kabratze
Goto Top

Site-2-Site VPN mit Telekom anstatt Vodafone

Hallöchen zusammen,

wir haben in der Firma eine kleine Zweigstelle mittels Linksys VPN Router (LRT224), der an einem Unitymedia Kabel Modem (Hitron) und fester IP hängt, an die Zentrale angebunden.

Die Unitymedia (Vodafone) Kabel Leitung ist sackteuer (200€ netto/Monat) und bietet theoretische 200/50 MBit Down- Upload.
Da Vodafone aber bekanntermaßen ihr Netz chronisch überbucht, liegt die tatsächlich nutzbare Bandbreite inzwischen nur noch bei 20/5 Mbit Down/Up. Tendenz fallend, es wird mit jedem weiteren angeschlossenen Kunden langsamer.

Dutzende Störungsmeldungen per Hotline haben rein gar nix gebracht, nur die Aussage "ja, wir müssen den Netzknoten ausbauen, aber es gibt noch keine Termin."

In letzter Zeit kommen zu der lahmen Geschwindigkeit auch noch Totalausfälle dazu, die auch mal einen halben Tag dauern können. Kurz und knapp: Wir wollen weg von Vodafone!

Glasfaser liegt hier (natürlich) nicht, aber glücklicherweise etwas Klingeldraht von der Telekom.
Mit DSL habe ich bezüglich Verlässlichkeit deutlich bessere Erfahrung als mit Kabel.

Anschluss mit fester IP ist bestellt, aber ich bekomme den Linksys VPN Router nicht an der Telekom Digitalisierungsbox Premium bzw. dem Anschluss selbst zum Laufen.

Am Vodafone-Kabelanschluss waren bisher folgende Werte in der Linksys für den WAN-Adapter eingetragen, was funktioniert hat:

- Statische IP
- Subnetz-Maske
- Default Gateway
- DNS-Server (einmal von der Firma und der von Vodafone)

Diese Daten hat Vodafone für ihren Anschluss zur Verfügung gestellt, konnten wir im Linksys so eintragen für die Konfigurations-Art "static IP", und es hat funktioniert.

Jetzt wollen wir das Ganze aber ans DSL hängen, also hinter die Digitalisierungsbox Premium.
Wie oben geschrieben, die feste IP haben wir, aber die anderen Daten, die Vodafone bereitstellt, existieren hier wohl so nicht. Scheint der anderen Funktionsweise bzw. Einwahlart von DSL geschuldet (PPPoE?).

Diese Konfigurationsart bietet der Linsksys auch an, und ich habe hier unsere Telekom-zugangsdaten auch eingetragen, aber funktioniert hat es nicht. Bin mir aber auch recht unsicher, ob das so funktionieren kann.

Natürlich wurde auf der Gegenstelle im VPN Gateway die Telekom Feste IP eingetragen.

Inzwischen haben wir aber alles wieder rückgängig gemacht, da wir es nicht zum Laufen gebracht haben.

Wenn hier irgendjemand weiß, wie der VPN Router für den Telekom Anschluss zu konfigurieren ist, wäre das super!

Vielen Dank!!!
v2_0
v1_0

Content-ID: 7082879935

Url: https://administrator.de/contentid/7082879935

Ausgedruckt am: 25.11.2024 um 08:11 Uhr

Kuemmel
Kuemmel 09.05.2023 aktualisiert um 18:22:27 Uhr
Goto Top
Wie sehen denn deine PPPoE-Zugangsdaten aus? Also nach welchem Schema?
So sollten die aufgebaut sein:
https://telekomhilft.telekom.de/t5/Telefonie-Internet/PPPOE-Einwahl-uebe ...

Username z. B. also: "Anschlusskennung"+"Zugangsnummer (vormals T-Online Nummer)"+" 0001"+" @ t-online.de"

Läuft die Digitalisierungsbox denn auch im Modemonly-Mode? Wenn nicht, macht diese gezwungenermaßen die Einwahl. Daher könnte es auch mit dem Linksys nicht klappen.

