derteufelimdetail
Goto Top

Juniper SSG5 an VDSL Deutschland-LAN-IP 100

Hallo, liebe Gemeinde!

Wieder einmal stehe ich vor einer Herausforderung... Diesmal ist es die Telekom. ...und die Frage, in welche Schublade diese Frage hier kommt...


Ausgangssituation:

Unser Firmengebäude steht in einer alten Kaserne.
Bisher nur aDSL16.000 möglich gewesen.
4 Leitungen von der Telekom genutzt.
An zwei Leitungen jeweils ein Allnet ADSL-Modem und eine Juniper SSG5-Firewall/Router
Alles ganz easy... feste IP beantragt alles im Interface 0/0 eingetragen bzw. Credentials im PPPoE-Profil
läuft...

Neu:
Telekom meldet sich. Jetzt VDSL verfügbar über 100 mit Deutschland LAN IP... Alles klar... messen lassen, für gut befunden, bestellt.
Neuer Anschluss kommt. Neuer Modemrouter auch. welchen wir natürlich nicht nutzen können. Egal.

Allnet "ALL-BM100VDSL2V" bestellt, angeschlossen, SSG5 ran... läuft!! Superschnell! 89 down 37 up und Ping 11ms... !!

Ganz neu:

Freitag, 08.01.2016, 11:47Uhr: Die Telekom stellt ungefragt die Leitung um. Auf eine sogenannte BMG-Baugruppe. "Muss so sein" "Wir stellen seit Monaten alles auf BMG um"

Seit genau 11:47 fuktioniert hier kein VDSL mehr.

Modem synchron, aber der Router kann das PPPoE-Profil nicht initialisieren.

Mein Rechner ans Modem ... PPPoE-Profil eingetragen (VLAN ID 7 in NIC eingerichtet) ---> geht
Zyxel Speedport 5501 ans Modem ... ohne Profil... hat sich eigenständig eingerichtet ---> geht

Meldung SSG5:
PPPoE session started negotiations.
Point-to-Point Protocol over Ethernet (PPPoE) connection failed to establish a session. Timeout PADI

Kann es an der Art liegen, wie die Zugangsdaten eingegeben sind?


Früher: Anschlusskennung+Zugangsnummer+Mitbenutzernummer@t-online-de.com Dann pers. Passwort

Derzeit: Anschlusskennung+Zugangsnummer+Mitbenutzernummer
Dann pers. Passwort
Oder die Art der Authentifizierung? Derzeit "Auto" (möglich: auto, CHAP, PAP)

Bin dankbar für jeden Vorschlag!

Content-ID: 292869

Url: https://administrator.de/contentid/292869

Ausgedruckt am: 22.11.2024 um 09:11 Uhr

tomolpi
tomolpi 12.01.2016 um 19:18:14 Uhr
Goto Top
Hallo,

nun, wenn die Telekom euch so eine Leitung gibt, solltet ihr doch wohl auch vernünftigen Support dafür bekommen, oder?

Hast du es schonmal da versucht?
108012
108012 12.01.2016 um 20:10:59 Uhr
Goto Top
hallo zusammen,

Unser Firmengebäude steht in einer alten Kaserne.
Ok.
Bisher nur aDSL16.000 möglich gewesen.
4 Leitungen von der Telekom genutzt.
Also 4 Leitungen über einen Multi WAN Router, ist das so richtig?

An zwei Leitungen jeweils ein Allnet ADSL-Modem und eine Juniper SSG5-Firewall/Router
Also nur das wir hier von ein und der selben Sache reden, Ihr habet von 4 Leitungen, an zwei Leitungen,
zwei Allnet Modems (Modulatoren) und eine Juniper SSG5-Firewall, also eine Dual WAN Lösung.

Alles ganz easy... feste IP beantragt alles im Interface 0/0 eingetragen bzw. Credentials im
PPPoE-Profil läuft...
Ok

Neu:
Telekom meldet sich. Jetzt VDSL verfügbar über 100 mit Deutschland LAN IP... Alles klar... messen lassen,
für gut befunden, bestellt.
Ist das auch wirklich VDSL? Oder gar mittels Vectoring?

Neuer Anschluss kommt. Neuer Modemrouter auch. welchen wir natürlich nicht nutzen können. Egal.
Warum kann man den neuen Modemrouter nicht nutzen? Weil es ein Router ist und kein Modem?

