Sonntag, 9. Juni 2019

Swisscom Centro Business 2.0 Rollen und Funktionen

Centro Business 2.0 Rollen und Funktionen

Vorwort

Dieser Beitrag beschreibt die verschiedenen Rollen und Funktionen die der Swisscom Centro Business 2.0 bereit hält.
Swisscom bietet mit inOne KMU, Smart Business Connect Internet Services und Business Network Solutions bereits verschiedene Grundprodukte, wobei es da auch noch zusätzliche Module dazu gibt, die dem Business Router von Swisscom entsprechend unterschiedliche Rollen abverlangen. Hiermit sollen die unterschiedlichen Anforderungen der KMU erfüllt werden können. Aber auch Enterprise Kunden werden damit bedient. Ich gehe in diesem Beitrag aber nicht explizit auf die Enterprise Produkte ein, da diese Produkte meist einfach mit anderem Namen auch in der KMU Produktlinie erhältlich sind und die Rollen des Centro Business 2.0 dabei gleich sind.

Ich hoffe hier einen gewissen Praxisbezug zu den verschiedenen Rollen zu ermöglichen. Auch würde es mich freuen, wenn ihr eure Erfahrungen und Einsatzszenarios in den Kommentaren mit mir teilt.



Standard Rolle

Bereits im Standard Modus sind schon verschiedene Funktionen möglich. Gedacht für kleine KMU oder Home Office, sind schon rudimentäre Netzwerk und Telefonie Funktionen vorhanden. Der Router selber ist bezüglich WLAN und Consumer Features sicher keine Rakete. Seine Stärken spielt er aus, wenn das Netzwerk von jemandem betreut wird.

Netzwerk

Im Netzwerk hat man einfach ein LAN, dessen default Subnet 192.168.1.0/24 man nahezu beliebig anpassen kann. Mit einer aktuellen Firmware ist gar ein kleineres Subnet als /24 möglich. Damit erweitert sich der wählbare Bereich zwischen /8 (16 Mio IPv4) und /30 (2 nutzbare IPv4).
Zur Verfügung steht auch ein separiertes WLAN (ehemals Gäste WLAN)

Firewall

Vordefiniertes Ruleset. Default allow all in der Praxis nicht empfohlen
Schon vorhanden ist eine kleine Firewall. Diese hat 2 vordefinierte Rulesets (balanced und strict). Zudem kann man sie auf custom stellen und ein eigenes Ruleset definieren. Sie lässt sich aber auch ausschalten, so das nur noch ein NAPT zwischen der öffentlichen IP und dem Netzwerk steht.
Von der Funktion her, ist die Firewall eher rudimentär, funktioniert aber immerhin schon mit IPv4 und IPv6.
Es lassen sich eingehende wie auch ausgehende Regeln erstellen, wobei man mit einer Portweiterleitung bereites eine entsprechende Regel für eingehenden Verkehr generiert (praktisch).
Verbindungen lassen sich akzeptieren, dropen oder verweigern. Quell sowie Zielports lassen sich konfigurieren wobei als Protokolle nur TCP und UDP zur Verfügung stehen. Als IP lassen sich angeben eine einzelne IP, Range oder Subnet sowohl für IPv4 als auch IPv6.
Damit hat es sich bezüglich Firewall auch schon. Sehr einfach gehalten und damit für die Durchsetzung von Richtlinen in einem LAN kaum geeignet. Für einfache Szenarios wie einer Maschine die nur auf ein bestimmtes Subnet über bestimmte Ports kommunizieren darf aber genügend.

VPN

VPN Verbindungsparameter
Der Centro Business bietet die Möglichkeit eines (oder mehrere) Side to Side VPN's.
Damit lassen sich Standorte untereinander vernetzen. Das ist relativ einfach aufgesetzt, da die Verschlüsselung der Phasen bereits vorgegeben sind. Funktioniert aber auch zu anderen Firewall Produkten, sofern diese richtig konfiguriert sind. Es gibt aber bezüglich Firewall hier keine Möglichkeit den Zugriff über diesen IPsec Tunnel zu steuern. Eine Verbindung hat damit Zugriff auf das gesamte LAN.
Um ein Home Office mit der Firmenzentrale zu verbinden (an der eine richtige Firewall steht), warum nicht. Funktioniert.
Nicht verwechseln darf man dieses Side to Side VPN mit einem Roadwarrior VPN, wobei sich Mobile Clients direkt in das Netz einwählen. Diese Funktion ist in diesem Business Router selber nicht enthalten, was auch in Ordnung ist, da es hierzu alternative Setups gibt. Swisscom bietet diese Funktion nur auf ihren Consumer Router an! Wichtig zu wissen, da es hier scheinbar manchmal zu Irritationen kommt.

