Wie wir bereits im vorherigen Blog beschrieben haben, sind wir jetzt mit unserer Firma auf dem Glasfasernetzwerk der UPC verbunden.
Eine Inbetriebnahme dieses Internet Routers gestaltet sich vorerst als sehr einfach: Anschliessen - Einschalten - Mit einem Notebook via WLAN verbinden - Assistenten durch führen - fertig. So sind die meisten Haushalte eigentlich sehr gut bedient. Wir wollen aber mehr.
Vorerst muss man aber wissen, dass UPC die Connect Box mit IPv6 konfiguriert, dieser Standard hat seine Vorteile aber auch seine tücken. Um im klassischen Sinn, Dienste wie Webserver, VPN oder anderes hinter der Connect Box betreiben und ansprechen zu können, muss man die Hotline kontaktieren und diese darum bitten, die Connect Box auf IPv4 zu konfigurieren. Dies kann nur die Hotline erledigen, da wir Endbenutzer darauf keinen Zugriff haben. Dauert ca 10 Minuten inkl. Neustart des Routers. Natürlich muss danach wieder der Assistent durchgeführt werden, da sich die Connect Box wie beim 1. Mal neu konfigurieren muss.
Ab jetzt wären wir bereit, Webserver hinter der Connect Box zu betreiben, es gibt aber noch einige Punkte zu berücksichtigen:
1: Auch wenn die Connect Box einen eigenen Firewall Schutz mit an Board aufweist, möchten wir eine eigene Firewall hinter der Connect Box betreiben. Wir entschieden uns für die ZyWall 110, damit wir auch die volle Bandbreite nutzen können. In dieser Konfiguration wird die WAN Schnittstelle der ZyWall einfach mit einem der 4 LAN Anschlüsse der Connect Box verbunden.
In der Konfiguration der ZyWall muss lediglich der WAN Anschluss auf DHCP konfiguriert werden. Alle Geräte die nun in unserem Netzwerk betrieben werden sollen, hängen hinter dem LAN Anschluss (P4) hinter der Firewall. Dazu wählten wir einen 48 Port 1GBit Switch mit zusätzlich 4x 10GBit Ports. Dieser LAN Anschluss (P4) der ZyWall ist bei uns auf 192.168.100.1 konfiguriert, was leider zu Problemen führte. Warum?
Unsere Absicht war, einen Internet Router dahinter mit einer separaten FireWall in Betrieb zu nehmen. Diese Konfiguration ist aus Performance Gründen nicht ideal. Anstelle des Normal Betriebes der Connect Box, könnte man diese in den Bridge Modus versetzen. In der Anleitung findet man dann einen kleinen Hinweis, dass in diesem Bridge Modus die Connect Box die IP Adresse 192.168.100.1 bekommt. Im Bridge Modus muss man dann aber auf die integrierte Telefon Funktion verzichten. Moment mal, die IP Adresse des Routers weist die selbe IP Adresse wie unsere FireWall auf? Das kommt nicht gut. So verliessen wieder diesen Bridge Modus und konfigurierten die Connect Box wieder als Standard Internet Router mit IPv4. Trotzdem zickte unser Internet, in dem sich unser Internet in sporadischen Abständen verabschiedete.
So wurde also erneut zum Telefon Hörer gegriffen, unser Glück war, dass wir bei der UPC mit unserem Problem in den Second Level verbunden wurden. Dieser nette Herr erklärte uns, dass die Connect Box in zeitlichen Abständen im Normal Modus die IP Adresse des Bridge Modus selbständig aktiviere, auch wenn sich die Connect Box gar nicht im Bridge Modus befindet. Oha, darum hatten wir innerhalb kurzen Abständen einen Internet Ausfall. 2 Geräte mir der selben IP Adresse im selben Netzwerk, das funktioniert nicht. Die Lösung war, indem wir der FireWall eine unbenutzte IP Adresse vergaben, in unserem Fall 192.168.100.2. Nachteil: Bei allen Netzwerk Geräten, PC, Drucker usw musste der Gateway auf die 192.168.100.2 abgeändert werden. Der Aufwand lohnte sich aber, da wir jetzt unsere Netzwerk Konfiguration nach Plan umgesetzt haben.
Nun ging es als nächstes darum die versprochene Internet Leistung zu testen. Wir entschieden uns für das 600MBit Packet für 39.- pro Monat (2 Jahre) ohne Schnick-Schnack.
UPC hält also was sie versprechen.
Schöner Nebeneffekt:
Bemerkung: Für zu Hause könnte sich das Basic TV Angebot nicht ausreichen. reicht aber fürs erste in einen Betrieb. Damit können die Sporterreignisse live im Geschäft mit verfolgt werden.
Ab diesen Schritten sind wir nun in der Lage, Web Dienste hinter der Firewall in Betrieb zu nehmen. Wir testeten einen VPN Server auf einer Synology, damit ein VPN Server in dieser Konstellation funktionieren kann, müssen 3 UDP Ports auf das entsprechende Gerät umgeleitet werden. In der Firewall muss ein NAT mit den UDP Ports 500 (IKE), 1701 (L2TP) und 4500 (IKE NAT) eingerichtet werden. Damit wir den VPN Server hinter der Firewall überhaupt erreichen können müssen in der UPC Connect Box diese 3 Ports unter "Erweiterte Einstellungen - Sicherheit - Portweiterleitung eingetragen werden. Hierbei zu beachten gillt: Dass bei der IP Adresse nicht der eigentliche VPN Server oder anderer Dienst eingetragen wird, sondern die IP Adresse der WAN Schnittstelle ihrer Firewall.
Natürlich können nun auch andere Web Dienste hinzugefügt werden.
Fazit:
Nach einigen Stolpersteinen, lohnt sich der Schritt die Connect Box auf IPv4 umzukonfigurieren und dahinter eine separate FireWall zu betreiben. Die Performance leidet nicht und die Sicherheit wird massiv erhöht.
Comments