erhöhen:

@peter.raetz wurde mein Post übersehen? Ich bräuchte dringend eine Lösung für dieses Problem.

 

Gruß,

Felix

In der Anlage noch ein Hinweis zu NAT/PAT- und Firewall-Einstellung zusammen mit der Einrichtung des administrativen Zugriffes über den PPPoE-WAN-Partner der DTAG am Beispiel eines IPv4 https-Zugriffes aus dem WAN auf eine Digitalisierungsbox. Grüße PR

Hallo FelixBit, Sorry, kommt noch - war mir unsicher und habe die Experten angefragt. Grüße PR

Kann es sein, das der Anhang fehlt? Oder ist das nur bei mir so, das ich den nicht finde?

2ter Versuch... Anlage: NAT/PAT- und Firewall-Einstellung zusammen mit der Einrichtung des administrativen Zugriffes über den PPPoE-WAN-Partner der DTAG am Beispiel eines IPv4 https-Zugriffes aus dem WAN auf eine Digitalisierungsbox

Hallo zusammen, 

 

ich bitte um etwas Geduld. Morgen gibt es die Antworten auf die noch offenen Fragen. Dann folgt auch die Anlage für die Firewall-Einstellung.

 

Bis dahin können jedoch gern weitere Fragen gestellt werden.

 

Liebe Grüße

Susann R.

3ter Versuch... Anlage: NAT/PAT- und Firewall-Einstellung zusammen mit der Einrichtung des administrativen Zugriffes über den PPPoE-WAN-Partner der DTAG am Beispiel eines IPv4 https-Zugriffes aus dem WAN auf eine Digitalisierungsbox

Hallo Pitloun,

dDrch die geringe Verbreitung von Windows Mobile (< 3%) gerade im beruflichen Umfeld ist diese Problemstellung nach Rückfrage bei der bintec elmeg GmbH noch nicht aufgetreten.
Trotzdem ein paar Fakten und entsprechende Links, die ggf. zur Lösung führen können:
1. Die Digitalisierungsbox enthält als VPN-Protokoll nur IPSec, so dass die aufgeführten PPTP und L2TP nicht zur Verfügung stehen.
2. Die IPSec Implementation der Digitalisierungsbox entspricht zu 100% der von bintec elmeg. Entsprechende Workshops können also ein- und umgesetzt werden.

 3. Leider steht im Gegensatz zu Android auch von NCP als dem IPSec Client Hersteller der Clients von z.B. bintec elmeg, LANCOM und Juniper keine entsprechende App für Windows Mobile zur Verfügung, so dass auch diese Lösung wegfällt.
4. Nach meinem Kenntnisstand ist die Codebasis von Win8 (sowie Win7) und Win8 Mobile sehr ähnlich. Ein Partner von bintec elmeg hat auf seiner Webseite ebenfalls „Workshops“ veröffentlicht und hier das Thema „IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS12)“ behandelt. Zusammen mit der Ausführung von Microsoft (leider in englischer Sprache) sah ich in der Recherche zu dieser Antwort durchaus die Möglichkeit einen Tunnelaufbau zu ermöglichen.

 

hier noch eiin Link dazu:

http://neo-one.de/downloads/dokumente/bintec%20IPSec/IKEv2%20zwischen%20Windows%207%20und%20Gateway%...
https://technet.microsoft.com/de-de/windows/dn673608.aspx

 

Um die Digitalisierungsbox hinter dem Gateway zu betreiben sind folgende Punkte zu beachten:
1. Routing
Die Default Route muss über das LAN Interface zum vorgelagerten Internetgateway zeigen. Dieses muss die entsprechende VoIP Line auch auf den zugehörigen WAN-Partner routen, ansonsten muss vorher eine Umstellung auf nomadische Nutzung erfolgen. Ein Loadbalancing Szenario mit mehreren WAN-Zugängen sollte von der Digitalisierungsbox selber als Internetgateway abgebildet werden, da hier durch die „Standorte“ die Zuordnung trotz Loadbalancing eindeutig erfolgen kann.
2. DNS
Hallo Herr Steinhart,

der in die Digitalisierungsbox eingetragene DNS-Server (auch im LAN?) muss SRV Anfragen unterstützen und in zu einem DNS Server der DTAG weiterleiten.
3. DHCP
Im Auslieferungszustand enthält die Digitalisierungsbox die Rolle eines aktivierten DHCP-Servers auf den LAN-Schnittstellen und im WLAN. Dieses muss ggf. deaktiviert werden.
4. STUN
Da ein ALG interne Adressen gegen die externe Adresse auch im SIP-Anteil der Pakete austauscht, ist ein gesetzter STUN Server in der Definition der SIP-Line auf der Digitalisierungsbox zu entfernen.
Sollte diese Funktionalität am Internetgateway nicht oder anders zur Verfügung gestellt werden (Portforwarding/Full Cone NAT) empfiehlt sich das Setzen eines STUN-Servers und die Aktivierung des Menüpunktes „Vorgeschaltetes Gerät mit NAT“ in den „Erweiterten Einstellungen“ der SIP Lines

(siehe Anlage).

