Fritzbox mit ZyXEL USG

Einen Site-to-Site-Tunnel in die Schweiz per IPSec könnte auch die Fritzbox aufbauen. Wenn auf der Gegenseite natürlich schon eine USG steht, hat es aus Supportsicht etwas für sich, auf beiden Seiten die gleichen Systeme zu haben. Zumal die USG schon allein diesbezüglich wesentlich mehr Möglichkeiten bietet, als die Fritzbox - von den restlichen Möglichkeiten ganz zu schweigen. Die USG kann halt nur eines nicht: Telefonie. Zwar hat oder hatte Zyxel durchaus für einige Märkte ein "Business-Gateway" im Programm, in der eine Zywall mit einer VOIP-Telefonanlage verheiratet wurde, aber es wird schon gute Gründe geben, warum man das nicht in Deutschland vertreibt...



Doch das ginge durchaus. Jedenfalls dann, wenn die Einwahl per PPPoE erfolgt und der Anschluß Multi-PVC unterstützt. Dabei bestehen - wenn man es vereinfacht ausdrücken will - zwei Internetanbindungen auf der selben Leitung: eine für den klassischen Internetzugriff und eine parallel für VOIP. Das war über Jahre schon aus Gründen der Priorisierung und der Dienstgüte auch so Standard bei auf VOIP-basierenden Endkundenanschlüssen. Zumindest bei den Anschlüssen, die keine Telekom-Resale-Angebote waren, sondern wo der Provider eine eigene TAL angemietet hat. Davon haben nur die wenigsten Kunden etwas mitbekommen, weil das vom Provider-CPE automatisch so gemacht wurde. Je nach Möglichkeiten des CPEs konnte man an diesen Anschlüssen das CPE aber durchaus so konfigurieren, dass es weiterhin als VOIP-Telefonanlage fungiert, während die eigentliche Internetverbindung nach hinten durchgebridged wird. Exakt so hatte ich dies auch über Jahre in meinem HomeOffice betrieben: Das CPE von O2 war gleichzeitig Modem und Telefonanlage und reichte dennoch die öffentliche IP der Internetverbindung an mein VPN-Gateway durch.
Nun ist es jedoch leider so, dass derzeit viele Bestandsanschlüsse im Rahmen des VDSL- und Vectoring-Ausbaus auf sog. Bitstream-Zugänge umgestellt werden. Diese sind anscheinend nicht mehr Multi-PVC-fähig. So jedenfalls meine Erkenntnisse aus der zurückliegenden Zwangsumstellung meines HomeOffices Anfang diesen Jahres. Es scheint dann für VOIP keine dedizierte zweite Verbindung mehr zu geben, sondern VOIP und Internettraffic laufen über die gleiche IP-Verbindung. Wenn man dann einen Anschluß hat, der nur eine öffentliche IP-Adresse beinhaltet, dann muss man halt zwischen Pest und Cholera wählen:
Entweder terminiert die Internetverbindung am Providerrouter mit integrierter Telefonanlage (hier Fritzbox) und das IPSec-Gateway bekommt an WAN eine genattete IP oder das IPSec-Gateway steht vorn und die VOIP-Telefonanlage bekommt von dieser eine private IP-Adresse. Beides bekommt man ans Laufen. Beides ist gleichwohl ein wenig empfehlenswerter Zustand, weil bei sporadisch auftretenden Fehlern in diesen Konstellationen die Ursache häufig in Session-Timouts beim NAT zu vermuten ist, welche jedoch u.U. schwer einzugrenzen und zu beheben sind.
Wenn man um eine dieser Konstellationen nicht herum kommt, würde ich es jedoch aus mehreren Gründen eher vorziehen, die Telefonanlage hinter die Firewall (bzw. in deren DMZ) zu stellen. In meinem Fall jedenfalls funktioniert dies seit der vom Provider erzwungenen Umstellung einwandfrei (habe seither ein VOIP-Telefon in der DMZ der Firewall - derzeit ebenfalls eine USG von Zyxel - stehen).
Wenn die Fritzbox hinter die Zywall wandert, brauchst Du freilich vor der Firewall noch ein zusätzliches Modem im Bridgemodus.

Gruß
sk

P.S. Optimal wäre es, bei dieser Gelegenheit dem Kunden mal einen Business-Internetzugang mit einem öffentlichen IP-Netz sowie brauchbarer Hardware (einschließlich einer ordentlichen Telefonanlage) zu verpassen. Dieses Fritzbox-Geraffel hat m.E. im geschäftlichen Umfeld eigentlich nichts zu suchen.