Allnet "ALL-BM100VDSL2V" bestellt, angeschlossen, SSG5 ran... läuft!! Superschnell! 89 down 37
up und Ping 11ms... !!
89 MBit/s plus den Overhead und plus die Firewallregeln sind ja schon 100 MBit/s, passt doch gut.
Ein Frage noch dazu sind das nun 2 x 100 MBit/s oder nur 1 x 100 MBit/s an der SSG5 Firewall?

Ganz neu:
Freitag, 08.01.2016, 11:47Uhr: Die Telekom stellt ungefragt die Leitung um. Auf eine sogenannte
BMG-Baugruppe. "Muss so sein" "Wir stellen seit Monaten alles auf BMG um"
An was das alles in dem Verteilerkasten der Telekom auf dem Bürgersteig angeschlossen wird
ist doch eigentlich völlig wummpe oder?

Seit genau 11:47 fuktioniert hier kein VDSL mehr.
Modem synchron, aber der Router kann das PPPoE-Profil nicht initialisieren.
Modem und SSG Firewall mal alles auf "factory defaults" (Werkseinstellungen) gesetzt
und die Daten neu eingegeben und dann noch einmal probiert?

Mein Rechner ans Modem ... PPPoE-Profil eingetragen (VLAN ID 7 in NIC eingerichtet) ---> geht
Zyxel Speedport 5501 ans Modem ... ohne Profil... hat sich eigenständig eingerichtet ---> geht
Also sollte der fehler doch bei der SSG5 zu finden sein oder?

Meldung SSG5:
PPPoE session started negotiations.
Point-to-Point Protocol over Ethernet (PPPoE) connection failed to establish a session. Timeout PADI

Kann es an der Art liegen, wie die Zugangsdaten eingegeben sind?
Schon möglich nur wie wurde es denn bei den beiden anderen versuchen bei Dir eingegeben?
Direkt am PC bzw. am Zyxel Speedport 5501?

(VLAN ID 7 in NIC eingerichtet)
Kann es daran bei der SSG5 liegen?

Gruß
Dobby
DerTeufelImDetail
DerTeufelImDetail 13.01.2016 aktualisiert um 15:53:52 Uhr
Goto Top
Sooo.

Update:

Dobby hat recht.

Das Problem liegt an "VLAN-ID-7"
Das größte Problem ist aber, dass das weder Cisco noch Juniper noch Paloalto drauf hat.

Laut DTS System AG kann man eine FritzBox 7490 nutzen um das PPPoE-Profil zu initialisieren und dann die externe IP in die LAN-Seite zu reichen. Dann dass PPPoE-Profil in der Juniper löschen und statt Routing dann NAT auf der ehemaligen Klemme fürs DSL nutzen, mit DHCP (externe IP von der FritzBox)...

Kann das gehen?

Kann ich das ggf. auch mit dem ZyXEL Speedlink 5501 umsetzen?

Oder liegt es ggf. doch am Modem? Des von ALLnet hat ein "17a" Profil und der ZyXEL ein "30a"
aqui
aqui 13.01.2016 aktualisiert um 18:11:49 Uhr
Goto Top
Das größte Problem ist aber, dass das weder Cisco noch Juniper noch Paloalto drauf hat.
Das ist natürlich laienhafter Blödsinn und zeugt eher von Unkenntniss der Produkte oder Materie. Als Beispiel mal gezeigt wie es bei Cisco geht:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

Hier kannst du sehen wie man es mit VDSL macht...ist identisch wie bei der Juniper:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Übrigens ist das eine Open Source Lösung die sowas mit links kann und natürlich auch die oben genannten renomierten Hersteller. Aber auch wenn das so wäre könnte man immer ein nur Modem nehmen was ein ID 7 Tagging von sich aus macht wie die Speedports oder Draytek. Damit wär das Problem auch keins mehr.

Appropos...schon ein Firmware Upgrade bei der Juniper gemacht ?! face-smile
http://www.heise.de/ix/meldung/Netzausruester-Juniper-findet-Schnueffel ...
http://www.heise.de/security/meldung/Juniper-entfernt-NSA-Zufallsgenera ...
DerTeufelImDetail
DerTeufelImDetail 14.01.2016 aktualisiert um 08:45:57 Uhr
Goto Top
Hallo aqui!

