DynDNS nach Wechsel zu DG

    Wie schon gesagt, habe ich leider wenig Erfahrung mit einer Sophos XG. Im Fall einer Sophos UTM wird im Installationsprozess lediglich eine Warnung angezeigt, weil die VM nur über eine NIC verfügt. Die Warnung kann problemlos übersprungen werden.

    Falls dies bei der Sophos XG nicht möglich sein sollte, kannst Du dir dauerhaft kostenfrei ein 100 Mbit/s VLAN zu deinem Server bestellen. Anschließend kannst Du im netcup SCP deiner VM eine zweite NIC spendieren.

    Hier der Link zu netcup VLAN: https://www.netcup.de/bestellen/produkt.php?produkt=2284

    Schöne Grüße,

    Lars

    • Offizieller Beitrag

    Bitte im Hinterkopf behalten, dass die Erreichbarkeit der CGNAT Adressen zwischen den DG Anschlüssen keine zugesicherte Eigenschaft ist. Ich gehe zwar davon aus, dass die DG das nicht einfach so verhindern wird, denn immerhin nutzt ein DG Kooperationspartner diese Adressierbarkeit für eine auch von der DG beworbene Dienstleistung, aber wenn dieser "Trick" eines Tages doch nicht mehr funktioniert, hat man nichts in der Hand.

    Das ist natürlich ein absolut berechtigter Einwand. Bei mir läuft das Setup seit über zwei Jahren stabil und ohne einen einzigen Wechsel der zugewiesenen CGN IP-Adresse.


    Wenn nun zu den beiden Standorten mit einem DG Anschluss noch eine virtuelle Sophos bei netcup dazu kommt, kann man zwischen den drei Firewalls ein RED Tunnel Dreieck aufbauen. Dies in Kombination mit einem dynamischen Routing (bspw. OSPF) stellt sicher, dass im Fall einer Störung des RED Tunnels im DG CGN Netz die Standorte weiterhin über einen alternativen Weg verbunden sind.

    Schöne Grüße,

    Lars

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
    Zitat von Alfy

    Wenn nun zu den beiden Standorten mit einem DG Anschluss noch eine virtuelle Sophos bei netcup dazu kommt, kann man zwischen den drei Firewalls ein RED Tunnel Dreieck aufbauen. Dies in Kombination mit einem dynamischen Routing (bspw. OSPF) stellt sicher, dass im Fall einer Störung des RED Tunnels im DG CGN Netz die Standorte weiterhin über einen alternativen Weg verbunden sind.


    Das war auch mein Gedankengang.

    Das Zubuchen des VLANS bei Netcup hat schon mal funktioniert, die XG fällt nun nicht mehr in den Failsafe Mode.

    Gehört zwar nicht zum Topic, aber habe ich auch eine Chance an das Webinterface zu kommen über das SCP um die XG zu konfigurieren?

    /edit: sieht so aus als wäre die VLAN Nic automatisch immer die zweite NIC bei Netcup. Da die XG automatisch die erste NIC als LAN NIC festsetzt und die zweite gerne als WAN hätte, scheint das ganze Szenario nicht abbildbar zu sein.

    Einmal editiert, zuletzt von 2k9 (22. Januar 2021 um 13:41)

    Zitat von Alfy

    Ich werde das Setup heute Abend testen.

    Danke, bin gespannt. Mögliche Alternative wäre ein Root-Server mit Hyper-V und XG Appliance, aber ist natürlich mit mehr Kosten verbunden (und mehr benötigter Ressourcen)

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    So, hier die versprochene Rückmeldung. Ich habe die Installation der Sophos XG getestet. Dabei musste ich feststellen, dass der Prozess wenig vergleichbar mit der Installation einer Sophos UTM ist.

    Zunächst einmal muss Dir klar sein, dass die Cloud Firewall keine klassische LAN-Seite hat (es sei denn, Du betreibst in dem Cloud VLAN einen Server). Folglich ist das Interface, das während der Installation als "LAN" bezeichnete wird, eigentlich die WAN-Seite der Firewall. Die LAN-Seite bilden später die auf der Firewall terminierenden RED-Tunnel.