Gruß Kümmel
kabratze
kabratze 09.05.2023 um 18:31:11 Uhr
Goto Top
Sehr guter Hinweis, ich habe einfach nur die Anschlusskennung als "Username" und das persönliche Kennwort als "Password" eingetragen. Unten die Zugangsdaten, wie sie in der Digibox eingetragen sind.

Aber wie ist das eigentlich, wenn der Linksys VPN die Einwahl übernimmt, was macht dann die Digibox?
Diese wählt sich ja selbst auch ein. Kommt es dann zur doppelten Einwahl?
Oder muss sie in einen "Modem"-Modus geschaltet werden, sich also selbst gar nicht einwählen? Funktionieren dann die Telefone noch, die an die Digibox angeschlossen sind?
digibox
aqui
aqui 09.05.2023 aktualisiert um 19:11:04 Uhr
Goto Top
nicht an der Telekom Digitalisierungsbox Premium bzw. dem Anschluss selbst zum Laufen.
Warum überhaupt Digitalisierungsbox??
Eigentlich ja völlig unnötig und ein reines xDSL nur Modem wie ein Vigor 167 oder Zyxel VMG3006 hätte ja völlig gereicht und wäre deutlich sinnvoller gewesen.
Jetzt hast du einen überflüssigen Router als "Durchlauferhitzer" mit doppeltem Firewalling und doppeltem NAT.
Aber auch andersrum würde man sich fragen was dann der LRT noch soll wenn du so oder so schon einen anderen Router mit der Digitalisierungsbox hast? Irgendwie klingt das alles etwas wirr und planlos... face-sad
wie der VPN Router für den Telekom Anschluss zu konfigurieren ist
Du meinst die Digitalisierungsbox an sich oder wie ist das zu verstehen? Oder die Kaskade D-Box und LRT??
Normalerweise reicht es die D-Box einfach in die Telekom Dose zu stecken und gut iss. Die D-Box zieht sich per TR-069 Schnüffelprotokoll automatisch die Zugangsdaten und ist online...fertisch.
Wenn du daran in einer Router Kaskade mit doppeltem NAT noch den LRT (überflüssigerweise) kaskadierst musst du halt die IP Adressierung des Digitalisierungsbox LAN Ports und das Port Port Forwarding für dein VPN beachten.
Eigentlich eine simple Lachnummer wenn man unnötigerweise meint kaskadieren zu müssen.
wenn der Linksys VPN die Einwahl übernimmt
Wie immer bei Router Kaskaden hat man 2 Optionen:
  • LRT macht die Einwahl per PPPoE am WAN Port, dann muss die Digitalisierungsbox das Feature "PPPoE Passthrough" supporten und konfiguriert haben. Guckst du HIER zum D-Box Setup dafür! Siehe zu der PPPoE Passthrough Thematik auch HIER (Alt.1) Deutlich sinnvoller wäre hier ein reines NUR Modem (Vigor 167 o. VMG3006 usw.) gewesen!
  • Router Kaskade mit doppeltem NAT und Firewalling. (o.a. Alternative 2)
Oder muss sie in einen "Modem"-Modus geschaltet werden
So ist es!! Siehe oben.
Hinweise zu den T-COM Zugangsdaten für den Router findest du HIER.

Sorry aber solche Banalitäten sollte man doch als Administrator wie du es ja bist VORHER wissen und beachten wenn man so eine simple Migration macht? Wie gesagt...alles ziemlich wirr und planlos. face-sad
kabratze
kabratze 09.05.2023 um 19:08:06 Uhr
Goto Top
Die ganze Konfiguration ist nicht von mir! Aber ich muss sie jetzt in Ordnung bringen.

Es gibt wie beschrieben zwei Anschlüsse:

- den miesen Vodafone Kabelanschluss, wo der Linksys VPN Router hinter dem Hitron Modem hängt

- einen DSL Anschluss, der für Telefonie und Gast WLAN genutzt wird. Und den wir jetzt auch für die S2S-Verbindung nutzen wollen

Du meinst die Digitalisierungsbox an sich oder wie ist das zu verstehen.