"Laienfafter Blödsinn..." Dann dank ich mal herzlich. Gerne ziehe ich die von mir weitergeleitete, von der DTS Systeme getroffene, Aussage zurück.
Ja, ich bin Laie! Darum poste ich hier!
...und selbstverständlich habe ich Firmwareupdates eingespielt. Sowohl im Router, als auch im Modem...

Dein Beitrag bringt mich nur einfach keinen Schritt weiter. Die Sprache der Cisco unterscheidet sich deutlich von der Juniper.

Budget = 0€

Ich muss mit den Geräten auskommen, die ich habe.

- Juniper SSG5
- ALLnet ALL-BM100VDSL2V
- Zyxel Speedport 5501
- diverse andere (ältere) Modemrouter

Die Situation ist, wie sie ist. Ich habe andere Fachbereiche und Personal ist hier absolute Mangelware. Warum die Firmenpolitik ist, wie ist ist kann niemand sagen!

Hier hat alles tadellos funktioniert, bis die Telekom Änderungen an ihren Systemen vorgenommen hat. Nun stehen wir nackt im Regen und brauchen Hilfe. Die Situation ist neu und kam überraschend. Ich stehe hier alleine da und habe auch noch andere Baustellen, die ebenfalls hoch priorisiert sind.
aqui
aqui 14.01.2016 aktualisiert um 11:00:50 Uhr
Goto Top
Ja, ich bin Laie! Darum poste ich hier!
Mmmhhh...in einem Administrator Forum...widerspricht sich ein bischen face-wink
Die Sprache der Cisco unterscheidet sich deutlich von der Juniper.
Wohl wahr ! Sollte dir auch nur zeigen das es generell gilt und man lediglich VLAN Tagging mit ID 7 auf dem Port aktiviert. Das sollte ein Premium Hersteller wie Juniper mit links supporten...auch mit kryptischer Setup Sprache...
Fazit: Du hast 2 einfache Optionen was dein Problem (das keins ist) im Handumdrehen fixt:
1.) Aktiviere ID 7 VLAN Tagging am Endgeräte Port und nimm ein einfaches nur Modem was KEIN Tagging macht davor.
2.) Ohne VLAN 7 Tagging vom Endgerät nimmst du ein nur Modem was von sich aus das Tagging anfügt. Diverse ältere Speedport Gurken machen das.
Hier hat alles tadellos funktioniert, bis die Telekom Änderungen an ihren Systemen vorgenommen hat.
Das ist doch Unsinn !
Sorry, aber DU hast doch selber VDSL beauftragt. Da ist es doch logisch das der Provider was am Übergabepunkt ändert, denn jeder Netzwerk Hansel weiss doch dann das dort immer ein VLAN 7 Tagging erforderlich ist bei VDSL.
Der Provider ist also vollkommen raus aus der Sache. Der macht technisch das was er machen muss um die von dir bestellte Leistung zur Verfügung zu stellen. Mit eben den bekannten technischen Standardvorgaben
DayZ-Survivor
DayZ-Survivor 18.01.2016 aktualisiert um 14:36:51 Uhr
Goto Top
Guten Tag, zusammen!

Wir stehen hier seit Samstag mit dem selben Problem da.
Nur mit einer SSG20.

Haben seit neun Monaten VDSL50 hier im Dorf. Nun hat die Telekom auf die neuen sogenannten BMG-Baugruppen migriert. Diese funktionieren ausschließlich mit einer PPPoE-Anmeldung mit VLAN-ID7-Tag im Header oder mit Line-ID. (o-Ton Telekom-Support / und das wars auch schon)

Line-ID geht hier nur bei AutoConfig (im kundencenter einstellbar) des Routers und dynamischer IP-Adresse.
Will man eine statische IP benutzen, muss man ein PPPoE Profil mit den Anmeldedaten nutzen.

Bei Juniper sagen sie aber ganz klar, dass PPPoE nur über ein physical-Interface funktioniert...

http://kb.juniper.net/InfoCenter/index?page=content&id=KB26008& ...
CAUSE:
This is by design. Sub-interfaces cannot be selected for the PPPoE profile on ScreenOS devices.
Sprich diese SSG-Serie ist nicht dazu in der Lage. Traurig!

