Alternativer Router

dvl · 2021-03-06T23:01:51+00:00

Sunrise Community - Kunden helfen anderen Kunden rund um die Themen Fernsehen, Internet, Telefon und Mobile. Jetzt registrieren!

dvl

Gibt es einen alternativen Router den man anstell der UPC Internet Box verwenden kann um LAN mit WAN verbinden kann? z.Z. verwende ich einen zusätzlichen Router im AP mode der meinen Ansprüchen gerecht wird. das funktioniert ausgezeichnet. Jedoch wäre es gut den UPC Router ganz ersetzen zu können da er ein Stromfresser und Heizgerät (13-14 Watt gemessen) ist und keinen wirklichen Nutzen hat. Danke für Hinweise.

Seven7

dvl Das nennst du Stromfresser?

Ich glaube hier ist der Verbrauch relativ zur waschmaschine, Boiler und Koch Herd.

Aber du kannst den Stromverbrauch senken indem du eine Zeitschaltuhr am Stecker anbringst, damit zu Zeiten, wo du kein WLan und Internet brauchst, die Box aus ist.

TerrorZwerg

Hi @dvl Die Routerfunktion kannst Du auf einen externen Router auslagern, musst jedoch einen wechsel auf IPv4 verlangen und die CB bzw. GB in den Moodemmodus (Bridgemodus) versetzten. Ein alternatives Moodem gibts nicht mehr.

millernet

Auch ein alternatives DOCSIS 3.↉.1 Modem / Router wird nicht weniger Strom verbrauchen. Zudem gibt es in der Schweiz in Kabelnetzen keine Router Freiheit. Du musst also die Connect Boxen der UPC akzeptieren. Mit 13 - 14 Watt braucht es vergleichbar viel wie die Hardware von Swisscom (https://www.swisscom.ch/de/privatkunden/services/energie-verbrauch.html#tab1=internetrouter) im VDSL2 resp. G.fast Betrieb. Und ja: Wenn du die Welt retten möchtest, dann würde ich bei deinem Konsumverhalten ansetzen. Weniger Fleisch zu essen bringt massiv mehr als jedes Watt an Elektrizität, welches du einsparst.

Belegnor

Hallo millernet

Es mag stimmen, dass der Energieverbrauch bei einem alternativen Router etwa gleich hoch wie bei der Connect Box, aber es macht schon einen Unterschied, ob man nur einen Router betreibt oder zwei. Und nein, der Bridge-Modus ist nicht immer „die Lösung“ …

Dass es in den Kabelnetzen keine Router-Freiheit gibt, ist allgemein bekannt. Dass es seit Januar 2021 neue Bestimmungen im FMG gibt (https://www.bakom.admin.ch/dam/bakom/de/dokumente/bakom/das_bakom/rechtliche_grundlagen/vollzugspraxis/Telekommunikation/rs-784.101.113-1.4_schnittstellen_von_Fernmeldenetzen.pdf.download.pdf/sr_784.101.113-1.4_7schnittstellen_von_fernmeldenetzen.pdf), die den Routerzwang aufheben könnten, ist weniger weniger bekannt und UPC (und andere ISP) stellen sich ziemlich „dumm“ diesbezüglich …

Wenn die von UPC zur Verfügung gestellten Geräte einigermassen „brauchbar“ wären (die Tatsache, dass viele in diesem Forum den Bridge-Modus empfehlen, bestätigt, dass sie es nicht sind), dann wurden gewisse Kunden nicht nach einem alternativen Gerät „schreien“, meinst Du nicht? 😉

GrandDixence

Den hohen Energieverbrauch der neusten Generationen der EuroDOCSIS-Kabelmodeme von UPC-Sunrise hat man dem Umstand zu verdanken, dass in diesen Kabelmodemen ein SoC von Intel eingesetzt wird (Intel Puma).
https://de.wikipedia.org/wiki/System-on-a-Chip

Üblich ist in modernen (Euro-)DOCSIS-Kabelmodeme der Einsatz von SoC’s mit dem Marketingnamen “Intel Puma”, welcher auf der CPU-Archiktektur des Intel Atom basiert. Wahrscheinlich wird auch in den modernsten Generation der G.fast/VDSL/ADSL-Kabelmodeme von Swisscom ein SoC vom Hersteller Intel eingesetzt.
https://de.wikipedia.org/wiki/Intel_Atom

Connect Box (alias Arris TG2492S): 1.2GHz Intel Atom Core -> Wahrscheinlich Intel Puma 6 Familie
Giga Connect Box (alias Arris TG3492LG): -> Wahrscheinlich Intel Puma 7 Familie

https://deviwiki.com/wiki/Arris

Prozessoren und SoC von Intel gelten generell als sehr stromhungrig im Leerlaufbetrieb. SoC’s auf ARM-Basis senken den Stromverbrauch im Leerlauf deutlich unter 5 Watt, dank der moderneren CPU-Technik und vor allem dank dem Einsatz vom big.LITTLE-Konzept:
https://en.wikipedia.org/wiki/ARM_big.LITTLE

https://www.heise.de/newsticker/meldung/Stromspartechniken-fuer-Smartphones-und-Tablets-1811399.html

Deshalb sind heute stromsparende ARM-Prozessoren erste Wahl für den Einsatz in akkubetriebenen Mobilgeräten wie Smartphones und Tablet. Ein guter Einstieg in die Welt der ARM-Prozessoren bietet der Raspberry Pi. Man beachte die im Leerlauf gemessenen Stromverbrauchsangaben des Raspberry Pi 4 und des Prime Mini 4 (Intel Core i3-7100U) in diesem Beitrag:
https://www.lancom-forum.de/fragen-zur-lancom-systems-routern-und-gateways-f41/vdsl-umzug-glasfaser-neuer-router-t17926.html#p101750

Zukünftige Intel Prozessoren werden nach dem big.LITTLE-Konzept aufgebaut:
https://www.heise.de/news/Intels-Tablet-Prozessor-startet-als-Core-i5-L16G7-und-i3-L13G4-4780249.html

Und ja, seit dem Apple M1-Prozessor werden ARM-Prozessoren auch ernsthaft und in grosser Stückzahl erfolgreich in Laptops eingesetzt:
https://www.heise.de/hintergrund/Apple-M1-Der-Anfang-von-Intels-Ende-oder-nicht-4958885.html

https://www.heise.de/select/mac-and-i/2021/1/2030310181681166677?nid=zJCJnwOQ

Der aktuelle Aufschwung der stromsparenden ARM-Prozessoren kann nur durch die patentfreien und stromsparenden RISC-V-Prozessoren gestoppt werden.
https://de.wikipedia.org/wiki/RISC-V

https://www.golem.de/news/offene-prozessor-isa-wieso-risc-v-sich-durchsetzen-wird-1910-141978.html

https://www.golem.de/news/open-source-k-ein-ende-der-patente-2012-152867.html
-> Auch Seite 2 beachten!

