Als Ergänzung zum vorherigen Beitrag: Wenn man keinen Jumphost greifbar hat, geht es auch direkter:
Im zweiten iptables Befehl die eigene IP Adresse freigeben, von der man das Webinterface aufrufen will. Dann braucht man keine Portweiterleitung per SSH und kann das Webinterface direkt unter https://vpsip:4444/ aufrufen.
Ich habe das nur lokal getestet, aber es sollte auch beim VPS Hoster gehen.
Auf der Konsole des VPS kann man sich nach der Installation der Sophos XG Firewall mit dem Passwort "admin" einloggen und dann unter "Device Management" mit "Advanced Shell" eine Kommandozeile öffnen.
Wenn man die Netzwerkinterfaces nicht passend so zuordnen kann, dass das zweite Interface (WAN) automatisch mit Internetzugang konfiguriert wird, kann man auf der Kommandozeile manuell nachhelfen:
Der iptables-Befehl sperrt alle ankommenden Verbindungen außer vom VPS selbst, weil mit den nächsten Befehlen die LAN-Schnittstelle konfiguriert wird und damit das Webinterface aus dem Internet erreichbar würde.
Der ip addr Befehl fügt die IP Adresse, die man vom Hoster für den VPS bekommen hat, der ersten Netzwerkschnittstelle hinzu (Port1 ist die "LAN"-Schnittstelle). "300.301.302.303/21" also entsprechend durch IP Adresse und Subnetzgröße ersetzen.
Der ip route Befehl fügt das Default-Gateway hinzu. "300.301.302.1" durch die Adresse des Gateways ersetzen.
Nach diesem Eingriff sollte man z.B. den Google DNS Server 8.8.8.8 anpingen können. Dann kann man mit den weiteren Schritten fortfahren:
Per ssh macht man eine Portweiterleitung zum Webserver der Sophos XG: ssh user@jumphost -R *:65003:127.0.0.1:65003
Anschließend ist das Webinterface unter https://jumphost:65003 erreichbar, wobei jumphost jeweils die IP-Adresse oder der DNS Name eines Hosts ist, auf dem man sich vom VPS aus per ssh mit Username und Passwort einloggen können muss. Der Jumphost muss "GatewayPorts yes" in der sshd-Konfiguration haben und auf dessen Port 65003 muss man mit einem Webbrowser zugreifen können.
Mit dieser Portweiterleitung kann man den Rest der Installation durchführen. Wenn im Webinterface die LAN-Schnittstellenkonfiguration abgefragt wird, dann 172.16.16.16 mit Netzgröße /24 eingeben und den DHCP-Server abschalten. Die richtige Einstellung kommt erst später, wenn Port1 zum WAN-Port gemacht worden ist.
Nach dem Reboot muss man die manuelle Netzwerkkonfiguration und die Weiterleitung wie oben einmal neu aufbauen. Sollte man eine Meldung bekommen, dass die Portweiterleitung fehlgeschlagen ist, einfach einen anderen Port als ersten Port im SSH-Befehl und in der Web-URL verwenden.
Danach kann man im Webinterface den HTTPS Zugang über das WAN Interface einschalten (gutes Admin-Passwort setzen...), Port1 zum WAN-Port mit der richtigen Konfiguration machen und die restlichen Einstellungen vornehmen. Dauerhaft sollte man den Admin-Zugang nur über VPN erlauben.
Bitte im Hinterkopf behalten, dass die Erreichbarkeit der CGNAT Adressen zwischen den DG Anschlüssen keine zugesicherte Eigenschaft ist. Ich gehe zwar davon aus, dass die DG das nicht einfach so verhindern wird, denn immerhin nutzt ein DG Kooperationspartner diese Adressierbarkeit für eine auch von der DG beworbene Dienstleistung, aber wenn dieser "Trick" eines Tages doch nicht mehr funktioniert, hat man nichts in der Hand.
Was Rxyzr und Alfy andeuten, ist die Möglichkeit, die eigentlich nicht öffentlichen IPv4 Adressen, die die DG ihren Anschlüssen zuteilt, für direkte Verbindungen zwischen DG-Anschlüssen zu nutzen. Solche Verbindungen durchlaufen nämlich nicht das CGNAT und so sind diese Adressen für andere DG-Kunden problemlos erreichbar. Man kann das also z.B. für RED (Remote Ethernet Device) Verbindungen zwischen UTMs verwenden.
Eigentlich ist eine solche Speziallösung aber wie geschrieben nicht nötig. Da beide Standorte über öffentlich zugängliche IPv6 Adressen verfügen, kann man auch beliebige andere VPNs verwenden, die IPv6 als Transportprotokoll verwenden. Wireguard wäre z.B. so ein VPN. Ein externer Server ist nur nötig, wenn man auch von außerhalb des DG-Netzes per IPv4 Zugriff haben möchte.
