Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Suggested Answer
  • Replies 16 replies
  • Answers 1 answer
  • Subscribers 10 subscribers
  • Views 911 views
  • Users 0 members are here
Options
Suggested

Allgemeine Frage zu Diensten und Regel Freigabe für Telekom pbx 2.0 Telefonie

derinder85

Hallo Zusammen,

ich beschäftige mich neu mit der XGS 107 und betreibe diese aktuell neu im eigenen Netzwerk.

Aufbau: Fritzbox --> XGS 107 --> Netzwerk

Jetzt komme ich schon zur ersten Herausforderung. Zusätzlich hätte ich noch allgemeine Fragen.

Die XGS ist soweit ganz neu. Standardregeln wurden im Zuge der Ersteinrichtung angelegt.

Soweit so gut, jetzt ist der Rechner meiner Frau (arbeitet im Homeoffice) ebenfalls eingebunden. Seit dem ich den Rechner über die XGS laufen lasse, verbindet sich der Webex Client  (Telekom) nicht mehr mit dem Telefonie-Server. Sobald ich ihn direkt an die Fritzbox hänge, läuft dieser wieder. 

Ok, hier muss ich eine Regel erstellen. Nach Prüfung des Logs, sehe ich jedoch nicht, was hier geblockt wird. Ich sehe hier nur folgenden Eintrag, der zeitlich in die Anfrage passt.

messageid="02002" log_type="Firewall" log_component="Appliance Access" log_subtype="Denied" status="Deny" con_duration="0" fw_rule_id="N/A" fw_rule_name="" fw_rule_section="" nat_rule_id="0" nat_rule_name="" policy_type="0" sdwan_profile_id_request="0" sdwan_profile_name_request="" sdwan_profile_id_reply="0" sdwan_profile_name_reply="" gw_id_request="0" gw_name_request="" gw_id_reply="1" gw_name_reply="DHCP_Port2_GW" sdwan_route_id_request="0" sdwan_route_name_request="" sdwan_route_id_reply="0" sdwan_route_name_reply="" user="" user_group="" web_policy_id="0" ips_policy_id="0" appfilter_policy_id="0" app_name="" app_risk="0" app_technology="" app_category="" vlan_id="" ether_type="IPv4 (0x0800)" bridge_name="" bridge_display_name="" in_interface="Port2" in_display_interface="Port2" out_interface="" out_display_interface="" src_mac="4c:52:62:0e:5a:0a" dst_mac="" src_ip="192.168.1.11" src_country="R1" dst_ip="192.168.1.255" dst_country="R1" protocol="UDP" src_port="137" dst_port="137" packets_sent="0" packets_received="0" bytes_sent="0" bytes_received="0" src_trans_ip="" src_trans_port="0" dst_trans_ip="" dst_trans_port="0" src_zone_type="" src_zone="" dst_zone_type="" dst_zone="" con_direction="" con_id="" virt_con_id="" hb_status="No Heartbeat" message="" appresolvedby="Signature" app_is_cloud="0" log_occurrence="1" flags="0"

Port 137 auf die Broadcast Adresse. 

Jetzt meine Frage. Wie bekomme ich raus, woran die Verbindung scheitert?

Wie behandelt die XGS Anfragen von Diensten die nicht definiert sind? 

Aktuell ist die Default Network Policy:

LAN beliebiger Host --> beliebiger Dienst --> WAN beliebiger Host 

ich hoffe meine Frage ist verständlich.

Freue mich für jegliche Hilfe.

Gruß



Added TAGs
[edited by: Raphael Alganes at 2:45 PM (GMT -7) on 13 Jun 2024]
  • 0

    Hello,

    Thanks for reaching out to Sophos Community. 

    Does your FW rule for LAN->WAN has Web Filtering/IPS/App Control enabled in it? If yes, are there any deny logs you can see for this under Log Viewer? 

    Thank you for your time and patience and thank you for choosing Sophos. 

