Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Allgemeine Frage zu Diensten und Regel Freigabe für Telekom pbx 2.0 Telefonie

Hallo Zusammen,

ich beschäftige mich neu mit der XGS 107 und betreibe diese aktuell neu im eigenen Netzwerk.

Aufbau: Fritzbox --> XGS 107 --> Netzwerk

Jetzt komme ich schon zur ersten Herausforderung. Zusätzlich hätte ich noch allgemeine Fragen.

Die XGS ist soweit ganz neu. Standardregeln wurden im Zuge der Ersteinrichtung angelegt.

Soweit so gut, jetzt ist der Rechner meiner Frau (arbeitet im Homeoffice) ebenfalls eingebunden. Seit dem ich den Rechner über die XGS laufen lasse, verbindet sich der Webex Client  (Telekom) nicht mehr mit dem Telefonie-Server. Sobald ich ihn direkt an die Fritzbox hänge, läuft dieser wieder. 

Ok, hier muss ich eine Regel erstellen. Nach Prüfung des Logs, sehe ich jedoch nicht, was hier geblockt wird. Ich sehe hier nur folgenden Eintrag, der zeitlich in die Anfrage passt.

messageid="02002" log_type="Firewall" log_component="Appliance Access" log_subtype="Denied" status="Deny" con_duration="0" fw_rule_id="N/A" fw_rule_name="" fw_rule_section="" nat_rule_id="0" nat_rule_name="" policy_type="0" sdwan_profile_id_request="0" sdwan_profile_name_request="" sdwan_profile_id_reply="0" sdwan_profile_name_reply="" gw_id_request="0" gw_name_request="" gw_id_reply="1" gw_name_reply="DHCP_Port2_GW" sdwan_route_id_request="0" sdwan_route_name_request="" sdwan_route_id_reply="0" sdwan_route_name_reply="" user="" user_group="" web_policy_id="0" ips_policy_id="0" appfilter_policy_id="0" app_name="" app_risk="0" app_technology="" app_category="" vlan_id="" ether_type="IPv4 (0x0800)" bridge_name="" bridge_display_name="" in_interface="Port2" in_display_interface="Port2" out_interface="" out_display_interface="" src_mac="4c:52:62:0e:5a:0a" dst_mac="" src_ip="192.168.1.11" src_country="R1" dst_ip="192.168.1.255" dst_country="R1" protocol="UDP" src_port="137" dst_port="137" packets_sent="0" packets_received="0" bytes_sent="0" bytes_received="0" src_trans_ip="" src_trans_port="0" dst_trans_ip="" dst_trans_port="0" src_zone_type="" src_zone="" dst_zone_type="" dst_zone="" con_direction="" con_id="" virt_con_id="" hb_status="No Heartbeat" message="" appresolvedby="Signature" app_is_cloud="0" log_occurrence="1" flags="0"

Port 137 auf die Broadcast Adresse. 

Jetzt meine Frage. Wie bekomme ich raus, woran die Verbindung scheitert?

Wie behandelt die XGS Anfragen von Diensten die nicht definiert sind? 

Aktuell ist die Default Network Policy:

LAN beliebiger Host --> beliebiger Dienst --> WAN beliebiger Host 

ich hoffe meine Frage ist verständlich.

Freue mich für jegliche Hilfe.

Gruß



This thread was automatically locked due to age.
Parents
  • Hallo,

    Jetzt meine Frage. Wie bekomme ich raus, woran die Verbindung scheitert? -- erzeuge eine "deny"-regel, welch auch loggt. Bei der Standard-deny-regel ist das logging nicht aktiv. Dann sieht man auch, was verweigrt wird.

    Wie behandelt die XGS Anfragen von Diensten die nicht definiert sind? -- "Any" beinhaltet auch nicht definierte Services

    Aktuell ist die Default Network Policy: LAN beliebiger Host --> beliebiger Dienst --> WAN beliebiger Host  -- und trotzdem geht Webex nicht ...?