Seven7

Danke für die tolle und sehr ausführliche Antwort. Könntest du noch eine Anleitung schreiben wie ich den Puma von Intel durch einen Prozessor mit Arm Architektur ersetzen
kann?

millernet

Belegnor Es kommt immer auf das Nutzerversprechen der Produkte von UPC an. Offenbar beschränkt sich dieses auf die Bereitstellung von möglichst schnellem Internet an einem der vier 1 GbE Ports der Connect Box. Nur die Swisscom ist in der Lage eine brauchbare WLAN Lösung und damit ein zeitgemässes Nutzerversprechen von möglichst stabilem und schnellem WLAN in jeder Ecke der Wohnung zu erfüllen. Die Internet Box mit den WLAN Boxen ergänzt ergibt eine gute Lösung für alle DAU’s und normale Heimnutzer bei geringen Investitionskosten und hoher Kundenbindung durch Schaffung eines entsprechenden Ökosystems mit Locked-In-Effekten. Dank der Erweiterung des Nutzerversprechens auf Heimautomatisierung und IoT wird die Internet Box zudem immer mehr zur smart home Zentrale und damit steigt der Locked-In-Effekt weiter. Nebenbei sammelt Swisscom fleissig Daten direkt aus deinem Netz.

Übrigens ist der Bridge- resp. Modem-Modus einer der wesentlichsten Vorteile der Connect Box: Der Netzabschluss ist sauber getrennt und UPC hat keinerlei Zugriff auf mein Netzwerk. Ähnliches gibt es bei Swisscom z.B nur mit dem Centro Business 2 oder als pseudo DMZ resp. exposed Host bei Sunrise und Swisscom in der IB2/3. Auch wird diese Betriebsart offiziell unterstützt und liegt in der Verantwortung von UPC. Bei den meisten Business Glasfaseranschlüssen mit SLA kommen nicht umsonst managed router der Service Provider zum Einsatz. Hab noch keinen SLA Anschluss ohne Equipment des ISP’s beim Endkunden erlebt.

Bei Router Freiheit sehe ich in Kabelnetzen einfach diverse Probleme:

Unregelmässige Firmwareupdates
Fragmentierung bei den Endgeräten
Fehlerhafte Konfigurationen
Zulassung geprüfter und zertifizierter Endgeräte (Bei Swisscom usus.)
UPC wird sich aus jeglicher Verantwortung schön rausreden können, da das Endgerät ja nicht von ihnen bereitgestellt wird. Umkehr der Beweislast also.

Aber ja: Router Freiheit im Kabelnetz scheint zu funktionieren und ist z.B im grössten Kabelnetzmarkt USA seit Jahren gang und gäbe.

Man muss sich aber auch fragen, was den die “Alternative” wäre. DOCSIS 3.0 und 3.1 Modems und einfache Geräte von Motorola und Aris gibt es zu Hauf. Wer aber ein möglichst gutes All-in-One-Gerät sucht, wird früher oder später bei AVM landen. Sonst kenne ich keinen anderen Hersteller. Ich muss aber zugeben, dass so eine FRITZ!Box 6660 ein Leckerbissen ist: https://avm.de/produkte/fritzbox/fritzbox-6660-cable/

Belegnor

Hallo millernet

Übrigens ist der Bridge- resp. Modem-Modus einer der wesentlichsten Vorteile der Connect Box: Der Netzabschluss ist sauber getrennt und UPC hat keinerlei Zugriff auf mein Netzwerk.

Na ja, dies kann man auch im Routing-Modus erreichen, indem man einen eigenen Router oder eine eigene Firewall einsetzt. Der Bridge-Modus bringt daher (in meinen Augen) keinen zusätzlichen Schutz und hat zudem, je nach Szenario, einige entscheidende Nachteile. Meiner Meinung nach, besteht der einzige grosse Vorteil des Bridge-Modus darin, dass man Szenarien mit “kaskadiertem NAT” vermeidet …

Was die von Dir erwähnten Probleme der Router-Freiheit angeht, denke ich, dass sie zum Teil gar kein Problem sind:

Unregelmässige Firmwareupdates

Das kann auch bei vom ISP zur Verfügung gestellten Geräten zutreffen. ISPs sind auch von Herstellern abhängig, und wenn diese keine regelmässigen Updates liefern, dann bleiben die Geräten auch gefährdet.
AVM Produkte gelten als relativ sicher, da der Herstellen in der Regel recht schnell reagiert und Patches/Updates bei gravierenden Sicherheitslücken entsprechend rasch bereitstellt.

Fragmentierung bei den Endgeräten

Im Kabel-Bereich dürfte die Fragmentierung relativ überschaubar bleiben, da es nicht so viele Hersteller gibt, die ein gutes “All-in-One-Gerät” anbieten, wie Du bereits erwähnt hast. Aber selbst das könnten die ISPs steuern, indem sie die Geräte selber zur Verfügung stellen, oder indem sie mithilfe von “Empfehlungslisten” die Anzahl der möglichen Geräte niedrig halten.

Fehlerhafte Konfigurationen

Das kann auch bei vom ISP bereitgestellten Geräten geschehen. Man hat zwar weniger Möglichkeiten, aber man kann auch Fehler in der Konfiguration machen …

UPC wird sich aus jeglicher Verantwortung schön rausreden können, da das Endgerät ja nicht von ihnen bereitgestellt wird. Umkehr der Beweislast also.

Das Szenario hat man bei jedem ISP (inkl. UPC), selbst wenn dass ISP-Gerät verwendet wird. Ich habe schon das eine oder andere Erlebnis bei verschiedenen ISPs (auch UPC) gehabt … 😉

Ich muss aber zugeben, dass so eine FRITZ!Box 6660 ein Leckerbissen ist

Ja, als AVM-Geschädigter stimme ich Dir zu. Vor allem, weil AVM ein recht gutes, stabiles, flexibles Produkt anbietet, das sich zudem relativ einfach erweitern lässt, um nicht nur vom Funktionsumfang zu reden … 😉

millernet

Belegnor
Der Bridge Mode mit einer brauchbaren Firewall (e.g OPNsense, pfSense) ist für mich Pflicht. Ich betreibe sicher keine Double-NAT. Ich betreibe eine standardisiertes Business Setup mit einem eigenen IPv4-Subnetz. Ich würde UPC sogar noch extra Geld zahlen, wenn ich als Business Kunde mit einem Connect 1000 endlich einen vollwertigen Dual Stack bekommen würde. Aber nein: Geht nur mit DOCSIS 3.0 und nicht DOCSIS 3.1. Seit über einem Jahr haben sie es nicht hinbekommen.