    Dieses Setup lässt sich im Setup-Dialog nicht im gängigen Mitteln abbilden. Es ist möglich, dem LAN Interface die vom Provider erhaltene öffentliche IP-Adresse zu vergeben. Allerdings lässt sich für das Interface während des Setups kein Next Hop konfigurieren. Dadurch kannst Du das Web-Interface nach dem Setup nur aus dem öffentlich Subnetz des Providers erreichen.

    Nach Abschluss des Setup-Dialogs kann die IP-Konfiguration im Web-Interface belieb angepasst werden. Doch leider schafft man es nicht bis dahin ;(

    Muss es denn unbedingt eine Sophos XG sein?

    Schöne Grüße,

    Lars

    • Offizieller Beitrag

    Ich habe das nur lokal getestet, aber es sollte auch beim VPS Hoster gehen.

    Auf der Konsole des VPS kann man sich nach der Installation der Sophos XG Firewall mit dem Passwort "admin" einloggen und dann unter "Device Management" mit "Advanced Shell" eine Kommandozeile öffnen.

    Wenn man die Netzwerkinterfaces nicht passend so zuordnen kann, dass das zweite Interface (WAN) automatisch mit Internetzugang konfiguriert wird, kann man auf der Kommandozeile manuell nachhelfen:

    Code
    iptables -I INPUT ! -s 127.0.0.1 -j REJECT
ip addr add 300.301.302.303/21 dev Port1
ip route add default via 300.301.302.1

    Der iptables-Befehl sperrt alle ankommenden Verbindungen außer vom VPS selbst, weil mit den nächsten Befehlen die LAN-Schnittstelle konfiguriert wird und damit das Webinterface aus dem Internet erreichbar würde.

    Der ip addr Befehl fügt die IP Adresse, die man vom Hoster für den VPS bekommen hat, der ersten Netzwerkschnittstelle hinzu (Port1 ist die "LAN"-Schnittstelle). "300.301.302.303/21" also entsprechend durch IP Adresse und Subnetzgröße ersetzen.

    Der ip route Befehl fügt das Default-Gateway hinzu. "300.301.302.1" durch die Adresse des Gateways ersetzen.

    Nach diesem Eingriff sollte man z.B. den Google DNS Server 8.8.8.8 anpingen können. Dann kann man mit den weiteren Schritten fortfahren:

    Per ssh macht man eine Portweiterleitung zum Webserver der Sophos XG: ssh user@jumphost -R *:65003:127.0.0.1:65003

    Anschließend ist das Webinterface unter https://jumphost:65003 erreichbar, wobei jumphost jeweils die IP-Adresse oder der DNS Name eines Hosts ist, auf dem man sich vom VPS aus per ssh mit Username und Passwort einloggen können muss. Der Jumphost muss "GatewayPorts yes" in der sshd-Konfiguration haben und auf dessen Port 65003 muss man mit einem Webbrowser zugreifen können.

    Mit dieser Portweiterleitung kann man den Rest der Installation durchführen. Wenn im Webinterface die LAN-Schnittstellenkonfiguration abgefragt wird, dann 172.16.16.16 mit Netzgröße /24 eingeben und den DHCP-Server abschalten. Die richtige Einstellung kommt erst später, wenn Port1 zum WAN-Port gemacht worden ist.

    Nach dem Reboot muss man die manuelle Netzwerkkonfiguration und die Weiterleitung wie oben einmal neu aufbauen. Sollte man eine Meldung bekommen, dass die Portweiterleitung fehlgeschlagen ist, einfach einen anderen Port als ersten Port im SSH-Befehl und in der Web-URL verwenden.

    Danach kann man im Webinterface den HTTPS Zugang über das WAN Interface einschalten (gutes Admin-Passwort setzen...), Port1 zum WAN-Port mit der richtigen Konfiguration machen und die restlichen Einstellungen vornehmen. Dauerhaft sollte man den Admin-Zugang nur über VPN erlauben.