Die Medienkonvertierung von 1000BASE-BX10 (optisches Gigabit-Ethernet mit zwei Wellenlängen auf einer Faser) zu 1000BASE-T (elektrisches Gigabit-Ethernet auf 4 bidirektional genutzten Twisted-Pairs) braucht ganz sicher keine Zugangsdaten. Der NT von der DG ist kein reiner Medienkonverter. Der hat Fernwartungsfunktionen und beherrscht auch VLAN-tagging. Die DG-Anschlüsse haben aber die volle 1500 Byte MTU. Anschlüsse mit PPPoE haben typischerweise eine kleinere MTU (1492).
Es gibt außerdem Berichte, dass (alte) DG-Anschlüsse mit einfachen Medienkonvertern betrieben wurden, weil die integrierte Lösung mit dem Genexis Titanium Router einige Kunden gestört hatte. Das ist wegen der erwähnten Fernwartungsfunktionen des NT für die DG feststellbar. Die DG könnte das also unterbinden, aber nach dem TKG muss sie kundeneigene Endgeräte am passiven Netzabschluss erlauben.
Was ist denn bei dem Paketmitschnitt herausgekommen?
Nutzen die vielleicht eine VLAN-ID o.Ä., sperren MAC-Adressen, ..?
Es ist möglich, dass ohne den NT eine VLAN-ID nötig ist. Der Verdacht, dass die DG intern VLANs nutzt, die der NT dann untagged präsentiert, besteht ja schon länger, weil zwischenzeitlich auch mal mit NT VLAN-IDs nötig waren.
Die Fritzbox kann den Netzwerktraffic auf der WAN-Schnittstelle mitschneiden. Den Mitschnitt kann man sich mit Wireshark ansehen. Da sollte man erkennen, ob überhaupt etwas von außen reinkommt und ob diese Frames evtl. getagged sind. Die Paketmitschnittfunktion erreicht man über "Inhalt" (ganz links unten), dann "FRITZ!Box Support" und zuletzt "Paketmitschnitte".
Weil ich einen Aktiven Anschluss habe.
"Aktiv" und "passiv" sind mehrfach überladen: Mit aktiv kann gemeint sein, dass ein Gerät Informationen verarbeitet, wofür es i.d.R. Strom braucht (aktiver/passiver Übergabepunkt im Sinne des Telekommunikationsgesetzes). Es kann auch bedeuten, dass Switches oder Router die Verteilung auf verschiedene Anschlüsse übernehmen, und nicht nur rein physikalische Verzweiger wie optische Splitter (aktive/passive Netze im Sinne von AON/PON). Und natürlich kann mit aktiv auch einfach gemeint sein, dass ein Anschluss in Betrieb ist, also schon aktiviert wurde.
einfach einstecken und ohne Zugangsdaten gehts. Geht natürlich nicht.
Wurde der Anschluss vorher mit einem DG-Router genutzt? Dann muss die DG den Anschluss noch auf kundeneigenen Router umstellen. Die AON-Anschlüsse sind 1000BASE-BX10 Anschlüsse. Das ist ein Ethernet-Standard. Für die Medienkonvertierung werden keine Zugangsdaten oder sonstige Informationen benötigt.
Grundsätzlich benötigt eine Site-to-Site Verbindung zwischen zwei Deutsche Glasfaser-Standorten keinen Portmapper, da beide Anschlüsse über öffentlich erreichbare IPv6-Adressen verfügen. Ein Portmapper bzw. ein Server, der Verbindungen über ein VPN zuführt, wird nur benötigt, wenn ein Zugriff von außen per IPv4 ermöglicht werden soll, was z.B. für Heimarbeiter nötig sein kann.
Ja, das wird grundsätzlich funktionieren. Die Deutsche Glasfaser bietet im Downloadbereich eine Anleitung zur Einrichtung einer Fritzbox 7390 bzw. 7490 an. Nach dieser Anleitung kann man auch die 7360 einstellen. Wenn es Probleme gibt, z.B. Telefonstörungen, wird sich die Deutsche Glasfaser allerdings auf den Standpunkt stellen, dass die veraltete Firmware die Ursache ist: Die Fritzbox 7360 ist seit rund einem Jahr aus dem AVM Support, bekommt also weder Feature- noch Sicherheitsupdates.
Viel Glück. Bitte berichte, ob es funktioniert hat.
