Mittels einer Securepoint UTM und einem (DSL-)Modem eine Online-Verbindung aufzubauen ist an und für sich kein Problem und die Einrichtung erfolgt Assistenten-gestützt. Möchte oder muss man sogar einen Router eines Anbieters verwenden, so sind ggf. ein paar zusätzlich Schritte notwendig.

Zunächst einmal ein wenig Historie, wie es zu diesem Beitrag gekommen ist: Bei einem Kunden war es aus längst vergangenen Gründe so, das der DSL-Anschluss sowohl für die Privat-Räume als auch für das Gewerbe genutzt wurde. Daraus ergab sich, das der Anschuss selbst Privat war, am Speedport-Router die privaten Computer und Entertain-Receiver per Kabel und WLAN und das Gewerbe über eine Securepoint UTM angebunden war. Nachdem der Kunde aus den Räumlichkeiten ausgezogen war, aber das Gewerbe dort verblieb, ergab sich die neue Anforderung, die Securepoint UTM nun als Router, der auch für die Interneteinwahl zuständig ist, zu nutzen.

Telekom Speedport W701V als DSL-Modem konfigurieren

Kurzerhand wurde der Speedport-Router auf Werkseinstellung zurückgesetzt, dies erschien einfacher, als die gesamte Konfiguration per Hand zu ändern. Von Haus aus ist dann PPPoE Pass-Through aktiv, zumindest solange wie keine Zugangsdaten hinterlegt sind. Dies kann man in der Oberfläche des Speedport unter “Konfiguration – Netzwerk” bei “PPPoE Pass-Through” erkennen.

Das ist aber noch nicht alles, damit der Speedport als reines DSL-Modem agiert, muss zusätzlich die “NAT & Portregeln”-Funktionalität deaktiviert werden. Tut man dies, erscheint eine entsprechende Meldung, die das bestätigt.

Speedport W701V - PPPoE Pass-ThroughWeitere nicht benötigte Funktionen wie DHCP-Server oder WLAN sollte man ebenfalls deaktivieren!

Zugriff auf die Speedport-Oberfläche von hinter der UTM aus

Möchte man von hinter der UTM aus auf die Oberfläche des Speedport-Router zugreifen, so muss eine entsprechende Konfiguration erfolgen. Franz hat das im Securepoint-Forum bereits sehr gut beschrieben (siehe Quelle).

Die UTM muss wie folgt konfiguriert werden:

  • Unter “Netzwerk – NETZWERKKONFIGURATION” auf der Registerkarte “NETZWERKSCHNITTSTELLEN” das Interface “eth0” bearbeiten, dort auf die Registerkarte “IP-ADRESSEN” wechseln und eine IP-Adresse aus dem Bereich des Speedport, wie z.B. 192.168.2.2, hinzufügen. Der Speedport hat per Standard 192.168.2.1.
  • Unter “Firewall – PORTFILTER” auf der Registerkarte “NETZWERKOBJEKTE” ein neues Objekt hinzufügen, z.B. mit dem Namen “speedport”, Typ “Host”, der Adresse “192.168.2.1” und der Zone “external”.
  • Auf der Registerkarte “PORTFILTER” eine neue Regel hinzufügen:
internal-network - speedport - http (HIDENAT - external-interface)

Securepoint UTM - Portfilter-Regel für Speedport-ZugriffIm Gegensatz zu Franz wurde der Speedport direkt als Host angelegt und lediglich “http” zugelassen, da dies für den Zugrif auf die Oberfläche des Speedport ausreicht.

Update 21.03.2014

Bei einem weiteren Kunden musste eine solche Konfiguration nun durchgeführt werden. Leider funktionierte es dort nicht wie hier beschrieben, kurioserweise läuft es beim anderen Kunden nach wie vor so. Der wie immer sehr gute Support von Securepoint konnte das Problem lösen.

Unter “Netzwerk – Zoneneinstellungen” zwei neue Zonen hinzufügen:

Securepoint und Speedport - Neue Zonen hinzufügen

Diese neuen Zonen werden automatisch dem Netzwerkinterface “eth0” zugeordnet, wie man unter “Netzwerk – Netzwerkkonfiguration” auf der Registerkarte “NETZWERKSCHNITTSTELLEN” sehen kann:

Securepoint und Speedport - eth0 und Zonen

An dieser Stelle (wie gehabt, siehe oben) eine IP-Adresse vergeben.

Unter “Netzwerk – Portfilter” auf der Registerkarte “NETZWERKOBJEKTE” zwei neue Netzwerkobjekte hinzufügen:

Securepoint und Speedport - Neue Netzwerkobjekte hinzufügen

Unter “Netzwerk – Portfilter” auf der Registerkarte “PORTFILTER” eine neue Regel hinzufügen:

Securepoint und Speedport - Neue Regel hinzufügenIn diesem Fall kam ein Speedport W 723V zum Einsatz.

Update 13.09.2014

Um vom SSL-VPN (Roadwarrior) aus auf den Speedport zugreifen zu können benötigt man in etwa die gleiche Regel wie im vorigen Update. Einzig als Quelle muss das VPN-Netz angegeben werden:

Securepoint UTM - Portfilter - SSL-VPN - Speedport

Ferner muss der SSL-VPN Server das Remote-Netz “192.168.2.0/24” übermitteln, damit der Client weiß, wohin er die Datenpakete schicken muss. Das Ganze funktioniert dann natürlich nur, wenn sich die IP-Netze auf beiden Seiten nicht überschneiden.

Securepoint UTM - SSL-VPN Server - Subnetze

Dies habe ich ich aktuell bei einem Kunden ebenfalls mit einem Speedport W 723V realisiert. Am einfachsten man spricht den Speedport dann über die Adresse “https://192.168.2.1” an und nicht über http, da von dort aus eine Weiterleitung auf “https://speedport.ip” gemacht wird, was wiederum nicht funktioniert.

Hinweis am Rande: Versucht man via ssh und Port-Weiterleitung auf einen Speedport ab W 723V zu gelangen, klappt das bis zur Anmelde-/Status-Seite, aber nach der Eingabe vom Kennwort scheitert man ein der Referer-Prüfung des Routers. Eine Lösung dafür konnte ich nicht finden, aber dafür klappts über VPN.

Quelle

Securepoint Forum – PPPoe T-Online