    ... das könnte an "Standardregeln wurden im Zuge der Ersteinrichtung angelegt" liegen. Dabei wird meist auch der WebFilter/Virenscanner und evtl. sogar SSL-Interception aktiviert. Da wird sich WebEx dran aufhängen. Baue manuell eine eigene "LAN beliebiger Host --> beliebiger Dienst --> WAN beliebiger Host" Regel ohne weitere aktivierte Features und platziere diese ganz oben.  (Wenn das dann geht, gibt es schöne lange Listen mit betroffenen IP's, welche eingepflegt werden müssen)


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Hallo Dirk, danke für deine Antwort. 

    Ich habe mal eine entsprechende Regel mit NAT Verknüpfung angelegt

    die andere Standardregel habe ich deaktiviert.

    Immer noch keine Verbindung.

    Ich verstehe nur nicht, dass alle Dienste durchgehen, nur Telefonieserver nicht. Könnte das anhand der Konfiguraitonsliste (siehe oben Antwort bei Raphael) eine Rolle spielen?

    Die Deny Regel die du meintest verstehe ich nicht so ganz. Eine Regel die erstmal alles blockt?

    Gruß

  • Ok, danke für die Hilfestellung. 

    Kurz nochmal zum Aufbau des Netzwerkes.

    Fritzbox (Exposed Host auf IP der XGS) sowie statische Route ins Netz der XGS) --> XGS --> Netzwerk
    Sollte so passen?

    Ich habe das mit der Regel (Deny) entsprechend so umgesetzt

    und stelle folgende Meldungen in der Log fest.

    Nicht wundern, ich habe dem Client mal die 192.168.1.12 gegeben.

    Ausschließlich die 137 Logs, Client frisch gestartet und den PBX 2.0 Client geöffnet. Telefondienst meldet, nicht erreichbar / nicht verbunden.

    Es findet überhaupt keine weitere Protokollierung statt bezüglich des Versuchs. Es sei denn diese 137 Port Anfragen werden dadurch erzeugt.  Nichts von der Alles Blockieren Regel zu sehen. Liegt es vielleicht doch am Netzwerkaufbau? 

    Danke nochmal für eure Hilfe.

    Edit: zur Vollständigkeit:

    Netzwerk:

    Die Fritzbox hat die 192.168.178.1

    Exposed Host auf 192.168.178.54

    Satische Route: Netzwerk 192.168.1.0 Subnetz 255.255.255.0 Gateway 1921.68.1.54

  • Port 137 an eine Broadcast-IP x.x.x.255 ist nur ein billiger Versuch via NetBios-name-service einen Namen zu erfragen oder bekanntzugeben. Ist bei Windows-kisten normal. 

    "Liegt es vielleicht doch am Netzwerkaufbau?" 
    ... Internet -- FritzBox -- Sophos -- LAN ... ist jetzt nicht wirklich komplex.
    Die FB braucht eigentlich keine Route. Die Firewall maskiert ausgehendes und "eingehendes" verwendet den "exposed Host"


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Ok, mir gehen da jetzt die weiteren Ideen aus :-(

    Fakt ist, sobald ich die Sophos rausnehme, funktioniert die Verbindung sofort.

    Sonst eine Idee, wie ich dahinter komme? 

  • SSL ist nicht aktiv (hinter Firewall & NAT) 


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Bei Deine Konstellation und wenn Webex-Telefonie nichts anderes als SIP ist, dann kann es zur Hauptsache zwei gründe geben, warum hinter der Sophos nichts funktionert (Zitat):

    1.) Über SIP meldet sich das VoIP-Endgerät beim SIP-Server an (REGISTER). Hierbei teilt es dem Server mit, unter welcher IP-Adresse und welchem Port es Anrufanfragen entgegennimmt. Hinter einer NAT-Firewall hat das allerdings eine private IP-Adresse, die von außen nicht erreichbar ist. Die öffentliche Adresse kennt das Endgerät im Allgemeinen nicht.

    2.) Über SIP/SDP wird ein Telefongespräch ausgehandelt. Die eigentlichen Sprachdaten fließen jedoch via RTP über komplett andere Ports. Welche Ports das genau sind, entscheidet das VoIP-Endgerät und teilt sie der Gegenstelle beim Gesprächsaufbau mit. Also versucht die Gegenstelle, den RTP-Strom an den spezifizierten Port zu schicken. Dieser wird allerdings von der Sophos geschlossen, weil sie nichts von SIP und VoIP versteht (anders als die Fritte).