Ich bin auch Kein Netzwerker sondern reiner Server- und Workstationadmin und MA-Supporter.
Die Einrichtung hat damals ein externer MA gemacht. Den will hier allerdings niemand mehr sehen.
Also hab ich mich versucht zu informieren. (Solltest Du auch mal machen und aufhören zu dissen und zu flamen. Man stellt sich nicht hin und lässt sich bedienen. Bissl was solltest Du auch tun!)

Mein Halbwissen:
- Die Fritzbox 7490 kann die Anmeldung über PPPoE übernehmen und dann wohl die Session "einfach" ins LAN schicken. Praktisch als Modem, welches für den Router auch die Session aufbaut. und stumpf an den Router übergibt.

oder

- Den ZyXEL trotzdem nutzen. Der meldet sich an und tut das, was er tun soll
- die SSGx mit Klemme 0/0 an einen ZyXEL-LAN-Port mit IP xxx.xxx.xxx.xxx /24 ohne dhcp
- SSG5-Klemme 0/0 umkonfigurieren
-- PPPoE weg

soooo. und an diese Stelle verließen sie mich. Ab diesem Punkt benötige ich externe Hilfe.

Hallo, liebes Administrator-Forum
Hier sitzen die wohl klügsten Köpfe. Habe euch zwar noch nicht anschreiben müssen, aber den ein oder anderen hilfreichen Tipp habe ich hier schon gefunden. Es gibt für alles gibt es ein erstes Mal. face-wink

Meine Frage:
FritzBox mit SSG oder ZyXEL mit SSG. Auch ich habe die Ausgaben so gering, wie möglich zu halten.

Wir sind nur begrenzt arbeitsfähig. Die Rudimentärfunktionen sind aber in Betrieb. Habe eine Woche Zeit, bevor dieses Thema via Geschäftsführung an ein erheblich teureres, externes Unternehmen eskaliert wird.

Wenn ich die SSG an den ZyXEL packe, kann ich doch bestimmt mit einer statischen Route sagen, das der gesamte Trafic, der von den anderen Klemmen kommt auf 0/0 geleitet wird und diese 0/0 alles Richtung ZyXEL schickt, oder? und im ZyXEL öffne ich dann einfach nur die Ports, die ich für meine Dienste brauche?

Wie gesagt. Gefährliches Halbwissen...

Jetzt schon mal ein dickes Danke!

Edit:

Also DetailTeufel!

Das Zauberwort heißt: PPPoE-Passthrough
Bei älteren Fritz!Boxen gabs dass, dann wieder nicht, un mit der 7490 gibt es das wieder.
Hat mich neben meiner normalen Arbeit ca. 40 Minuten gekostet. Wir schaffen diese Box nun an.

Grundsätzlich nur PPPoE konfigurieren, Passthrough aktivieren, dann werden alle Daten, welche von der Telekom kommen einfach an die SSG weitergeleitet. (Denke ich)
Noch ein zwei Stunden Recherche, dann sollte ich alles raushaben. FB ist bestellt und kann morgen schon abgeholt werden.
Wenn Du lieb bist, schreib ich Dir, wie's geht!
aqui
aqui 18.01.2016 aktualisiert um 14:12:25 Uhr
Goto Top
Bei Juniper sagen sie aber ganz klar, dass PPPoE nur über ein physical-Interface funktioniert...
OK, wo ist also dein Problem ?? Beschaff dir ein VDSL Modem wie das Draytek 130 http://www.draytek.de/vigor130.html schliess deine Juniper da via PPPoE an und gut iss.
Was bitte ist daran denn so schwer ?? Das sollte auch jeter IT Azubi hinbekommen....

Wenn du unbedingt einen Router davor kaskadieren willst ist das dann noch einfacher... Guckst du hier:
Kopplung von 2 Routern am DSL Port
Die Kaskade hat aber den gravierenden Nachteil das du dann 2mal NAT machst ! Wenn die Juniper also ein VPN Gateway für remote Mitarbeiter ist dann musst du auf dem davor kaskadiertem Router entsprechendes Port Forwarding machen.
Die Installation mit einem reinen Modem ist technisch immer die bessere als eine NAT Kaskade.
Das größte Problem ist ganz sicher NICHT die HW an sich sondern das du Laie bist (Hablb- oder gar kein Wissen) und damit vermutlich überfordert.
Mit einem richtigen VDSL Modem wie dem Draytek oben ist das in lächerlichen 10 Minuten erledigt...!!
Und auch klärt man in der IT sowas immer VOR einen Migration auf eine neue Internet Anschlusstechnik !! Gut...bei ner Würstchenbude ohne IT nicht...
DayZ-Survivor
DayZ-Survivor 18.01.2016 aktualisiert um 15:01:19 Uhr
Goto Top
*g*
Nich ganz Würstchenbude. ... Metallverarbeitung. Und IT wird hier ehr so angepackt, nach dem Motto, Hauptsache es geht und kostet nichts.
Ich werde zwar gut bezahlt, aber du hast Recht, ich bin derzeit überfordert und auf dem Gebiet ein echter DAU.

