Juniper SSG5 an VDSL Deutschland-LAN-IP 100

hallo zusammen,

Ok.
Also 4 Leitungen über einen Multi WAN Router, ist das so richtig?

Also nur das wir hier von ein und der selben Sache reden, Ihr habet von 4 Leitungen, an zwei Leitungen,
zwei Allnet Modems (Modulatoren) und eine Juniper SSG5-Firewall, also eine Dual WAN Lösung.

Ok

Ist das auch wirklich VDSL? Oder gar mittels Vectoring?

Warum kann man den neuen Modemrouter nicht nutzen? Weil es ein Router ist und kein Modem?

89 MBit/s plus den Overhead und plus die Firewallregeln sind ja schon 100 MBit/s, passt doch gut.
Ein Frage noch dazu sind das nun 2 x 100 MBit/s oder nur 1 x 100 MBit/s an der SSG5 Firewall?

An was das alles in dem Verteilerkasten der Telekom auf dem Bürgersteig angeschlossen wird
ist doch eigentlich völlig wummpe oder?

Modem und SSG Firewall mal alles auf "factory defaults" (Werkseinstellungen) gesetzt
und die Daten neu eingegeben und dann noch einmal probiert?

Also sollte der fehler doch bei der SSG5 zu finden sein oder?


Schon möglich nur wie wurde es denn bei den beiden anderen versuchen bei Dir eingegeben?
Direkt am PC bzw. am Zyxel Speedport 5501?

Kann es daran bei der SSG5 liegen?

Gruß
Dobby

Das ist natürlich laienhafter Blödsinn und zeugt eher von Unkenntniss der Produkte oder Materie. Als Beispiel mal gezeigt wie es bei Cisco geht:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV

Hier kannst du sehen wie man es mit VDSL macht...ist identisch wie bei der Juniper:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Übrigens ist das eine Open Source Lösung die sowas mit links kann und natürlich auch die oben genannten renomierten Hersteller. Aber auch wenn das so wäre könnte man immer ein nur Modem nehmen was ein ID 7 Tagging von sich aus macht wie die Speedports oder Draytek. Damit wär das Problem auch keins mehr.

Appropos...schon ein Firmware Upgrade bei der Juniper gemacht ?!
http://www.heise.de/ix/meldung/Netzausruester-Juniper-findet-Schnueffel ...
http://www.heise.de/security/meldung/Juniper-entfernt-NSA-Zufallsgenera ...

Mmmhhh...in einem Administrator Forum...widerspricht sich ein bischen
Wohl wahr ! Sollte dir auch nur zeigen das es generell gilt und man lediglich VLAN Tagging mit ID 7 auf dem Port aktiviert. Das sollte ein Premium Hersteller wie Juniper mit links supporten...auch mit kryptischer Setup Sprache...
Fazit: Du hast 2 einfache Optionen was dein Problem (das keins ist) im Handumdrehen fixt:
1.) Aktiviere ID 7 VLAN Tagging am Endgeräte Port und nimm ein einfaches nur Modem was KEIN Tagging macht davor.
2.) Ohne VLAN 7 Tagging vom Endgerät nimmst du ein nur Modem was von sich aus das Tagging anfügt. Diverse ältere Speedport Gurken machen das.
Das ist doch Unsinn !
Sorry, aber DU hast doch selber VDSL beauftragt. Da ist es doch logisch das der Provider was am Übergabepunkt ändert, denn jeder Netzwerk Hansel weiss doch dann das dort immer ein VLAN 7 Tagging erforderlich ist bei VDSL.
Der Provider ist also vollkommen raus aus der Sache. Der macht technisch das was er machen muss um die von dir bestellte Leistung zur Verfügung zu stellen. Mit eben den bekannten technischen Standardvorgaben

Guten Tag, zusammen!

Wir stehen hier seit Samstag mit dem selben Problem da.
Nur mit einer SSG20.

Haben seit neun Monaten VDSL50 hier im Dorf. Nun hat die Telekom auf die neuen sogenannten BMG-Baugruppen migriert. Diese funktionieren ausschließlich mit einer PPPoE-Anmeldung mit VLAN-ID7-Tag im Header oder mit Line-ID. (o-Ton Telekom-Support / und das wars auch schon)

Line-ID geht hier nur bei AutoConfig (im kundencenter einstellbar) des Routers und dynamischer IP-Adresse.
Will man eine statische IP benutzen, muss man ein PPPoE Profil mit den Anmeldedaten nutzen.

Bei Juniper sagen sie aber ganz klar, dass PPPoE nur über ein physical-Interface funktioniert...

http://kb.juniper.net/InfoCenter/index?page=content&id=KB26008& ...
CAUSE:
This is by design. Sub-interfaces cannot be selected for the PPPoE profile on ScreenOS devices.
Sprich diese SSG-Serie ist nicht dazu in der Lage. Traurig!

