xDSL-Modems

Wenn man eine Enterprise-Firewall an einem klassischen DSL-Anschluss verwenden möchte, benötigt man ein extra DSL-Modem. Dies unterscheidet sich von Heimkundenroutern wie der Fritzbox, die immer schon ein DSL-Modem mit eingebaut hat. Back to the roots – so wie damals, als man ein Dreiergespann aus Splitter, Modem und Router hatte – kennt ihr es noch? ;)

In meinem Fall wollte ich eine Palo bzw. Forti an einem Telekom VDSL-Anschluss betreiben. Zwei Varianten habe ich getestet: Eine zum Modem degradierte Fritzbox (Bastellösung) und ein reines DSL-Modem aus dem Hause DrayTek. Hier ein paar Notizen und Screenshots:

Use Case

Der Anwendungsfall ist eindeutig: Wenn eine richtige Firewall an einem Internetanschluss betrieben wird, möchte man die öffentliche IPv4-Adresse nicht auf einem vorgelagerten Router anliegen haben, sondern direkt am Interface der Firewall. Ein ähnliches Problem hätte man bei IPv6 unter dem exzessiven Einsatz von DHCPv6-PD zwar nicht, würde aber unnötige Komplexität einführen. Daher erspart man auch hier bitte gerne den unnötigen Hop.

Hintergrund: Terminierung von VPNs sowie Zugriff auf interne Ressourcen ohne ein weiteres NAT/Port-Forwarding.

Fritzbox als reines DSL-Modem

Kann ich eine Fritzbox als reines DSL-Modem betreiben? So ganz eindeutig ließ sich diese Frage auch mit viel Googelei nicht beantworten. Es bleibt ein klares Jein. ;) Mit folgendem konfigurationstechnischem Trick geht es:

Per “weitere Internetanbieter” -> “anderer Internetanbieter” den Typ “Anschluss an einen DSL-Anschluss” auswählen, dabei aber keine Zugangsdaten eingeben, den Bridged Modus auswählen, als auch die Option des PPPoE-Passthrough “Angeschlossene Netzwerkgeräte dürfen zusätzlich ihre eigene Internetverbindung aufbauen (nicht empfohlen)” explizit aktivieren.

Das Log der Fritzbox meldet dann zwar fortan, dass es keine Internetverbindung aufbauen kann, aber ein nachgelagerter Router/Firewall kann nun klassisch per PPPoE die Verbindung herstellen. ✅

Hier ein paar Screenshots meiner FRITZ!Box 7560 mit FRITZ!OS 07.30. Man achte auch auf das VLAN 7, welches u.a. an Anschlüssen der Telekom nötig ist:

Wenn ihr mich fragt, dann bleibt das trotzdem eine Bastellösung und keine saubere Angelegenheit. Wie immer empfehle ich meinen Kunden, auf den Einsatz der Fritzbox in Firmenumgebunden zu verzichten. Daher habe ich mich an dieser Stelle um ein echtes/reines Modem bemüht.

DrayTek Vigor167

Bei der Suche nach reinen DSL-Modems kam ich auf zwei Lösungen: Die Vigor Serie von DrayTek als auch Modems von Zyxel. Erfahrungsberichte von mir persönlich bekannten Admins haben mich klar zum DrayTek gebracht. (Danke an Mike B. und Jan Z.) Entschieden habe ich mich für das Vigor167. (Das Vigor166 hat trotz kleinerer Nummer zusätzlich die neuste G.Fast Technik, die ich aber nicht benötigte.)

Das Versprechen des Hersteller ist tatsächlich wahr: Ein frisch ausgepacktes/Hardware-resettetes Modem brauchte keine einzige Konfigurationseinstellung, um an einem VDSL-Anschluss der Telekom (inkl. voreingestelltem VLAN 7) direkt zu funktionieren. Nice. Natürlich bin ich trotzdem auf die Management-UI gegangen, habe ein Firmware-Update eingespielt und alle möglichen weiteren Einstellungen zumindest mal durchgeschaut bzw. leicht angepasst:

By the way: Durch die zwei Ethernet-Ports ist es einfach möglich, sowohl die Firewall an ihren WAN-Port für die eigentliche Internetanbindung anzuschließen, wie auch ein gekapseltes Netz für den Management-Zugriff auf das Modem zu verwenden. Konkret überwache ich es per SNMP von checkmk aus und lasse per Syslog die Logs wegschreiben.

Fazit

Ja, eine Fritzbox lässt sich als xDSL-Modem einsetzen. So richtig schön finde ich das aber nicht. Das Log wird mit Fehlermeldungen zugemüllt und von einer vernünftigen Überwachung seitens eines Monitoringsystems ist auch keine Rede. Da das DrayTek Modem preislich im grob ähnlichen Bereich liegt, sowohl neu als auch gebraucht, ist es von mir die klare Empfehlung.

Achso, und den Stromverbrauch habe ich noch gemessen: Die Fritzbox 7560 hat 6,5 Watt benötigt, das DrayTek Modem 5,0 Watt. Bei einem klassischen 24/7 Betrieb spart das demnach 13,1 kWh pro Jahr und somit 4,33 € (bei ca. 33 ct/kWh). Immerhin. :) Obgleich nicht ausschlaggebend.

Ciao und fröhliche Weihnachten. :)

Soli Deo Gloria!

Photo by Leon Seibert on Unsplash.

7 thoughts on “xDSL-Modems

  1. Lustig, irgendwie scheint am Ende jeder beim Draytek zu landen… Was jetzt noch fehlt, sind die Teile 2 und 3: die Konfigs auf PANW bzw. FTNT. ;-)

  2. Hast du deinen Aufbau aus Modem und Firewall mit oder ohne Telefonie umgesetzt. Wenn mit Telefonie, mit einem Splitter (man ist das lange her).
    Gruß
    Ralf C

    1. In meinem aktuellen Setup mit einem DSL-Anschluss der DTAG (Blogpost folgt) nutze ich keine Telefonie.

      Aber bei meinem anderen ISP, der “Deutschen Glasfaser”, habe ich VoIP nachgelagert auf einer Fritzbox, welche per IP-Client das vorhandene Internet über die Palo mitbenutzt. Dank SIP ALG läuft das sogar ziemlich gut. Lediglich vor ein paar Wochen ging mal die eingehende Telefonie nicht. Ich habe allerdings nicht genau getroubleshootet, woran es lag. Ein Reboot von irgendwelchen Komponenten hatte geholfen. Hahaha.

  3. Es gibt xDSL-Modems als SFP. Ich hab damit aber bisher keine Erfahrung. Bisher hab ich das nur im Mikrotik-Umfeld wahrgenommen.

    1. Ja, ich habe das auch kurz bei FortiGates gesehen. Ich frage mich aber, wie die dann konfiguriert werden. Also außer es gibt eine explizite Unterstützung durch den Routerhersteller. Hm. Wenn da einer schon Erfahrungen hat, gerne her damit. ;)

Leave a Reply

Your email address will not be published. Required fields are marked *