Telefonie

Auch in diesem Router ist die Standard Telefonie von Swisscom integriert. Zur Verfügung stehen 2 S0 sowie 2 analoge Schnittstellen. Integriert auch eine DECT Basistation nach Cat-iq 2.0, mit einer aktuellen Firmware auch mit dem HX Repeater von Gigaset kompatibel.
Im Gegensatz zu den Consumer Router, ist hier aber keine kleine "Telefonanlage" integriert. Die zur Verfügung stehenden Telefonnummern lassen sich nur direkt in den Endgeräten programmieren. Interne Nebenstellen stehen nicht zur Verfügung. Man muss also entweder die Telefonnummern an eine eigene Intelligenz hängen (Gigaset DX800a oder kleine PBX) oder man löst mehrere Rufnummern und teilt jedem Endgerät eine eigene externe Rufnummer zu, womit "interne" Telefonie wieder möglich wäre. Vermutlich ist das so gelöst um die Produkte aus Smart Business Connect, namentlich hosted nicht zu kannibalisieren.
Wenn ich diese Telefonie intigrieren muss, greife ich meist zu einem DX800a Set. Damit lässt sich doch einiges für ein kleines Office einrichten. Wenn es nur eine kleine Geschichte mit 2,3 Handsets ist und nur einer HRN und Fax kann man aber auch direkt mit dem Router arbeiten.

Internet Backup

Toolkit Anbindung an den Centro Business
Je nach Abo bzw Internet Service den man bucht, hat man auch ein Internet Backup zur Verfügung.
Das ist je nach Generation ein 3G oder 4G Stick oder gar neu ein Toolkit (abgesetzte Einheit).
Ist es also wieder mal soweit und der berühmte Bagger kreuzt auf oder die Zentrale steht unter Wasser, so bietet das Internet Backup mit einem kurzen Unterbruch den Weiter-betrieb der Internet sowie Telefonie Services! Diese Funktion beeindruckt mich persönlich schon etwas. Da gibt es bei Swisscom nicht viel, aber diese Funktion ist wirklich eine die ich mag. Sobald der Router einen Unterbruch des Access detektiert, schaltet er auf den Internet Backup um. Dabei werden auch die Telefonie Services umgestellt, mittlerweile sogar die SIP Trunks! Hat man eine öffentliche IP oder eine Subnet, wird sogar dieses auf den Mobilen Zugang umgeroutet und dies innerhalb weniger Minuten! Einziger Wermutstropfen: Das Ganze funktioniert aktuell noch nur über IPv4.
Bevor ich auf die verschiedenen Betriebsmodi zu sprechen komme, möchte ich noch die "speziellen" LAN Ports des Centro Business erwähnen. Der Centro Business verfügt über 4 1 GE LAN Ports die im Standardmodus als normaler Switch (Bridge) arbeiten.
In den speziellen Betriebsmodi IP Passthrough, PPPoE Passthrough und DMZ LAN 1, wird dem Port 1 eben der jeweils gewünschte Modus zugeordnet.
Auch Port 4 hat seine Eigenart. Auf Port 4 kann man im Falle von Internet Backup (oder Wireless Access) das Toolkit stecken. Beziehungsweise, dieser Port ist mit den nötigen VLAN für die Kommunikation zum Toolkit getaggd. Es handelt sich um die VLAN-ID 699 und 700. Wenn man das Toolkit über ein Netzwerk abgesetzt betreiben möchte, sind die Ports der Switches entsprechend zu taggen!
Weiter kann der Port 4 bei BNS als own Gateway Zugang verwendet werden.

Nehmen wir also an, der Centro Business hat nur einen Link auf das aktuelle LAN, so empfehle ich Port 2 oder 3 zu verwenden. Sollte man später den Modus wechseln, schneidet man dieses Netzwerk nicht gleich ab, sondern kann es je nachdem noch via LAN des Centro Business weiter betreiben bis das restliche Setup betriebsbereit ist.



