Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Verified Answer
  • Replies 20 replies
  • Answers 1 answer
  • Subscribers 10 subscribers
  • Views 1233 views
  • Users 0 members are here
Options
Suggested

Allgemeine Frage zu Diensten und Regel Freigabe für Telekom pbx 2.0 Telefonie

derinder85

Hallo Zusammen,

ich beschäftige mich neu mit der XGS 107 und betreibe diese aktuell neu im eigenen Netzwerk.

Aufbau: Fritzbox --> XGS 107 --> Netzwerk

Jetzt komme ich schon zur ersten Herausforderung. Zusätzlich hätte ich noch allgemeine Fragen.

Die XGS ist soweit ganz neu. Standardregeln wurden im Zuge der Ersteinrichtung angelegt.

Soweit so gut, jetzt ist der Rechner meiner Frau (arbeitet im Homeoffice) ebenfalls eingebunden. Seit dem ich den Rechner über die XGS laufen lasse, verbindet sich der Webex Client  (Telekom) nicht mehr mit dem Telefonie-Server. Sobald ich ihn direkt an die Fritzbox hänge, läuft dieser wieder. 

Ok, hier muss ich eine Regel erstellen. Nach Prüfung des Logs, sehe ich jedoch nicht, was hier geblockt wird. Ich sehe hier nur folgenden Eintrag, der zeitlich in die Anfrage passt.

messageid="02002" log_type="Firewall" log_component="Appliance Access" log_subtype="Denied" status="Deny" con_duration="0" fw_rule_id="N/A" fw_rule_name="" fw_rule_section="" nat_rule_id="0" nat_rule_name="" policy_type="0" sdwan_profile_id_request="0" sdwan_profile_name_request="" sdwan_profile_id_reply="0" sdwan_profile_name_reply="" gw_id_request="0" gw_name_request="" gw_id_reply="1" gw_name_reply="DHCP_Port2_GW" sdwan_route_id_request="0" sdwan_route_name_request="" sdwan_route_id_reply="0" sdwan_route_name_reply="" user="" user_group="" web_policy_id="0" ips_policy_id="0" appfilter_policy_id="0" app_name="" app_risk="0" app_technology="" app_category="" vlan_id="" ether_type="IPv4 (0x0800)" bridge_name="" bridge_display_name="" in_interface="Port2" in_display_interface="Port2" out_interface="" out_display_interface="" src_mac="4c:52:62:0e:5a:0a" dst_mac="" src_ip="192.168.1.11" src_country="R1" dst_ip="192.168.1.255" dst_country="R1" protocol="UDP" src_port="137" dst_port="137" packets_sent="0" packets_received="0" bytes_sent="0" bytes_received="0" src_trans_ip="" src_trans_port="0" dst_trans_ip="" dst_trans_port="0" src_zone_type="" src_zone="" dst_zone_type="" dst_zone="" con_direction="" con_id="" virt_con_id="" hb_status="No Heartbeat" message="" appresolvedby="Signature" app_is_cloud="0" log_occurrence="1" flags="0"

Port 137 auf die Broadcast Adresse. 

Jetzt meine Frage. Wie bekomme ich raus, woran die Verbindung scheitert?

Wie behandelt die XGS Anfragen von Diensten die nicht definiert sind? 

Aktuell ist die Default Network Policy:

LAN beliebiger Host --> beliebiger Dienst --> WAN beliebiger Host 

ich hoffe meine Frage ist verständlich.

Freue mich für jegliche Hilfe.

Gruß



Added TAGs
[edited by: Raphael Alganes at 2:45 PM (GMT -7) on 13 Jun 2024]
Parents
  • 0

    Hallo,

    Jetzt meine Frage. Wie bekomme ich raus, woran die Verbindung scheitert? -- erzeuge eine "deny"-regel, welch auch loggt. Bei der Standard-deny-regel ist das logging nicht aktiv. Dann sieht man auch, was verweigrt wird.

    Wie behandelt die XGS Anfragen von Diensten die nicht definiert sind? -- "Any" beinhaltet auch nicht definierte Services

    Aktuell ist die Default Network Policy: LAN beliebiger Host --> beliebiger Dienst --> WAN beliebiger Host  -- und trotzdem geht Webex nicht ...?

