Mittels einer Securepoint UTM und einem (DSL-)Modem eine Online-Verbindung aufzubauen ist an und für sich kein Problem und die Einrichtung erfolgt Assistenten-gestützt. Möchte oder muss man sogar einen Router eines Anbieters verwenden, so sind ggf. ein paar zusätzlich Schritte notwendig.
Zunächst einmal ein wenig Historie, wie es zu diesem Beitrag gekommen ist: Bei einem Kunden war es aus längst vergangenen Gründe so, das der DSL-Anschluss sowohl für die Privat-Räume als auch für das Gewerbe genutzt wurde. Daraus ergab sich, das der Anschuss selbst Privat war, am Speedport-Router die privaten Computer und Entertain-Receiver per Kabel und WLAN und das Gewerbe über eine Securepoint UTM angebunden war. Nachdem der Kunde aus den Räumlichkeiten ausgezogen war, aber das Gewerbe dort verblieb, ergab sich die neue Anforderung, die Securepoint UTM nun als Router, der auch für die Interneteinwahl zuständig ist, zu nutzen.
Telekom Speedport W701V als DSL-Modem konfigurieren
Kurzerhand wurde der Speedport-Router auf Werkseinstellung zurückgesetzt, dies erschien einfacher, als die gesamte Konfiguration per Hand zu ändern. Von Haus aus ist dann PPPoE Pass-Through aktiv, zumindest solange wie keine Zugangsdaten hinterlegt sind. Dies kann man in der Oberfläche des Speedport unter “Konfiguration – Netzwerk” bei “PPPoE Pass-Through” erkennen.
Das ist aber noch nicht alles, damit der Speedport als reines DSL-Modem agiert, muss zusätzlich die “NAT & Portregeln”-Funktionalität deaktiviert werden. Tut man dies, erscheint eine entsprechende Meldung, die das bestätigt.
Weitere nicht benötigte Funktionen wie DHCP-Server oder WLAN sollte man ebenfalls deaktivieren!
Zugriff auf die Speedport-Oberfläche von hinter der UTM aus
Möchte man von hinter der UTM aus auf die Oberfläche des Speedport-Router zugreifen, so muss eine entsprechende Konfiguration erfolgen. Franz hat das im Securepoint-Forum bereits sehr gut beschrieben (siehe Quelle).
Die UTM muss wie folgt konfiguriert werden:
- Unter “Netzwerk – NETZWERKKONFIGURATION” auf der Registerkarte “NETZWERKSCHNITTSTELLEN” das Interface “eth0” bearbeiten, dort auf die Registerkarte “IP-ADRESSEN” wechseln und eine IP-Adresse aus dem Bereich des Speedport, wie z.B. 192.168.2.2, hinzufügen. Der Speedport hat per Standard 192.168.2.1.
- Unter “Firewall – PORTFILTER” auf der Registerkarte “NETZWERKOBJEKTE” ein neues Objekt hinzufügen, z.B. mit dem Namen “speedport”, Typ “Host”, der Adresse “192.168.2.1” und der Zone “external”.
- Auf der Registerkarte “PORTFILTER” eine neue Regel hinzufügen:
internal-network - speedport - http (HIDENAT - external-interface)
Im Gegensatz zu Franz wurde der Speedport direkt als Host angelegt und lediglich “http” zugelassen, da dies für den Zugrif auf die Oberfläche des Speedport ausreicht.
Update 21.03.2014
Bei einem weiteren Kunden musste eine solche Konfiguration nun durchgeführt werden. Leider funktionierte es dort nicht wie hier beschrieben, kurioserweise läuft es beim anderen Kunden nach wie vor so. Der wie immer sehr gute Support von Securepoint konnte das Problem lösen.
Unter “Netzwerk – Zoneneinstellungen” zwei neue Zonen hinzufügen:
Diese neuen Zonen werden automatisch dem Netzwerkinterface “eth0” zugeordnet, wie man unter “Netzwerk – Netzwerkkonfiguration” auf der Registerkarte “NETZWERKSCHNITTSTELLEN” sehen kann:
An dieser Stelle (wie gehabt, siehe oben) eine IP-Adresse vergeben.
Unter “Netzwerk – Portfilter” auf der Registerkarte “NETZWERKOBJEKTE” zwei neue Netzwerkobjekte hinzufügen:
Unter “Netzwerk – Portfilter” auf der Registerkarte “PORTFILTER” eine neue Regel hinzufügen:
In diesem Fall kam ein Speedport W 723V zum Einsatz.
Update 13.09.2014
Um vom SSL-VPN (Roadwarrior) aus auf den Speedport zugreifen zu können benötigt man in etwa die gleiche Regel wie im vorigen Update. Einzig als Quelle muss das VPN-Netz angegeben werden:
Ferner muss der SSL-VPN Server das Remote-Netz “192.168.2.0/24” übermitteln, damit der Client weiß, wohin er die Datenpakete schicken muss. Das Ganze funktioniert dann natürlich nur, wenn sich die IP-Netze auf beiden Seiten nicht überschneiden.
Dies habe ich ich aktuell bei einem Kunden ebenfalls mit einem Speedport W 723V realisiert. Am einfachsten man spricht den Speedport dann über die Adresse “https://192.168.2.1” an und nicht über http, da von dort aus eine Weiterleitung auf “https://speedport.ip” gemacht wird, was wiederum nicht funktioniert.
Hinweis am Rande: Versucht man via ssh und Port-Weiterleitung auf einen Speedport ab W 723V zu gelangen, klappt das bis zur Anmelde-/Status-Seite, aber nach der Eingabe vom Kennwort scheitert man ein der Referer-Prüfung des Routers. Eine Lösung dafür konnte ich nicht finden, aber dafür klappts über VPN.
Quelle
Securepoint Forum – PPPoe T-Online
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Schreibe einen Kommentar