Ich meinte nicht die Digibox, die hat eingetragene Zugangsdaten und ist auch korrekt verbunden. Eine PPPoE Passthrough Funktion kann ich nicht entdecken.
Sondern den Linksys VPN Router.
Vielleicht wäre ein reines "Nur-Modem" besser, aber die Digibox übernimmt halt die Telefonie. Und sie ist halt schon da.
Daher meine Frage, was passiert, wenn ich durch die Digibox nur noch per PPPoE Passthrough (falls überhaupt möglich) gehe, funktionieren dann die Telefone noch?
Kuemmel
Kuemmel 09.05.2023 um 19:10:29 Uhr
Goto Top
Zitat von @kabratze:
Aber wie ist das eigentlich, wenn der Linksys VPN die Einwahl übernimmt, was macht dann die Digibox?
Idealerweise: Nix. Nur Modem. Sonst nichts. Alles andere macht nur Probleme.
Diese wählt sich ja selbst auch ein. Kommt es dann zur doppelten Einwahl?
Genau, und das geht nicht (mehr) bei der Telekom. Nur ein Gerät kann sich mit den Zugangsdaten einwählen.
Oder muss sie in einen "Modem"-Modus geschaltet werden, sich also selbst gar nicht einwählen? Funktionieren dann die Telefone noch, die an die Digibox angeschlossen sind?
Richtig, genau das habe ich oben gemeint. Modemonly-Mode. Telefonie geht dann nicht mehr. Aber dafür klappt es dann auch mit dem VPN.
Mal ganz doof gefragt: Warum lässt du die Digibox nicht die VPN-Einwahl machen? Kann die das nicht? Welches VPN-Protokoll verwendest du denn? So hättest du nur noch ein Gerät und einige Fehlerquellen weniger. Auch die Administration würde es erleichtern.
aqui
aqui 09.05.2023 aktualisiert um 19:26:23 Uhr
Goto Top
Es gibt wie beschrieben zwei Anschlüsse:
OK, simpler Allerweltsklassiker
  • Hitron Modem an WAN1
  • D-Box als klassische Router Kaskade an WAN2
  • Balancing Policies am LRT festlegen das Voice Traffic (SIP und RTP) nur an WAN2 gehen. Ebenso die Pakete mit den Source IP Adresse des Gast WLANs.
  • Port Forwarding von UDP 550, UDP 4500 und ESP (IPsec VPN) an der D-Box auf die kaskadierte LRT WAN2 IP geht (VPN) Alternatic D-Box als PPPoE Passthroug Modem konfigurieren. (Siehe HIER und auch hier.)
  • VPN Tunnel IP auf die neue statische Telekom IP umstellen
  • Fertisch. Ist in 15 Minuten erledigt auch ohne Forenthread. face-wink
die hat eingetragene Zugangsdaten
Nein, das ist Unsinn, hat kein Router und weisst du als guter Admin auch selber. Entweder holen sie sich das dynamisch mit TR-069 oder DU musst es konfigurieren.
funktionieren dann die Telefone noch?
Vielleicht solltest du wirklich die Dinge die man dir hier als Hilfe postet auch einmal lesen!!
Das oben bereits gepostete Passthrough Setup der D-Box beantwortet alle diese Fragen... face-wink
Mal ganz doof gefragt: Warum lässt du die Digibox nicht die VPN-Einwahl machen?
Die Frage ist mehr als berechtigt und fragt sich warum sie der TO nicht schon selber gestellt hat als Admin?! Die D-Box Kiste ist selbst auch ein aktiver IPsec VPN Router der das kann.
Kuemmel
Kuemmel 09.05.2023 um 19:29:35 Uhr
Goto Top
Nenenene Meister @aqui, ich glaube du verstehst da was falsch. Wenn ich ihn richtig verstehe, will er komplett weg von Unitymedia/Vodafone und komplett rüber zu Telekom DSL. Also nix zweimal WAN.

Und ich muss mich auch korrigieren, einen Modemonly mode oder auch von aqui genannt Passthrough-Modus gibt es bei der Digitalisierungsbox nicht mehr. Zumindest nicht bei der neuen 2er. Ich gehe davon aus, das du diese hast da der Anschluss ja augenscheinlich ziemlich neu ist?

