Cisco 3208 gegen FritzBox 6591 tauschen

[Piecho]

Hallo liebe Forum Gemeinde,
ich habe seit heute folgendes Problem:
Das Cisco Modem (7 Jahre alt) macht seit ca. 2 Monaten im jetzt Vodafon Kabel Netz Probleme. Der Verdacht des Technikers das es am Netzteil liegt, hat sich leider als Falsch ergeben. (Netzteil getauscht, Problem immer noch vorhanden)
Das es die Cisco Dinger nicht mehr gibt, soll jetzt eine FritzBox 6591 dran.
Ich finde jetzt folgende Installation vor und bin nach vielem lesen der Meinung, das dieses mit der Fritz Box nicht funktionieren wird:

Cisco Modem hat eine feste öffentliche IP. xx.xx.xx.209
Dahinter steht eine FortinetFirewall IP: 5.xx.xx.210 (baut eine VPN Verbindung zur Zweigstellt auf, arbeiten über Terminalserver)
intern ist dann eine andere Netzwerk IP Verteilung.
direkt am Modem ist noch ein Server angeschlossen : IP 5.xx.xx.211


Kann ich die Fritzbox umbauen als reines Modem mit der gleichen IP wie oben? so das ich dann mit der Firewall an Port 2 und dem Server an Port 3 raus und rein kommen.
Die Firtzbox bekommt ja weiterhin nur eine IP zugeteilt. Sie soll ja wie jetzt das Modem alles durchlassen.

Bevor ich jetzt Vodafon das O.K. gebe wollte ich mich nur hier rückversichern.

Vielen Dank schon mal.
Gruß
Piecho

 

[Fujiyama]

Ich weiß nicht ob man im Professionellen Bereich mit ner FritzBox einen gefallen tut, generell sollten solche Sachen auch durch passendes Personal geplant und umgesetzt werden.

 

[beercarrier]

Habe eine sehr ähnliche Konstruktion hier bei mir.
Vodafone Kabel auf Modem auf Sophos. Eine Fritzbox kann nicht als reines Modem dienen allerdings kann sie 1zu1 NAT. Statische öffentliche IP gibt es vermutlich nur, außer das ist eine Option die zu irgendwas gebucht wurde, weil im Kabelnetz nie ein Zwangstrennung vorgesehen war. Vodafone eigene Router wie z.B. Vodafone Station kann man in den Bridge Modus setzen, dann dienen sie als reines Modem mit PPP.

Hmm, Fujiyama hat recht. Das der Server nicht hinter der FW hängt sagt sehr viel, es wäre vermutlich wirklich besser für die Firma du würdest das lassen oder deutlich mehr Zeit (und oder Geld) in eine Weiterbildung investieren.

 

[Piecho]

Leider bekommt man von Vodafon nur noch die FB angeboten. Die bieten dem Kunden kein anderes Modem an. Stand Montag um 9.30 Uhr. So sagt es der Kunde.
Ich habe mir jetzt die Firewall angeschaut und frage mich jetzt auch, warum der 2 Server vor der FW hängt.
Nach Rücksprache mit einem der Chefs und da packe ich mich jetzt am Kopf. Ist das ein PC vom Sohnemann der als Server hier steht und er da drauf zwei Spieleserver laufen hat, da ja hier immer eine feste IP vorhanden ist.
Also kann der schon mal weg.
Somit neuer Stand:
FB mit fester IP, dahinter die Firewall, also soll die FB nur alles durchlassen, damit die Firewall es regeln kann. So ist es ja jetzt auch.

Kann mir jemand eventuell sagen ob es doch bei VF eine alternative zu der FB gibt?

 

[t-6]

Ich weiß nicht ob man im Professionellen Bereich mit ner FritzBox einen gefallen tut, generell sollten solche Sachen auch durch passendes Personal geplant und umgesetzt werden.

-->

Dahinter steht eine FortinetFirewall IP: 5.xx.xx.210 (baut eine VPN Verbindung zur Zweigstellt auf, arbeiten über Terminalserver)

Fritzboxen sind auch bei Business-Anschlüssen mit (mehreren) statischen IP-Adressen von Unitymedia weit verbreitet.

Kann ich die Fritzbox umbauen als reines Modem mit der gleichen IP wie oben? so das ich dann mit der Firewall an Port 2 und dem Server an Port 3 raus und rein kommen.

Das könnte etwas knifflig werden, da du in der Fritzbox nur einen "Exposed Host" eintragen kannst, und das sollte typischerweise die Firewall sein. Falls die Firewall bei euch aber nur ausgehend arbeiten muss & keinerlei Zugriff von extern auf die FW oder Dienste hinter der FW bekommt, dann könnte man den Exposed Host auf den Server setzen.