Grüße

PR

 

Hallo Felix,

es muss zuerst einmal eine Unterscheidung zwischen zwei verschiedenen Diensten, die hier vermischt/verwechselt werden, gemacht werden.
1. DNS / Domain Name Service
In einer Domain / für beliebige Domains übernimmt der DNS die Namensauflösung mit ihm bekannten festen Einträgen bzw. leitet unbekannte Anfragen an einen übergeordneten DNS Server weiter (Proxy). Wird kein Eintrag gefunden bekommt der Anfragende wie beim versuchten Ping die Antwort, dass dieser Name/Host nicht gefunden werden kann. In dieser hierarchischen Struktur ist das korrekt.
Eingetragene Namen unter „Statische Hosts“ werden von der Digitalisierungsbox deswegen gefunden und die Anfrage beantwortet, da hier der oben erwähnte feste Eintrag dadurch existiert und positiv beantwortet wird. Alle anderen DNS Anfragen werden zum über die WAN Einwahl bezogenen DNS-Server der Deutschen Telekom weitergeleitet, der natürlich auch nicht auflösen kann.
2. NBNS oder WINS / NetBIOS Name Service oder Windows Internet Name Service
NetBIOS (UDP/TCP Port 137) ist ein Dienst, mit dem sich (Windows) Rechner untereinander innerhalb eines Netzwerksegmentes (Kollisionsdomäne) bekannt machen und so über die einfache Eingabe des Namens (ohne Domain) gegenseitig „auflösen“ können. Jeder (Windows) Rechner führt hier eine interne Datenbank, jeder (Windows) Client kann sich mit beliebigen Namen und beliebiger Anzahl von Einträgen melden (Sicherheitslücke!). NetBIOS ist flach, nicht hierarchisch angelegt und von der Konzeption her kein Dienst der geroutet werden kann, somit ist das Routing zwischen verschiedenen Netzwerken (z.B. IPSec Verbindung) die Grenze der Funktionalität. Um diese Funktionalität auch über die „Netzwerkgrenze“ zur Verfügung zu stellen, beherrschen Windows Server die Rolle „WINS-Server“ um die Datenbanken abzugleichen und im jeweils anderen Netz ebenfalls zur Verfügung zu stellen.

Die Lösung in diesem Fall wäre, falls vorhanden, also der Eintrag eines WINS-Servers in den DHCP-Bereich der Digitalisierungsbox die Lösung, so dass bei der Vergabe der IP-Adressen zusammen mit dem DNS-Server den DHCP-Clients auch ein WINS-Server mitgeteilt wird.
Menü:
Lokale Dienste – DHCP-Server, Registerkarte „DHCP-Server“
Mit Hilfe des Schraubenschlüsselsymbols den vorhanden Eintrag editieren:

 

Ich hoffe ich konnte das beobachtete Verhalten erklären und einen Lösungsweg aufzeigen.
Als einfachste aller Lösungen bleibt noch das direkte Ansprechen der gewünschten Hosts über die IP-Adresse …

 

Mit freundlichen Grüßen / With best regards

i.A./p.p. Wolfram Schwarz
Sales Engineer

 

Hallo!

 

Ich würde gerne folgende WLAN Konfiguration erzeugen, bin aber mit dem handbuch und der Konfiguration etwas überfordert:

1. WLAN und LAN sind im VLAN 1 und im Bridge Modus. Das ist von Haus aus ja bereits eingerichtet

2. Ein WLAN AP W2003n ist bereits integriert, WLAN Controller ist die Digibox

3. Ein 2. Gast-WLAN soll für Gäste eingerichtet werden (weiteres VLAN nötig?) mit dem Gäste ins Internet können, die aber grundsätzlich vom internen LAN/WLAN getrennt sind. Das soll an der Digibox und am W2003n verfügbar sein.