Wenn der Kunde die Verantwortung ab dem passiven Anschluss übernehmen will, muss die Deutsche Glasfaser das ermöglichen, aber lehnt dann jeden Support jenseits der Funktion des passiven Anschlusses ab. Es gibt auch keine Anleitung, wie ein Router dann einzustellen ist (nicht schwer, aber nicht so einfach wie mit dem NT). Verschiedene Stecker, die sich subtil unterscheiden, sind nicht gegen falsche Verbindungen geschützt, durch die auch Kabel und Anschlüsse beschädigt werden können. Ob eine fehlerhafte Verbindung an einer Beschädigung oder einer Verschmutzung liegt, ist nicht einfach festzustellen, und eine zuverlässige Reinigung ist mit Hausmitteln nicht möglich. Die Fritzbox 5530 ist ein neues Produkt, mit dem es noch keine Erfahrungen gibt. Mit Kinderkrankheiten ist zu rechnen und die muss man dann selbst umschiffen.
Die Frage war, ob man das Glasfaserkabel einfach in die Fritzbox stecken kann. Gegenfrage: Muss der Internetanschluss dann funktionieren oder kommt man damit klar, wenn man sich auf eine Fehlersuche begeben muss, für die man nicht die Werkzeuge hat, wobei der Provider schon vorher ansagt, dass er nicht helfen wird?
Ich sage nicht, dass man das nicht machen soll, aber das ist kein Anfängerprojekt sondern im Moment noch Pionierarbeit.
Ich rate dringend davon ab, wenn man sich diese Frage noch nicht sicher selbst beantworten kann.
Normalerweise werden Router an DG-Anschlüsse per 1000BASE-TX (elektrisches Gigabit-Ethernet) angeschlossen. Eine spezielle Glasfaserfritzbox ist also technisch nicht nötig. Wer sonst keine besonderen Features dieser Fritzbox braucht, kann sich das Geld sparen.
Man kann aber prinzipiell eine passive Schnittstelle zum Providernetz bekommen, also ohne den aktiven Protokollumwandler vor dem eigenen Endgerät. Im Falle der DG-Anschlüsse wäre das dann ein GPON-Anschluss (neuere Anschlüsse) oder 1000BASE-BX10 (ältere Anschlüsse). Für diese optischen Anschlussarten liegen der Fritzbox 5530 passende SFP-Module bei (die übrigens nur mit der Fritzbox funktionieren, nicht mit anderen Switches oder Routern). Pro und Contra zum Direktanschluss ohne ONT von der Deutschen Glasfaser wurden hier bereits besprochen.
Es ist technisch überhaupt kein Problem, den Router im OG über das Cat 7 Kabel an den NT anzuschließen. Gigabit-Ethernet kommt selbst mit Cat.5e 100 Meter weit. Ohne ein zweites Kabel kommt dann aber das LAN vom OG nicht in den Keller, wo der Switch für die Geräte im Rest des Hauses ist. Wenn zwischen OG und Keller WLAN funktioniert, kann man das Mesh auch darüber laufen lassen, aber das wäre sehr viel langsamer und unzuverlässiger als mit dem Kabel.
Mal abgesehen davon, dass es Mittel und Wege gibt, wie man die SIP-Daten herausbekommt, ist das mit einer Fritzbox als Mesh-Repeater wahrscheinlich nicht nötig. Die Telefonie des Mesh-Masters kann man auch am Repeater nutzen (ganz am Ende der Anleitung schauen). Ich gehe davon aus, dass das auch mit einem gemieteten Mesh-Master geht.
Wenn zwei Mesh-fähige Fritzboxen vorhanden sind (7490 und 7590), dann ist die Sache m.M.n. klar: Eine Fritzbox im Keller als Router und Mesh-Master, und eine Fritzbox im OG als Mesh-Repeater.
Da die 7590 von der DG als Router vorkonfiguriert wird, kommt die in den Keller, wo sie per Ethernetkabel vom WAN-Port zum NT angeschlossen wird. Ein weiteres Ethernetkabel verbindet einen der LAN-Ports mit dem TP-Link Switch. Die vier LAN-Ports der 7590 reichen nicht, um den Switch wegzulassen. Im OG wird die 7490 nach Anleitung als Mesh-Repeater konfiguriert. Alles andere kann dann so bleiben.
Bei der nächsten Renovierung nicht das zweite Kabel zum OG vergessen, damit in Zukunft wieder ein Router reicht.
Ich hatte mich u.a. deshalb kurzgefasst, weil nicht klar ist, welche Anforderungen zu bedienen sind. Welche Lösung sinnvoll ist, hängt z.B. davon ab, ob noch Festnetztelefone genutzt werden, und wenn ja, wie viele, wo und welcher Art (DECT, analog, ISDN). Für die Übergangszeit bis zur Portierung der Rufnummern müsste dann ggf. auch noch eine Lösung gefunden werden.
