Zugriff auf zweite Netzwerkzone

Hallo,

Die Firewall ist immer das Gateway in jeweiligen Netz?

In den Firewall-Rules darf nicht die Interface-IP der Firewall stehen (#Port1), sondern eine Netzdefinition (192.168.101.0/24)

Wenn beide Netze in der Zone "LAN" sind, im Zweifel mal zum Testen folgendes probieren:

Source: "Zone=LAN" und "IP=ANY"

Destination: "Zone=LAN" und "IP=ANY"

Alle Regeln mit aktiviertem logging anlegen und im log-viewer prüfen, ob es Treffer gibt.

Hallo,

hab den Fehler gefunden, danke für die Antwort aber da du ja sehr erfahren bist, habe ich noch eine neue Frage. Wie konfiguriere ich die RTP Freigabe für Voip. Ich habe nähmlich auch das Problem, das sich das Telefon (Anlage) registriert und auch die Rufe funktionieren, nur fehlt der Ton.

Hallo,

wo befindet sich das Telefon und wo die Anlage? Beides im LAN, oder ist etwas davon im Internet?
Wenn die Anlage im LAN ist, wie verbindet sie sich mit dem TK-Anbieter?

Ich bräuchte ein paar mehr Details. 

Hallo Dirk,

die Telefonanlage befindet sich in meinem zweiten LAN auf Port 5 (192.168.102.xx). Die normalen Rechner sind auf Port 1 (192.168.101.xx) . Beides geht über die WAN-Leitung auf Port 2 ins Internet. Die Telefone sind alle an der Telefonanlage (Auerswald Compact 4000) angeschlossen und gehen nicht direkt ins Internet (Anbieter 1und1). Als Router dient eine Fritzbox 3490, wo die Sophos als Exposed-Host konfiguriert ist. Wenn es hilfreich ist, könnte ich auch noch das WAN über 2 Ports splitten.

Ralph

Hallo Ralph,

kennt die Fritzbox auch das 192.168.102.0 /24 Netzwerk?

Die Telefone befinden sich im gleichen Subnetz, wie die TK-Anlage?

Mal das Logging aktivieren (auch für die letzte DROP-Regel ) und mit dem logviewer gucken, ob/was aus dem TK-Subnetz gedroppt wird.

Sonst:
Alles vom/zum TK-Anbieter zulassen und alles eingehende vom TK-Anbieter per DNAT an die Auerswald schicken.
Wenn für die Aushandlung (SIPs = port 5061) verwendet wird, ist der SIP-Helper "blind".

 PhilippRusch Guter Einwand, aber wenn der SIP-Anteil funktioniert, müsste das Maskieren auch passen. Dann sieht die FB das 102er Netz nicht

Hallo Phiipp,

warum sollte die FB das Netz 102 sehen? Die FB hat ihr eigenes Lan mit 10.100.100.xx und gibt alles an den WAN Port der SG230 (Exposed-Host). Die FB ist eine 3490 und hat keinerlei Telefonfunktionen.

Ralph

Hallo Ralph,

umgekehrt wird ein Schuh draus: meiner Meinung nach SOLLTE die FB alle beiden Netze "hinter" der Sophos sehen. Damit meine ich, das man es auch konfigurieren muss, dass das so ist. Momentan verlässt du dich ausschließlich aufs Masquerading.

Zitat:

"die Telefonanlage befindet sich in meinem zweiten LAN auf Port 5 (192.168.102.xx). Die normalen Rechner sind auf Port 1 (192.168.101.xx) . Beides geht über die WAN-Leitung auf Port 2 ins Internet. Die Telefone sind alle an der Telefonanlage (Auerswald Compact 4000) angeschlossen und gehen nicht direkt ins Internet (Anbieter 1und1). Als Router dient eine Fritzbox 3490, wo die Sophos als Exposed-Host konfiguriert ist."

Ein "Exposed Host" ist prima, aber du solltest dir auch das Routing auf der FB ansehen.