Firmwareupdates: Es war eher gemeint, dass die Firmwareupdate aktiv vom Endnutzer installiert werden müssen. Dies geschieht bei der Connect Box automatisch. Ich kenne wenige Endnutzer, welche sich um die regelmässige Aktualisierung ihrer Netzwerkkomponenten kümmern. Wer ein Unifi-Setup betreibt, kann dies auf Knopfdruck erledigen.

Belegnor

Hallo @millernet

Der Bridge-Modus mag für gewisse Szenarien nützlich sein, aber er ist nicht immer die Lösung. Und in meinem Fall kommt er gar nicht in Frage, schon aufgrund der Konfiguration meines Netzwerks

Ich betreibe sicher keine Double-NAT.

Das wäre auch nicht nötig, wenn UPC einen anständigen Router anbieten würde, bei dem es möglich wäre, Routen zu den internen Netzen zu konfigurieren. Die Fritzbox kann das … 😉

Ich würde UPC sogar noch extra Geld zahlen, wenn …

Das ist ja auch das Problem mit UPC. Mir wurde ebenfalls ein Business Abo angeboten. Als ich meine Anforderungen (das Einstellen von Routen und die Möglichkeit, IP-Telefone zu verwenden) schilderte und fragte, ob solch ein Abo meine Anforderungen erfüllen würde, lautete die Antwort „nein, kann es nicht“. D. h., da hilft ein teureres Business Abo recht wenig, wenn die „Hauptprobleme“ ungelöst bleiben …

Es war eher gemeint, dass die Firmwareupdate aktiv vom Endnutzer installiert werden müssen.

Mittlerweile gibt es Geräte, bei denen man die Updates automatisch installieren lassen kann … z. B. AVM Produkte … 😉

millernet

@Belegnor Was sind den deine Anforderungen? Eine Fritzbox ist ziemliche Einstiegsklasse… Du erhältst per Bridge Mode am Gerät deiner Wahl mit Gigabit-Ethernet-Anschluss eine vollwertige IPv4 per DHCP oder ein statisches IPv4 Subnetzwerk (Business Abo). Du kannst auch zwei Router anschliessen und erhältst im Modem Modus mit der normalen Connect Box sogar zwei IPv4 per DHCP (weiss nicht, ob es 2021 noch so funktioniert. Anfang 2020 ging es noch.) Das gleiche funktioniert natürlich auch mit statischen IPv4-Subnetzwerken. Auf über ESXi oder Proxmox könntest du dein WAN Interface per virtuellem Switch sogar direkt zu deinen Servern führen und somit ohne jegliche NAT per Public IPv4 kommunizieren. Das gleiche geht natürlich auch per pfSense oder OPNsense. Der Traffic muss nicht “geNATet” werden.

Belegnor

@millernet

millernet Du kannst auch zwei Router anschliessen und erhältst im Modem Modus mit der normalen Connect Box sogar zwei IPv4 per DHCP (weiss nicht, ob es 2021 noch so funktioniert. Anfang 2020 ging es noch.)

Wenn ich die Kommentaren in diesem Forum zu diesem Thema berücksichtige, dann scheint das mit dem zwei IPs nicht länger der Fall zu sein. Ausserdem würde es in meinem Fall auch nicht helfen. Wie gesagt, der Bridge-Mode ist nicht immer die Lösung. Hier einige Beispiele:

Nehmen wir an, ich betreibe einen Virtualisierungs-Cluster, bestehend aus zwei Nodes. Jeder Node ist aus bestimmten Gründen in einem anderen Raum, sind jedoch via LAN miteinander vernetzt. Auf jedem Node ist eine virtuelle Firewall konfiguriert. Beide Firewalls bilden ebenfalls einen Cluster. Wie kann man mit dem Bridge-Mode sicherstellen, dass der Internetzugriff nicht unterbrochen wird, wenn man eine Wartung (z. B. Updates) an einem Node durchführt?
Nehmen wir an, dass ich einen Webserver betreibe. Auf meiner Firewall ist die WAF-Funktion aktiviert. Ich will den Zugriff über die WAF testen, bevor die Webseite vom Internet aus erreichbar ist. Wie kann ich das mit dem Bridge-Mode bewerkstelligen?
Nehmen wir an, ich habe eine virtuelle Firewall am Laufen. Ich will sie jedoch durch eine andere Ersetzen. Die Migration zur neuen Firewall soll erfolgen, ohne den Internetzugriff zu unterbrechen. Wie funktioniert das mit dem Bridge-Mode?
Nehmen wir an, ich habe eine virtuelle Firewall am Laufen und ich möchte Internetzugriffe beim Troubleshooting vor und hinter der Firewall durchführen können. Wie kann ich das mit dem Bridge-Mode sicherstellen?

Ich weiss nicht, wie gut geeignet der Bridge-Mode für diese vier Szenarien ist, aber ich kann sagen, das es mit dem Router-Mode einwandfrei funktioniert … 😉

Was sind den deine Anforderungen?

Wie ich bereits mehrmals erwähnt habe (und nicht nur in diesem Thread), bin ich sehr bescheiden, was meine Anforderungen an den Router betrifft:

Der Router sollte die Möglichkeit anbieten, Routen zu internen Netzen konfigurieren zu können.
Der Router sollte anständige Troubleshooting Tools und Logs zur Verfügung stellen
Der Router sollte richtige IP-Telefonie ermöglichen und nicht nur „analoge Telefonie über IP“, wie jetzt der Fall bei der Connect Box ist …

… Wie gesagt, meine Anforderungen an den Router sind ganz schlicht und einfach … 😉

millernet

Belegnor

Deine “Probleme” sind längst gelöst. Sonst wäre ein Praxisbetrieb undenkbar.

