Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 9 subscribers
  • Views 1671 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Telefonanlage hinter Sophos XGS

EinMarco_DE

Hallo zusammen, folgendes Thema bescheert uns aktuell graue Haare.

Eventuell etwas Offtopic.

Folgender Aufbau:
2 Internet Anschlüsse Kabel BW Business mit Fritz!Box Cable als Gateway. Dahinter die Sophos XGS.

Hinter der Sophos befindet sich eine onSite Telefonanlage (Avaya Systemanlage). Lasse ich die Anlage direkt über die Sophos über die beiden Fritz!Boxen raus, bekommt diese keinen SIP Reg hin und die Support-VPN von der Anlage zum Hersteller klappt auch nicht.

Um die Anlage lauffähig zu bekommen, habe ich eine Side to Side VPN von der Sophos zu uns ins RZ (ebenfalls Sophos) aufgebaut und per SD-WAN die Telefonanlage über die VPN über unser RZ "raus". Damit ging der SIP Reg und Support-VPN wieder.

Allerdings klappt diese "Notlösung" ebenfalls nur über eine der beiden Fritz!Boxen. Baue ich die VPN mit dem anderen Gateway (2. Fritz!Box) auf, kann ich diese zwar aufbauen, allerdings klappt dann der SIP Reg wieder nicht mehr. Schaue ich mir dann die Packet Capture auf der Sophos in unserem RZ an, sehe ich auch gar keine SIP Pakete.

Interessant finde ich, dass die Telefonanlage vorher direkt an der Fritz!Box angesteckt wurde, über die nicht mal die VPN Lösung funktioniert und tadellos funktioniert hat.

Jemand eine Idee für mich, was das sein kann? SIP Helper auf der Sophos habe ich schon aus.



This thread was automatically locked due to age.
  • 0

    Hallo Dennis,

    der Telefonprovider hat nicht das grosse "T"? Sonst hatte ich bereits Probleme, wenn nicht auch ein DNS-Server dieses Providers verwendet wurde.

    Ist denn der SIP-Traffic im Firewall-Log zu sehen?

    Von der TK-Anlage sollte ja nicht viel anderes kommen. Also kann auf diese IP gefiltert werden.

    Stimmt NAT/MASQ für diese Verbindungsversuche?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0

    Guten Morgen Dennis,


    hast du in den FritzBoxen vielleicht noch Rufnummern die Kabel BW mitgeliefert hat? Wenn ja, deaktiviere diese bitte mal. Wenn du von den beiden FritzBoxen aus ein Exposed Host auf die Sophos gelegt hast, aber noch ein SIP REG in der FritzBox aktiv ist, zieht die FritzBox die Ports, die sie verwendet aus em Exposed Host raus.

    Hast du mal eine SNAT Regel, Firewall Regel, SD-WAN Regel nur für die TK gebaut und diese gezielt über einen Internetanschluss ein und ausgehend geschoben?
    Was sagt das Firewall Protokoll, wie von Dirk schon gefragt, falls ihr einen Anlagen Anschluss vom großen T habt, wie Dirk ebenfalls schreib, bitte mal den DNS testen.

    Falls du die Möglichkeit hast, beim Provider ein BYOD Gerät zu beantragen, kann ich dir als Layer2 Modem das Arris CM3200 empfehlen, dies hat die gleichen DOCIS Speziationen wie die modernen Kabel FritzBoxen. Wir betreiben das zwar teils auch so, aber ich finde das aus verschiedenen Gründen nicht so fein mit einer FritzBox vor einer Firewall zu arbeiten.

    Vielleicht hilft es dir weiter

    Viele Grüße

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • 0

    Hallo zusammen,

    dirkkotte said:
    der Telefonprovider hat nicht das grosse "T"?

    Nein. Der Trunk ist ein Avaya Pro Eco.

    dirkkotte said:
    Sonst hatte ich bereits Probleme, wenn nicht auch ein DNS-Server dieses Providers verwendet wurde

    Habe ich mit dem Hersteller abgeklärt, die Anlage verwendet direkt den Google DNS (8.8.8.8), "fragt" die Sophos also gar nicht.

    dirkkotte said:
    Ist denn der SIP-Traffic im Firewall-Log zu sehen?

    Ja. Testweise habe ich mal eine "nornale" VM hinter die Sophos gestellt. Port 5060 kommt ohne Probleme auch "raus".

    dirkkotte said:
    Stimmt NAT/MASQ für diese Verbindungsversuche?

    Nutzt die "Default v4 SNAT" Regel.

    Patrick81 said:
    hast du in den FritzBoxen vielleicht noch Rufnummern die Kabel BW mitgeliefert hat? Wenn ja, deaktiviere diese bitte mal

    Danke für den Tipp, teste ich mal. Auch wenns bisher keine Probleme gab, dass die Fritz!Box noch Rufnummern hatte.

    Patrick81 said:
    Hast du mal eine SNAT Regel, Firewall Regel, SD-WAN Regel nur für die TK gebaut und diese gezielt über einen Internetanschluss ein und ausgehend geschoben?

    Ja. Per SD-WAN. So habe ich aktuell auch die "Notlösung" über die VPN gelöst (Gegnerische VPN Schnittstelle als Gateway angelegt und per SD-WAN der Anlage zugewiesen).

    Grüße!

  • 0 in reply to EinMarco_DE

    Schönen guten Morgen Dennis. Deinen Test habe ich verstanden, wie du es zur Zeit über die Notlösung betreibst. Ich meinte es aber ehr so (siehe Bilder). Wichtig ist dass keine SNAT Regel auf die TK greift, die nicht für die TK bestimmt ist. Ich hoffe es hilft dir weiter. 

    Viele Grüße
    Patrick

    Nachtrag : ich denke das hier hast du schon durch gekaspert? Slight smile

    console> set advanced-firewall udp-timeout-stream 150 bis 300 (150 reicht bis her immer bei mir)
    console> set ips sip_preproc disable
    console> system system_modules sip unload

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

Unfiltered HTML