Jump to content

Business Firewall. Provider mit Zwangsrouter. Lösungen?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

wie wir alle sicherlich mitbekommen, gibt es immer mehr Zwangsrouter Internetanschlüsse bei unseren (kleineren) Kunden. Wie geht ihr damit um, wenn der Kunde Bedarf an einer Business Firewall hat. (Fortinet, SonicWall, Sophos, usw...)?

 

In den vergangenen 10 Jahren habe ich das immer so gemacht, das ich den einfachen Homerouter ersetzt habe gegen ein DSL-Modem und dadran die Firewall gehängt habe. Die Firewall wählt sich mit PPTP ins ADSL Netz ein und hat damit die volle Kontrolle über die Verbindung (Wichtig für VPN, QoS, PortForwarding, usw.).

Alternativ konnte man die Provider-Box umschalten auf PPTP Passthrough und die eigenen Routingfunktionen abschalten (z. B. Speedports)

 

Viele Kunden wechseln immer mehr zum Kabel-Anbieter, weil die einfach mehr Durchsatz (bis zu 150mbit/s) haben, vorallem im Upload (25mbit/s) und bekommen von diesem dann auch entsprechend Telefon bereit gestellt via VoIP. Natürlich gilt das auch für klassische DSL Anbieter.. auch hier wird Router+VoIP gekoppelt. Wobei man da bisher den Kunden immer sagen konnte: "Willst du es stabil und professionell, wechsel zurück zur Telekom und hol dir ISDN Anschlüsse"

 

ISDN wirds allerdings nach Plänen der Telekom aber bald auch nicht mehr geben. Andere Anbieter bieten es sowieso schon seit Jahren nicht mehr an.

 

 

Lösungen auf technischer Basis gibts viele.. welche nutzt ihr? Welche ist zuverlässig?

 

a) Firewall Transparent schalten. Gateway bleibt auf der Provider-Box, Verkehr wird aber durch die Firewall gefiltert. Nachteil ist jedoch das die ein oder ander Funktion bei einer Firewall im transparenten Modus dann nicht geht. (Hängt vom Hersteller, Typ, OS usw. ab)

 

B) Transfer-Netzwerk zw. Provider-Box und Firewall einrichten mit doppelten NAT. Firewall macht NAT und Provider-Box sowieso. Gibts probleme bei doppelten NATting?

Ich möchte damit die Provider-Box quasi vollständig ausblenden. Denn nicht jede Box hat die Fähigkeit statische Routen für den Weg zurück zu pflegen, wenn man es ohne NAT in der Firewall machen will.

 

c) (nur bei DSL). Firewall wieder direkt an die Leitung hängen und mit PPTP einwählen lassen. Provider-Box (meist Fritzbox) hinter die Firewall hängen und die Ports für VoIP durch forwarden.

Problem: Geht nur bei DSL und der Support des Providers ist weg, falls es Probleme mit VoIP gibt.

 

Sowohl bei a) als auch bei B) muss ich in der Provider-Box nen globales Portforwarding auf die Firewall machen um eingehenden Verkehr zu managen. Alternativ (höherer Aufwand) geziehlt die Ports weiterleiten die gebraucht werden, wenn die Box es nicht anders kann.

 

VPN IPSec ist ja mittlerweile durchgängig NAT-T fähig und sollte damit doch normal keine Probleme haben. Laufen Site-To-Site Tunnel mit festen öffentlichen IPs stabil?

 

bearbeitet von CoolBlue
Link zu diesem Kommentar

Hallo CoolBlue,

 

B ) Transfer-Netzwerk zw. Provider-Box und Firewall einrichten mit doppelten NAT. Firewall macht NAT und Provider-Box sowieso. Gibts probleme bei doppelten NATting?

Ich möchte damit die Provider-Box quasi vollständig ausblenden. Denn nicht jede Box hat die Fähigkeit statische Routen für den Weg zurück zu pflegen, wenn man es ohne NAT in der Firewall machen will.

Theoretisch ist die Provider-Box unsichtbar.
Wir haben hier bei uns ebenso einen KabelBW Business Anschluss (jedoch rein Internet, ohne Tel.).
Hierzu hast du seitens des Kabelbetrieber's eigentlich nur ein Kabelmodem, welches alles an das dahinter liegende Gerät (= deine Firewall) weiterleitet.
In unserem Falle haben wir aktuell ein Cisco 3212 im Einsatz, welches nur als reines Kabelmodem genutzt werden kann - wir können dabei weder an der Konfig was ändern, noch etwas umstellen.
Zuvor hatten wir eine FritzBox Cable (63??) im Einsatz, welche wir via BridgeMode ebenso auf "Durchzug" gestellt haben.

Allerdings weis ich nicht, ob es hierzu noch Unterschiede zwischen den Providern gibt.

 

Gruß Sebastian

bearbeitet von Sanches
Link zu diesem Kommentar

Was nutzen wir?

direktes routing ins DFN :-)

 

Was nutzen andere im Umfeld die nicht am DFN hängen?

Allerdings kenne ich niemanden der einen Geschäftsanschluss bei einem Kabelanbieter hat. Da scheint in meinem Umfeld eindeutig die Telekom zu dominieren. Einer hat glaube ich Alice. Den Providerrouter nutzt niemand als Router, höchstens als Modem. Bei DSL-Anschlüssen nicht mal das da sowohl Telekom als auch Alice kein Problem damit haben einen anderen Router zuzulassen. Im Gegenteil, die Telekom verkauft einem sogar auf Wunsch Speedportalternativen. Als Router setze ich dann gerne die cisco 800er ein. Das ist aber eine persönliche Vorliebe, auch andere Hersteller sollten funktionieren.

Link zu diesem Kommentar

Aktuelles Beispiel:

Fritzbox 7390 (geliefert vom Provider) mit VDSL Modem integriert.