Nehmen wir an, ich betreibe einen Virtualisierungs-Cluster, bestehend aus zwei Nodes. Jeder Node ist aus bestimmten Gründen in einem anderen Raum, sind jedoch via LAN miteinander vernetzt. Auf jedem Node ist eine virtuelle Firewall konfiguriert. Beide Firewalls bilden ebenfalls einen Cluster. Wie kann man mit dem Bridge-Mode sicherstellen, dass der Internetzugriff nicht unterbrochen wird, wenn man eine Wartung (z. B. Updates) an einem Node durchführt?>

Damit: 1 Datacenter mit 2 Nodes resp. 1 Cluster aus 2 Nodes. Sämtliche Netzwerkresourcen sind ja virtualisiert (SDN) . Dein Node kann auch in einem anderen Dorf stehen.

ESXi: Mit vMotion kannst du eine VM beliebig in einem Cluster verschieben ohne diese herunterfahren zu müssen. vMotion ist sogar in der Lage, die einzelnen Nodes optimiert auszulasten und verschiebt VM’s autonom. Mit Citrix führt diese Automatik aber zu mehr Problemen als Lösungen, daher lasse ich meist die Finger davon. vMotion ist daily business: Wenn ich die Nodes in einem Cluster über vCenter mit Updates versorge, dann migriere ich alles, was benötigt wird, auf einen anderen Node ohne jeglichen Unterbruch, mache die Updates und migriere die VM’s wieder zurück.

Proxmox VE: Bei Proxmox fährst du die VM herunter und verschiebst diese auf eine andere Resource resp. Node und startest sie dort erneut. Dann fährst du den Node herunter, welchen du warten möchtest.

Firewall-Cluster: Diese sind meist so aufgebaut, dass sich die Nodes ein Interface über virtuelle geteilte IP’s und MAC’s teilen. Dann kann ein Node ohne Probleme ausfallen. Bei pfSense geschieht dies über CARP (https://docs.netgate.com/pfsense/en/latest/recipes/high-availability.html) . Für dieses Szenario brauchst du aber mindestens 3 Public IPv4. Eine shared und eine für jeden Node. Wäre mal ein nettes Home-Lab-Projekt😇

Nehmen wir an, dass ich einen Webserver betreibe. Auf meiner Firewall ist die WAF-Funktion aktiviert. Ich will den Zugriff über die WAF testen, bevor die Webseite vom Internet aus erreichbar ist. Wie kann ich das mit dem Bridge-Mode bewerkstelligen?>

NAT Reflection resp. Source und Destination NAT
Mit einer DMZ arbeiten, was so ziemlich dem Standard entspricht. Dann kannst du beliebig testen, bevor du die Firewall- und NAT-Rule in der DMZ setzt. Benötigst vielleicht noch ein entsprechend konfigurierter DNS Server für die interne Adressauflösung.

Nehmen wir an, ich habe eine virtuelle Firewall am Laufen. Ich will sie jedoch durch eine andere Ersetzen. Die Migration zur neuen Firewall soll erfolgen, ohne den Internetzugriff zu unterbrechen. Wie funktioniert das mit dem Bridge-Mode?>

Du befindest dich auf einem Cluster, also kannst du dort recht zügig arbeiten. Bei statisch addressiertem IPv4 sehe ich kein Problem. Hast du jedoch eine Vergabe via DHCP ändert sich natürlich die MAC und damit müsste das Modem sicher neu gestartet werden was zu einem kurzen Unterbruch führt. Meistens hats jedoch ohne Neustart des Modems geklappt. Aber mit statischer Adressierung kann ich innert 30 Sekunden von pfSense auf OPNsense umschalten (OPNsense VM starten, pfSense VM herunterfahren, Done) , ohne grossen Unterbruch im Netzwerk.

Nehmen wir an, ich habe eine virtuelle Firewall am Laufen und ich möchte Internetzugriffe beim Troubleshooting vor und hinter der Firewall durchführen können. Wie kann ich das mit dem Bridge-Mode sicherstellen?>

Dieses Szenario habe ich noch nie verwendet. Wenn ich normales “Internet” brauche, nehme ich den Smartphone Hotspot und teste die Funktion. Damit teste ich auch gleich die reale Situation.

Belegnor

@millernet

Deine “Probleme” sind längst gelöst. Sonst wäre ein Praxisbetrieb undenkbar.

Dass “meine Probleme” längst gelöst sind, weiss ich bereits. Ich habe ja selbst darauf hingewiesen, dass es mit dem Router-Mode einwandfrei funktioniert. Allerdings bleibt meine Frage unbeantwortet, nämlich wie das mit dem Bridge-Mode funktionieren soll, ohne den Internetzugriff zu unterbrechen. Und ich weise Dich darauf hin, dass gemäss Kommentare in diesem Forum nur eine Public IP zur Verfügung steht ……

NAT Reflection resp. Source und Destination NAT

Mit einer DMZ arbeiten, was so ziemlich dem Standard entspricht. Dann kannst du beliebig testen, bevor du die Firewall- und NAT-Rule in der DMZ setzt. Benötigst vielleicht noch ein entsprechend konfigurierter DNS Server für die interne Adressauflösung.

Das bedingt aber, dass zwei verschiedene DNS-Einträge im internen DNS-Server erstellt werden, um die interne von der WAN-IP bzw. internen WAF-IP zu unterscheiden. Das führt auch dazu, dass man zwei virtuelle Hosts auf der WAF konfigurieren muss. Zudem muss die Konfiguration des Webservers ebenfalls entsprechend angepasst werden … Und das pro Webseite, die ich aufschalte … Sorry, aber mit dem Router-Mode und einer VM in der WAN-Zone geht es um einiges einfacher …

Du befindest dich auf einem Cluster, also kannst du dort recht zügig arbeiten. Bei statisch addressiertem IPv4 sehe ich kein Problem. Hast du jedoch eine Vergabe via DHCP ändert sich natürlich die MAC und damit müsste das Modem sicher neu gestartet werden was zu einem kurzen Unterbruch führt. Meistens hats jedoch ohne Neustart des Modems geklappt. Aber mit statischer Adressierung kann ich innert 30 Sekunden von pfSense auf OPNsense umschalten (OPNsense VM starten, pfSense VM herunterfahren, Done) , ohne grossen Unterbruch im Netzwerk.

Alles schön und gut, aber meine Frage bleibt unbeantwortet: Wie funktioniert es mit dem Bridge-Mode, ohne dass der Internetzugriff unterbrochen wird? Und ich weise Dich erneut darauf hin, dass gemäss Kommentare in diesem Forum nur eine Public IP zur Verfügung steht …

Dieses Szenario habe ich noch nie verwendet. Wenn ich normales “Internet” brauche, nehme ich den Smartphone Hotspot und teste die Funktion. Damit teste ich auch gleich die reale Situation.