Was ich immer noch nicht verstehe, ist, wie ich die PPPoE-Daten mit diesem verflixten Tag versehen kann. Bei deiner Version (Draytec mit SSG)... wer meldet sich da wie an und wer sendet was wohin weiter.

Ich weiß, dass das nervig ist. Aber ich bin jemand, der verstehen will was er da macht. Ich habe noch nicht viel Berufserfahrung und auf diesem Gebiet schon mal garnicht.

Eine Erklärung wäre nett. Aber nicht als Link. Bei den meisten Fachberichten wird zu viel Vorkenntnis erwartet.
Einfach für Dummis. Mir scheint grade nämlich ,dass ich das mit dem PPPoE-Passthrough nicht richtig verstanden habe.

Also.

- Mein ISP erwartet von mir eine Anmeldung via Line-ID oder PPPoE-Profil mit VLA-ID7
- Mein Router ist hierzu baulich bedingt nicht in der Lage
- Mein Modem ist hierzu baulich nicht in der Lage
- Anschaffen FritzBox 7490

- In der FritzBox wird das PPPoE-Profil eingetragen? Oder weiterhin im Router und die FritzBox gibt das an den ISP weiter?
- Wie kann denn dann die FB diesen VLAN-ID7-Tag anfügen?

Sorry, aber ich verstehe das nicht...


BTW: Niemand hat und von einer Migration auf irgendwelche neuen Baugruppen informiert. Keine Post, kein Anruf, keine Informationen über etwaige Parameteränderungen.
aqui
aqui 18.01.2016 aktualisiert um 15:38:29 Uhr
Goto Top
wie ich die PPPoE-Daten mit diesem verflixten Tag versehen kann.
Das ist eigentlich ganz einfach. Du musst dem Juniper nur sagen das er auf dem WAN Interfae ein VLAN Tagging machen soll. Ich kenn jetzt nicht die genaue Syntax (bei Juniper ist die gruselig) aber das ist ganz einfach gemacht.
Dann macht der Juniper ein VLAN 7 Taggigng an dem Port.
Dann sogt man ihm auch noch das die Encapsulation dort PPPoE ist gibt die VDSL Zugangsdaten ein und fertig ist der Lack !

Beim Juniper muss man dafür ein Subinterface auf dem WAN Port konfigurieren und dem ein VLAN 7 Tag mitgeben ala:
set interface ethernet0/0.1 tag 7 zone VLAN ip 1.1.1.1/24

Das es problemlos mit den Junipers geht sagt auch der Thread hier:
Welches Modem für VDSL50 kann bzw. soll ich vor eine Juniper SSG-5 Hardware Firewall setzen?

