Glasfaseranschluss und VPN Tunnel für feste IP.

Hallo Wolfgang,

(Sorry, my German-speaking brain isn't creating thoughts at the moment. )

I'm assuming that you're talking about an IPsec VPN.  Without a fixed IP, use one of the free DynDNS services so that you can use an FQDN instead of a numeric IP.  The UTM will automatically update the DynDNS service if/when your IP changes.

For the other questions, are you asking about inbound or outbound traffic to/from the UTM?

MfG - Bob (Bitte auf Deutsch weiterhin.)

Hi BAlfson,

well, i got one /28 and one /29  Class C Network for my Web/Mailserver. I am hosting my own Website , my own mailserver / nameserver with these IP Networks and some stuff for my hobbys and so on, as well.

So due to the fact, that have my own IP Networks, i only need the fiber hoster for "dail up" and then a tunnel where i get those ip networks thru.

i only have basic VPN knowlegde and i know how an VPN works, but i have no clue how to setup such thing with the UTM, if possible at all.

so basicly an DSL / VDSL account thru VPN to my old hoster with the new fiber "dail up".

Hallo Wolfgang,

ich verstehe nicht genau was du vorhast.

Wie schon schrieb, ist ein VPN-Tunnel zu einer bekannten IP oder einem Dynamisch gebundenen Namen (DynDNS) möglich.

Aber was möchtest du machen, wenn der Tunnel steht?

- auf "interne" Ressourcen zugreifen?

- durch den Tunnel "ausgehend" arbeiten?

- die "alten" externen festen IP Adressen nutzen?

Soll der Tunnel für eine "Einwahl" genutzt werden? Falls nicht, wo soll sich das andere Tunnelende befinden?

Hallo Dirk,

also...

Ich habe jetzt einen VDSL Anschluss der Telekom. 

Über diesen wird eine PPPOE Einwahl bei einem anderem Dienstleister (nicht Telekom) hergestellt, der mich mit meinen IP Adressen und dem VDSL versorgt. Dieser Dienstleister nutzt dazu die Telekom Infrastruktur.

Nun ziehe ich demnächst um. Dort gibt es entweder 16 Mbit Telekom oder 500 Mbit EON Glasfaseranschluss.

Jetzt war also die Überlegung, den alten VDSL Anschluß per VPN an meinen alten Dienstleister zu Tunneln und das über den neuen EON Glasfaseranschluss.

Ich habe aber keine Ahnung ob das geht und wie das gehen würde.

Ich möchte im Prinzip das was ich jetzt habe weiter nutzen.

Also im Prinzip sowohl den "normalen" Traffic der Familie ( Surfen, Netflix , YT, usw. usw.)

Dann dazu die Web, Mail , DNSserver die jetzt in einer DMZ hängen, mit allem was eben dazu gehört.

Im Prinzip also so Tunneln, als wäre das mein bisheriger DSL Anschluss.

Ich habe also 3 reale Interfaces

>Internes Netz

>>DMZ

>>>WAN

WAN macht die Einwahl via PPPOE 

Ich würde soweit möglich das so belassen wollen. Also die Einwahl bei EON über das WAN Interface und dadurch dann einen Tunnel zu meinen alten Dienstleister so das ich das Interne Interface und die DMZ weiterhin so nutzen kann wie bisher, sofern möglich.

Wolfgang, I fear that your design is unworkable, but I don't know the constraints on ISPs in Deutschland.  Your organization would probably benefit from buying two hours or more of Dirk's time to design how you will configure the UTM and your environment.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Hallo Wolfgang,

wie Bob schon schrieb, das Tunneln eines öffentlichen IP-Bereiches über einen anderen Provider ... wird schwer möglich sein.

Es müsste ja ein ISP das Routing zu "seinem" Subnetz über einen anderen ISP realisieren ... so flexibel sind die nicht.

Gern kann ich bei der Anpassung des Designs oder dem Umzug zu einem anderen ISP unterstützen.

Hallo Dirk, 

Hallo BAlfson,

hier mal ein Auszug aus der Mails meines jetzigen Anbieters:

Für statische IPv4-Adressen gibt es dann die Möglichkeit, je nach Bandbreitenbedarf der darauf
angebotenen Dienste

- diese zusätzlich über einen DSL-Anschluss laufen zu lassen
- diese über einen VPN-Tunnel zu beziehen

die IP-Adressen werden Ihnen einfach über den Tunnel übergeben. Das ist ein OpenVPN-Tunnel, den wir
verwenden. NAT, Firewalling etc. (falls benötigt)würde dann auf dem Rechner/Router/Firewall
passieren, der den VPN-Tunnel zu uns aufbaut. 

Wow ... ich versuche mir gerade vorzustellen, wie das aussehen würde ...

Tunnelvariante:

Dein Provider würde dir feste Adressen für die UTM geben und dafür sorgen, dass diese durch den Tunnel erreichbar sind.

OpenVPN als Client habe ich mit der UTM noch nicht gemacht. Ist bestimmt nicht ganz einfach. Auch das Routing wäre mir unklar. Da ja alle Antwort-Pakete in den Tunnel müssten, könnte es sein, dass die default-route dann dorthin zeigt.
Das wäre für die Performance beim Surfen sicher nicht optimal, wenn alles erst mal durch das VPN muss. Aber evtl. lässt sich hier auch was mit Policy-Routing basteln. (? Bob ?)

Variante mit zusätzlichem DSL-Anschluss

der Provider arbeitet mit den alten festen IP's wie bisher über den neuen DSL-Anschluss.

Der DSL-Anschluss erscheint als 2. Provideranschluss. Die Funktionsweise ist klar. Das läuft häufig so bei kleineren Firmen.

Die 2. Variante würde mir besser gefallen, ist aber sicher teurer als nur ein Anschluss. Dafür gewinnt man aber evtl. noch Redundanz.

With an IPsec tunnel, one can bind the tunnel to an interface and then use Static Routing.

With an SSL VPN, one can select the 'Interface Address', so that requires a separate public IP.  Connecting OpenSSL with the UTM's SSL VPN should be possible, but all I've seen here are failed attempts.  Doing so is not for the faint of heart.

Connecting an OpenSSL remote access client works seamlessly with UTM SSL VPN Remote Access..

MfG - Bob (Bitte auf Deutsch weiterhin.)

With an IPsec tunnel, one can bind the tunnel to an interface and then use Static Routing.

With an SSL VPN, one can select the 'Interface Address', so that requires a separate public IP.  Connecting OpenSSL with the UTM's SSL VPN should be possible, but all I've seen here are failed attempts.  Doing so is not for the faint of heart.

Connecting an OpenSSL remote access client works seamlessly with UTM SSL VPN Remote Access..

MfG - Bob (Bitte auf Deutsch weiterhin.)