    • Offizieller Beitrag

    Als Ergänzung zum vorherigen Beitrag: Wenn man keinen Jumphost greifbar hat, geht es auch direkter:

    Code
    iptables -I INPUT ! -s 127.0.0.1 -j REJECT
iptables -I INPUT -s eigeneIP -j ACCEPT
ip addr add 300.301.302.303/21 dev Port1
ip route add default via 300.301.302.1

    Im zweiten iptables Befehl die eigene IP Adresse freigeben, von der man das Webinterface aufrufen will. Dann braucht man keine Portweiterleitung per SSH und kann das Webinterface direkt unter https://vpsip:4444/ aufrufen.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Vielen Dank, dies verdient eigentlich ein dediziertes How-To! Mega!

    Die Einrichtung hat funktioniert und die VPS XG baut den RED Tunnel mit SITE A erfolgreich auf, Pings der Gateways gehen auch durch.

    SITE B macht noch ein paar Probleme, was mir sehr ungewöhnlich erscheint.

    Der RED Tunnel wird aufgebaut (VPS XG ist Server, SITE B XG ist Client), jedoch können sich die RED Gateways nicht gegenseitig anpingen. Die LAN to LAN Firewall Allow Policy (wird später noch etwas feiner definiert) ist natürlich vorhanden.

    Um die VPS auszuschließen, habe ich mal einen RED Tunnel von SITE B (Server) zu SITE A (Client) gemacht. Das gleiche Problem, also scheint es an SITE B zu liegen, nur tappe ich irgendwie im dunkeln. Kann es am Provider liegen (noch Telekom)?

    SITE A die problemlos funktioniert ist bereits mit Deutsche Glasfaser unterwegs.

    hallo leute, ich klinke mich mal zu diesem thema ein.

    bin ein "neuling" in diesem forum. aber mich deswegen jetzt extra registriert.

    ich habe einen DG Anschluss seit 2019 an einer FB 7590 und seit neustem eine xpenology stehen. wollte sie von ausserhlab erreichbar machen. aber keine chance.

    ich weis nicht, habe alles probert. ich bekomme per feste-ip die adresse zugewiesen, kann die anpingen aber dann hört es auf. kein zugriff weiter. ich könnte kotzen. wieso macht es DG einen so schwer? das ich deswegen überlege zu kündigen und dsl zu holen, da sich auch kein weiterer glasfaser anbieter drauf schalten darf.

    da ich auch einen proxmox aufbauen will um da mit der haus automatiesierung zu spielen und so von ausserhalb mich einzulogen.

    gibt es noch einen guten tip, welcher hier steht und nicht beschrieben wurde?

    oder habe ich einfach das richtige tutorial dazu hier im forum einfach übersehen?

    danke im vorraus.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Ich bin genau deswegen wieder zu DSL gewechselt. Ich habe die 2 Jahre mit DG nur überstanden, weil ein Glasfaseranschluss beim Hausverkauf gut klingt. Ständige Netzausfälle und Klimmzüge mangels DynDNS im IPv4 hat es einfach zu kompliziert gemacht und hat zusätzlich noch Geld gekostet.

    Da ich mit DSL auch beim Streaming gut zurecht komme, brauche ich mir DG nicht weiter antun. Bei Vodafone habe ich wenigstens Ansprechpartner und preiswerter ist es zudem.

    Zitat von Fako86

    ich habe einen DG Anschluss seit 2019 an einer FB 7590 und seit neustem eine xpenology stehen. wollte sie von ausserhlab erreichbar machen. aber keine chance.

    Was passiert denn, wenn Du Dich per WireGuard mit deiner Fritzbox verbindest und dann per lokaler ipv4 Adresse auf dein Gerät zugreifst?

    FTTH DG 1000/500 | FRITZ!Box 5590 Fiber | 2 mal FRITZ!Repeater 3000AX als Access Points

    Zitat von Fako86

    wieso macht es DG einen so schwer?

    Eigentlich ist das gar nicht schwer. Seit AVM IPv6 unterstützt, ist es sogar noch deutlich einfacher geworden. Du hast dir natürlich den Thread mit der mit Abstand kompliziertesten Lösung ausgesucht, der hier im Forum kursiert zu dem Thema. Das geht auch deutlich einfacher.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.