Eine kleine Korrektur: Mit dem Hotspot testest Du nur die Erreichbarkeit eines bestimmten Services über eine andere Internet-Strecke aber nicht die “reale Situation”, denn die “reale Situation” ist, dass der Verkehr normalerweise über deine “Standard-Internet-Strecke” geht, nämlich internes Netz >> Firewall >> Modem/Router >> Internet. Mit dem Router-Mode und einer VM in der WAN-Zone kann man die “reale Situation” vor und hinter der Firewall auf der “Standard-Internet-Strecke” testen.

millernet

Belegnor Dass “meine Probleme” längst gelöst sind, weiss ich bereits, ich habe ja selbst darauf hingewiesen, dass es mit dem Router-Mode einwandfrei funktioniert. Allerdings bleibt meine Frage unbeantwortet, nämlich wie das mit dem Bridge-Mode funktionieren soll, ohne den Internetzugriff zu unterbrechen. Und ich weise Dich darauf hin, dass gemäss Kommentare in diesem Forum nur eine Public IP zur Verfügung steht ……>

Nein. Du machst NATing über eine günstige Consumer-Hardware, welche du nicht kontrollieren kannst. Mit der Connect Box hast du meines Wissens keinerlei Möglichkeiten zur Konfiguration von statischen Routes, also betreibst du eine Double NAT. Das ist alles andere “problemlos”. Dein Szenario lässt sich in der Regel gar nicht abdecken, ausser du hast auf den Router des Anbieters Zugriff. Diese sind aber auch bei dedicated fiber meistens managed und die Kundenschnittstelle ist immer über das Public IPv4 Subnetz und damit “Modem-Modus” gelöst. Du musst also deinen eigenen Router mit Transportsubnetz zwischenschalten. Bei deinem Setup schaltest du vor der Firewall einfach einen Router dazwischen mit Transportsubnetz zur Firewall dazwischen. Ich sehe den Sinn dahinter leider immer noch nicht ganz. Ich will bei IPv4 eine saubere Trennung zwischen “WAN” und “LAN” und dies erreiche ich im Bridge Mode mit einer public IPv4 direkt am WAN Port und einer entsprechenden Firewall.

Das bedingt aber, dass zwei verschiedene DNS-Einträge im internen DNS-Server erstellt werden, um die interne von der WAN-IP bzw. internen WAF-IP zu unterscheiden. Das führt auch dazu, dass man zwei virtuelle Hosts auf der WAF konfigurieren muss. Zudem muss die Konfiguration des Webservers ebenfalls entsprechend angepasst werden … Und das pro Webseite, die ich aufschalte … Sorry, aber mit dem Router-Mode und einer VM in der WAN-Zone geht es um einiges einfacher …

Split DNS ist best practise und du musst in deinem internen DNS Server nur einen Eintrag verwalten, nämliche die IP deines Servers in der DMZ. An deinen Web-Servern musst du gar nichts anpassen, nicht mal die Zertifikate. Ich betreibe diverse solche Setups über Reverse-Proxies. NAT reflection ist eine Krücke und sollte nur in Heimnetzwerken zum Einsatz kommen. Wird von professionellen Firewalls teilweise gar nicht unterstützt.

Alles schön und gut, aber meine Frage bleibt unbeantwortet: Wie funktioniert es mit dem Bridge-Mode, ohne dass der Internetzugriff unterbrochen wird? Und ich weise Dich erneut darauf hin, dass gemäss Kommentare in diesem Forum nur eine Public IP zur Verfügung steht …>

Ok. Du startest also Firewall 2 und stellst das Routing um, fährst Firewall 1 herunter und schon hast du quasi einen unterbrechungsfreien Wechsel. Schön und gut. Aber wie viel mal kommt dieser Fall in der Realität überhaupt vor? Wenn ich zwischen Router Modus einer Connect Box mit Double NAT und dem Modem-Modus entscheiden müsste, gewinnt der Modem Modus. Du kannst auch im Modem Modus nicht ohne kurze Unterbrüche zwischen zwei Firewalls hin und her schalten. Firewalls kannst du wie oben beschrieben redundant im Cluster betreiben, benötigst aber genügend IPv4-Adressen.

Eine kleine Korrektur: Mit dem Hotspot testest Du nur die Erreichbarkeit eines bestimmten Services über eine andere Internet-Strecke aber nicht die “reale Situation”, denn die “reale Situation” ist, dass der Verkehr normalerweise über deine “Standard-Internet-Strecke” geht, nämlich internes Netz >> Firewall >> Modem/Router >> Internet. Mit dem Router-Mode und einer VM in der WAN-Zone kann man die “reale Situation” vor und hinter der Firewall auf der “Standard-Internet-Strecke” testen.>

Doch ich teste die reale Erreichbarkeit eines per Public IPv4 bereitgestellten Services aus dem Internet heraus. So kommen die User ja schlussendlich auch zum Service. Wenn du den Service in der DMZ aus dem internen Netz sauber getestet hast, funktioniert anschliessend auch die Bereitstellung übers WAN.

Belegnor

@millernet

Nein. Du machst NATing über eine günstige Consumer-Hardware, welche du nicht kontrollieren kannst. Mit der Connect Box hast du meines Wissens keinerlei Möglichkeiten zur Konfiguration von statischen Routes, also betreibst du eine Double NAT.

Doch, es funktioniert einwandfrei. Daran ändert sich nichts, auch wenn NAT (oder Double-NAT) zum Einsatz kommt. Zugegeben, es ist nicht schön. Daher das “Geschrei” nach einem alternativen Router, der das Konfigurieren von Routen zu internen Netzen ermöglicht. Aber mit NAT funktioniert es trotzdem …

Und ich kann auf der Connect Box Einstellungen vornehmen, wenn auch auf eine sehr beschränkte Art und Weise. D. h., ich habe bis zu einem gewissen Punkt Kontrolle über die Box …

millernet Dein Szenario lässt sich in der Regel gar nicht abdecken, ausser du hast auf den Router des Anbieters Zugriff.

Mit dem gebührenden Respekt, das ist Unsinn. Selbstverständlich können alle vier Szenarien mit dem Router-Modus abgedeckt werden (bei mir funktioniert es ja wunderbar). Läuft der Router des Anbieters im Bridge-Mode, dann muss man weitere Komponenten dazwischen schalten (oder über genug Public IPs verfügen, was selten der Fall ist), um die Szenarien abdecken zu können. Mit dem Router-Modus kann man sich diese Komponenten sparen bzw. braucht man nur eine Public IP.