Einen dedizierten Mesh-Repeater habe ich empfohlen, obwohl man einen zweiten AVM-Router auch dafür einsetzen kann. Der Grund ist nicht nur, dass ein Repeater i.d.R. billiger ist, sondern vor allem, dass man einen Router auch ganz anders konfigurieren kann, so dass auf den ersten Blick alles funktioniert, aber dann doch Probleme auftreten. Wenn man z.B. den zweiten Router in "LAN1-Konfiguration" hinter den ersten hängt (siehe Kommentar #4), sind die am LAN des zweiten Routers angeschlossenen Geräte nicht mehr vom "Rest des LAN" erreichbar.
Die weiße Box mit vier RJ45-Buchsen ist ein AON-NT (Genexis FiberTwist P2410) und wurde ca. 2018 von den schwarzen GPON-ONTs mit einer RJ45-Buchse abgelöst. Auch beim FiberTwist war aber nur ein Port aktiv und nur ein Router anschließbar. Im Prinzip kann man an alle NTs mit einem Switch mehrere Router anschließen und das funktioniert auch kurze Zeit, aber die DG verhindert solche Konfigurationen mit automatischen Sperren. Also: ein NT, ein Router.
Der TP-Link TL-SG2109WEB ist kein Router sondern ein konfigurierbarer, VLAN-tauglicher Switch.
Wenn es wirklich keine Möglichkeit gibt, ein weiteres Kabel zwischen Keller und OG zu verlegen, dann gibt es im Grunde genommen zwei Möglichkeiten: Router im Keller oder das eine Kabel für beide Richtungen verwenden.
Die einfachere Variante ist, den Router in den Keller zu versetzen. Das ist natürlich schlecht für die Funkversorgung im Haus (WLAN und DECT). Man könnte sich dann überlegen, einen Mesh-tauglichen Repeater mit LAN-Buchse im OG einzusetzen. Der Repeater sollte von AVM sein, weil dann die Konfiguration nahezu automatisch abläuft.
Um stattdessen das Kabel für beide Richtungen zu verwenden, würde ein weiterer VLAN-tauglicher Switch im OG benötigt. Dann könnte man für die Verbindung NT---Router und Router---LAN je ein VLAN konfigurieren. Die billigere Lösung mit Cable-Sharing Adaptern würde dagegen die Internetgeschwindigkeit auf 100 Mbit/s begrenzen.
Ich würde den Router in den Keller verlegen.
Die Gf-TAs werden soweit mir bekannt ist mit einem anderen Kabel angeschlossen, aber ich würde in der beschriebenen Situation nicht damit rechnen, dass ein Gf-TA installiert wird. Die beste Lösung ist m.M. ein Leerrohr oder einen Kabelkanal so in der Garage zu installieren, dass man ein Glasfaserkabel mit Stecker ohne Kraftaufwand durchziehen kann. In diesem Kabelweg würde ich dann aber ein Cat.6 Kabel vom Keller ins Wohnzimmer verlegen und es auf beiden Seiten mit einer Netzwerkdose abschließen. Das Auflegen des Kabels auf die RJ45-Buchsen ist mit Keystone Modulen sehr einfach. Diese Installationsart verringert den Gerätepark und den Kabelsalat im Wohnzimmer. Voraussetzung ist, dass im Keller eine freie Steckdose für das Netzteil des NT vorhanden ist. Das Kabel kann man dann später, wenn man wirklich mal mehr als einen 1Gbit/s Internetanschluss haben möchte oder es unbedingt eine Glasfaserfritzbox sein soll, immer noch gegen ein Glasfaserkabel austauschen.
Das verlinkte Kabel ist praktisch das gleiche wie das von der DG laut Schnittstellenbeschreibung verwendete Kabel (biegetolerant, G.657), aber ich habe auch G.652 gesehen. Mit dem G.657 Patchkabel sind auch enge Biegungen kein Problem, solange man den Stecker nicht um die Ecke zwängen muss. Der ist nämlich lang und unbiegbar. Also geht eine enge Biegung in einem Rohr nicht, aber frei sehr wohl. Nur knicken darf man auch diese Kabel nicht. Nachteile hat ein G.657 Kabel praktisch keine.
Der Vorteil von Cat-Kabel wäre, dass die Installation der DG kompakt aufgebaut und besser gegen Beschädigungen zu schützen wäre. Die Fehlersuche im Bereich des elektrischen Ethernet ist einfacher. Auch ein Cat.7-Kabel darf man aber nicht knicken, wenn man die Cat.7-Eigenschaften erhalten will. Ein Cat.5e-Kabel wäre übrigens schon völlig ausreichend für Gigabit-Ethernet, selbst auf viel längeren Strecken.