Aber überhaupt: Was macht dieser "Server" bei euch der parallel zur Firewall steht? Warum sitzt der nicht hinter der Firewall?

edit:

Ich habe mir jetzt die Firewall angeschaut und frage mich jetzt auch, warum der 2 Server vor der FW hängt.
Nach Rücksprache mit einem der Chefs und da packe ich mich jetzt am Kopf. Ist das ein PC vom Sohnemann der als Server hier steht und er da drauf zwei Spieleserver laufen hat, da ja hier immer eine feste IP vorhanden ist.

Fucking LOL.

Kann mir jemand eventuell sagen ob es doch bei VF eine alternative zu der FB gibt?

Jein, ist ein wenig kompliziert. Zumindestens in BW ist es so, dass die Fritzbox auch im Bridge-Modus anscheinend nicht stumpf auf Layer 2 alles weiterreicht, sondern auf Layer 3 als Gateway arbeitet.
Die GW-IP die du bspw. bei der hintergeschalteten Firewall angibst wenn du die statische IP einrichtest? --> Das ist die Fritzbox. Und ich vermute ein wenig, dass allein dieses Konstrukt es erschwert, dass du dir irgendein DOCSIS 3.1-Modem kaufen kannst und Unitymedia/Vodafone mitteilst "hier, neue WAN-MAC, mach ma", wie es bei Privatkunden möglich ist bzw. sein muss.

Hinweis: Es handelt sich hierbei nicht um doppeltes NAT. Es ist nur so, dass das Gateway nicht im Kasten an der Straße oder beim Provider steht, sondern direkt bei dir im Haus.

 

[Zeitwächter]

Leider bekommt man von Vodafon nur noch die FB angeboten. Die bieten dem Kunden kein anderes Modem an.

Kann mir jemand eventuell sagen ob es doch bei VF eine alternative zu der FB gibt?

Für den Kabelanschluss gibt es aktuell leider kaum ein großes Sortiment an aktuellen Geräten.
Ich habe mich da auch erkundigt und da gibt es dann als sinnvolle Wahl nur die Box des Anbieters oder FritzBox. (https://geizhals.de/?cat=wlanroutmod&xf=18336_koaxial)

 

[MadMax_87]

Nach Rücksprache mit einem der Chefs und da packe ich mich jetzt am Kopf. Ist das ein PC vom Sohnemann der als Server hier steht und er da drauf zwei Spieleserver laufen hat, da ja hier immer eine feste IP vorhanden ist.

"Bot-Netz aus meiner Firma raus?Nene das kann nicht sein ich hab doch ne firewall oder so ähnlich heißt das...."
Bestes Beispiel wie man es nicht machen sollte, aber hauptsache der Sohnemann kann zocken...oh man

 

[Piecho]

Ich habe jetzt mal den Spiele-Server runtergefahren. Mal schauen wann der Papa angerufen wird. :-)

 

[polyphase]

Ich habe jetzt mal den Spiele-Server runtergefahren. Mal schauen wann der Papa angerufen wird. :-)

🤣

 

[Piecho]

So, folgender Stand jetzt:
Den Spiele-Server hat der Sohn heute früh abgeholt. Fand es ja sehr unverschämt, dass ich gestern ohne Vorwarnung den runtergefahren habe.

Ist noch das Cisco Modem und dahinter die Fortinet Firewall.
Sprich 1. feste Ip geht an das Cisco Modem und eine feste IP an die Fortinet. Diese baut den VPN auf zur Zweigstellt. Das Cisco Modem lässt alles schön durch. Mit einer festen IP müsste doch die FB fertig werden oder?

 

[t-6]

Das Cisco Modem lässt alles schön durch. Mit einer festen IP müsste doch die FB fertig werden oder?

Ja, natürlich. Exposed Host in der Fritzbox nicht vergessen bzw. generell den Leitfaden anschauen, wie man mit einer Fritzbox an einem Kabel-Anschluss mit statischen IPs & hintergeschalteter Firewall arbeitet.

Aber, Vorsicht: Es kann sein dass mit dem Wechsel auf eine Fritzbox die Anschlussart geändert wird, inkl. neuer statischer IP. Wir durften das zwei mal mitmachen, dass Vodafone wegen Konsolidierungsarbeiten uns neue statische IPs gegeben hat, eben um die alte KabelBW bzw. Unitymedia-Infrastruktur abzulösen. Bei vielen unserer Kunden auch.
War der vorherige Anbieter bei euch der das Cisco-Modem seinerzeit geliefert hat überhaupt schon Unitymedia, oder war das u. U. KabelBW?

 

[Piecho]

Es war noch UNitymedia. Der Anschluss ist von 2012. Erst eine FritzBox 6360 , dann durch neue Download/Upload Geschwindigkeit ein Hitron Modem. Da gab es bei der VPN Verbindung nur Probleme.
DAs Cisco Modem ist jetzt seit 2014 oder 2015 dran.

