[Erledigt] WLAN-Routermodem mit WPA2-Enterprise und SIP-Server

[bubblegun]

Vermutlich hatte ich hier vor Jahren schon mal in der Angelegenheit nachgefragt, aber kein befriedigendes Ergebnis erhalten. Da die Wandwarzen immer mehr werden, versuche ich die Geräte zu minimieren/vereinheitlichen. Ich hätte gern:

• WLAN-Router mit AC und N der WPA2-Enterprise beherrscht, integriertes Modem wäre ganz angenehm
• Dieser Router sollte auch einen SIP-Server an Bord haben, benötige ich für meine IP-Telefonie

Derzeit ist ein TP-Link Modemrouter an der ADSL2-Leitung, dann hab ich dahinter eine FB 7170 für ISDN und die IP-Telefonie über DUS-Net, und an der FB auch noch einen ASUS als Accesspoint, weil die FB 7170 ja nur ganz kleines WLAN -ohne Enterprise- kann, und das WLAN vom TP-Link in einem anderen Netzwerksegment funkt.
Die Fritzboxen könne ja kein Enterprise, das ist aber unschlagbar, möcht ich auf keinen Fall verzichten. Deshalb meine Frage, gibt es einen WLAN-Router mit Enterprise, der auch einen SIP-Server an Bord hat. Ich hab bei meiner Google-Suche die letzten Jahre nichts gefunden. Ach ja, ich hab ein Elektroauto mit recht rudimentären Netzwerkfunktionen, da kann ich nur N mit eingeschränkten Kanälen, da sollte also noch eine solch konfigurierbare Gästefunktion drin sein.

 

[MuP]

Ich hätte gern:

Wenn WPA2-Enterprise wirklich sicher arbeiten soll, gehört noch ein externer RADIUS-Server dazu.
Eine Integration im Router ist angreifbar.

 

[bubblegun]

Wenn WPA2-Enterprise wirklich sicher arbeiten soll, gehört noch ein externer RADIUS-Server dazu.
Eine Integration im Router ist angreifbar.

Hatte ich vergessen zu erwähnen, natürlich gibt es einen externen RADIUS-Server auf der Synology.

 

[bubblegun]

Die Frage nach einer allumfassenden Lösung war ein wenig zu optimistisch. Nachdem ich jetzt selbst sehr viele Manuals durchgeackert hab bin ich grob zu der Erkenntnis gelangt:
Jeder kann WPA2-Enterprise, nur nicht die Fritzboxen
Keiner kann ISDN-Anlage, nur verschiedene Fritzboxen
Unkomplizierte SIP-Lösung kann am besten die Fritzbox
Also muss ich mit meiner Lösung vorlieb nehmen, ist halt so!

 

[andilao]

WPA2-Enterprise an einen Radius-Server "durchzureichen" ist ja offensichtlich keine Kunst, wenn man das schon bei 20€-Teilen findet. Den Vorteil der individuellen Zugänge erkämpft man aber mit einigen Hürden für inkompatible Geräte und einem nichtfunktionalen WPS-Knopf.

Ansonsten hat Kalle2006 das Thema wohl noch nicht entdeckt, so springe ich mal ein und empfehle die be.ip plus von bintec. Dem fehlt eigentlich nur DECT, eine praktische AVM-Oberfläche und der AVM-Support

 

[bubblegun]

Öha!
Danke andilao, hätt ich nicht gedacht, dasss da wirklich noch Vorschläge kommen. Der Preis ist zwar schon ein wenig gesalzen, aber dafür könnten dann schon mal drei andere Geräte weg. Wenn da ein vernünftiges Routing möglich ist, wovon ich bei bintec eigentlich ausgehe. Also mein antikes WLAN-Gerümpel hatte bisher keine Probleme mit WPA2-Enterprise, und den WPS-Knopf brauch ich wirklich nicht, geb ich einen neuen (Gast-)Nutzer mit seinem Gerät einfach ein, oder sperre ihn wieder. Und wer braucht schon DECT? Ich habe eine gute Telefonanlage und Nebenstellen in allen wichtigen Räumen. Und wenn ich tatsächlich mal mit Gästen im Schatten hinter dem Haus bin, mach ich einfach RWL auf mein Smartphone.
Also noch einmal herzlichen Dank für den Hinweis, schau ich mir bei dem Preis ganz genau an.