Ich bin auch Kein Netzwerker sondern reiner Server- und Workstationadmin und MA-Supporter.
Die Einrichtung hat damals ein externer MA gemacht. Den will hier allerdings niemand mehr sehen.
Also hab ich mich versucht zu informieren. (Solltest Du auch mal machen und aufhören zu dissen und zu flamen. Man stellt sich nicht hin und lässt sich bedienen. Bissl was solltest Du auch tun!)

Mein Halbwissen:
- Die Fritzbox 7490 kann die Anmeldung über PPPoE übernehmen und dann wohl die Session "einfach" ins LAN schicken. Praktisch als Modem, welches für den Router auch die Session aufbaut. und stumpf an den Router übergibt.

oder

- Den ZyXEL trotzdem nutzen. Der meldet sich an und tut das, was er tun soll
- die SSGx mit Klemme 0/0 an einen ZyXEL-LAN-Port mit IP xxx.xxx.xxx.xxx /24 ohne dhcp
- SSG5-Klemme 0/0 umkonfigurieren
-- PPPoE weg

soooo. und an diese Stelle verließen sie mich. Ab diesem Punkt benötige ich externe Hilfe.

Hallo, liebes Administrator-Forum
Hier sitzen die wohl klügsten Köpfe. Habe euch zwar noch nicht anschreiben müssen, aber den ein oder anderen hilfreichen Tipp habe ich hier schon gefunden. Es gibt für alles gibt es ein erstes Mal.

Meine Frage:
FritzBox mit SSG oder ZyXEL mit SSG. Auch ich habe die Ausgaben so gering, wie möglich zu halten.

Wir sind nur begrenzt arbeitsfähig. Die Rudimentärfunktionen sind aber in Betrieb. Habe eine Woche Zeit, bevor dieses Thema via Geschäftsführung an ein erheblich teureres, externes Unternehmen eskaliert wird.

Wenn ich die SSG an den ZyXEL packe, kann ich doch bestimmt mit einer statischen Route sagen, das der gesamte Trafic, der von den anderen Klemmen kommt auf 0/0 geleitet wird und diese 0/0 alles Richtung ZyXEL schickt, oder? und im ZyXEL öffne ich dann einfach nur die Ports, die ich für meine Dienste brauche?

Wie gesagt. Gefährliches Halbwissen...

Jetzt schon mal ein dickes Danke!

Edit:

Also DetailTeufel!

Das Zauberwort heißt: PPPoE-Passthrough
Bei älteren Fritz!Boxen gabs dass, dann wieder nicht, un mit der 7490 gibt es das wieder.
Hat mich neben meiner normalen Arbeit ca. 40 Minuten gekostet. Wir schaffen diese Box nun an.

Grundsätzlich nur PPPoE konfigurieren, Passthrough aktivieren, dann werden alle Daten, welche von der Telekom kommen einfach an die SSG weitergeleitet. (Denke ich)
Noch ein zwei Stunden Recherche, dann sollte ich alles raushaben. FB ist bestellt und kann morgen schon abgeholt werden.
Wenn Du lieb bist, schreib ich Dir, wie's geht!

OK, wo ist also dein Problem ?? Beschaff dir ein VDSL Modem wie das Draytek 130 http://www.draytek.de/vigor130.html schliess deine Juniper da via PPPoE an und gut iss.
Was bitte ist daran denn so schwer ?? Das sollte auch jeter IT Azubi hinbekommen....

Wenn du unbedingt einen Router davor kaskadieren willst ist das dann noch einfacher... Guckst du hier:
Kopplung von 2 Routern am DSL Port
Die Kaskade hat aber den gravierenden Nachteil das du dann 2mal NAT machst ! Wenn die Juniper also ein VPN Gateway für remote Mitarbeiter ist dann musst du auf dem davor kaskadiertem Router entsprechendes Port Forwarding machen.
Die Installation mit einem reinen Modem ist technisch immer die bessere als eine NAT Kaskade.
Das größte Problem ist ganz sicher NICHT die HW an sich sondern das du Laie bist (Hablb- oder gar kein Wissen) und damit vermutlich überfordert.
Mit einem richtigen VDSL Modem wie dem Draytek oben ist das in lächerlichen 10 Minuten erledigt...!!
Und auch klärt man in der IT sowas immer VOR einen Migration auf eine neue Internet Anschlusstechnik !! Gut...bei ner Würstchenbude ohne IT nicht...

*g*
Nich ganz Würstchenbude. ... Metallverarbeitung. Und IT wird hier ehr so angepackt, nach dem Motto, Hauptsache es geht und kostet nichts.
Ich werde zwar gut bezahlt, aber du hast Recht, ich bin derzeit überfordert und auf dem Gebiet ein echter DAU.