    ... das könnte an "Standardregeln wurden im Zuge der Ersteinrichtung angelegt" liegen. Dabei wird meist auch der WebFilter/Virenscanner und evtl. sogar SSL-Interception aktiviert. Da wird sich WebEx dran aufhängen. Baue manuell eine eigene "LAN beliebiger Host --> beliebiger Dienst --> WAN beliebiger Host" Regel ohne weitere aktivierte Features und platziere diese ganz oben.  (Wenn das dann geht, gibt es schöne lange Listen mit betroffenen IP's, welche eingepflegt werden müssen)


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hallo Dirk, danke für deine Antwort. 

    Ich habe mal eine entsprechende Regel mit NAT Verknüpfung angelegt

    die andere Standardregel habe ich deaktiviert.

    Immer noch keine Verbindung.

    Ich verstehe nur nicht, dass alle Dienste durchgehen, nur Telefonieserver nicht. Könnte das anhand der Konfiguraitonsliste (siehe oben Antwort bei Raphael) eine Rolle spielen?

    Die Deny Regel die du meintest verstehe ich nicht so ganz. Eine Regel die erstmal alles blockt?

    Gruß

  • 0 in reply to derinder85

    Hallo Derinder85

    Haben Sie den Protokoll-Viewer auf Web-, Anwendungs-, TLS- und IPS-Protokolle überprüft?

    Bitte posten Sie hier Ihre NAT-Regel

    "Sophos Partner: Networkkings Pvt Ltd".

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Bharat J

    Hallo Bharat,

    Danke für deine Hilfe.

    Im Webfilter mit Filterung der Client IP kann ich keine "Denied" feststellen. (Bis auf paar Werbeseiten)

    SSL/TLS Kein Hinweis auf irgendeinen Konflikt oder Ablehnung.

    Im Application Filter ist gar kein Eintrag hinterlegt.

    Hie die NAT-Regel, welche ich im Zuge der Anlage der FW Regel verknüpft habe:

  • 0 in reply to derinder85

    Also Telefonie ist nicht ganz so einfach wie Email Slight smile Damit diese funktioniert, müssen bestimmte Ports aus eingehend freigegeben werden, hier mal die wiichtigsten für Webex:

    Was sonst bei Webex noch zu beachten ist, findest Du hier:

    An sonst ist zu hoffen, dass Deine der Sophos vorgeschaltede Fritzbox als Bridge arbeitet und nicht natted, denn dann wird es komplziert. Wozu brauchst Du diese eigentlich noch?

  • 0 in reply to Sophos User5900

    Ich habe oft eine FB im NAT-Modus davor und die Cisco-WebEx-ClientSoftware läuft ohne eingehende Sonderregeln.

    Die Liste der "Cisco Collab-GERÄTE" ist etwas anderes. Die nehmen als Gerät (Server) auch Anrufe an. 

    Aber es wird hier von "Webex Client  (Telekom)" gesprochen ... ist das überhaupt der WebEx Client von Cisco?

    ... und was ist/wo steht der "Telekom pbx 2.0 Telefonie-Server"

    PS: ok, das scheint zumindest zum Teil Cisco WebEx zu sein. Das läuft mit aktuellem Cisco-Client gegen die Cisco Cloud bei mir problemlos.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to derinder85
    derinder85 said:
    Eine Regel die erstmal alles blockt?

    Genau ... wie die Regel, welche in der Liste schon ganz unten steht. Bloß diese loggt halt nicht.
    Die neue "deny-any + log" regel nach ganz unten. Dann landet sie direkt über der Standard-drop-regel und man sieht, was nicht durchkommt.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Ok, danke für die Hilfestellung. 

    Kurz nochmal zum Aufbau des Netzwerkes.

    Fritzbox (Exposed Host auf IP der XGS) sowie statische Route ins Netz der XGS) --> XGS --> Netzwerk
    Sollte so passen?

    Ich habe das mit der Regel (Deny) entsprechend so umgesetzt

    und stelle folgende Meldungen in der Log fest.

    Nicht wundern, ich habe dem Client mal die 192.168.1.12 gegeben.