4. Gäste sollen aber trotzdem folgende Dienste des internen LAN nutzen können: Drucken auf Netzwerkdrucker über 9100 und Airprint; Zeigen von Inhalten (Fotos, Videos, Musik) von Iphone Geräten auf Apple TV im internen LAN

 

Gibt es für solch ein Szenario ggf einen Bintec Workshop (hab keinen passenden gefunden)?

Der Punkt 4 wäre die Kür, Punkt 3 aber spannend, gerade wegen dem bridge Modus, denn das interne LAN/WLAN soll eigentlich EIN IP-Subnetz bleiben...

 

DANKE

 

 

Hallo zusammen,

 

@T.Steinhart peter.raetz hat mich darum gebeten, Ihnen ergänzend zu Ihrer Frage Ihnen noch diese Info zu übergeben. Etwas unscharf, aber ich denke man kann es erkennen.

 

 

Liebe Grüße

Susann R.

Hallo zusammen,

 

die Woche neigt sich dem Ende und ich werde diesen Beitrag nun schließen.

 

Danke an alle, die hier Fragen gestellt und mit diskutiert haben. Ihr seid es, die dieses Thema mit Leben gefüllt habt.

 

Ein besonderes Dankeschön auch an unseren Kollegen @peter.raetz, der sich euren Fragen gestellt hat. Hervorheben möchte ich auch den Einsatz von @Kalle2014: Bei Fragen zur Digitalisierungsbox hier in der Community, ist @Kalle2014 häufig zur Stelle und hilft gerne weiter. Danke für deine Expertise! 

 

Im Nachgang werden wir alle Fragen und Antworten nochmal zusammentragen und als letzte Antwort in diesem Beitrag veröffentlichen. Selbstverständlich werden wir offen gebliebene Fragen auch noch beantworten.

 

Falls Ihr weitere Fragen zur Digitalisierungsbox habt: Ihr wisst ja, wo ihr uns findet.

 

Liebe Grüße

Waldemar H.

 

Hallo @AT1,

 

anbei noch die Antwort auf Ihre Frage von @peter.raetz:

 

Vielen Dank für das interessante Szenario.

Es wurde bisher nicht in die Liste der Konfigurationen aufgenommen, die als mögliche Umsetzung der Fähigkeiten der Digitalisierungsbox interessant wären.

Auf Grund bisheriger Vorgaben und Einschränkungen durch die Vorkonfiguration gibt es noch Punkte, die eine solche Funktion verhindern.

Wir haben das vermerkt und werden im nächsten „Major Release“ der Digitalisierungsbox die Hinderungsgründe beseitigen.

Verfügbarkeit dieser Version wird nach momentaner Planung im Laufe von Q4 2015 sein, also ein für Sie hoffentlich absehbarer Zeitraum.

 

Grüße

Peter

 

 

Ich hoffe, dass Ihnen diese Antwort weiter hilft.

 

Liebe Grüße

Susann R.

Liebe Community,

wie von Waldemar angekündigt, kommt hier noch ein abschließender Beitrag.

Zurückblickend hatten wir in diesem Thread einen sehr guten Austausch zu unseren Digitalisierungsboxen. Es gab viele Fragen zu den individuellen Konfigurations-Situationen unserer User, die dank unserem Experten @peter.raetz, aber auch durch  @Kalle2014, schnell beantwortet wurden.

Da manche Szenarien so komplex waren, haben wir die Diskussionen außen vor gelassen und hier nur einige Fragen zusammengetragen.

Gibt es irgendwo ein Tutorial (bei Bintec hießen die immer "Workshops"), wie man ein Windows Mobile Device (WP8.1) per VPN (IKEv2 oder PPT L2TP) an die Digibox dranhängt? Ein echtes IPSec scheint es mobile-Device-seitig nicht zu sein, weil die klassischen Terminologien (preshared key etc.) fehlen.

Durch die geringe Verbreitung von Windows Mobile (< 3%) gerade im beruflichen Umfeld ist diese Problemstellung nach Rückfrage bei der bintec elmeg GmbH noch nicht aufgetreten.
Trotzdem ein paar Fakten, die ggf. zur Lösung führen können:
1. Die Digitalisierungsbox enthält als VPN-Protokoll nur IPSec, so dass die aufgeführten PPTP und L2TP nicht zur Verfügung stehen.
2. Die IPSec Implementation der Digitalisierungsbox entspricht zu 100% der von bintec elmeg. Entsprechende Workshops können also ein- und umgesetzt werden.
Leider steht im Gegensatz zu Android auch von NCP als dem IPSec Client Hersteller der Clients von z.B. bintec elmeg, LANCOM und Juniper keine entsprechende App für Windows Mobile zur Verfügung, so dass auch diese Lösung wegfällt.
4. Nach meinem Kenntnisstand ist die Codebasis von Win8 (sowie Win7) und Win8 Mobile sehr ähnlich. Ein Partner von bintec elmeg hat auf seiner Webseite ebenfalls „Workshops“ veröffentlicht und hier das Thema „IKEv2 zwischen Windows 7 und Gateway mit Zertifikaten (PKCS12)“ behandelt. Zusammen mit der Ausführung von Microsoft (leider in englischer Sprache) sah ich in der Recherche zu dieser Antwort durchaus die Möglichkeit einen Tunnelaufbau zu ermöglichen.