Und doch, man kann auf den Router des Anbieters (in diesem Fall die Connect Box) zugreifen …

Split DNS ist best practise und du musst in deinem internen DNS Server nur einen Eintrag verwalten, nämliche die IP deines Servers in der DMZ.

Ich verwende bereits Split-DNS und ich weiss daher auch wie es funktioniert. Mein “externer” DNS ist im Internet, und meine interne Clients reden nur mit dem internen DNS-Server. Somit bleibt mir nur die Option, weitere DNS-Einträge zu erstellen, um den Zugriff über die WAF testen testen zu können, bevor der Zugriff vom Internet aus freigeschaltet wird (auch DNS-seitig). Das bedeutet wiederum, separate Konfigurationen auf der WAF und zusätzliche Anpassungen auf dem Webserver. Da fahre ich günstiger und vor allem einfacher mit dem Router-Mode und eine VM in der WAN-Zone

An deinen Web-Servern musst du gar nichts anpassen, nicht mal die Zertifikate.

Falsch. Wenn man zusätzlich Aufruf-URLs für die gleiche Seite einrichten muss, dann muss dies auch auf dem Webserver konfigurieren, vor allem wenn mehrere Sites auf dem gleichen Webserver laufen. Und die Zertifikate müssen ebenfalls angepasst werden, wenn man Zertifikatfehler beim direkten Zugriff vermeiden will.

Ich betreibe diverse solche Setups über Reverse-Proxies.

Reverse Proxies für den Zugriff aus dem Internet macht durchaus Sinn (das Szenario ist bei mir mit der WAF abgedeckt), aber für den Zugriff aus internen Netzen im Heimbereich sind sie ein bisschen Overkill.

Ok. Du startest also Firewall 2 und stellst das Routing um, fährst Firewall 1 herunter und schon hast du quasi einen unterbrechungsfreien Wechsel. Schön und gut. Aber wie viel mal kommt dieser Fall in der Realität überhaupt vor?

Du antwortest wieder an meiner Frage vorbei. Mit dem Router-Mode kann ich problemlos von einer Firewall zur anderen hin und her unterbruchsfrei schalten und habe somit genug Zeit, um die neue Firewall zu testen, ohne dass die anderen Benutzer in meinem Heimnetz etwas mitbekommen. Mit dem Bridge-Mode muss sichergestellt werden, dass es genug Public IPs zur Verfügung stehen (was in der Regel nicht der Fall ist), damit die beiden Firewall eine IP beziehen können, oder man muss einen eigenen Router dazwischenschalten. Ansonsten funktioniert es nicht so reibungslos und vor allem nicht so unterbruchsfrei.

Dieses Szenario kommt zwar nicht sehr häufig vor, aber es kommt vor …

Doch ich teste die reale Erreichbarkeit eines per Public IPv4 bereitgestellten Services aus dem Internet heraus. So kommen die User ja schlussendlich auch zum Service. Wenn du den Service in der DMZ aus dem internen Netz sauber getestet hast, funktioniert anschliessend auch die Bereitstellung übers WAN.

Ich glaube bist hier im falschen Szenario. Auf das was Du anspielst, habe ich bereits weiter oben geantwortet. In dem in diesem Fall geschilderten Szenario meinte ich eigentlich Troubleshooting bei ausgehenden Verbindungen (Speedtests, Verhalten von Applikationen vor und hinter der Firewall usw.). Mit dem Bridge-Modus dürfte dies nicht so einfach sein …

millernet

Belegnor

Wir können hier jetzt noch Stunden diskutieren. Am Ende des Tages habe ich langjährige Erfahrungen bei KMU’s (100 - 250 Mitarbeiter) und noch nirgends so ein Setup wie bei dir gesehen. In der Regel sind da mehrere ISP’s (WAN1,2 und 3) mit ihren managed Routern, diese Router hängen an einem redundanten Cluster oder Hardware mit Forti OS oder irgendeiner anderen Firewall (SonicWall, Juniper etc.). Die WAN’s werden direkt als public IPv4 Subnetz über “SDWAN” eingebunden und können so mit beliebigen Regeln dynamisch den einzelnen Diensten zugeteilt werden. Besonders kritische Segmente vom Netzwerk werden in einzelne DMZ gekapselt und direkt vom Core Router zur Firewall geführt und dort auch geroutet. Weniger kritische Netzwerksegmente werden direkt auf dem Core Router geroutet, vielleicht noch mit einigen ACL’s (wer es gerne besonders “aufwendig” haben kann). Andere wiederum kaufen sich für 400′000.- Fr. an aufwärts ein DNA-Center von Cisco und bauen sich einen kompletten Fabric. Jeder nach seinem Gusto…

Und ich kann auf der Connect Box Einstellungen vornehmen, wenn auch auf eine sehr beschränkte Art und Weise. D. h., ich habe bis zu einem gewissen Punkt Kontrolle über die Box …

Du benutzt einen billigen Consumer Router mit bekannten Problemen und überlässt diesem das NATing und Routing ins public IPv4. Vorher schiesse ich mir ins eigene Knie.

Mit dem gebührenden Respekt, das ist Unsinn. Selbstverständlich können alle vier Szenarien mit dem Router-Modus abgedeckt werden (bei mir funktioniert es ja wunderbar). Läuft der Router des Anbieters im Bridge-Mode, dann muss man weitere Komponenten dazwischen schalten (oder über genug Public IPs verfügen, was selten der Fall ist), um die Szenarien abdecken zu können. Mit dem Router-Modus kann man sich diese Komponenten sparen bzw. braucht man nur eine Public IP.>

Was heisst hier Unsinn? Eine Double NAT und unzählige Komponenten in Serie sind wirklich keine brauchbares Anwendungsszenario. Ja genau du musst zusätzliche Komponenten dazwischenschalten! Natürlich kannst du drei Komponenten in Serie betreiben…. ISP Router => eigener Router => Firewalls. Ob dies Sinn ergibt, sei dahingestellt. Wir sind weit entfernt von jeder Praxisimplementierung bei KMU’s und grösseren Unternehmen.