Der Mitarbeiter von VF hat mir heute morgen schon gesagt, das wir wahrscheinlich neue Ip´s bekommen.
Aber von der FB will der nicht abweichen.

 

[t-6]

Der Mitarbeiter von VF hat mir heute morgen schon gesagt, das wir wahrscheinlich neue Ip´s bekommen.

Jau, dachte ich mir. Aber ist ja nicht so schlimm wenn der Anschluss nur raus geht.

Aber von der FB will der nicht abweichen.

Joar. Ich hab bis jetzt auch noch nix anderes als eine Fritzbox an VF-Kabel-Anschlüssen gesehen. Hat mglw. auch was mit dem Tarif zu tun. Zumindest bei UM-Zeiten war es noch so, dass wenn man einen Tarif ohne Telefonie gewählt hat, man noch einen zum Modem verdongelten Hitron-Router bekommen hat bzw. bekommen konnte, der heute noch astrein bei ein oder zwei Kunden funktioniert. Lief direkt im Bridge-Modus, und zwar ohne dass man noch extra ins Menü vom Gerät musste um erst noch den Exposed Host einzuschalten und sonstiges Gedöns.

Hat mglw. auch was mit dem Bundesland zu tun. Wo ist das?

 

[Piecho]

NRW.
Es gehen laut Chef auch auch Daten rein.
1. der VPN Tunnel
2. 4 HL7 Schnittstellen die über die Fortinet laufen
3. Einwahl von anderen Kunden um Ihre Unterlagen abzuholen.

So langsam kommt hier immer mehr an Licht.

 

[t-6]

Es gehen laut Chef auch auch Daten rein.

Na dann ist da ja auch kein Problem, weil die eingehenden Dienste ja über DNS angesprochen und geändert werden können und nicht über die IP. Oder?

...oder?

 

[Piecho]

Nein über die feste IP, deswegen wurde wohl damals der Vertrag mit fester IP gemacht.
Die zu Informieren wäre aber laut Ihm kein Problem.

 

[t-6]

Nein über die feste IP, deswegen wurde wohl damals der Vertrag mit fester IP gemacht.

Äh naja, trotz dass man feste IPs bucht, sollte man nichtsdestotrotz Zugriffe über DNS abstrahieren, damit man anschließend nur den A-Record oder CNAME im Backend ändern muss, wenn sich mal die IP für den Dienst ändern sollte.

Die zu Informieren wäre aber laut Ihm kein Problem.

Dann wäre der Vorschlag folgender um die Umstellung so reibungslos wie möglich zu gestalten:
Setzt JETZT einen A-Record auf die ALTE IP-Adresse. TTL (noch) relativ niedrig setzen. 5 Minuten oder kürzer.

Kommuniziert den Kunden "aufgrund einer anstehenden technischen Änderung bitten wir Sie für den Zugriff auf $Dienst ab sofort nicht mehr die fest eingetragene IP zu nutzen, sondern diesen DNS-Namen: diensteintrag.piechosfirma.de Wenn Sie nicht wissen wie und wo, melden Sie sich."

Sinngemäß dasselbe für die VPNs & die HL7-Schnittstellen. Überall muss der DNS-Name genutzt werden.

Anschließend, wenn alle (oder so viel wie möglich) umgestellt ist:

Fritzbox anschließen.
Wenn der Anschluss mit der neuen IP steht, sofort den DNS-Eintrag ändern.
Exposed Host auf die Firewall nicht vergessen.

Fertig.

Am nächsten Morgen werden dann nur die Nachzügler abgearbeitet die selbstverständlich die Info über den DNS-Namen nicht gelesen haben, statt dass du an dem Morgen ALLE Leute abtelefonieren musst um denen die neue IP mitzuteilen.
Und durchs DNS ist man für die Zukunft gerüstet.

Fast noch besser, so machen wir das:
Wir haben für unsere unzähligen Internetanschlüsse & deren statische IP-Adressen bzw. Schnittstellen separate A-Records gesetzt:
wan1.firma.de
wan2.firma.de
wan3.firma.de
usw.

Für die jeweiligen Dienste (VPN, Reverse Proxys, Exchange CAS etc. pp.) haben wir wiederum CNAMES, die auf diesen oder jenen A-Record der stat. IPs zeigen:

exchange.firma.de CNAME --> wan1.firma.de
vpn.firma.de CNAME --> wan2.firma.de

So sind wir flexibel welchen Dienst wir auf welcher stat. IP haben wollen.

 

[Piecho]

Perfekter Vorschlag.

Wichtig war für nur, dass die neue FB auch als Modem genutzt werden kann. Da habe ich jetzt alles möglich dazu gelesen.
Aber so ist es gut beschrieben.
Bin jetzt auf den Schalttermin gespannt. Versuche zwischen den Tagen einen zu bekommen, da ist hier eh alles dicht.

Vielen Dank an alle.