Ich habe noch nicht viel Berufserfahrung und auf diesem Gebiet schon mal garnicht.
Die denkbar schlechtesten Voraussetzungen... face-sad
Was VLANs respektive VLAN Tagging bzw. 802.1q im Ethernet usw. sind weisst du aber schon oder scheiterst du auch schon an dieser Einstiegshürde ?
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Aber nicht als Link.
Ohhh...shit schon wieder falsch gemacht.... Moment muss dann noch eben ein MP3 Audiofile für dich aufnehmen oder besser gleich ein Video...
https://www.youtube.com/watch?v=TuGoZ9TgTOA
Grrrr...schon wieder ein Link...sorry.
Bei den meisten Fachberichten wird zu viel Vorkenntnis erwartet.
Das ist dann so wenn du mir was von Vidia Bohrern, Drehbänken oder Feilen oder Kugellagern oder Schweissgeräten erzählst (Metall) gleiches Problem wenn Grobmotoriker auf Feinmotoriker treffen...was erwartest du also ?! Sei mal realistisch...
Mir scheint grade nämlich ,dass ich das mit dem PPPoE-Passthrough nicht richtig verstanden habe.
OK, der ist einfach....
Ein Modem und hier und auch oben ist wirklich ein reines Modem gemeint und KEIN Router mit integriertem Modem. Reicht nur durch, sprich das PPPoE was am Ethernetport reinkommt geht auch am VDSL raus zum Provider.
Ein Router kann das nicht, denn der spricht ja am xDSL Interface selber PPPoE. Schickt man dem ein PPPoE Packet blockt der das logischerweise.
Manche Router lassen sich deshalb zu einem quasi nur Modem machen mit PPPoE Passthrough = engl. = Durchlassen face-wink
Du ahnst bereits was damit gemeint ist. So ein zum Modem gemachter Router lässt das PPPoE dann einfach passieren zum Provider, und der terminiert die Provider IP Adresse dann direkt auf der FW. Eben genau so wie es sein sollte.
Ganz einfache Lösung !
Mein ISP erwartet von mir eine Anmeldung via Line-ID oder PPPoE-Profil mit VLA-ID7
Klar....macht jeder Provider der Welt so und kann jeder 20 Euro Baumarkt Router.
Ist so wenn du an die Tankstelle fährst. Da erwartest du das Super aus der Säule kommt und kein Whiskey !
Mein Router ist hierzu baulich bedingt nicht in der Lage
Gut wenn du einen ADSL Router hast ist das klar, denn die kennen das VLAN 7 Tagging nicht bei ADSL. Das ist ja erst mit VDSL gekommen.
Mein Modem ist hierzu baulich nicht in der Lage
Muss es auch nicht ! Modems reichen ja nur durch. Was hast du denn für ein Modem ?? Ist das ein VDSL Modem wie das Draytek ?
Das Tagging macht ja auch deine Juniper ebenso wie das PPPoE.
Das Modem reicht dann nur durch an den Provider...et voila...Problem umfassend gelöst !
Anschaffen FritzBox 7490
Wäre Schwachsinn, denn ein einfaches Modem reicht. Kann man machen, hat dann aber das problem mit der Kaskade und dem doppelten NAT. Technisch klappt es aber.
In der FritzBox wird das PPPoE-Profil eingetragen? Oder weiterhin im Router und die FritzBox gibt das an den ISP weiter?
Ja aber nur wenn du die FritzBox als kaskadierten Router vor die FW so schaltest. Wie bereits oben gesagt ist die technisch bessere Option ein reines VDSL Modem zu nehmen wie das Draytek z.B. und PPPoE und VLAN Tagging auf dem FW Port direkt zu machen.
Wie kann denn dann die FB diesen VLAN-ID7-Tag anfügen?
Wenn die FB eine VDSL fähige FB ist macht die das von sich aus.
Niemand hat und von einer Migration auf irgendwelche neuen Baugruppen informiert.
Na ja deine obigen Ausführungen zur Firma sagen ja alles zu dem Thema. Wer so einen Einstellung zur IT hat von der wesentlich ein Geschäftserfolg abhängt dem ist nicht mehr zu helfen.
Vielleicht ist diese Kleinigkeit mit der FW jetzt mal ein heilsamer Schock !
DayZ-Survivor
DayZ-Survivor 19.01.2016 um 09:13:16 Uhr
Goto Top
Vielleicht ist diese Kleinigkeit mit der FW jetzt mal ein heilsamer Schock !
Ja. Das ist es in der Tat!!
set interface ethernet0/0.1 tag 7 zone VLAN ip 1.1.1.1/24
Genau da liegt das Problem laut Juniper.
http://kb.juniper.net/InfoCenter/index?page=content&id=KB26008& ...
Dass ich ein physikalisches IF nicht einer virtuellen Zone kombinieren kann... Glaube ich zu mindest, so verstanden zu haben.
So langsam wird mir einiges klar. Wenn man an einen Crack, wie Dich gerät, kommt man sich echt unheimlich dämlich vor.
Was hast du denn für ein Modem ?? Ist das ein VDSL Modem wie das Draytek ?
Genau, wie der Jammerlappen von oben ein ALL-BM100VDSL2V von Allnet
Wäre Schwachsinn, denn ein einfaches Modem reicht. Kann man machen, hat dann aber das problem mit der Kaskade und dem doppelten NAT. Technisch klappt es aber.
Doppeltes NAT = mehr Sicherheit? Ports forwarden sollte nicht das Problem sein.