Ich verwende bereits Split-DNS und ich weiss daher auch wie es funktioniert. Mein “externer” DNS ist im Internet, und meine interne Clients reden nur mit dem internen DNS-Server. Somit bleibt mir nur die Option, weitere DNS-Einträge zu erstellen, um den Zugriff über die WAF testen testen zu können, bevor der Zugriff vom Internet aus freigeschaltet wird (auch DNS-seitig). Das bedeutet wiederum, separate Konfigurationen auf der WAF und zusätzliche Anpassungen auf dem Webserver. Da fahre ich günstiger und vor allem einfacher mit dem Router-Mode und eine VM in der WAN-Zone

An deinen Web-Servern musst du gar nichts anpassen, nicht mal die Zertifikate.

Falsch. Wenn man zusätzlich Aufruf-URLs für die gleiche Seite einrichten muss, dann muss dies auch auf dem Webserver konfigurieren, vor allem wenn mehrere Sites auf dem gleichen Webserver laufen. Und die Zertifikate müssen ebenfalls angepasst werden, wenn man Zertifikatfehler beim direkten Zugriff vermeiden will. >

Richtig: Intern und Extern verwendest du den gleichen FQDN bei einem Split DNS Setup! Du richtest auf deinem internen Domain Server einfach die Zone auf und löst diese einfach auf die IP in deiner DMZ auf. Du musst überhaupt nichts am Webserver anpassen. Warum 2 verschiedene Domain Names verwenden? Das ist doch quatsch, nur schon wegen den Zertifikaten. Verkompliziert alles unnötig, besonders mit Lets Encrypt. Wenn du mit dem gleichen FQDN intern und extern arbeitest, dann erhältst du so ein gültiges TSL-Zertifikat.

Du antwortest wieder an meiner Frage vorbei. Mit dem Router-Mode kann ich problemlos von einer Firewall zur anderen hin und her unterbruchsfrei schalten und habe somit genug Zeit, um die neue Firewall zu testen, ohne dass die anderen Benutzer in meinem Heimnetz etwas mitbekommen. Mit dem Bridge-Mode muss sichergestellt werden, dass es genug Public IPs zur Verfügung stehen (was in der Regel nicht der Fall ist), damit die beiden Firewall eine IP beziehen können, oder man muss einen eigenen Router dazwischenschalten. Ansonsten funktioniert es nicht so reibungslos und vor allem nicht so unterbruchsfrei. >

Wie bereits erwähnt, basiert dein Setup auf NATing und Routing mit günstiger Hardware für normale Heimnutzer. Von dem Rate ich ab und ich rate grundsätzlich zur Nutzung des Bridge-Mode/ Modem-Modus. Die Connect Box ist ein besonders schlechtes Beispiel einer solchen Router-Firewall-Combo. Warum nimmst du nicht einfach eine “Hauptfirewall” (z.B pfSense) als VM, bindest dort über eine Bridge die Connect Box im Bridge Mode an und dort kannst du dann beliebige Interfaces und Routes konfigurieren um unzählige weitere “Subfirewalls” als VM zu betreiben. Du kannst mit Proxmox VE, mehreren pfSense oder OPNsense Instanzen und dem Open vSwitch so ziemlich jedes Szenario virtualisiert erstellen.

Fazit und meine unumstössliche Meinung, bevor die Diskussion noch weiter ausartet: Double NAT ist quatsch mit Sauce und sollte nie verwendet werden! Besonders haarig wird es, wenn noch eine CNAT dazu kommt und du quasi eine Tripple-NAT hast. Wenn möglich sollte ein vollwertiger Dual Stack oder, wenn es nicht anders geht, IPv4 only mit Bridge / Modem-Modus verwendet werden. Das Modem-Router-Gebastel deines Anbieters sollte möglichst primitive Aufgaben erledigen müssen und nie im Leben als NAT oder Router verwendet werden, sondern nur als primitives einfaches Modem. Damit hälst du den ISP auch möglichst weit entfernt von deinem Heimnetzwerk.

Belegnor

millernet

Ich glaube, dass Du einem Irrtum unterliegst … Ich habe nie behauptet, dass es sich in meinem Fall um einem Geschäftlichen Setup handelt. Ich habe die ganze Zeit von einem privaten Internetanschluss geredet. Für das Missverständnis entschuldige ich mich. Allerdings ändert diese Tatsache nichts an der Gültigkeit meiner Aussagen.

Ich zweifle nicht an Deine Netzwerkkenntnisse. Aufgrund meiner ebenfalls langjährigen Erfahrung im Netzwerkbereich (auch bei grösseren Umgebungen) schätze ich, dass Du Dich mit Netzwerkthemen auskennst. Allerdings bist Du von einer falschen Annahme ausgegangen und Deine Aussagen sind daher nicht ganz zutreffend.

Du benutzt einen billigen Consumer Router mit bekannten Problemen und überlässt diesem das NATing und Routing ins public IPv4. Vorher schiesse ich mir ins eigene Knie.

Ja, leider benutze ich in meinem Heimnetz einen “billigen Consumer Router” (ich habe wohl keine andere Wahl zurzeit) und ja, NAT ist “des Teufels”, egal ob im privaten oder geschäftlichen Umfeld. Man kann es höchstens als notwendiges Übel einstufen. Ich glaube, dass wir da wohl einer Meinung sind. Daher der Wunsch nach einem Internetrouter, der die Möglichkeit anbietet, Routen konfigurieren zu können. Denn darum ging es ursprünglich in diesem Thread … 😉

millernet Was heisst hier Unsinn?

Bitte lies meine Antwort genauer. Du hast behauptet, dass “mein Szenario” nicht abgedeckt werden kann. Und ich habe erwidert, dass dies Unsinn sei. Hier ein Beispiel:

Wie Du sehen kannst, kann man nicht nur das eine Szenario mit dem Router-Mode abdecken, sondern alle vier. Ich kann hin und her “switchen”, wie ich will, der Internetzugriff wird dabei nicht unterbrochen. Und ich brauche keinen Router dazwischen. Wie sieht es mit dem Bridge-Modus aus? Verstehe mich nicht falsch, aber ich kann es mir nicht so ganz vorstellen, ohne dass man weitere Komponenten ins Spiel bringt.

Richtig: Intern und Extern verwendest du den gleichen FQDN bei einem Split DNS Setup!

Genau aus dem Grund kann der Zugriff über die WAF nicht aus dem internen Netz ohne zusätzlichen DNS-Namen getestet werden. Die Clients lösen sonst nur die IP für den direkten Zugriff auf …

Du musst überhaupt nichts am Webserver anpassen.