    Regards,

    Raphael Alganes
    Community Support Engineer | Sophos Technical Support
    Sophos Support Videos Product Documentation  |  @SophosSupport  | Sign up for SMS Alerts
    If a post solves your question use the 'Verify Answer' link.

  • 0

    Hallo,

    Jetzt meine Frage. Wie bekomme ich raus, woran die Verbindung scheitert? -- erzeuge eine "deny"-regel, welch auch loggt. Bei der Standard-deny-regel ist das logging nicht aktiv. Dann sieht man auch, was verweigrt wird.

    Wie behandelt die XGS Anfragen von Diensten die nicht definiert sind? -- "Any" beinhaltet auch nicht definierte Services

    Aktuell ist die Default Network Policy: LAN beliebiger Host --> beliebiger Dienst --> WAN beliebiger Host  -- und trotzdem geht Webex nicht ...?

    ... das könnte an "Standardregeln wurden im Zuge der Ersteinrichtung angelegt" liegen. Dabei wird meist auch der WebFilter/Virenscanner und evtl. sogar SSL-Interception aktiviert. Da wird sich WebEx dran aufhängen. Baue manuell eine eigene "LAN beliebiger Host --> beliebiger Dienst --> WAN beliebiger Host" Regel ohne weitere aktivierte Features und platziere diese ganz oben.  (Wenn das dann geht, gibt es schöne lange Listen mit betroffenen IP's, welche eingepflegt werden müssen)


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to Raphael Alganes

    HI Raphael,

    Thanks for your reply.

    This rule is currently active. As I understand it, every request from the LAN to the WAN (regardless of the service) should be allowed through, right?

    If I now start the Webex (Telekom) client, it also connects to all services, except for the voice server.

    According to the documentation, the following settings should be made for the web client

    The following settings are made in the firewall rule above

    In the log viewer I see (filtered by client PC IP) only the following packets that are rejected

    (no other drops oder rejections filtered with this IP)

    messageid="02002" log_type="Firewall" log_component="Appliance Access" log_subtype="Denied" status="Deny" con_duration="0" fw_rule_id="N/A" fw_rule_name="" fw_rule_section="" nat_rule_id="0" nat_rule_name="" policy_type="0" sdwan_profile_id_request="0" sdwan_profile_name_request="" sdwan_profile_id_reply="0" sdwan_profile_name_reply="" gw_id_request="0" gw_name_request="" gw_id_reply="1" gw_name_reply="DHCP_Port2_GW" sdwan_route_id_request="0" sdwan_route_name_request="" sdwan_route_id_reply="0" sdwan_route_name_reply="" user="" user_group="" web_policy_id="0" ips_policy_id="0" appfilter_policy_id="0" app_name="" app_risk="0" app_technology="" app_category="" vlan_id="" ether_type="IPv4 (0x0800)" bridge_name="" bridge_display_name="" in_interface="Port2" in_display_interface="Port2" out_interface="" out_display_interface="" src_mac="4c:52:62:0e:5a:0a" dst_mac="" src_ip="192.168.1.11" src_country="R1" dst_ip="192.168.1.255" dst_country="R1" protocol="UDP" src_port="138" dst_port="138" packets_sent="0" packets_received="0" bytes_sent="0" bytes_received="0" src_trans_ip="" src_trans_port="0" dst_trans_ip="" dst_trans_port="0" src_zone_type="" src_zone="" dst_zone_type="" dst_zone="" con_direction="" con_id="" virt_con_id="" hb_status="No Heartbeat" message="" appresolvedby="Signature" app_is_cloud="0" log_occurrence="1" flags="0"

     

    Is it possible that one of the ports/services required above needs to be created?

    thanks for your help

  • 0 in reply to dirkkotte

    Hallo Dirk, danke für deine Antwort. 

    Ich habe mal eine entsprechende Regel mit NAT Verknüpfung angelegt

    die andere Standardregel habe ich deaktiviert.

    Immer noch keine Verbindung.