    Ausschließlich die 137 Logs, Client frisch gestartet und den PBX 2.0 Client geöffnet. Telefondienst meldet, nicht erreichbar / nicht verbunden.

    Es findet überhaupt keine weitere Protokollierung statt bezüglich des Versuchs. Es sei denn diese 137 Port Anfragen werden dadurch erzeugt.  Nichts von der Alles Blockieren Regel zu sehen. Liegt es vielleicht doch am Netzwerkaufbau? 

    Danke nochmal für eure Hilfe.

    Edit: zur Vollständigkeit:

    Netzwerk:

    Die Fritzbox hat die 192.168.178.1

    Exposed Host auf 192.168.178.54

    Satische Route: Netzwerk 192.168.1.0 Subnetz 255.255.255.0 Gateway 1921.68.1.54

Reply
  • 0 in reply to dirkkotte

    Ok, danke für die Hilfestellung. 

    Kurz nochmal zum Aufbau des Netzwerkes.

    Fritzbox (Exposed Host auf IP der XGS) sowie statische Route ins Netz der XGS) --> XGS --> Netzwerk
    Sollte so passen?

    Ich habe das mit der Regel (Deny) entsprechend so umgesetzt

    und stelle folgende Meldungen in der Log fest.

    Nicht wundern, ich habe dem Client mal die 192.168.1.12 gegeben.

    Ausschließlich die 137 Logs, Client frisch gestartet und den PBX 2.0 Client geöffnet. Telefondienst meldet, nicht erreichbar / nicht verbunden.

    Es findet überhaupt keine weitere Protokollierung statt bezüglich des Versuchs. Es sei denn diese 137 Port Anfragen werden dadurch erzeugt.  Nichts von der Alles Blockieren Regel zu sehen. Liegt es vielleicht doch am Netzwerkaufbau? 

    Danke nochmal für eure Hilfe.

    Edit: zur Vollständigkeit:

    Netzwerk:

    Die Fritzbox hat die 192.168.178.1

    Exposed Host auf 192.168.178.54

    Satische Route: Netzwerk 192.168.1.0 Subnetz 255.255.255.0 Gateway 1921.68.1.54

Children
  • 0 in reply to derinder85

    Port 137 an eine Broadcast-IP x.x.x.255 ist nur ein billiger Versuch via NetBios-name-service einen Namen zu erfragen oder bekanntzugeben. Ist bei Windows-kisten normal. 

    "Liegt es vielleicht doch am Netzwerkaufbau?" 
    ... Internet -- FritzBox -- Sophos -- LAN ... ist jetzt nicht wirklich komplex.
    Die FB braucht eigentlich keine Route. Die Firewall maskiert ausgehendes und "eingehendes" verwendet den "exposed Host"


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Ok, mir gehen da jetzt die weiteren Ideen aus :-(

    Fakt ist, sobald ich die Sophos rausnehme, funktioniert die Verbindung sofort.

    Sonst eine Idee, wie ich dahinter komme? 

  • 0 in reply to derinder85

    SSL ist nicht aktiv (hinter Firewall & NAT) 


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to derinder85

    Bei Deine Konstellation und wenn Webex-Telefonie nichts anderes als SIP ist, dann kann es zur Hauptsache zwei gründe geben, warum hinter der Sophos nichts funktionert (Zitat):

    1.) Über SIP meldet sich das VoIP-Endgerät beim SIP-Server an (REGISTER). Hierbei teilt es dem Server mit, unter welcher IP-Adresse und welchem Port es Anrufanfragen entgegennimmt. Hinter einer NAT-Firewall hat das allerdings eine private IP-Adresse, die von außen nicht erreichbar ist. Die öffentliche Adresse kennt das Endgerät im Allgemeinen nicht.

    2.) Über SIP/SDP wird ein Telefongespräch ausgehandelt. Die eigentlichen Sprachdaten fließen jedoch via RTP über komplett andere Ports. Welche Ports das genau sind, entscheidet das VoIP-Endgerät und teilt sie der Gegenstelle beim Gesprächsaufbau mit. Also versucht die Gegenstelle, den RTP-Strom an den spezifizierten Port zu schicken. Dieser wird allerdings von der Sophos geschlossen, weil sie nichts von SIP und VoIP versteht (anders als die Fritte).