Wenn Du dich mit Webservern auskennst, dann weisst Du auch, dass man einen Virtualhost pro Site auf dem Server einrichten muss, vor allem wenn mehrere Sites auf dem gleichen Server konfiguriert sind und alle Sites mit den Standard Ports (HTTP und HTTPS) angesprochen werden sollen. Man muss also diesen Virtualhost ebenfalls anpassen, wenn man sicherstellen will, dass die richtige Applikation mit den zusätzlichen Namen aufgerufen werden kann.

Warum 2 verschiedene Domain Names verwenden?

Das habe ich bereits erklärt, aber es gibt sonst auch andere Szenarien, in denen dies sogar notwendig ist … 😉

Das ist doch quatsch, nur schon wegen den Zertifikaten. Verkompliziert alles unnötig, besonders mit Lets Encrypt. Wenn du mit dem gleichen FQDN intern und extern arbeitest, dann erhältst du so ein gültiges TSL-Zertifikat.

Mit dem Router-Modus und einer VM in der WAN-Zone spare ich mir den oben erwähnten “Ärger” (ikl. Zertifikate), und ich kann den Zugriff über die WAF problemlos testen, bevor der Auftritt vom Internet aus erreichbar ist. Mit dem Bridge-Mode muss ich es eben anders regeln …

Wie bereits erwähnt, basiert dein Setup auf NATing und Routing mit günstiger Hardware für normale Heimnutzer. Von dem Rate ich ab und ich rate grundsätzlich zur Nutzung des Bridge-Mode/ Modem-Modus.

Wie ich von Anfang an gesagt habe, das NAT-Thema ist der einzige Nachteil des Router-Modus und (in meinen Augen) auch der einzige Vorteil des Bridge-Modus. Das bedeutet nicht, dass der Bridge-Modus schlecht ist. Der kann einfach gewisse Szenarien nicht abdecken.

Warum nimmst du nicht einfach eine “Hauptfirewall” (z.B pfSense) als VM, bindest dort über eine Bridge die Connect Box im Bridge Mode an und dort kannst du dann beliebige Interfaces und Routes konfigurieren um unzählige weitere “Subfirewalls” als VM zu betreiben. Du kannst mit Proxmox VE, mehreren pfSense oder OPNsense Instanzen und dem Open vSwitch so ziemlich jedes Szenario virtualisiert erstellen.

Wieso soll ich es so kompliziert mit dem Bridge-Modus machen, wenn es mit dem Router-Mode um einiges einfacher geht (siehe Zeichnung oben) und ich alle “meine” Szenarien auf diese Weise abdecken kann?

Dass Du ein Verfechter vom Bridge-Modus bist, ist mir klar. Ich habe kein Problem damit. Jeder hat seine Grunde, um etwas auf eine bestimmte Art und Weise zu konfigurieren. Und das ist auch richtig so … 😉.

Das bedeutet aber nicht, dass dieser Modus die Lösung für alles ist. Meiner Meinung nach hat er sogar entscheidende Nachteile wie ich bereits erklärt habe, und macht manche Setups praktisch unmöglich. Aber ich lasse mich gerne vom Gegenteil überzeugen. Ich bin echt offen für neue Erkenntnisse, und neues zu lernen soll gesund sein … 😁

An diesem Punkt wiederhole ich meine Ursprüngliche Aussage: Wenn UPC anständigere Hardware anbieten würde, dann würden die wenigsten Benutzer nach einem besseren Router “schreien”. Und die Tatsache, dass die neuen Bestimmungen im FMG, welche seit Januar 2021 gültig sind, den Routerzwang theoretisch aufheben, sollte UPC dazu bewegen, ihre Strategie in Bezug auf Router-Freiheit entsprechend anzupassen, oder? … 😉

millernet

@Belegnor Ich will dir damit sagen, dass dein Setup nicht schlecht aber ungewöhnlich ist, besonders in Kombination mit einer Connect Box resp. den gewöhnlichen 0815-all-in-one-Boxen der ISP’s für Heimnutzer. 😇

millernet

Belegnor Genau aus dem Grund kann der Zugriff über die WAF nicht aus dem internen Netz ohne zusätzlichen DNS-Namen getestet werden. Die Clients lösen sonst nur die IP für den direkten Zugriff auf …>

Ich denke, dass du ein klassisches Split DNS-Setup (noch) nicht (ganz) begriffen hast oder wir reden wieder aneinander vorbei.

Du hast einen FQDN wie z.B app.firma.ch . Du hinterlegst für die Subdomain app.firma.ch die öffentliche IP beim DNS-Anbieter deiner Wahl z.B Cloudflare und trägst dort deine öffentliche IP ein.
Auf deinem internen DNS Server (z.B Windows Server 2016/2019 oder Univention Corporate Server) legst du ebenfalls die Zone app.firma.com an und konfigurierst dort aber die IP des Servers in deiner DMZ z.B 192.168.100.25 .
Auf deinem NGINX oder Apache legst du den korrekten virtual Host für app.firma.com an.
Du konfigurierst deine NAT / Port forwarding von Public IP => 192.168.100.25 für Port TCP/80 und 443
Du holst dir mit Lets encrypt ein Zertifikat mit der HTTP-01 challenge.
Und jetzt kommts: Du kannst intern und extern dein app.firma.com ansprechen, hast ein vollständig gültiges TSL-Zertifikat und keine NAT Reflection. Intern antwortet der DNS einfach 192.168.100.25 und der Browser erkennt dies als gültige Domain mit HTTPS. Ausserhalb des Firmennetzes wird einfach die public IPv4 aufgelöst und auch dort: Zertifikat gültig. Browser Happy. Fall gelöst. Die IP ist dem Webserver völlig schnurz.

Beim Thema Router Freiheit gebe ich dir Recht und UPC sollte folgende Strategie fahren:

Hochwertiges Ökosystem aus Firewall/Router/Modem mit passenden Mesh-AP’s für DAU’s oder “normale” Nutzer. Beispiel Swisscom Internet Box ⅔ mit WLAN Box ½.
Routerfreiheit in 2 Varianten:
UPC stellt ein ganz normales und hochwertiges Modem (Aris Surfboard oder ähnlich) zur Verfügung, welches mit einem vollwertigen Dual Stack per Modem-Modus direkt an einem beliebigen Firewall oder Router anschliessbar ist.
UPC lässt gewisse zertifizierte Endgeräte aus dem Hause AVM, Aris etc. zu, welche der Kunde direkt bei UPC oder über Drittanbieter kaufen kann.

Nächste Seite »