Es gibt also zwei Optionen für dich:
  • Schmeiß den Linksys raus und lass die Digibox alles machen, auch den Aufbau des VPN-Tunnels (wenn die Digibox dein Protokoll supportet?)
  • Ersetze die Digibox durch ein reines Modem, sodass der Linksys die Einwahl sauber machen kann. Nachteil hierbei ist, du musst dich anderweitig um dein Telefonieproblem kümmern, weil der Linksys das ja nicht kann bzw. keine analogen Ports hat
kabratze
kabratze 09.05.2023 um 19:49:04 Uhr
Goto Top
Nein, das ist Unsinn, hat kein Router und weisst du als guter Admin auch selber. Entweder holen sie sich das dynamisch mit TR-069 oder DU musst es konfigurieren.

Ich denke wir missverstehen uns. In der Digibox sind Telekom-Zugangsdaten eingetragen. Ob diese sich die Zugangsdaten selbst erschnüffelt hat, oder die sonstwer eingetragen hat, weiß ich nicht. Ich war der Ansicht, dass man die Zugangsdaten für statische IP Anschlüsse der Telekom manuell eintragen muss, so habe ich das schon anderswo erlebt. Für dynamische IP-Anschlüsse gilt das nicht, die Zugangsdaten "erschnüffelt" sich das Modem selbst. Man kann sie aber auch bei dynamischen Anschlüssen selbst eintragen.

Danke nochmal für den Link zu dem PPPoE Passthrough Setup, hatte ich übersehen.

Warum empfiehlst du, das Hitron auf WAN1 zu lassen? Was soll das denn noch machen? Von der Leitung wollen wir ja weg. Oder meinst du als Fallback?
Kuemmel
Kuemmel 09.05.2023 um 19:50:41 Uhr
Goto Top
Lies dir bitte nochmal alle Kommentare nochmal durch. Das von aqui vorgeschlagene wird so aus oben genannten Gründen nicht funktionieren.
em-pie
em-pie 09.05.2023 um 20:04:37 Uhr
Goto Top
Moin,

Saldo wenn du dich von Vodafone lösen willst, bleiben dir, aus meiner Sicht, zwei sinnvolle Möglichkeiten:

Variante 1
DigiBox bleibt da wo sie ist und übernimmt zusätzlich die Funktionen des LinkSys. VPN, VLAN und QoS kann die, trotz der Telekom-Firmware. Ich glaube, die kann sogar (weiterhin) als WLAN-Controller fungieren. Soweit hab ich mich mit der Telekom-Variante des bintec aber noch nicht befasst.

Variante 2
Modem vor den LinkSys. LinkSys macht die Einwahl bei der Deleköm und weiterhin VPN. Die DigiBox wird dann zum IPClient degradiert und ist nur noch als Tk-Anlage im Einsatz.
Dazu nutzt du halt den blauen WAN-Port (und bildest das im Assistenten ab).
Du musst dann halt nur TCP\UDP 5060 vom LinkSys zur Digibox durchreichen. Ggf. Noch weitere Dinge einrichten…
kabratze
kabratze 09.05.2023 um 20:12:06 Uhr
Goto Top
Zitat von @Kuemmel:

Lies dir bitte nochmal alle Kommentare nochmal durch. Das von aqui vorgeschlagene wird so aus oben genannten Gründen nicht funktionieren.

Es ist ziemlich sich er die "Digitalisierungsbox Premium", also diese hier:
Digitalisierungsbox Premium"

Die Digitaliserungsbox Premium 2 sieht ganz anders aus. PPPoE Passthrough könnte also funktionieren.

Wenn ich unserem Admin aus der Zentrale vorschlage, doch die Digibox den VPN
Tunnel aufbauen zu lassen und den Linksys in Rente zu schicken, kann ich mir schon vorstellen, was der dazu sagt.
Dabei spricht doch rein sicherheitstechnisch nichts dagegen, oder?