Werde noch mal alles auf Werkseinstellung zurücksetzen und von vorne anfangen. Hab ja noch Zeit.
Ich check mal, was dabei rauskommt, wenn ich in der SSG das IF via Script manipuliere...
aqui
aqui 19.01.2016 aktualisiert um 18:07:23 Uhr
Goto Top
kommt man sich echt unheimlich dämlich vor.
Nee nee...locker bleiben. Dafür weisst du wie man Chrom Widia Stahl feilt da bin ich dann der Jammerlappen... face-big-smile
Doppeltes NAT = mehr Sicherheit?
Nein eigentlich = doppelter Stress und doppelte Probleme. Port Forwarding ist immer ne üble Lösung auch in Bezug auf Performance. Was nützt dir der Porsche wenn du den mit einem Dacia Logan über die Autobahn ziehst....
Wenn du kannst löse es mit dem Modem und dem Tagging auf der FW. Einen kaskadierten Router davorzuschalten sollte immer nur die 2te Wahl sein wenn gar nichts mehr geht.
DayZ-Survivor
DayZ-Survivor 20.01.2016 um 08:35:03 Uhr
Goto Top
alles klar.

Da mein Sohn Geburtstag hat, habe ich die letzten beiden Tage wenig gelesen...

Hab ich das nun richtig verstanden?

Entweder, ich habe ein reines VDSL2V-Modem mit einem Router, welcher VLAN-7-Tagging für VDSL kann (VDSL kompatibel ist)

Oder ich muss den ZyXEL-Modem/Router mit meinem SSG5-Router kaskadieren

stimmt das so?
aqui
aqui 20.01.2016 um 10:04:17 Uhr
Goto Top
Nein nicht ganz ! Bitte nicht Modem und Router mit integriertem Modem (sprich nur Router) hier wieder durcheinanderwürfeln...!
So ist es richtig:
  • Entweder du hast ein reines VDSL Nur Modem (Draytek etc. ohne Router !) schliesst das an den WAN Port der FIrewall an und machst PPPoE und Tagging auf der Firewall. (Tagging kann ggf. auch das Modem wenn man ein entsprechendes verwendet !) Hie man das generell anschliesst siehe HIER.
  • Oder du kaskadierst irgendeinen VDSL Router deiner Wahl vor der Firewall. Der Router übernimmt dann das Tagging und die PPPoE Einwahl und die Firewall wird dann nur einfach per Ethernet IP an den Router (LAN Port) angeschlossen. Nachteil: Doppeltes NAT

Die erste Variante ist die technisch Bessere. Die zweite sollte man nur machen wenn man die erste nicht realisieren kann...aus welchem Grund auch immer.
DayZ-Survivor
DayZ-Survivor 27.01.2016 um 13:51:32 Uhr
Goto Top
Traurig, Traurig....

keinen cent... Also kaskadieren...

Hat alles sehr gut funktioniert.
- Speedport5501 wählt sich nun über Line-ID ein und bekommt die im Kundencenter eingestellte feste IP
- LAN-Klemme hat eine IP in einem 24bit Subnetz (11.12.13.14....)
- alle benötigten Ports werden an die 11.12.13.15 geforwardet
- WAN-Klemme an der SSG20 hat die 11.12.13.15
- PPPoE Profil in SSG weg, Routing belassen
- Default-Route in SSG 0.0.0.0 /0 zu Gate 11.12.13.14 über Ethernet0/0

Alles läuft.

Fast...

Nun habe ich ein anderes Problem:

Link zu Post wird noch nachgetragen!

Vielen Dank an "aqui"!!
aqui
aqui 27.01.2016 aktualisiert um 19:39:56 Uhr
Goto Top
keinen cent... Also kaskadieren...
Bahnhof ?? Was soll uns diese kryptische Antwort sagen...?
Speedport5501 wählt sich nun über Line-ID ein und bekommt die im Kundencenter eingestellte feste IP
Schlecht, weil nun doppeltes NAT, simples Modem wäre erheblich besser gewesen, aber nungut...warum einfach machen wenn es umständlich auch geht..
Was bitte sehr ist eine WAN oder LAN "Klemme" ??? Geht man da mit dem Schraubendreher ran so wie bei einer Lüsterklemme ??
So einen Begriff gibt es in der Netzwerk IT gar nicht.
Vielen Dank an "aqui"!!
Immer gerne wieder.... face-wink