Jump to content
Sign in to follow this  
CoolBlue

Business Firewall. Provider mit Zwangsrouter. Lösungen?

Recommended Posts

Hallo,

 

wie wir alle sicherlich mitbekommen, gibt es immer mehr Zwangsrouter Internetanschlüsse bei unseren (kleineren) Kunden. Wie geht ihr damit um, wenn der Kunde Bedarf an einer Business Firewall hat. (Fortinet, SonicWall, Sophos, usw...)?

 

In den vergangenen 10 Jahren habe ich das immer so gemacht, das ich den einfachen Homerouter ersetzt habe gegen ein DSL-Modem und dadran die Firewall gehängt habe. Die Firewall wählt sich mit PPTP ins ADSL Netz ein und hat damit die volle Kontrolle über die Verbindung (Wichtig für VPN, QoS, PortForwarding, usw.).

Alternativ konnte man die Provider-Box umschalten auf PPTP Passthrough und die eigenen Routingfunktionen abschalten (z. B. Speedports)

 

Viele Kunden wechseln immer mehr zum Kabel-Anbieter, weil die einfach mehr Durchsatz (bis zu 150mbit/s) haben, vorallem im Upload (25mbit/s) und bekommen von diesem dann auch entsprechend Telefon bereit gestellt via VoIP. Natürlich gilt das auch für klassische DSL Anbieter.. auch hier wird Router+VoIP gekoppelt. Wobei man da bisher den Kunden immer sagen konnte: "Willst du es stabil und professionell, wechsel zurück zur Telekom und hol dir ISDN Anschlüsse"

 

ISDN wirds allerdings nach Plänen der Telekom aber bald auch nicht mehr geben. Andere Anbieter bieten es sowieso schon seit Jahren nicht mehr an.

 

 

Lösungen auf technischer Basis gibts viele.. welche nutzt ihr? Welche ist zuverlässig?

 

a) Firewall Transparent schalten. Gateway bleibt auf der Provider-Box, Verkehr wird aber durch die Firewall gefiltert. Nachteil ist jedoch das die ein oder ander Funktion bei einer Firewall im transparenten Modus dann nicht geht. (Hängt vom Hersteller, Typ, OS usw. ab)

 

B) Transfer-Netzwerk zw. Provider-Box und Firewall einrichten mit doppelten NAT. Firewall macht NAT und Provider-Box sowieso. Gibts probleme bei doppelten NATting?

Ich möchte damit die Provider-Box quasi vollständig ausblenden. Denn nicht jede Box hat die Fähigkeit statische Routen für den Weg zurück zu pflegen, wenn man es ohne NAT in der Firewall machen will.

 

c) (nur bei DSL). Firewall wieder direkt an die Leitung hängen und mit PPTP einwählen lassen. Provider-Box (meist Fritzbox) hinter die Firewall hängen und die Ports für VoIP durch forwarden.

Problem: Geht nur bei DSL und der Support des Providers ist weg, falls es Probleme mit VoIP gibt.

 

Sowohl bei a) als auch bei B) muss ich in der Provider-Box nen globales Portforwarding auf die Firewall machen um eingehenden Verkehr zu managen. Alternativ (höherer Aufwand) geziehlt die Ports weiterleiten die gebraucht werden, wenn die Box es nicht anders kann.

 

VPN IPSec ist ja mittlerweile durchgängig NAT-T fähig und sollte damit doch normal keine Probleme haben. Laufen Site-To-Site Tunnel mit festen öffentlichen IPs stabil?

 

Edited by CoolBlue

Share this post


Link to post
Share on other sites

Hallo CoolBlue,

 

B ) Transfer-Netzwerk zw. Provider-Box und Firewall einrichten mit doppelten NAT. Firewall macht NAT und Provider-Box sowieso. Gibts probleme bei doppelten NATting?

Ich möchte damit die Provider-Box quasi vollständig ausblenden. Denn nicht jede Box hat die Fähigkeit statische Routen für den Weg zurück zu pflegen, wenn man es ohne NAT in der Firewall machen will.

Theoretisch ist die Provider-Box unsichtbar.
Wir haben hier bei uns ebenso einen KabelBW Business Anschluss (jedoch rein Internet, ohne Tel.).
Hierzu hast du seitens des Kabelbetrieber's eigentlich nur ein Kabelmodem, welches alles an das dahinter liegende Gerät (= deine Firewall) weiterleitet.
In unserem Falle haben wir aktuell ein Cisco 3212 im Einsatz, welches nur als reines Kabelmodem genutzt werden kann - wir können dabei weder an der Konfig was ändern, noch etwas umstellen.
Zuvor hatten wir eine FritzBox Cable (63??) im Einsatz, welche wir via BridgeMode ebenso auf "Durchzug" gestellt haben.