 

Das ist jetzt zwar kein Zwangsrouter, aber die Fritzbox kann ich nicht auf "durchzug" stellen. Der muss ich die Einwahl überlassen, entsprechend habe ich NAT für private IP Adressen und die Firewall wird entsprechend via DHCP eine Private IP der Fritzbox  bekommen. Diese kann ich natürlich als "exposed Host" konfigurieren, aber mehr geht da nicht.

 

Diesen Fall könnte man mit dem Kauf eines VDSL Modems sicher lösen. Aber bei Cable Fritzboxen kann man doch nru dann auf "durchzug" stellen, wenn der Provider ein 4er Netz zur Verfügung stellt.. ansonsten hat man doch NAT oder nicht?

 

Aber seis drum. Der wirklich spezielle Fall ist ja wenn die Fritzbox/Provider-Box auch VoIP zur Verfügung stellt, dann MUSS die Internet Einwahl via Provider-Box erfolgen.

 

Also schlagt ihr ein Transfer Netz vor?

Link zu diesem Kommentar

Ich hab hier Kabel BW

Die Ersten 2 Jahre gabs nur die FB als cable edition dazu und das MUSSTE ich nehmen.

Jetzt konnte ich den Tarif wechseln und habe ein Cisco Kabelmodem 3212 eMTA.

 

Damit bin ich jetzt echt zufrieden.

 

Vorher habe ich die FB auf durchzug gestellt.

 

Sprich: Exposed host auf die Firewall und go.

Die FB dient als reines Modem. Allerdings gab es ab und an Probleme mit VPN verbindungen über IPSec.

bearbeitet von Gu4rdi4n
Link zu diesem Kommentar

"Exposed Host" ist nicht das gleiche wie "Modembetrieb". Bei ersterem macht die Box NAT, bei letzterem nicht. Die Fritzboxen können prinzipiell schon nur als Modem laufen. Leider hat AVM in der Consumer-Firmware diese Funktion entfernt: http://www.administrator.de/forum/fritzbox-pppoe-passthrough-und-wlan-216696.html. Die Kabelanbieter liefern in der Regel angepaßte Fritzboxen aus. Da kann dann zum Beispiel PPPoE Passthrough konfiguriert sein. Es kommt also immer auf den Provider drauf an. Im Zweifel vorher nachfragen.

Link zu diesem Kommentar

Bei Business UM macht die Kabel FB genau das. An dem Lan Port 1 kommt die externe IP an (per DHCP) das war es.

 

Das heißt bei Business UM kommt über die FB kein VoIP? Oder bekommt die FB von UM zwei IPs.. eine interne für VoIP und eine zweite für den LAN 1 Port. Quasi transparent für den Kunden. Eine Ö-IP auf zwei Geräte teilen geht ja nunmal nicht (außer via NAT).

 

Bei der VDSL Fritzbox beim aktuellen Kunden finde ich keine Option die Box als Modem zu nutzen oder ich hab den Menüpunkt "übersehen". Dies ist auch eine Box mit Provider-Firmware. Allerdings von einem lokalen kleinen regionalen Provider.

Link zu diesem Kommentar

Vill. als Info. Grade rausgefunden. Kabel Deutschland (Ein Kunde von mir ist in diesem Bereich) bietet nicht mal eine feste IP an. Dann muss ich den Kunden wohl zum Wechseln bewegen.


Hallo NeMIX.
Kunden die sich eine Company Connect (Standleistung/SDSL, etc) Leitung leisten können, fallen auch gar nicht in dieses Thema hier hinein. Es sind eher kleinere Kunden die evtl nen Nebenstandort Site-To-Site anbinden wollen oder von zu Hause aus via VPN in die Firma wollen oder einen eigenen E-Mail Server betrieben und Port 25 brauchen.

 

Ich habe in der Vergangenheit viele Infrastuktur Lösungen mit ADSL2+ (T-Business) mit statischer IP umgesetzt und die Bandbreite dieser 10-16mbit/1mbit Lösung reichte für diese Zwecke aus. Allerdings habe ich die Firwall Lösung immer direkt an den physikalischen Hausanschluss legen können, ohne das da irgendein Router zwischen war.

Link zu diesem Kommentar

 

Hallo NeMIX.

Kunden die sich eine Company Connect (Standleistung/SDSL, etc) Leitung leisten können, fallen auch gar nicht in dieses Thema hier hinein. Es sind eher kleinere Kunden die evtl nen Nebenstandort Site-To-Site anbinden wollen oder von zu Hause aus via VPN in die Firma wollen oder einen eigenen E-Mail Server betrieben und Port 25 brauchen.

 

Ich habe in der Vergangenheit viele Infrastuktur Lösungen mit ADSL2+ (T-Business) mit statischer IP umgesetzt und die Bandbreite dieser 10-16mbit/1mbit Lösung reichte für diese Zwecke aus. Allerdings habe ich die Firwall Lösung immer direkt an den physikalischen Hausanschluss legen können, ohne das da irgendein Router zwischen war.

 

Das ist mir bewusst und kenne ich auch so. Hauptstandort wird halt "dicker" angebunden und die kleineren Nebenstellen mit Business ADSL. Da aber heutzutage immer mehr über die Leitungen geht (RDP/ICA, Email, surfen) reicht der Upload meist nicht aus (hast du ja auch festgestellt) und es wird dann auf die "günstiges" Kabelanschlüsse umgestiegen.

Da aber Telefonieren bei meinen früheren Kunden fast immer von der Zentrale raus ging war das VOIP Thema bei den Kabelanschlüssen nie ein Thema bei mir. Früher gab es bei UM imho auch gar kein VOIP bei den Businessanschlüssen, das war reines Internet.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...