Beantwortet

Konfigurieren von Firewall & VPN nach Technicolor; WLAN lösung


Hallo an das betreuungsteam von A1!

Ich möchte folgende konfiguration aufbauen, und würde ein rat dazu brauchen:

1) anschluss an "festnetz internet" über A1 Technicolor TG588 mit aktivem WLAN.
Zugang zum internet soll für wireless geräte (handy, tablet) weiter über WLAN und Technicolor möglich sein.

2) nach dem A1 TG588 soll eine hardware firewall geschaltet werden, die das hausinternet LAN vor zugang von aussen schützen soll. Ebenfalls soll diese firewall ein VPN zugang von aussen erlauben. Angedacht ist ein ZyXel USG20 (weil günstiger als andere produkte wie Cisco).
Die TG588 soll über ein dynDNS system eine externe fixe IP-adresse bekommen.

3) die LAN beinhaltet zwei kleine server die über eine web-interface erreichbar sein sollen, indem man sich ins LAN-netzwerk über das VPN einloggt und dann auf die zwei einzelnen server (über ihre interne LAN adresse) zugreift, mittels eines normalen browsers.

Das interne netzwerk wäre also geteilt in einem WLAN bereich, der direkt über das TG588 zugang zum internet bekommt, und einem LAN bereich, der über die hardware-firewall und TG588 ins internet kommen kann.

1.FRAGE:
Ich habe für die konfigurierung des A1 TG588 schon einige infos hier im forum gefunden. Es wird dabei empfohlen, den TG588 nur als modem zu benützen (und den router teil auszuschalten. Die router funktion wird dann von der hardware-firewall übernommen). Da ich aber den WLAN teil des TG588 weiter nützen will, möchte ich wissen, ob ich den TG588 selektiv so einstellen kann, daß er nur WLAN routet, aber nicht LAN-adressen?

Ich könnte alternativ ein ZyXel firewall VPN router kaufen, der auch WLAN anbietet, dann würde alles über den ZyXel geroutet werden, und nichts mehr über den TG588.

2.FRAGE:
wie sicher ist es, die eingebaute firewall aus dem TG588 zu benützen, anstelle einer separaten hardware-firewall? Hat die TG588 die möglichkeit, ein VPN dort so zu konfigurieren, so daß man zugriff auf zwei fixe LAN-adressen bekommt (wahrscheinlich würde man nur einen "browserzugang" zu diesen zwei LAN-adressen brauchen - also port 80 oder ähnl.) ?


Vielen dank im voraus!
icon

Beste Antwort von Miatlev 7 November 2017, 13:15

Original anzeigen

10 Antworten

Benutzerebene 7
Abzeichen +6
hallo,

im su betriebsmodus (reines modem) ist w-lan nutzlos am a1 modem da kein internet zugang

für den mu betriebsmodus (modem und router = standard betriebsmodus)
firewall ist sicher genug und portweiterleitungen lassen sich einrichten für den zugriff von außen aber vpn gibt es nicht am a1 router

sinnvollerweise sollten lan und w-lan clients im selben netz sein
also entweder im netz des a1 routers oder im netz deiner firewall

also firewall mit w-lan
oder firewall und separates w-lan (w-lan access point)
oder nur zusätzlicher vpn router/server ohne spearates netz und der a1 router verwaltet dein netz
auch diese variante ist möglich allerdings selten realisiert da router ohne nat vpn oft nicht unterstützen (bei router dd-wrt firmware geht es z.b.)
aber vpn server kann man auch auf rechner oder nas oder z.b. einen raspberry pi installieren
portweiterleitung(en) einrichten , ddns dienst und a1 router auf 'always on' stellen nicht vergessen
vielen dank für die vielen ideen und guten empfehlungen an RWHLIVE!

Wäre es theoretisch auch möglich, daß ich folgendes einrichte? (falls die frage blöd ist, bitte ich im voraus um verzeihung! 🙂 )

* A1 TGG588 router in MU modus
* hardware-firewall dahinter (wobei das WAN port der firewall an ein LAN port des A1 routers angeschlossen wird)
* portweiterleitung (+weitergabe der LAN-adresse der firewall) im A1 router einrichten, um auf die VPN anmelde-seite des firewalls zu landen, von aussen (aus dem internet).

dann könnte man sich von aussen im VPN einloggen (stimmt das?) und der A1 router würde sonst auch den WLAN weiter als router "leiten".

Oder geht das nicht?

Danke schön!
Benutzerebene 7
Abzeichen +6
hallo,

kannst du machen
nennt sich doppelnat
beide router natten
wenn beide router sauber natten kein großes problem

w-lan geht dann schon
nur haben halt deine w-lan clients keinen zugriff auf das netz der firewall
nur internet zugriff
danke schön! Ja, es ist klar daß die wlan geräte dann kein zugang im LAN haben (oder schon, aber die müssten sich wahrscheinlich ins VPN einloggen).