IP Passthrough auf Security Gateway

Kommen wir nun zu den Spezialfunktionen.
Den IP Passthrough kann man einsetzen, wenn man keine öffentlichen IP's gelöst hat und der Router damit nur eine dynamische IP über das Swisscom Netz bezieht. (Es geht auch mit statischen IP's, dann macht es aber keinen Sinn oder?)  In dieser Rolle generiert der Router quasi ein Default Ziel für allen eingehenden Verkehr auf den LAN Port 1, ausgenommen von Port TCP:7547 (CWMP).
Sollte man den Fernzugang freischalten, wird in dieser Zeit auch Port http (80), https (TCP:443) und SSH (TCP:22) nicht weitergeleitet.
In diesem Modus konfiguriert man das Security Gateway in ein vordefiniertes /30 Subnet mit der IP 172.31.255.6 und dem Gateway 172.31.255.5.
Nachteil dieses Modus ist sicherlich das Doppel NAT welches man damit automatisch generiert.
Vorteil ist, man braucht für einfache Szenarios keine zusätzliche kostenpflichtige statische IP.
Weiter hat man auf den LAN Ports 2-4 und dem WLAN sowie separierten WLAN alle Funktionen zur Verfügung die in der Standard Rolle auch zur Verfügung stehen.
Trotzdem, diesen Modus habe ich noch nie eingesetzt. Wenn dann möchte ich statische IP's und vor allem ein /48 IPv6 Subnet. Aber eventuell seid ihr Fan dieses Betriebs? Nimmt mich wunder, schreibt es doch in die Kommentare.

PPPoE Passthrough

Das ist der Hardcore Modus. Erinnerst du dich noch an den guten alten Bridge Mode? Hier hast du eine Variante davon. Dieser Modus steht nur zur Verfügung, wenn man mind. eine statische IP bei Swisscom gelöst hat. Damit trifft er bei Schmürzler schon mal nicht auf viel Gegenliebe.
Trotzdem, hast du eine fixe IP oder ein Subnet und du möchtest wirklich alle deine IP's die du da kaufst selber nutzen, das ist der Modus den du wählen musst.

Bezüglich den öffentlichen IP's muss ich kurz etwas ausholen:
Historisch hat Swisscom ein Netz welches sie über DHCP betreibt. In diesem Pool befinden sich alle nicht statischen IP's sowie das Service Netz von Swisscom wo sich die TV wie auch Telefonie Dienste befinden.
Die statischen IP's laufen auf einem anderen Netz. Um diese statischen IP's zu beziehen, muss sich der Centro Business oder im Falle des PPPoE Passthrough ein eigener Router, via PPPoE anmelden.
Der Centro Business ist nie nur ein reines Modem, da er sich mind. via DHCP an das Service Netz anmeldet. Löst man also fixe IP's, baut der Centro Business 2 Sessions auf, das sogenannte Dualsession Business Internet. In diesem Betrieb befindet sich der Centro Business also im Normalfall wenn man fixe IP's hat. Stellt man den PPPoE Passthrough ein, ändert sich sein Verhalten.

Der Centro Business trennt seine PPPoE Session und macht sie frei für einen Router der sich am LAN Port 1 mit den PPPoE Zugangsdaten, die man im Kundencenter findet, am statischen IP Netz von Swisscom anmeldet.
Im LAN des Centro Business stehen damit nur noch die Swisscom Services TV und Telefonie zur Verfügung. Eine TV Box kann damit zwar TV Streams beziehen, Internet Services wie Netflix funktionieren dann aber nicht mehr. Auch kann man hosted Endgeräte oder einen Trunk in dieses LAN setzen. Aber auch hier, Internet Abfragen oder Fernzugriff ist damit nicht mehr möglich (ausgenommen hosted Konfig via Portal)

Dafür gewinnt man in diesem Betrieb alle IP's und ist Herr der Dinge.
In einem /30 Subnet mit 4 IP's, kann man konkret nicht nur die nutzbare IP auf dem eigenen Router verwenden, sondern auch die Router IP, da man diese ja bezieht...
Weiter ist man gegenüber Swisscom fast im stealth Modus. Zwar ist der Centro Business noch im Service Netz der Swisscom, womit auch Updates möglich sind, aber der Fernzugriff auf den Router wird sogar via Kundencenter damit unmöglich.

Das ist mein bevorzugter Modus mit statischen IP's wenn Internet Backup nicht gefragt ist, denn wichtig, Internet Backup funktioniert mit PPPoE Passthrough nicht! Zumindest nicht automatisch. Natürlich steht es jedem frei im Falle des Falles den Router in einen anderen Modus zu setzen und gegebenenfalls das Netz anzupassen...