 

[NDiIPP]

Wenn folgende Bedingung nicht gewesen wäre:

• WLAN-Router mit AC und N

hätte ich die be.IP plus hier schon (lange) erwähnt gehabt (dazu braucht es also eigentlich nicht gleich Kalle ). Aber 802.11ac kann die be.IP selbst (ohne zusätzlichen AP) eben nicht (und auch kein simultanes DualBand). Ansonsten passt sie natürlich.

Aber es gibt mittlerweile ein anderes Gerät welches wohl alle genannten Bedingungen erfüllt, es wäre das Zyxel VMG8825-D70B, auch bekannt als "Digitalisierungsbox Basic". Neben 802.11ac und simultanem DualBand unterstützt das integrierte Modem auch gleich SuperVectoring. Da dieses Gerät aber nicht von Bintec stammt würde zumindest Kalle dieses Gerät vermutlich niemals nennen oder gar empfehlen.

 

[andilao]

kein simultanes DualBand

Wie peinlich, dass ich das übersehen habe. Simultanes DualBand hatte AVM schon bei der 7390.

AIO-Geräte für VDSL2 mit ISDN und AC-WLAN sind wohl doch nicht so häufig. Wenn das WPA2-Enterprise dein Killswitch ist, würde ich tatsächlich alles so lassen.

 

[bubblegun]

Danke Euch, hat mich ja doch erheblich weiter gebracht! Das Manual vom Zyxel muss ich mir noch anschauen, ansonsten macht das bintec doch einen recht übersichtlichen Eindruck. Ja, AC wäre schon schön, es gibt ja doch immer mehr Geräte, ist aber kein KO-kriterium. Mein dummes amerikanisches Auto kann nur eingeschränkte Kanäle und nur n! Und nur 2,4 ghz! Die sind noch nicht so weit?

 

[bubblegun]

Bin mit dem Zyxel-router-manual noch nicht durch, aber erst die Frage: Kann man das Gerät auch kaufen? Tante Google sagt da goar nix dazua!

 

[NDiIPP]

Ja:
https://geschaeftskunden.telekom.de/umn/434886/digitalisierungsbox-basic.html


BTW:
Scheinbar ist auch beim VMG8825-D70B (Digibox Basic), so wie beim Vorgänger VMG8546-D70A (Speedlink 5501), im Webinterface Multi-SSID nicht konfigurierbar (beim Vorgänger war das zumindest noch manuell über die Konfiguration möglich, wie das beim Nachfolger ist weiß ich nicht). Hätte nicht damit gerechnet, dass das beim Nachfolger immer noch so ist. Damit erfüllt dieses Gerät dann wohl doch nicht alle Anforderungen.

Bedeutet wohl, egal ob du dich für die be.IP plus (aka Digitalisierungsbox Premium) oder den VMG8825-D70B (aka Digitalisierungsbox Basic) entscheidest, unter Umständen wird in beiden Fällen noch ein weiterer WLAN-AP benötigt. Entweder um das 2. Funkmodul (für das 5GHz-Band) zu ergänzen oder die fehlende Multi-SSID Unterstützung.
Da könnte man eigentlich auch weiterhin eine Fritzbox verwenden und einen separaten AP (mit simultanen DualBand).

 

[bubblegun]

Danke für den Hinweis!
Die digitalisierungsbox premium ist ja auch erheblich preiswerter als die be.ip+, ist das Teil von den Telekomikern da irgendwie beschnitten? Ich hab eine Comfort Pro S, die zwar baugleich zur X320 ist, aber da sind doch erhebliche Einschränkungen gegenüber dem Original.
Bei der Digibox Basic ist angegeben, dass die für den reinen VOIP-Anschluss vorgesehen ist. Ich hab aber noch POTS, gibt es da Einschränkungen/Fehlfunktionen hinsichtlich des durch den Splitter eingeschränkten Frequenzbereichs? Insgesamt find ich auch die Netzwerktrennung über VLAN- und Brigdemodus bei der be.ip+ sinnvoller. Wobei eben im Manual des Zyxel verschiedene Dinge einfach gar nicht dargestellt, oder recht versteckt sind, wie beispielsweise der WLAN-Modus 802.1x! Den hab ich erst mit der Suchfunktion erkannt.

