ISDN, VPN, eigener Router usw. mit Cable Max?

[bithugo]

Am besten 2 Anschlüsse buchen.
Einmal kleine Bandbreite und die 6490 dazu für Telefonie.
Anderer für max. Bandbreite mit reinem Modem und dieses dann in Bridge-Modus bringen.

Vorteil: kein gebastel
Nachteil: etwas teurer

Klingt nicht nur etwas teurer sondern auch nicht sonderlich elegant. Dennoch Danke für die Idee.

[bithugo]

Routing zwischen 2 Segmenten kann nur dann funktionieren wenn es unterschiedliche Segmente sind, ansonsten versuchen die Geräte immer direkt zu gehen und kontaktieren nicht das Gateway.

Draytek hat selbst kein Cable-Modem im Programm. Draytek empfiehlt selbst, ein Kabel-Modem im Bridge-Modus einzusetzen.
Die von Abraxxas vorgeschlagene Konfigurationsvariante scheint etwas ungewöhnlich.
Ich verstehe: Die Vigor wäre dann ein exposed host und stünde damit ähnlich transparent im WWW wie wenn sie selbst der Router wäre. Soweit so gut. Damit kann es mit dem VPN klappen.
Für alle Geräte im Heimnetz ist die Vigor aktuell das Gateway. Wie routet die Vigor den ausgehenden Verkehr über die FB ins Internet?
Wenn die Vigor ein DHCP relay ist, dann würden doch alle Geräte ihre IP von der FB beziehen und nicht mehr von der Vigor? Die Vigor schützt dann aber nicht mehr alle "hinter ihr" stehenden Geräte vor den Zugriffen aus dem Internet, weil diese eben gar nicht mehr dahinter stehen. Die Vigor routet doch dann nicht mehr für die LAN-Geräte, oder verstehe ich da was falsch??? In dieser Variante besteht doch keine Kaskade mehr von Kabel-Modem/Router zu der Vigor.

[sch4kal]

2. den Virgor kannst du auch ohne Bridgemode an die Fritte hängen. Dazu in der Fritte einen exposed host einrichten und im Vigor den DHCP relay agent nutzen. (Damit umgehst du doppel NAT)
Problematisch für VPN ist das DS Lite. Entweder du kannst das auch über IPv6 machen oder du brauchst eine IPv4 Adresse.

Exposed Host umgeht eben genau nicht Doppel-NAT. Das stellt nur die restliche Firewall auf Durchzug.

[sparkie]

Aber Achtung, bei eigenem Endgerät in Privattarifen gibts IPv4 Only, nix mit Dualstack. Dafür brauchst du ein Business-Tarif. Für die Telefonie bekommst du dann von VF die SIP-Daten für die Rufnummern, wie du das dann mit der Auerswald anstellst müsstest dich dann aber nochmal erkundigen.

bist du dir sicher? Ich betreibe ein TC4400 bei einem Bekannten an einem VF Anschluss mit echtem Dualstack im Privattarif (Red Internet & Phone 200 Cable).

[Flole]

Das stimmt auch (zumindest bei VF) nicht. Der Bridge Mode macht da manchmal solche Sachen, ein eigenes Endgerät jedoch nicht.

[sparkie]

Das stimmt auch (zumindest bei VF) nicht. Der Bridge Mode macht da manchmal solche Sachen, ein eigenes Endgerät jedoch nicht.

was soll dieses Geschwurbel eigentlich besagen?
*was* genau stimmt denn (zumindest bei VF) nicht?
*welche* Sachen macht der Bridge Mode?
was hat das eigene Endgeraet mit Bridge Mode zu tun? Man kann eigene und fremde Geraete im Bridge Mode oder eben nicht betreiben.

[sch4kal]

Aber Achtung, bei eigenem Endgerät in Privattarifen gibts IPv4 Only, nix mit Dualstack. Dafür brauchst du ein Business-Tarif. Für die Telefonie bekommst du dann von VF die SIP-Daten für die Rufnummern, wie du das dann mit der Auerswald anstellst müsstest dich dann aber nochmal erkundigen.

bist du dir sicher? Ich betreibe ein TC4400 bei einem Bekannten an einem VF Anschluss mit echtem Dualstack im Privattarif (Red Internet & Phone 200 Cable).

Habe es vermutlich mit dem UM-Gebiet verwechselt :/
Also erhält man wohl doch mit eigenem Endgerät bei VF "echten" Dualstack.
Vertraglich garantiert ist das natürlich nicht.

[bithugo]

Was spricht denn gegen folgendes Design?

Am Kabelanschluß eine FB 6591 hängen.
An die 6591 kommt die TK-Anlage an den S0-Port, MSNs werden durchgereicht, Telefonie funktioniert (wie bisher) ohne weiteres Gefrickel.
Ans LAN der 6591 (Annahme 192.168.100.1) hänge ich meine Vigor mit statischer Adresse (z. B. 192.168.100.2). Die Vigor konfiguriere ich so, dass sie an dessen WAN-Port nicht ADSL spricht. Das Gateway der Vigor definiere ich mit 192.168.100.1, also die FB. Dann habe ich doch eine ordentliche Router-Kaskade.
Die Vigor bleibt in Richtung LAN, wie sie ist (192.168.1.0/24).
Ausgehender Traffic wird durch die Router-Kaskade ins WWW geroutet. Die Vigor-Firewall bekommt durch die vorgelagerte FB schon etwas weniger ab.