Allerdings weis ich nicht, ob es hierzu noch Unterschiede zwischen den Providern gibt.

 

Gruß Sebastian

Edited by Sanches

Share this post


Link to post
Share on other sites

Normalerweise bekommst Du da ein Kabelmodem, an dessen LAN-Interface Du die Firewall anschließen kannst. Die Firewall bekommt dann die offizielle IP-Konfiguration via DHCP. So ist es bei Kabel Deutschland und bei Cabelcom.

 

Have fun!
Daniel

Edited by Daniel -MSFT-

Share this post


Link to post
Share on other sites

Was nutzen wir?

direktes routing ins DFN :-)

 

Was nutzen andere im Umfeld die nicht am DFN hängen?

Allerdings kenne ich niemanden der einen Geschäftsanschluss bei einem Kabelanbieter hat. Da scheint in meinem Umfeld eindeutig die Telekom zu dominieren. Einer hat glaube ich Alice. Den Providerrouter nutzt niemand als Router, höchstens als Modem. Bei DSL-Anschlüssen nicht mal das da sowohl Telekom als auch Alice kein Problem damit haben einen anderen Router zuzulassen. Im Gegenteil, die Telekom verkauft einem sogar auf Wunsch Speedportalternativen. Als Router setze ich dann gerne die cisco 800er ein. Das ist aber eine persönliche Vorliebe, auch andere Hersteller sollten funktionieren.

Share this post


Link to post
Share on other sites

Aktuelles Beispiel:

Fritzbox 7390 (geliefert vom Provider) mit VDSL Modem integriert.

 

Das ist jetzt zwar kein Zwangsrouter, aber die Fritzbox kann ich nicht auf "durchzug" stellen. Der muss ich die Einwahl überlassen, entsprechend habe ich NAT für private IP Adressen und die Firewall wird entsprechend via DHCP eine Private IP der Fritzbox  bekommen. Diese kann ich natürlich als "exposed Host" konfigurieren, aber mehr geht da nicht.

 

Diesen Fall könnte man mit dem Kauf eines VDSL Modems sicher lösen. Aber bei Cable Fritzboxen kann man doch nru dann auf "durchzug" stellen, wenn der Provider ein 4er Netz zur Verfügung stellt.. ansonsten hat man doch NAT oder nicht?

 

Aber seis drum. Der wirklich spezielle Fall ist ja wenn die Fritzbox/Provider-Box auch VoIP zur Verfügung stellt, dann MUSS die Internet Einwahl via Provider-Box erfolgen.

 

Also schlagt ihr ein Transfer Netz vor?

Share this post


Link to post
Share on other sites

 

Diesen Fall könnte man mit dem Kauf eines VDSL Modems sicher lösen. Aber bei Cable Fritzboxen kann man doch nru dann auf "durchzug" stellen, wenn der Provider ein 4er Netz zur Verfügung stellt.. ansonsten hat man doch NAT oder nicht?

 

Bei Business UM macht die Kabel FB genau das. An dem Lan Port 1 kommt die externe IP an (per DHCP) das war es.

Share this post


Link to post
Share on other sites

Ich hab hier Kabel BW

Die Ersten 2 Jahre gabs nur die FB als cable edition dazu und das MUSSTE ich nehmen.

Jetzt konnte ich den Tarif wechseln und habe ein Cisco Kabelmodem 3212 eMTA.

 

Damit bin ich jetzt echt zufrieden.

 

Vorher habe ich die FB auf durchzug gestellt.

 

Sprich: Exposed host auf die Firewall und go.

Die FB dient als reines Modem. Allerdings gab es ab und an Probleme mit VPN verbindungen über IPSec.

Edited by Gu4rdi4n

Share this post


Link to post
Share on other sites

"Exposed Host" ist nicht das gleiche wie "Modembetrieb". Bei ersterem macht die Box NAT, bei letzterem nicht. Die Fritzboxen können prinzipiell schon nur als Modem laufen. Leider hat AVM in der Consumer-Firmware diese Funktion entfernt: http://www.administrator.de/forum/fritzbox-pppoe-passthrough-und-wlan-216696.html. Die Kabelanbieter liefern in der Regel angepaßte Fritzboxen aus. Da kann dann zum Beispiel PPPoE Passthrough konfiguriert sein. Es kommt also immer auf den Provider drauf an. Im Zweifel vorher nachfragen.