Muss die Box zwingend auf Port 5060 auch von der WAN-Seite auf Anfragen reagieren?

Ja, die Digitalisierungsbox muss zwingend auf der WAN-Seite auf 5060 reagieren, da durch die Registrierung der MSNs, z.B. von einem Deutschland LAN IP Voice & Data, der Port in der Firewall und in der NAT geöffnet ist. Ebenso kann nicht davon ausgegangen werden, dass bei einem eingehenden Anruf dieser vom selben SIP-Server übermittelt wird, bei dem sich die Digitalisierungsbox registriert hat. Es existieren da ein paar mehr im Netz der Deutschen Telekom … Nichtsdestotrotz greifen im Hintergrund natürlich Mechanismen um einen Missbrauch zu verhindern, hier nur zwei Beispiele jeweils für intern bzw. extern: 1. Standorte und, falls nicht explizit definiert, im internen Teilnehmer das Default Verhalten, dass nur Registrierungen aus dem privaten Netzwerk (RFC1918) möglich sind. 2. Bei einem Fehlversuch aus dem WAN (-> ggf. versuchter Angriff) werden für eine gewisse Zeitspanne (60s) Zugriffe von dieser IP-Adresse durch einen NAT-Eintrag komplett geblockt. Das verhindert sog. „Brute Force“ Angriffe mit Wörterbuchattacken. Die oben aufgeführten Debug-Meldungen stammen übrigens wahrscheinlich von so einem Versuch. Hier kann man sehen, dass durch einen fehlerhaften Versuch der IP 209.126.117.236 auf den Port 5060 getriggert, das VoIP Subsystem für exakt 60s eine entsprechende Sperregel angelegt hat. Man kann natürlich durch entsprechende Konfiguration auch eine Digitalisierungsbox komplett „offen und schutzlos“ ins Netz stellen … Nachsatz: Es sollten trotzdem immer sichere Passwörter verwendet werden, nur so können Angriffe aus dem eigenen LAN ebenso wirksam unterbunden werden!



Wie ist die Digitalisierungsbox Premium zu konfigurieren, wenn diese in einer bestehenden IT-Struktur hinter einem Grenzrouter (Lancom 1781) eingesetzt werden soll?

Um die Digitalisierungsbox hinter dem Gateway zu betreiben sind folgende Punkte zu beachten:
1. Routing
Die Default Route muss über das LAN Interface zum vorgelagerten Internetgateway zeigen. Dieses muss die entsprechende VoIP Line auch auf den zugehörigen WAN-Partner routen, ansonsten muss vorher eine Umstellung auf nomadische Nutzung erfolgen. Ein Loadbalancing Szenario mit mehreren WAN-Zugängen sollte von der Digitalisierungsbox selber als Internetgateway abgebildet werden, da hier durch die „Standorte“ die Zuordnung trotz Loadbalancing eindeutig erfolgen kann.
2. DNS
Der in die Digitalisierungsbox eingetragene DNS-Server (auch im LAN?) muss SRV Anfragen unterstützen und in zu einem DNS Server der DTAG weiterleiten.
3. DHCP
Im Auslieferungszustand enthält die Digitalisierungsbox die Rolle eines aktivierten DHCP-Servers auf den LAN-Schnittstellen und im WLAN. Dieses muss ggf. deaktiviert werden.
4. STUN
Da ein ALG interne Adressen gegen die externe Adresse auch im SIP-Anteil der Pakete austauscht, ist ein gesetzter STUN Server in der Definition der SIP-Line auf der Digitalisierungsbox zu entfernen.
Sollte diese Funktionalität am Internetgateway nicht oder anders zur Verfügung gestellt werden (Portforwarding/Full Cone NAT) empfiehlt sich das Setzen eines STUN-Servers und die Aktivierung des Menüpunktes „Vorgeschaltetes Gerät mit NAT“ in den „Erweiterten Einstellungen“ der SIP Lines