Wenn man eine Enterprise-Firewall an einem klassischen DSL-Anschluss verwenden möchte, benötigt man ein extra DSL-Modem. Dies unterscheidet sich von Heimkundenroutern wie der Fritzbox, die immer schon ein DSL-Modem mit eingebaut hat. Back to the roots – so wie damals, als man ein Dreiergespann aus Splitter, Modem und Router hatte – kennt ihr es noch? ;)
In meinem Fall wollte ich eine Palo bzw. Forti an einem Telekom VDSL-Anschluss betreiben. Zwei Varianten habe ich getestet: Eine zum Modem degradierte Fritzbox (Bastellösung) und ein reines DSL-Modem aus dem Hause DrayTek. Hier ein paar Notizen und Screenshots:
Use Case
Der Anwendungsfall ist eindeutig: Wenn eine richtige Firewall an einem Internetanschluss betrieben wird, möchte man die öffentliche IPv4-Adresse nicht auf einem vorgelagerten Router anliegen haben, sondern direkt am Interface der Firewall. Ein ähnliches Problem hätte man bei IPv6 unter dem exzessiven Einsatz von DHCPv6-PD zwar nicht, würde aber unnötige Komplexität einführen. Daher erspart man auch hier bitte gerne den unnötigen Hop.
Hintergrund: Terminierung von VPNs sowie Zugriff auf interne Ressourcen ohne ein weiteres NAT/Port-Forwarding.
Fritzbox als reines DSL-Modem
Kann ich eine Fritzbox als reines DSL-Modem betreiben? So ganz eindeutig ließ sich diese Frage auch mit viel Googelei nicht beantworten. Es bleibt ein klares Jein. ;) Mit folgendem konfigurationstechnischem Trick geht es:
Das Log der Fritzbox meldet dann zwar fortan, dass es keine Internetverbindung aufbauen kann, aber ein nachgelagerter Router/Firewall kann nun klassisch per PPPoE die Verbindung herstellen. ✅
Hier ein paar Screenshots meiner FRITZ!Box 7560 mit FRITZ!OS 07.30. Man achte auch auf das VLAN 7, welches u.a. an Anschlüssen der Telekom nötig ist:
Wenn ihr mich fragt, dann bleibt das trotzdem eine Bastellösung und keine saubere Angelegenheit. Wie immer empfehle ich meinen Kunden, auf den Einsatz der Fritzbox in Firmenumgebunden zu verzichten. Daher habe ich mich an dieser Stelle um ein echtes/reines Modem bemüht.
DrayTek Vigor167
Bei der Suche nach reinen DSL-Modems kam ich auf zwei Lösungen: Die Vigor Serie von DrayTek als auch Modems von Zyxel. Erfahrungsberichte von mir persönlich bekannten Admins haben mich klar zum DrayTek gebracht. (Danke an Mike B. und Jan Z.) Entschieden habe ich mich für das Vigor167. (Das Vigor166 hat trotz kleinerer Nummer zusätzlich die neuste G.Fast Technik, die ich aber nicht benötigte.)
Das Versprechen des Hersteller ist tatsächlich wahr: Ein frisch ausgepacktes/Hardware-resettetes Modem brauchte keine einzige Konfigurationseinstellung, um an einem VDSL-Anschluss der Telekom (inkl. voreingestelltem VLAN 7) direkt zu funktionieren. Nice. Natürlich bin ich trotzdem auf die Management-UI gegangen, habe ein Firmware-Update eingespielt und alle möglichen weiteren Einstellungen zumindest mal durchgeschaut bzw. leicht angepasst:
By the way: Durch die zwei Ethernet-Ports ist es einfach möglich, sowohl die Firewall an ihren WAN-Port für die eigentliche Internetanbindung anzuschließen, wie auch ein gekapseltes Netz für den Management-Zugriff auf das Modem zu verwenden. Konkret überwache ich es per SNMP von checkmk aus und lasse per Syslog die Logs wegschreiben.
Fazit
Ja, eine Fritzbox lässt sich als xDSL-Modem einsetzen. So richtig schön finde ich das aber nicht. Das Log wird mit Fehlermeldungen zugemüllt und von einer vernünftigen Überwachung seitens eines Monitoringsystems ist auch keine Rede. Da das DrayTek Modem preislich im grob ähnlichen Bereich liegt, sowohl neu als auch gebraucht, ist es von mir die klare Empfehlung.
Ciao und fröhliche Weihnachten. :)
Soli Deo Gloria!
Photo by Leon Seibert on Unsplash.