Super, weiß jetzt bescheid! Werde mich noch melden, falls ich trotz der vielen guten anleitungen die man da im forum findet, irgendwo steckenbleibe, beim konfigurieren.
Benutzerebene 7
Abzeichen +6
hallo,

also vpn für 'lokalen' zugriff kann nur eine notlösung sein
genauso wie doppelnat aber manchesmal hat man keine wahl
z.b. bei a1tv oder a1 voip

stelle die firewall in die dmz (a1 router einstellung)
damit vermeidest nat probleme und vpn sollte dann klaglos gehen
es ist nähmlich je nach vpn nicht garantiert das portweiterleitungen alleine reichen
je nach vpn sind auch protokolle beteiligt bzw. die alg (helper) mancher a1 router fehlen oder pfuschen sogar drein
nochmal danke schön, RWHLIVE, für die ausführlichen hinweise!
Sobald ich alles installiere, melde ich mich wieder, ob's alles klappt.
Hallo an @rwhlive , ich bin wieder da, nach langer zeit habe ich wieder eine frage bez. derselben hier oben beschriebenen konfiguration!

Habe nun folgendes konfiguriert:
Technicolor TG588v A1,
* "always on" eingestellt
* dyndns von NO-IP eingerichtet
* DMZ eingeschaltet und für den zweiten router eingestellt.

zweiter router (eine firewall) von Zyxel USG 40W,
* hängt nun am A1 router, in der DMZ
* nach einstellung am ersten tag, konnte ich es erfolgreich von aussen erreichen
* am nächsten tag ging das nicht mehr. Habe wieder verzweifelt alle einstellungen angeschaut, nochmals vom neuen eingerichtet. Bringst aber nichts, der Zyxel firewall kann nun von außen nicht mehr erreicht werden.

Ich habe mal (hier ) gelesen, daß es probleme mit der DMZ geben kann, und daß es manchmal nicht klappt (wegen software bugs auf dem A1 router). Es ist mir aber nicht klar, ob solche probleme auch den TG588 router betreffen, sondern nur andere?

Gibt es irgendwas was ich noch probieren könnte, um die firewall von Zyxel von aussen erreichen zu können? ich bin mit meinem (bescheidenen) wissen und probieren am ende!

Vielen dank im voraus!
Benutzerebene 7
Abzeichen +6
hallo,

habe selbst einen router in der dmz hinter einem tg588
keinerlei probleme damit
allerdings schaltet eine elektr. wochenschaltuhr das tg bei mir täglich einmal aus/ein
das mache ich prinzipiell um probleme vorzubeugen

der workaround mit dhcp spoofing war nur zu zeiten notwendig wo ein thomson router
die funktion 'öffentliche ip adresse an ein gerät weiterleiten' hatte statt bzw. als ersatz für eine dmz

wieso die firewall nicht von außen erreichbar ist kann viele gründe haben
kann ja auch an firewall einstellungen selbst liegen
oder das der ddns dienst am router nicht aktualisiert
die firewall hat wan-seitig hoffentlich ein fixe ip adresse (inkl. gateway)
probleme auf der clientseite muss man natürlich auch auschließen können

um welche ports bzw. um welche(s) protokoll(e) geht es?
was sagt ein einfacher porttest ?
http://canyouseeme.org/

hoffe a1 ist nicht plötzlich auf die idee gekommen deinen anschluss zu natten (cg-nat)
ohne öffentliche ip kein zugriff von außen
wan ip am router und öffentliche ip (canyouseeme) müssen gleich sein

entweder dmz oder portweiterleitungen
wenn man portweiterleitungen macht pfuscht eventuell eine alg (helper) rein
kann z.b. bei vpn probleme verursachen
schon weit hergeholt aber hat es auch schon gegeben

ein einfaches aus/ein aller beteiligten geräte hast ja hoffentlich gemacht
oder mal einen werksreset am router
Herzlichen dank für die schnelle antwort! Mit canyouseeme.org kann ich auch keine ports erreichen. Ob WAN-IP und öffentliche IP gleich sind, bin ich nicht sicher...
Ich werde mal alles ausprobieren, wie Du vorschlägst, als auch im manual book von Zyxel nachlesen, und mich dann wieder melden. Nochmals danke schön!
hallo nochmals!
Weil ich die firewall von Zyxtel (in der DMZ vom A1 Technicolor-router angeschlossen, wie oben beschrieben) von außen nicht erreichen konnte (und auch nicht herausfinden konnte, wieso...) habe ich nun den Technicolor router in "single user" (SU) mode umgestellt. Danach hat dann alles geklappt, klarerweise. Zwar kann ich daher kein internet-TV und ähnliches benützen (weil nun das Technicolor router von A1 praktisch ausgeschaltet ist, und nur noch als modem funktioniert), aber da ich dies momentan nicht brauche, ist es in ordnung so.

Antworten