Was ich immer noch nicht verstehe, ist, wie ich die PPPoE-Daten mit diesem verflixten Tag versehen kann. Bei deiner Version (Draytec mit SSG)... wer meldet sich da wie an und wer sendet was wohin weiter.

Ich weiß, dass das nervig ist. Aber ich bin jemand, der verstehen will was er da macht. Ich habe noch nicht viel Berufserfahrung und auf diesem Gebiet schon mal garnicht.

Eine Erklärung wäre nett. Aber nicht als Link. Bei den meisten Fachberichten wird zu viel Vorkenntnis erwartet.
Einfach für Dummis. Mir scheint grade nämlich ,dass ich das mit dem PPPoE-Passthrough nicht richtig verstanden habe.

Also.

- Mein ISP erwartet von mir eine Anmeldung via Line-ID oder PPPoE-Profil mit VLA-ID7
- Mein Router ist hierzu baulich bedingt nicht in der Lage
- Mein Modem ist hierzu baulich nicht in der Lage
- Anschaffen FritzBox 7490

- In der FritzBox wird das PPPoE-Profil eingetragen? Oder weiterhin im Router und die FritzBox gibt das an den ISP weiter?
- Wie kann denn dann die FB diesen VLAN-ID7-Tag anfügen?

Sorry, aber ich verstehe das nicht...


BTW: Niemand hat und von einer Migration auf irgendwelche neuen Baugruppen informiert. Keine Post, kein Anruf, keine Informationen über etwaige Parameteränderungen.

Das ist eigentlich ganz einfach. Du musst dem Juniper nur sagen das er auf dem WAN Interfae ein VLAN Tagging machen soll. Ich kenn jetzt nicht die genaue Syntax (bei Juniper ist die gruselig) aber das ist ganz einfach gemacht.
Dann macht der Juniper ein VLAN 7 Taggigng an dem Port.
Dann sogt man ihm auch noch das die Encapsulation dort PPPoE ist gibt die VDSL Zugangsdaten ein und fertig ist der Lack !

Beim Juniper muss man dafür ein Subinterface auf dem WAN Port konfigurieren und dem ein VLAN 7 Tag mitgeben ala:
set interface ethernet0/0.1 tag 7 zone VLAN ip 1.1.1.1/24

Das es problemlos mit den Junipers geht sagt auch der Thread hier:
Welches Modem für VDSL50 kann bzw. soll ich vor eine Juniper SSG-5 Hardware Firewall setzen?

Die denkbar schlechtesten Voraussetzungen...
Was VLANs respektive VLAN Tagging bzw. 802.1q im Ethernet usw. sind weisst du aber schon oder scheiterst du auch schon an dieser Einstiegshürde ?
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ohhh...shit schon wieder falsch gemacht.... Moment muss dann noch eben ein MP3 Audiofile für dich aufnehmen oder besser gleich ein Video...
https://www.youtube.com/watch?v=TuGoZ9TgTOA
Grrrr...schon wieder ein Link...sorry.
Das ist dann so wenn du mir was von Vidia Bohrern, Drehbänken oder Feilen oder Kugellagern oder Schweissgeräten erzählst (Metall) gleiches Problem wenn Grobmotoriker auf Feinmotoriker treffen...was erwartest du also ?! Sei mal realistisch...
OK, der ist einfach....
Ein Modem und hier und auch oben ist wirklich ein reines Modem gemeint und KEIN Router mit integriertem Modem. Reicht nur durch, sprich das PPPoE was am Ethernetport reinkommt geht auch am VDSL raus zum Provider.
Ein Router kann das nicht, denn der spricht ja am xDSL Interface selber PPPoE. Schickt man dem ein PPPoE Packet blockt der das logischerweise.
Manche Router lassen sich deshalb zu einem quasi nur Modem machen mit PPPoE Passthrough = engl. = Durchlassen
Du ahnst bereits was damit gemeint ist. So ein zum Modem gemachter Router lässt das PPPoE dann einfach passieren zum Provider, und der terminiert die Provider IP Adresse dann direkt auf der FW. Eben genau so wie es sein sollte.
Ganz einfache Lösung !
Klar....macht jeder Provider der Welt so und kann jeder 20 Euro Baumarkt Router.
Ist so wenn du an die Tankstelle fährst. Da erwartest du das Super aus der Säule kommt und kein Whiskey !
Gut wenn du einen ADSL Router hast ist das klar, denn die kennen das VLAN 7 Tagging nicht bei ADSL. Das ist ja erst mit VDSL gekommen.
Muss es auch nicht ! Modems reichen ja nur durch. Was hast du denn für ein Modem ?? Ist das ein VDSL Modem wie das Draytek ?
Das Tagging macht ja auch deine Juniper ebenso wie das PPPoE.
Das Modem reicht dann nur durch an den Provider...et voila...Problem umfassend gelöst !
Wäre Schwachsinn, denn ein einfaches Modem reicht. Kann man machen, hat dann aber das problem mit der Kaskade und dem doppelten NAT. Technisch klappt es aber.
Ja aber nur wenn du die FritzBox als kaskadierten Router vor die FW so schaltest. Wie bereits oben gesagt ist die technisch bessere Option ein reines VDSL Modem zu nehmen wie das Draytek z.B. und PPPoE und VLAN Tagging auf dem FW Port direkt zu machen.
Wenn die FB eine VDSL fähige FB ist macht die das von sich aus.
Na ja deine obigen Ausführungen zur Firma sagen ja alles zu dem Thema. Wer so einen Einstellung zur IT hat von der wesentlich ein Geschäftserfolg abhängt dem ist nicht mehr zu helfen.
Vielleicht ist diese Kleinigkeit mit der FW jetzt mal ein heilsamer Schock !