    Fako86

    Vielleicht hilft dir dies hier weiter:

    Thema

    IPv4-Erreichbarkeit via Portfreigabe auf einem VPS

    Einleitung

    Ergänzend zum Beitrag IPv4-Erreichbarkeit via VPS und VPN (WireGuard) möchte ich weitere Möglichkeiten aufzeigen, einzelne Dienste im Heimnetz erreichbar zu machen.

    Übersichtszeichnung

    Auch hier zunächst eine Übersicht, was erreicht werden soll:



    Auf den ersten Blick hat sich nicht viel getan. Es besteht weiterhin eine WireGuard-Verbindung zwischen einem VPS und dem Heimnetzwerk.

    Daher gehe ich hier nicht weiter auf diese Verbindung ein, bitte im anderen Thread nachlesen.

    Der…
    mbo77
    29. Oktober 2023 um 15:31
    Thema

    IPv4-Erreichbarkeit via VPS und VPN (WireGuard)

    Einleitung

    Da es immer wieder Thema ist, möchte ich hier die Chance nutzen, Möglichkeiten aufzuzeigen, wie eine Erreichbarkeit via IPv4 erreicht werden kann, wenn man bei einem Provider ist, der einem keinen vollwertigen IPv4-Zugang mehr anbietet, sondern Techniken wie CG-NAT oder DS-Lite nutzt.

    Hintergrund

    Im ersten Beispiel greife ich eine Konfiguration auf, wie sie zuletzt diskutiert wurde. Dabei geht es darum, das Heimnetzwerk mithilfe eines VPS für IPv4-Clients verfügbar zu machen. Die…
    mbo77
    28. Oktober 2023 um 15:41

    Wobei heutzutage auch nix gegen eine reine IPv6-Lösung spricht.

    Da stellt lediglich die DNS-Registrierung eine geringe Hürde dar.

    Zitat von alfalfa

    Die IPv4 Adresse an einem Deutsche Glasfaser Privatkundenanschluss ist aus einem Bereich, der für CGNAT reserviert ist (100.64.0.0/10, d.h. 100.64.0.0–100.127.255.255). Diese Adressen sind genausowenig aus dem Internet erreichbar wie die bekannteren Adressbereiche 192.168.0.0-192.168.255.255 und 10.0.0.0-10.255.255.255 und noch einige mehr (https://de.wikipedia.org/wiki/IPv4#Beso…etzwerkadressen).

    Dynamic DNS funktioniert im Prinzip an einem DG Anschluss, ist aber fast nutzlos. Der Router würde eine Adresse mit dem Domainnamen verknüpfen, die im Fall von IPv4 nicht von außen erreichbar ist und im Fall von IPv6 nahezu statisch ist.

    Ankommende Verbindungen sind ohne weiteres nur per IPv6 möglich. Wenn es darum geht, lokale Dienste per IPv4 aus dem Internet erreichbar zu machen, wird ein externer Dienstleister benötigt, der Verbindungen auf einer öffentlich erreichbaren IPv4 Adresse annimmt und zum DG-Anschluss umleitet, z.B. feste-ip.net oder www.edv-kossmann.de/festeip.

    Verstehe ich das richtig? Wenn mein LAN, angeommen alle Geräte können IPV6, kommplett auf V6 umgestellt ist, ist die Erreichbarkeit aus dem Internet, wenn das Gerät was zu mir nach Hause funken will (z.B. Handy LTE mit V6-Adresse) auch eine WAN V6 Adresse hat, sollte es keine Probleme bereiten ?

    Zitat von chrisponsius

    Verstehe ich das richtig? Wenn mein LAN, angeommen alle Geräte können IPV6, kommplett auf V6 umgestellt ist, ist die Erreichbarkeit aus dem Internet, wenn das Gerät was zu mir nach Hause funken will (z.B. Handy LTE mit V6-Adresse) auch eine WAN V6 Adresse hat, sollte es keine Probleme bereiten ?

    Ja, so ist es bei IPv6 gedacht.

    Anstatt einer IP/Namen für deinen Anschluss und die Steuerung, welchen Port du wohin weiterleitest, hat jedes Gerät seine eigene Adresse.

    Dementsprechend musst du jede IP unter einem anderen Namen registrieren und in der Firewall des Routers zulassen, ob und zu welchen Ports gesprochen werden darf.

  • Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.