 

[NDiIPP]

... ist das Teil von den Telekomikern da irgendwie beschnitten?

Es gibt ein paar Unterschiede. Meines Wissens nach ist für die Digibox Premium:

• kein Lizenzpaket verfügbar,
• kein Konsolenzugriff möglich (weder per Telnet, SSH oder RS232),
• die Konfiguration kann nur verschlüsselt exportiert werden (unverschlüsselt ist dann hilfreich wenn man die exportierte Konfiguration manuell bearbeiten möchte),
• kein ISDN-TE Adapter verwendbar (wobei ich nicht weiß ob das noch immer zutrifft, es gab von der be.IP plus mal eine neue HW-Rev. mit der der ISDN-TE Adapter unterstützt wurde aber die Digibox Premium wird oder wurde wohl weiterhin in der alten HW-Rev. ausgeliefert) und
• die Digibox Premium hat keinen USB-Port (für Mobilfunksticks).

Ich hab aber noch POTS

Dann kannst du eigentlich alles was bisher geschrieben wurde vergessen! Warum steht so was wichtiges nicht in #1?

Weder die be.IP plus, noch die Digibox Premium oder Basic unterstützen amtsseitig noch POTS. Wenn es wenigstens noch ein ISDN-Amtsanschluss wäre, denn den Vorgänger der Digibox Basic gab es auch in einer Variante mit externen S0-Bus (Speedlink 6501) und für die be.IP plus ist der ISDN TE-Adapter verfügbar. Aber POTS? Da kannst du meines Wissens nach eigentlich nur eine Fritzbox (7272, 7490 oder 7590) oder vielleicht noch die be.IP plus "World-Edition" verwenden als All-in-On Gerät.

 

[bubblegun]

Sorry, POTS war der falsche Begriff. Ich meinte, dass ich immer noch über Draht telefoniere, aber über einen ISDN-Anlagenanschluss. Für mich ist das alles ganz klar, weil ich nichts anderes kenne, deshalb habe ich das möglicherweise für externe Fachleute in #1 nicht ausreichend beschrieben
Also noch einmal der Reihe nach:

• Kupferdraht mit Splitter
  
• ADSL2+ mit 16.000
• ISDN-Anlagenanschluss
• Bordergateway mit TP-Link ADSL-Modemrouter, dahinter für das zweite Netzwerksegment die FB
  
• An der FB hängt der interne ISDN-Bus, um eingehende SIP-Anrufe auf meine alten Rufnummern des MGA in die Telefonanlage zu bringen
• An der FB hängt auch noch ein Ubiquiti-Telefon für den SIP-Anschluss für ausgehende Rufe, weil ich keine MGW-Karte für meine Comfort Pro S mehr bekommen hab.
  
• An der FB hängt ein Asus als AP, damit ich das zweite Netzwerksegment mit WLAN bedienen und 802.1x nutzen kann

Jetzt hab ich -glaub ich- aber alles deutlich beschrieben?

 

[NDiIPP]

... aber über einen ISDN-Anlagenanschluss.

Die Digiboxen (egal ob Basic, Smart oder Premium) kommen somit nicht in Frage. Die be.IP plus mit dem ISDN TE-Adapter wäre weiterhin möglich. Die DigiBox Basic zwar nicht aber dafür ihr Vorgänger Zyxel Speedlink 6501 (der kann zwar DualBand simultan aber kein 802.11ac).