    In beiden Fällen kommt es zu Schwierigkeiten, da im Protokoll auf der Anwendungsebene IP- und Port-Informationen geschickt werden. Eine normale Layer-3-Firewall kennt aber nur die Protokollebene und die darin enthaltenen IP- und Port-Informationen.

    Helfen könnte die Nutzung eines Stun-Servers (Simple Traversal of UDP Through NATs, RFC3489) mit einem solchen besteht die Möglichkeit, mit dem hinter einem NAT-Router sitzenden SIP-Client die Netzwerkkonfiguration herauszufinden. Hierbei sendet das Endgerät eine Nachricht an einen außerhalb des LAN befindlichen STUN-Server. Dieser schickt dann ein Paket zurück, das Absenderadresse und -port enthält, also die tatsächlichen Informationen, die vom NAT-Router dort eingetragen wurden. Durch die Verbindung zum STUN-Server ist automatisch ein Port im NAT geöffnet, der zum Endgerät weitergeleitet wird.

    Also schau einmal nach, ob bei Deinem Webexclient die Möglichkeit besteht, einen Stun-Server einzutragen. Übrigens - der von der Telekom (stun.t-online.de:3478) funktioniert ganz gut.

  • Zum Glück kann die Sophos Firewall mit SIP + RTP umgehen. Für solche Protokolle gibt es verschiedene "Helper" (wie z.B. auch für FTP)
    "The firewall provides comprehensive traffic processing from layer 2 to layer 7"
    Wenn bei einem SIP-Telefonat RTP nicht verbunden wird, kann eine (oder beide) Seiten nichts hören. Die Grundaushandlung HTTPS/SIP/Anwendungsspezifische Ports funktioniert dann aber Normalerweise.
    WebEx ist (im Cisco-Umfeld) so etwas wie Skype/Telegram/MS-Teams. Da spielt RTP eine untergeordnete oder keine Rolle.
    Kann natürlich sein, dass die Telekom da was verbogen hat.

    Und wie gesagt, in meiner Umgebung (nahezu die Beschriebene) läuft WebEx problemlos.

    Der einzige Unterschied ... keine Route in der FB meine FW mach SNAT nach "aussen". Sollte nach dem Wizzard aber auch so sein.
    Frage: wird die Route auf der FB deaktiviert, funktioniert der Internetzugriff weiterhin ... oder?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Ok, mit Webex kenne ich mich nicht so wirklich aus, eher überhaupt nicht Neutral face Aber z.B. 3CX verlangt das Absschalten des SIP Application Layer Gateways -warum auch immer- und prüft dies auch beim FW-Test.

  • Hi, also die Route hatte ich im Zuge des Troubleshootings hinterlegt. Die Internetverbindung ging auch ohne das ist korrekt.

    Vielleicht sollte ich parallel mal ein Ticket bei der Telekom eröffnen und das Problem beschreiben. Ich nehme an, auch eure Ideen sind ausgeschöpft?

    Edit: ich hatte ausversehen auf "verify Answer" hier angegeben ;-)

  • Zu deiner Antwort:

    SSL ist nicht aktiv (hinter Firewall & NAT) 

    Dirk

    Wie genau muss ich das verstehen? Was muss ich ändern?

  • Ist die Frage noch offen?

    Wenn es auch ohne die Route auf der FB funktioniert, muss auch das NAT/Maskieren an der Sophos OK sein.

    Die Karteikarte zum Konfigurieren/abschalten von SSL-Decryption befindet die hinter denen von Firewall & NAT. Testweise mal komplett deaktivieren, falls es aktiv ist.

    ... und ja, ich habe keine Ideen mehr. 


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply
  • Ist die Frage noch offen?

    Wenn es auch ohne die Route auf der FB funktioniert, muss auch das NAT/Maskieren an der Sophos OK sein.

    Die Karteikarte zum Konfigurieren/abschalten von SSL-Decryption befindet die hinter denen von Firewall & NAT. Testweise mal komplett deaktivieren, falls es aktiv ist.

    ... und ja, ich habe keine Ideen mehr. 


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
No Data