Ja. Das ist es in der Tat!!
Genau da liegt das Problem laut Juniper.
http://kb.juniper.net/InfoCenter/index?page=content&id=KB26008& ...
Dass ich ein physikalisches IF nicht einer virtuellen Zone kombinieren kann... Glaube ich zu mindest, so verstanden zu haben.
So langsam wird mir einiges klar. Wenn man an einen Crack, wie Dich gerät, kommt man sich echt unheimlich dämlich vor.
Genau, wie der Jammerlappen von oben ein ALL-BM100VDSL2V von Allnet
Doppeltes NAT = mehr Sicherheit? Ports forwarden sollte nicht das Problem sein.

Werde noch mal alles auf Werkseinstellung zurücksetzen und von vorne anfangen. Hab ja noch Zeit.
Ich check mal, was dabei rauskommt, wenn ich in der SSG das IF via Script manipuliere...

Nee nee...locker bleiben. Dafür weisst du wie man Chrom Widia Stahl feilt da bin ich dann der Jammerlappen...
Nein eigentlich = doppelter Stress und doppelte Probleme. Port Forwarding ist immer ne üble Lösung auch in Bezug auf Performance. Was nützt dir der Porsche wenn du den mit einem Dacia Logan über die Autobahn ziehst....
Wenn du kannst löse es mit dem Modem und dem Tagging auf der FW. Einen kaskadierten Router davorzuschalten sollte immer nur die 2te Wahl sein wenn gar nichts mehr geht.

alles klar.

Da mein Sohn Geburtstag hat, habe ich die letzten beiden Tage wenig gelesen...

Hab ich das nun richtig verstanden?

Entweder, ich habe ein reines VDSL2V-Modem mit einem Router, welcher VLAN-7-Tagging für VDSL kann (VDSL kompatibel ist)

Oder ich muss den ZyXEL-Modem/Router mit meinem SSG5-Router kaskadieren

stimmt das so?

Nein nicht ganz ! Bitte nicht Modem und Router mit integriertem Modem (sprich nur Router) hier wieder durcheinanderwürfeln...!
So ist es richtig:

• Entweder du hast ein reines VDSL Nur Modem (Draytek etc. ohne Router !) schliesst das an den WAN Port der FIrewall an und machst PPPoE und Tagging auf der Firewall. (Tagging kann ggf. auch das Modem wenn man ein entsprechendes verwendet !) Hie man das generell anschliesst siehe HIER.
• Oder du kaskadierst irgendeinen VDSL Router deiner Wahl vor der Firewall. Der Router übernimmt dann das Tagging und die PPPoE Einwahl und die Firewall wird dann nur einfach per Ethernet IP an den Router (LAN Port) angeschlossen. Nachteil: Doppeltes NAT

Die erste Variante ist die technisch Bessere. Die zweite sollte man nur machen wenn man die erste nicht realisieren kann...aus welchem Grund auch immer.

Traurig, Traurig....

keinen cent... Also kaskadieren...

Hat alles sehr gut funktioniert.
- Speedport5501 wählt sich nun über Line-ID ein und bekommt die im Kundencenter eingestellte feste IP
- LAN-Klemme hat eine IP in einem 24bit Subnetz (11.12.13.14....)
- alle benötigten Ports werden an die 11.12.13.15 geforwardet
- WAN-Klemme an der SSG20 hat die 11.12.13.15
- PPPoE Profil in SSG weg, Routing belassen
- Default-Route in SSG 0.0.0.0 /0 zu Gate 11.12.13.14 über Ethernet0/0

Alles läuft.

Fast...

Nun habe ich ein anderes Problem:

Link zu Post wird noch nachgetragen!

Vielen Dank an "aqui"!!