Der Linksys baut einen IPSEC PSK VPN-Tunnel auf, es sieht zwar so aus als könnte die Digibox das auch, aber die Einstellmöglichkeiten sehen deutlich magerer aus. Ob das reichen wird?
Kuemmel
Kuemmel 09.05.2023 um 20:35:36 Uhr
Goto Top
Wüsste nicht warum das nicht reichen sollte.
Dem Admin würde ich das was erzählen wenn er den Linksys weiter verwenden will. Das letzte Firmware-Update hat die uralte Gurke 2021 erhalten und Linksys ist nicht mehr Linksys (früher Cisco, gehört jetzt zu Belkin/Foxconn)
kpunkt
kpunkt 10.05.2023 um 08:27:59 Uhr
Goto Top
Nur mal als kleine Anregung....
Die Telekom nutzt selber und verkauft auch passende Lancom-Router für ihre Anschlüsse. Die sind tatsächlich auch oft günstiger.
Bei einem Neuanschluss ist da sogar der Anschluss des Routers inkludiert (zumindest war es das immer, hatte schon jetzt 2 Jahre keinen Neuanschluss mehr). Nur die VPN ist dann noch selber einzurichten.
Crusher79
Crusher79 10.05.2023 um 09:37:35 Uhr
Goto Top
Zitat von @kpunkt:

Nur mal als kleine Anregung....
Die Telekom nutzt selber und verkauft auch passende Lancom-Router für ihre Anschlüsse. Die sind tatsächlich auch oft günstiger.

+1

Wir haben ein Projekt: > 90 POS. Alles läuft über Würzburg.

Lüfter laut? Ticket aufgemacht: aso-xyz-de-xx ist laut, bitte fixen.

Mitunter schon 1 Werktag später wird der Lancom dan getauscht. Man kommt leider bei der Variante nur an nichts ran. Kennwörter hat nur die Telekom. Dafür läuft es beis uns sehr stabil.
kpunkt
kpunkt 10.05.2023 um 09:52:56 Uhr
Goto Top
Ich hab die nie in irgendwelchen Servicverträgen laufen lassen. Klar, hat man keinen Service, brauchts aber auch eher nicht. Dafür aber volle Kontrolle. Und weil die Dinger Stangenware sind, sind die auch bei einem Defekt schnell ausgetauscht.
aqui
aqui 10.05.2023 aktualisiert um 09:54:16 Uhr
Goto Top
Die sind tatsächlich auch oft günstiger.
Eigentlich aber völlig sinnfrei und überflüssig, denn der TO hat ja einen funktionierenden und guten LRT224 Router vor Ort. Wozu also?
Das Kapital kann er deutlich sinnvoller in ein Nur Modem wie Virgor 167 oder Zyxel VMG3006 investieren.
kpunkt
kpunkt 10.05.2023 um 10:25:17 Uhr
Goto Top
War nur eine Anregung. Ich persönlich hab da lieber nur ein Gerät als zwei Geräte. Muss jeder machen wie er will.
madnem
madnem 10.05.2023 um 10:52:30 Uhr
Goto Top
Wenn es das Budged her gibt, würde ich auch an beiden Standorten ordentliche Lancom Router verwenden. Die haben auch Modelle mit LTE-Backup, weiß nicht in wie weit das für den TO wichtig ist, dass die Leitung immer verfügbar ist.
Muss zwar zugeben, dass das sicher nicht die günstigste Lösung ist. Aber den Ärger den du mit einem alten Linksys und einer Digitalisierungsbox dir einholst, kannst du nicht mit Geld aufwiegen.
Dazu würde ich dann auf jeden Fall den Advanced Support buchen, der kostet im verhältnis fast nix und die Router werden dir im Falle eines Defekts am nächsten Tag anstandslos gestauscht.
Lancom von der Telekom würde ich wenn dann nur kaufen, aber keinen Service bei der Telekom dazu buchen. Ist meiner Meinung nach raus geschmissenes Geld wenn du dich einigermaßen mit den Geräten beschäftigen willst.
goscho
goscho 10.05.2023 um 11:33:04 Uhr
Goto Top
Moin,