 

[bubblegun]

Man möcht es nicht glauben, was ich alles undeutlich beschreiben kann.
Nach Deiner Schilderung -und der Beschreibung des Adapters- benötige ich anscheinend diesen ISDN-TE-Adapter nur, wenn ich ISDN komplett über die Bintec-Anlage laufen lasse? Es ist aber so, dass ich grundsätzlich meine Telefonanlage ComfortPro-S nutze, um den Sprachverkehr abzuwickeln. Nach dem Splitter und dem NTBA geht das Signal in die Telefonanlage, und umgekehrt. Die SIP-Leitung kommt nur ausnahmsweise ins Spiel, wenn noch jemand meine Rufnummern aus dem alten Mehrgeräteanschluss wählt. Diese Rufnummern habe ich zu DUS.net portiert, und der Ruf kommt dann über den Router als SIP-Anruf rein. Dazu hab ich im Büro ein Ubiquiti stehen das an der FB hängt. Von der Fritzbox führt ein S0-Bus, der zur ComfortPro, der in der Anlage als externer S0 konfiguriert ist. Darüber wird der Ruf dann an verschiedene Endgeräte geführt. Die "Anlage" (be.ip+ oder Zyxel VMG8825-D70B) hat also keine andere Aufgabe, als den SIP-Server zur Verfügung zu stellen, mit dem die SIP-Anrufe entsprechend gehändelt und auch über einen externen Bus in die ComfortPro geleitet werden. Dann muss sie auch WPA2-Enterprise können, und ac wäre natürlich schön, ist aber kein k.o.-Kriterium.
Geht das jetzt mit dem Zyxel?
Mit der be.ip+ offensichtlich auf jeden Fall, der ISDN-TE-Adapter kost ja auch nicht die Welt, ist aber nicht unbedingt erforderlich?

 

[NDiIPP]

Die "Anlage" (be.ip+ oder Zyxel VMG8825-D70B) hat also keine andere Aufgabe, als den SIP-Server zur Verfügung zu stellen, mit dem die SIP-Anrufe entsprechend gehändelt und auch über einen externen Bus in die ComfortPro geleitet werden.

In dem Fall kommen wieder alle hier genannten Geräte in Frage. Der TE-Adapter würde auch nicht benötigt werden bei der be.IP plus.

Allerdings würde ich aufgrund der Schilderung (ISDN-Anlagenanschluss mit TK-Anlage) vermutlich zur be.IP plus (oder Digibox Premium) tendieren. Die könnte dann in Zukunft vielleicht auch gleich die TK-Anlage ersetzen oder zumindest als MGW für diese dienen falls der ISDN-Anlagenanschluss mal entfällt (auch wenn mitunter Totgesagte wie ISDN länger leben als erwartet kann man damit wohl rechnen, deshalb macht es imo keinen Sinn diesen Umstand bei Neuanschaffungen von Geräten derzeit nicht mit zu berücksichtigen). WLAN dann über einen oder mehrere (je nachdem wie groß der zu versorgende Bereich ist) WLAN-APs die neben simultanem DualBand auch 802.11ac unterstützen und optimal positioniert werden können.

Der einzige Wermutstropfen (bei Berücksichtigung der Zukunftsfähigkeit) ist dann imo die fehlende Unterstützung für SuperVectoring bei der be.IP plus. Bei einem ADSL-Anschluss derzeit aber vielleicht auch wieder ein Vorteil denn die SV-Modems scheinen bei ADSL mitunter nicht mehr ganz so gut zu sein.

 

[bubblegun]

Es ist also wirklich nicht so einfach, als Betroffener alle Details korrekt zu beschreiben, deshalb Danke für die Informationen und die Geduld!
Ich tendiere auch zu der be.ip+ oder seinem Telekom-Pedanten. Denn meine Anbindung mit DSL 6.000 ist schon ein wenig arg mager, oben beschriebene 16.000 sind möglich aber nicht gebucht. Jedenfalls werden sie als möglich angezeigt, aber das war bei den Telekomikern schon so ein Problem, keine stabile Verbindung. Unsere Stadtwerke bieten inzwischen 50MB an, leider ohne die von mir gewünschten Dinge wie feste IP und Anlagenanschluss. Da könnte ich einen Trunk-Anbieter nehmen, kost ja kaum was, nur mit der festen IP hab ich noch keine Lösung.
Zur Digibox Premium: Kannst Du mir sagen, ob die auch wenigstens 5 VPN und alle Voice-Applikationen mit VoiceMail an Bord haben? Erweiterungen brauch ich nicht, aber die Grundfähigkeiten sollten schon vorhanden sein.

 

[NDiIPP]

Kannst Du mir sagen, ob die auch wenigstens 5 VPN und alle Voice-Applikationen mit VoiceMail an Bord haben?

Ja, ist mit an Bord.