Zum VPN:
Ich brauche vermutlich einen neuen DynDNS-Dienst, da die Vigor bzw. Geräte dahinter, die öffentliche IP-Adresse der Fritte ja nicht kennen können.
Die 6591 bekommt ein paar Portforwarding-Regeln auf die Vigor damit der eingehende VPN-Traffic zur Vigor durchgeleitet wird. Die FB selbst muss dann so konfiguriert sein, dass sie kein VPN terminiert.

Ein bisschen Sorgen macht mir noch das doppelte NATing, weniger bei der FB, aber meine Vigor 2860 ist vermutlich schon etwas alt und zu schwach. Damit bekomme ich von den 1000MBit des Kabels nicht viel ins LAN.
Zudem verstehe ich: Dualstack wird nicht zugesichert, wenn ich aber meine eigene 6591 provisioniere stehen die Chancen gut, eine IPv4-Adresse zu erhalten.

Die Varianten mit exposed host (warum brauche ich da eine 2. öffentliche IPv4-Adresse) und dhcp relay in der Vigor hab ich vermutlich einfach noch nicht umrissen.

Hab ich was übersehen?

[sch4kal]

Was spricht denn gegen folgendes Design?

Am Kabelanschluß eine FB 6591 hängen.
An die 6591 kommt die TK-Anlage an den S0-Port, MSNs werden durchgereicht, Telefonie funktioniert (wie bisher) ohne weiteres Gefrickel.
Ans LAN der 6591 (Annahme 192.168.100.1) hänge ich meine Vigor mit statischer Adresse (z. B. 192.168.100.2). Die Vigor konfiguriere ich so, dass sie an dessen WAN-Port nicht ADSL spricht. Das Gateway der Vigor definiere ich mit 192.168.100.1, also die FB. Dann habe ich doch eine ordentliche Router-Kaskade.
Die Vigor bleibt in Richtung LAN, wie sie ist (192.168.1.0/24).
Ausgehender Traffic wird durch die Router-Kaskade ins WWW geroutet. Die Vigor-Firewall bekommt durch die vorgelagerte FB schon etwas weniger ab.

Zum VPN:
Ich brauche vermutlich einen neuen DynDNS-Dienst, da die Vigor bzw. Geräte dahinter, die öffentliche IP-Adresse der Fritte ja nicht kennen können.
Die 6591 bekommt ein paar Portforwarding-Regeln auf die Vigor damit der eingehende VPN-Traffic zur Vigor durchgeleitet wird. Die FB selbst muss dann so konfiguriert sein, dass sie kein VPN terminiert.

Ein bisschen Sorgen macht mir noch das doppelte NATing, weniger bei der FB, aber meine Vigor 2860 ist vermutlich schon etwas alt und zu schwach. Damit bekomme ich von den 1000MBit des Kabels nicht viel ins LAN.
Zudem verstehe ich: Dualstack wird nicht zugesichert, wenn ich aber meine eigene 6591 provisioniere stehen die Chancen gut, eine IPv4-Adresse zu erhalten.

Die Varianten mit exposed host (warum brauche ich da eine 2. öffentliche IPv4-Adresse) und dhcp relay in der Vigor hab ich vermutlich einfach noch nicht umrissen.

Hab ich was übersehen?

Von welcher Art VPN reden wir hier ? IPSec kannst dir mit einer Routerkaskade und insbesondere mit einer Kabelfritte davor in die Haare schmieren, da die ESP-Pakete nicht durch kommen (auch nicht bei exposed host).
GeNATtet wird sowieso nur in der Fritte, oder warum solltest du hinter dem Vigor nochmal NATten ? Eigentlich ist der Vigor in deiner gedachten Konstellation völlig überflüssig.

Ein exposed Host in der Fritte bekommt keine öffentliche IP, da wird nur die Firewall auf Durchzug gestellt, und da auch nur das Paketfiltering, stateful NAT bleibt aktiv.

[bithugo]

Die Vigor kann PPTP, L2TP, L2TP/IPsec, IPsec, IKEv2, OpenVPN und SSL VPN.
Heute nutze ich IPSec, wenn aber IPSec ein Problem ist, dann eben SSL-VPN. Ich denke da gibt es keine Probleme da dann nur der IP-Port 443 benötigt wird.

Bei mir ist die Vigor heute einfach die zentrale Drehscheibe. 3 Access Points mit Auto-Provisioning, zahlreiche Firewall-Regeln damit die "intelligenten" Geräte (TV, Receiver, ...) nicht nach Hause telefonieren,
URL-Filter, WCF, usw. Möchte ich nur ungern übern Haufen werfen. Eine Fritzbox allein wäre schon ein Rückschritt.