Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 9 subscribers
  • Views 1671 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Telefonanlage hinter Sophos XGS

EinMarco_DE

Hallo zusammen, folgendes Thema bescheert uns aktuell graue Haare.

Eventuell etwas Offtopic.

Folgender Aufbau:
2 Internet Anschlüsse Kabel BW Business mit Fritz!Box Cable als Gateway. Dahinter die Sophos XGS.

Hinter der Sophos befindet sich eine onSite Telefonanlage (Avaya Systemanlage). Lasse ich die Anlage direkt über die Sophos über die beiden Fritz!Boxen raus, bekommt diese keinen SIP Reg hin und die Support-VPN von der Anlage zum Hersteller klappt auch nicht.

Um die Anlage lauffähig zu bekommen, habe ich eine Side to Side VPN von der Sophos zu uns ins RZ (ebenfalls Sophos) aufgebaut und per SD-WAN die Telefonanlage über die VPN über unser RZ "raus". Damit ging der SIP Reg und Support-VPN wieder.

Allerdings klappt diese "Notlösung" ebenfalls nur über eine der beiden Fritz!Boxen. Baue ich die VPN mit dem anderen Gateway (2. Fritz!Box) auf, kann ich diese zwar aufbauen, allerdings klappt dann der SIP Reg wieder nicht mehr. Schaue ich mir dann die Packet Capture auf der Sophos in unserem RZ an, sehe ich auch gar keine SIP Pakete.

Interessant finde ich, dass die Telefonanlage vorher direkt an der Fritz!Box angesteckt wurde, über die nicht mal die VPN Lösung funktioniert und tadellos funktioniert hat.

Jemand eine Idee für mich, was das sein kann? SIP Helper auf der Sophos habe ich schon aus.



This thread was automatically locked due to age.
Parents
  • 0

    Hallo zusammen,

    dirkkotte said:
    der Telefonprovider hat nicht das grosse "T"?

    Nein. Der Trunk ist ein Avaya Pro Eco.

    dirkkotte said:
    Sonst hatte ich bereits Probleme, wenn nicht auch ein DNS-Server dieses Providers verwendet wurde

    Habe ich mit dem Hersteller abgeklärt, die Anlage verwendet direkt den Google DNS (8.8.8.8), "fragt" die Sophos also gar nicht.

    dirkkotte said:
    Ist denn der SIP-Traffic im Firewall-Log zu sehen?

    Ja. Testweise habe ich mal eine "nornale" VM hinter die Sophos gestellt. Port 5060 kommt ohne Probleme auch "raus".

    dirkkotte said:
    Stimmt NAT/MASQ für diese Verbindungsversuche?

    Nutzt die "Default v4 SNAT" Regel.

    Patrick81 said:
    hast du in den FritzBoxen vielleicht noch Rufnummern die Kabel BW mitgeliefert hat? Wenn ja, deaktiviere diese bitte mal

    Danke für den Tipp, teste ich mal. Auch wenns bisher keine Probleme gab, dass die Fritz!Box noch Rufnummern hatte.

    Patrick81 said:
    Hast du mal eine SNAT Regel, Firewall Regel, SD-WAN Regel nur für die TK gebaut und diese gezielt über einen Internetanschluss ein und ausgehend geschoben?

    Ja. Per SD-WAN. So habe ich aktuell auch die "Notlösung" über die VPN gelöst (Gegnerische VPN Schnittstelle als Gateway angelegt und per SD-WAN der Anlage zugewiesen).

    Grüße!

Reply
  • 0

    Hallo zusammen,

    dirkkotte said:
    der Telefonprovider hat nicht das grosse "T"?

    Nein. Der Trunk ist ein Avaya Pro Eco.

    dirkkotte said:
    Sonst hatte ich bereits Probleme, wenn nicht auch ein DNS-Server dieses Providers verwendet wurde

    Habe ich mit dem Hersteller abgeklärt, die Anlage verwendet direkt den Google DNS (8.8.8.8), "fragt" die Sophos also gar nicht.

    dirkkotte said:
    Ist denn der SIP-Traffic im Firewall-Log zu sehen?

    Ja. Testweise habe ich mal eine "nornale" VM hinter die Sophos gestellt. Port 5060 kommt ohne Probleme auch "raus".

    dirkkotte said:
    Stimmt NAT/MASQ für diese Verbindungsversuche?

    Nutzt die "Default v4 SNAT" Regel.

    Patrick81 said:
    hast du in den FritzBoxen vielleicht noch Rufnummern die Kabel BW mitgeliefert hat? Wenn ja, deaktiviere diese bitte mal

    Danke für den Tipp, teste ich mal. Auch wenns bisher keine Probleme gab, dass die Fritz!Box noch Rufnummern hatte.

    Patrick81 said:
    Hast du mal eine SNAT Regel, Firewall Regel, SD-WAN Regel nur für die TK gebaut und diese gezielt über einen Internetanschluss ein und ausgehend geschoben?

    Ja. Per SD-WAN. So habe ich aktuell auch die "Notlösung" über die VPN gelöst (Gegnerische VPN Schnittstelle als Gateway angelegt und per SD-WAN der Anlage zugewiesen).

    Grüße!

Children
  • 0 in reply to EinMarco_DE

    Schönen guten Morgen Dennis. Deinen Test habe ich verstanden, wie du es zur Zeit über die Notlösung betreibst. Ich meinte es aber ehr so (siehe Bilder). Wichtig ist dass keine SNAT Regel auf die TK greift, die nicht für die TK bestimmt ist. Ich hoffe es hilft dir weiter. 

    Viele Grüße
    Patrick

    Nachtrag : ich denke das hier hast du schon durch gekaspert? Slight smile

    console> set advanced-firewall udp-timeout-stream 150 bis 300 (150 reicht bis her immer bei mir)
    console> set ips sip_preproc disable
    console> system system_modules sip unload

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

Unfiltered HTML