Share this post


Link to post
Share on other sites

Bei Business UM macht die Kabel FB genau das. An dem Lan Port 1 kommt die externe IP an (per DHCP) das war es.

 

Das heißt bei Business UM kommt über die FB kein VoIP? Oder bekommt die FB von UM zwei IPs.. eine interne für VoIP und eine zweite für den LAN 1 Port. Quasi transparent für den Kunden. Eine Ö-IP auf zwei Geräte teilen geht ja nunmal nicht (außer via NAT).

 

Bei der VDSL Fritzbox beim aktuellen Kunden finde ich keine Option die Box als Modem zu nutzen oder ich hab den Menüpunkt "übersehen". Dies ist auch eine Box mit Provider-Firmware. Allerdings von einem lokalen kleinen regionalen Provider.

Share this post


Link to post
Share on other sites

Habe noch keinen Kunden gehabt der VOIP genutzt hat. Die UM Leitung wurde meist an Zweigstellen für den Site-2-Site VPN in die Zentrale genutzt oder als http/https Leitung damit man nicht die Company Connect Leitung dichtmacht damit.

Telefonie fast immer über ISDN/PMX, sehr selten über VOIP Provider.

Share this post


Link to post
Share on other sites

Vill. als Info. Grade rausgefunden. Kabel Deutschland (Ein Kunde von mir ist in diesem Bereich) bietet nicht mal eine feste IP an. Dann muss ich den Kunden wohl zum Wechseln bewegen.


Hallo NeMIX.
Kunden die sich eine Company Connect (Standleistung/SDSL, etc) Leitung leisten können, fallen auch gar nicht in dieses Thema hier hinein. Es sind eher kleinere Kunden die evtl nen Nebenstandort Site-To-Site anbinden wollen oder von zu Hause aus via VPN in die Firma wollen oder einen eigenen E-Mail Server betrieben und Port 25 brauchen.

 

Ich habe in der Vergangenheit viele Infrastuktur Lösungen mit ADSL2+ (T-Business) mit statischer IP umgesetzt und die Bandbreite dieser 10-16mbit/1mbit Lösung reichte für diese Zwecke aus. Allerdings habe ich die Firwall Lösung immer direkt an den physikalischen Hausanschluss legen können, ohne das da irgendein Router zwischen war.

Share this post


Link to post
Share on other sites

Ich habe einen Businessanschluß von Unitymedia. Die liefern eine Fritzbox. Ich kann auf feste IP umstellen (eine ist im Paket enthalten). Dann bekommt die Fritzbox eine neue Frimware und funktioniert dann nur noch als Modem und TK-Anlage.

Edited by tesso

Share this post


Link to post
Share on other sites

 

Hallo NeMIX.

Kunden die sich eine Company Connect (Standleistung/SDSL, etc) Leitung leisten können, fallen auch gar nicht in dieses Thema hier hinein. Es sind eher kleinere Kunden die evtl nen Nebenstandort Site-To-Site anbinden wollen oder von zu Hause aus via VPN in die Firma wollen oder einen eigenen E-Mail Server betrieben und Port 25 brauchen.

 

Ich habe in der Vergangenheit viele Infrastuktur Lösungen mit ADSL2+ (T-Business) mit statischer IP umgesetzt und die Bandbreite dieser 10-16mbit/1mbit Lösung reichte für diese Zwecke aus. Allerdings habe ich die Firwall Lösung immer direkt an den physikalischen Hausanschluss legen können, ohne das da irgendein Router zwischen war.

 

Das ist mir bewusst und kenne ich auch so. Hauptstandort wird halt "dicker" angebunden und die kleineren Nebenstellen mit Business ADSL. Da aber heutzutage immer mehr über die Leitungen geht (RDP/ICA, Email, surfen) reicht der Upload meist nicht aus (hast du ja auch festgestellt) und es wird dann auf die "günstiges" Kabelanschlüsse umgestiegen.

Da aber Telefonieren bei meinen früheren Kunden fast immer von der Zentrale raus ging war das VOIP Thema bei den Kabelanschlüssen nie ein Thema bei mir. Früher gab es bei UM imho auch gar kein VOIP bei den Businessanschlüssen, das war reines Internet.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...