Fixe public IP NAT 1:1

Das ist jetzt ein Modus denn ich noch nie eingesetzt habe, aber ja es gibt ihn. Du hast ihn schon eingesetzt? Schreib es doch bitte in die Kommentare. Ich bin an praktischen Szenarios interessiert.
Dieser Betrieb steht zur Verfügung, sobald man ein statisches Subnet also mind. 4 fixe IP's löst.
Dabei bezieht der Centro Business die Router IP und die anderen nutzbaren statischen IP's stehen mittels einem 1:1 NAT zur Verfügung.
Das heisst, der Router betreibt sein LAN ganz normal. Hat man nun eines Server im Netz, so hat dieser eine private IP aus dem LAN des Centro Business auf seinem Netzwerkinterface. Im Centro Business kann man nun aber ein 1:1 NAT mit einer nutzbaren öffentlichen IP konfigurieren.
Vorteil dieses Modus ist, dass man für die Verteilung der öffentlichen IP's keinen eigenen Router braucht und alle Funktionen, TV, Telefonie, Backup des Standard Modus so funktionieren. Nachteil ist die eingeschränkte Funktion bezüglich Security die der Centro Business bietet. Host's sind damit aus dem LAN wie auch mit der öffentlichen IP erreichbar und im Centro Business selber können in diesem Modus keine DMZ Regeln erstellt werden. 

LAN DHCP Pool mit öffentlichen fixen IP's

Auch dieser Betrieb steht erst mit einem statischen Subnet zur Verfügung.
In diesem Betrieb steht dem LAN keine TV und Telefonie Services zur Verfügung. Eigentlich gibt es vom Centro Business gar kein LAN mehr, da die NAPT Funktion komplett deaktiviert wird.
In diesem Modus stellt der Centro Business die PPPoE Session her. Die nutzbaren IP's kann man nun via DHCP im Netz verteilen.
Dieses Szenario macht wie im Bild dargestellt eventuell Sinn, wenn man auf einer IP eine Firewall in Betrieb hat und auf einer anderen IP einen Server "abgeschottet" von der Firewall betreiben möchte der nicht hinter der Firewall betrieben werden soll. Warum auch immer :) Also ich weiss es gerade nicht. Aber stellen wir uns mal vor, dass der Betreiber der Firewall aus irgendeinem Grund nicht so begabt ist oder sonstwie kompliziert tut, man aber unbedingt einen Service mit fixer IP braucht. Ergo könnte man dies mit diesem DHCP Pool doch irgendwie hinbekommen, ohne dass der Betreiber der Firewall gross was davon mitbekommt.


DMZ LAN 1 (Mail-, Webserver oder Security Gateway in der DMZ betreiben)

Auch dieser Modus steht erst mit einem statischen Subnet zur Verfügung.
Eigentlich wird hier der Begriff DMZ aus meiner Sicht etwas strapaziert. Denn es werden lediglich die nutzbaren öffentlichen IP auf dem LAN Port 1 zur Verfügung gestellt. Damit wird kein zweites LAN erstellt. Auch ist zwischen dem Centro Business LAN und der hier konfigurierten DMZ intern gar keine Kommunikation möglich. Man müsste also über die öffentliche IP routen. So gesehen würde ich diesen Modus nicht für den Einsatz eines Mailservers oder was auch immer vorsehen. 

Trotzdem ist dieser Modus mein liebster und meist eingesetzter, wenn man an die DMZ eine Firewall anschliesst. Warum ist das so:
Der Centro Business baut noch immer die PPPoE Session auf. Damit stehen im LAN 2-4, und WLAN alle Dienste wie TV und Telefonie zur Verfügung und Internet Backup funktioniert! Das ist das Killer-Kriterium, denn sonst könnte ich auch auf PPPoE Passthrough umstellen. Mit der öffentliche Router IP liessen sich sogar noch Dienste im LAN des Centro Business bereitstellen wenn man möchte.
Auf dem LAN 1 Port stehen nun via DHCP alle restlichen nutzbaren IP's zur Verfügung. Für mich auch wichtig, via DHCP6-PD kann man aus dem zugeteilten statischen /48 Netz einen /52 Prefix beziehen. Hierzu habe ich bereits mal einen Blogpost gemacht.
Vorteil in diesem Modus ist also der Betrieb eines Security Gateways mit vollem Backup der Swisscom Services und statischen IPv4 sowie IPv6.
Nachteil ist aus meiner Sicht höchstens der zusätzliche Hop durch den CB im Gegensatz zum PPPoE welcher kaum ins Gewicht fällt.
Natürlich lassen sich in diesem Modus auch die Telefonie hosted, wie auch Trunk hinter dem eigenen Security Gateway auf LAN eins betreiben. Was nicht funktioniert, sind die Swisscom TV Services die man nativ so nicht einfach auf dem DMZ LAN 1 Port hat. Hier müsste man dem Security Gateway einen 2ten WAN Port konfigurieren, der auf das Centro Business LAN zugreift, möchte man die TV Services ebenfalls hinter dem Security Gateway steuern können. Möchte man das? Ja ich wollte das früher oft, Blogpost's dazu habe ich genügend. Heute? Nein von mir aus nicht, TV kann auch gut im LAN des Centro Business rumwursteln und gut ist.