    Ich verstehe nur nicht, dass alle Dienste durchgehen, nur Telefonieserver nicht. Könnte das anhand der Konfiguraitonsliste (siehe oben Antwort bei Raphael) eine Rolle spielen?

    Die Deny Regel die du meintest verstehe ich nicht so ganz. Eine Regel die erstmal alles blockt?

    Gruß

  • 0 in reply to derinder85

    Hallo Derinder85

    Haben Sie den Protokoll-Viewer auf Web-, Anwendungs-, TLS- und IPS-Protokolle überprüft?

    Bitte posten Sie hier Ihre NAT-Regel

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Bharat J

    Hallo Bharat,

    Danke für deine Hilfe.

    Im Webfilter mit Filterung der Client IP kann ich keine "Denied" feststellen. (Bis auf paar Werbeseiten)

    SSL/TLS Kein Hinweis auf irgendeinen Konflikt oder Ablehnung.

    Im Application Filter ist gar kein Eintrag hinterlegt.

    Hie die NAT-Regel, welche ich im Zuge der Anlage der FW Regel verknüpft habe:

  • 0 in reply to derinder85

    Also Telefonie ist nicht ganz so einfach wie Email Slight smile Damit diese funktioniert, müssen bestimmte Ports aus eingehend freigegeben werden, hier mal die wiichtigsten für Webex:

    Was sonst bei Webex noch zu beachten ist, findest Du hier:

    An sonst ist zu hoffen, dass Deine der Sophos vorgeschaltede Fritzbox als Bridge arbeitet und nicht natted, denn dann wird es komplziert. Wozu brauchst Du diese eigentlich noch?

  • 0 in reply to Sophos User5900

    Ich habe oft eine FB im NAT-Modus davor und die Cisco-WebEx-ClientSoftware läuft ohne eingehende Sonderregeln.

    Die Liste der "Cisco Collab-GERÄTE" ist etwas anderes. Die nehmen als Gerät (Server) auch Anrufe an. 

    Aber es wird hier von "Webex Client  (Telekom)" gesprochen ... ist das überhaupt der WebEx Client von Cisco?

    ... und was ist/wo steht der "Telekom pbx 2.0 Telefonie-Server"

    PS: ok, das scheint zumindest zum Teil Cisco WebEx zu sein. Das läuft mit aktuellem Cisco-Client gegen die Cisco Cloud bei mir problemlos.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to derinder85
    derinder85 said:
    Eine Regel die erstmal alles blockt?

    Genau ... wie die Regel, welche in der Liste schon ganz unten steht. Bloß diese loggt halt nicht.
    Die neue "deny-any + log" regel nach ganz unten. Dann landet sie direkt über der Standard-drop-regel und man sieht, was nicht durchkommt.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Ok, danke für die Hilfestellung. 

    Kurz nochmal zum Aufbau des Netzwerkes.

    Fritzbox (Exposed Host auf IP der XGS) sowie statische Route ins Netz der XGS) --> XGS --> Netzwerk
    Sollte so passen?

    Ich habe das mit der Regel (Deny) entsprechend so umgesetzt

    und stelle folgende Meldungen in der Log fest.

    Nicht wundern, ich habe dem Client mal die 192.168.1.12 gegeben.

    Ausschließlich die 137 Logs, Client frisch gestartet und den PBX 2.0 Client geöffnet. Telefondienst meldet, nicht erreichbar / nicht verbunden.

    Es findet überhaupt keine weitere Protokollierung statt bezüglich des Versuchs. Es sei denn diese 137 Port Anfragen werden dadurch erzeugt.  Nichts von der Alles Blockieren Regel zu sehen. Liegt es vielleicht doch am Netzwerkaufbau? 

    Danke nochmal für eure Hilfe.

    Edit: zur Vollständigkeit:

    Netzwerk:

    Die Fritzbox hat die 192.168.178.1

    Exposed Host auf 192.168.178.54

    Satische Route: Netzwerk 192.168.1.0 Subnetz 255.255.255.0 Gateway 1921.68.1.54

Unfiltered HTML