    In beiden Fällen kommt es zu Schwierigkeiten, da im Protokoll auf der Anwendungsebene IP- und Port-Informationen geschickt werden. Eine normale Layer-3-Firewall kennt aber nur die Protokollebene und die darin enthaltenen IP- und Port-Informationen.

    Helfen könnte die Nutzung eines Stun-Servers (Simple Traversal of UDP Through NATs, RFC3489) mit einem solchen besteht die Möglichkeit, mit dem hinter einem NAT-Router sitzenden SIP-Client die Netzwerkkonfiguration herauszufinden. Hierbei sendet das Endgerät eine Nachricht an einen außerhalb des LAN befindlichen STUN-Server. Dieser schickt dann ein Paket zurück, das Absenderadresse und -port enthält, also die tatsächlichen Informationen, die vom NAT-Router dort eingetragen wurden. Durch die Verbindung zum STUN-Server ist automatisch ein Port im NAT geöffnet, der zum Endgerät weitergeleitet wird.

    Also schau einmal nach, ob bei Deinem Webexclient die Möglichkeit besteht, einen Stun-Server einzutragen. Übrigens - der von der Telekom (stun.t-online.de:3478) funktioniert ganz gut.

  • +1 in reply to Sophos User5900

    Zum Glück kann die Sophos Firewall mit SIP + RTP umgehen. Für solche Protokolle gibt es verschiedene "Helper" (wie z.B. auch für FTP)
    "The firewall provides comprehensive traffic processing from layer 2 to layer 7"
    Wenn bei einem SIP-Telefonat RTP nicht verbunden wird, kann eine (oder beide) Seiten nichts hören. Die Grundaushandlung HTTPS/SIP/Anwendungsspezifische Ports funktioniert dann aber Normalerweise.
    WebEx ist (im Cisco-Umfeld) so etwas wie Skype/Telegram/MS-Teams. Da spielt RTP eine untergeordnete oder keine Rolle.
    Kann natürlich sein, dass die Telekom da was verbogen hat.

    Und wie gesagt, in meiner Umgebung (nahezu die Beschriebene) läuft WebEx problemlos.

    Der einzige Unterschied ... keine Route in der FB meine FW mach SNAT nach "aussen". Sollte nach dem Wizzard aber auch so sein.
    Frage: wird die Route auf der FB deaktiviert, funktioniert der Internetzugriff weiterhin ... oder?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Ok, mit Webex kenne ich mich nicht so wirklich aus, eher überhaupt nicht Neutral face Aber z.B. 3CX verlangt das Absschalten des SIP Application Layer Gateways -warum auch immer- und prüft dies auch beim FW-Test.

  • 0 in reply to dirkkotte

    Hi, also die Route hatte ich im Zuge des Troubleshootings hinterlegt. Die Internetverbindung ging auch ohne das ist korrekt.

    Vielleicht sollte ich parallel mal ein Ticket bei der Telekom eröffnen und das Problem beschreiben. Ich nehme an, auch eure Ideen sind ausgeschöpft?

    Edit: ich hatte ausversehen auf "verify Answer" hier angegeben ;-)

  • 0 in reply to dirkkotte

    Zu deiner Antwort:

    SSL ist nicht aktiv (hinter Firewall & NAT) 

    Dirk

    Wie genau muss ich das verstehen? Was muss ich ändern?

  • 0 in reply to derinder85

    Ist die Frage noch offen?

    Wenn es auch ohne die Route auf der FB funktioniert, muss auch das NAT/Maskieren an der Sophos OK sein.

    Die Karteikarte zum Konfigurieren/abschalten von SSL-Decryption befindet die hinter denen von Firewall & NAT. Testweise mal komplett deaktivieren, falls es aktiv ist.

    ... und ja, ich habe keine Ideen mehr. 


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to derinder85
    derinder85 said:
    Ideen sind ausgeschöpft?

    Hast Du denn das mit dem Stun-Server und dem Abschalten des SIP-ALGs einmal probiert? Denn ohne einen Stun-Server ist Dein interner Host durch das dopplete NAT niemals von außen zu erreichen.

Unfiltered HTML