BNS Business Network Solutions

BNS ist ein zusätzlicher Dienst, denn man zum Smart Business Connect Business Internet Services dazubuchen kann. Klassisch gesehen sind die Business Internet Services von heute der Ersatz von Business Internet light und BNS ersetzt den ehemaligen Business Internet Standard, also die managten Internet Anschlüsse.
Hat man BNS auf einem Anschluss aktiv, so erfolgt die Konfiguration neu ab einem Dashboard worauf der Kundentechniker und der Technische Administrator zugreifen können.
Damit der Centro Business 2.0 diese Rolle übernimmt, muss man ihn am entsprechenden Standort aktivieren.
Der Centro Business konfiguriert sich dabei zu einem lokalen Gateway und wird mehr oder weniger nur noch zu einem Switch. Der Verkehr wird ab sofort über das lokale Gateway des Centro Business zum Cloud Router bei Swisscom geroutet.
So was ist jetzt der Witz an der Sache?
BNS ist modular aufgebaut. Weitere Module wie Managed LAN, Managed Security, RAS, PWLAN usw lassen sich aktivieren, was natürlich weitere monatliche Zusatzkosten generiert.
Mit Managed Security zB wird der gesamte Traffic über eine Cloud Firewall geroutet, die von Fortinet ist. Dazu lässt sich ein Webfilter und Antivirus aktivieren (mitm Prinzip--> TLS wird aufgebrochen, Zertifikate installieren)
Mit Managed LAN lassen sich Aruba Switches und Access Points mieten und konfigurieren (VLAN's SSID's usw.). Weiter lässt sich ein Swisscom PWLAN am Standort einrichten, RAS Benutzer können konfiguriert werden und die Anbindung an den Swisscom DCS steht mit bis zu einem Gbps direkt zur Verfügung ohne Routing über das öffentliche Internet. Standortvernetzung zwischen BNS? Klick und fertig. Das mal grob zu den wichtigsten vorhandenen Features.
Vorteil von BNS ist die Skalierbarkeit. Du hast ein Startup und weisst noch nicht wohin der Weg geht und wie schnell? BNS -> Top Produkt dazu. Klar kalkulierbare monatliche Kosten für Services und gemietete Hardware. Du brauchst einen grösseren Switch? Neuen Switch bestellen und einrichten, alten Switch abbestellen und zurücksenden, finito.
Weiter ist ein BNS und die Hardware dazu unglaublich schnell konfiguriert. Es ist zwar viel Klickerei, aber das Ganze läuft unglaublich schnell und einfach ab ohne das Systemtechniker dazu in unterschiedlichster Hardware/Software geschult werden müssen.
Nachteil ist für mich selber, es läuft aktuell nur auf dem IPv4 Stack. Die Firewall kann zwar schon einiges mehr, ist aber noch lange kein Vergleich zu einem System wie pfSense.
Zudem sind die monatlichen Kosten natürlich höher als wenn man alles kauft. Alles in allem, wenn man Geschwindigkeit der Konfiguration und Lifetime der Hardware die bei der Miete jederzeit durch die aktuellste Technologie ausgetauscht werden kann betrachtet, ist der Preis dann schlussendlich aber gar nicht so hoch!

Schlusswort

So, wie ihr seht, kann diese Olle Kiste doch die eine oder andere Funktion ausführen. Hast du selber Anmerkungen oder Fragen, fehlt was oder stimmt überhaupt nicht, so lass es mich wissen.
Es freut mich deinen Kommentar zu lesen.