Zitat von @kabratze
Da Vodafone aber bekanntermaßen ihr Netz chronisch überbucht, liegt die tatsächlich nutzbare Bandbreite inzwischen nur noch bei 20/5 Mbit Down/Up. Tendenz fallend, es wird mit jedem weiteren angeschlossenen Kunden langsamer.
Das ist mir zu pauschalisiert.
Alle Netzbetreiber überbuchen ihr Netz, wenn es möglich ist. Reine Koste-/Nutzenrechnung.
Ich selbst habe auch einen Vodafone (KDG) 200/50 Mbit Anschluss und kann bzgl. der erreichbaren Geschwindigkeiten nix negatives berichten.


Zitat von @aqui:

Die sind tatsächlich auch oft günstiger.
Eigentlich aber völlig sinnfrei und überflüssig, denn der TO hat ja einen funktionierenden und guten LRT224 Router vor Ort. Wozu also?
Das Kapital kann er deutlich sinnvoller in ein Nur Modem wie Virgor 167 oder Zyxel VMG3006 investieren.

Zitat von @madnem:

Wenn es das Budged her gibt, würde ich auch an beiden Standorten ordentliche Lancom Router verwenden. Die haben auch Modelle mit LTE-Backup, weiß nicht in wie weit das für den TO wichtig ist, dass die Leitung immer verfügbar ist.
Sehe ich genauso wie @aqui als rausgeschmissenes Geld.

Der TO hat bereits einen DUAL-WAN-VPN-Router.

Diesen würde ich auf jeden Fall auch solange einsetzen, wie die Anschlüsse parallel existieren und beide Anschlüsse konfigurieren, wie es @aqui super beschrieben hat.

Wenn der Kabelanschluss nicht mehr gebraucht wird, kann der TO ja auch nur noch die D-Box nutzen.

Sollte unbedingt der Linksys Router weitergnutzt werden müssen und die D-Box lässt sich nicht in den reinen Mdem-Modus umstellen, würde ich auch lieber das Geld in ein einfaches Modem investieren.

@kabratze

Ist die D-Box für die Telefonie zuständig oder läuft die Telefonie nur über diesen DSL-Anschluss und wird in der TK-Anlage terminiert?
madnem
madnem 10.05.2023 um 11:59:35 Uhr
Goto Top
Naja das muss jeder selber wissen wofür er sein Budged einsetzt. Ich persönlich würde weder eine Digitalisierungsbox noch einen Router der schon seit 2021 keine Updates mehr bekommt verwenden. Natürlich sind die oben genannten Lösungen günstiger, aber man hat dann auch immer eine aufwendige Konstruktion die bei Problemen auch vollständige überprüft werden muss.
Bei meiner Lösung hätte er nur einen Router, der direkt mit der Leitung verbunden ist und auch die Telefone versorgt. Also nur eine Gerät das er beherschen, verstehen und warten muss. Im Problemfall gäbe es dann auch nur ein Gerät was zicken machen kann und man kann sich darauf konzentrieren. Wenn der Router defekt ist steht am nächsten Tag ein neuer da.
em-pie
em-pie 10.05.2023 um 15:31:40 Uhr
Goto Top
Bei meiner Lösung hätte er nur einen Router, der direkt mit der Leitung verbunden ist und auch die Telefone versorgt.
Damit wäre ich vorsichtig.
Die DigiBix aka be.ip Plus hat eine brauchbare TK-Anlage implementiert:
CallRouting mit Tag/ Nachtschaltung
Verwaltung eines zentralen Telefonbuches mit Kurzwahlen
Verwaltung/ Autoprovisionierung von Systemtelefonen (DECT, IP)
Gescheiten AB...

Wenn er die Box allerdings nur als MediaGateway nutzt (weil dahinter ne bessere Anlage hängt), bin ich bei dir: aus zwei (bzw. drei) mach eins...
aqui
aqui 04.06.2023 um 14:46:39 Uhr
Goto Top
Wenn es das denn nun war, bitte deinen Thread hier dann auch als erledigt schliessen!!