Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Suggested Answer
  • Replies 6 replies
  • Answers 1 answer
  • Subscribers 11 subscribers
  • Views 1075 views
  • Users 0 members are here
Options
Suggested

VoIP-Telefonanlage hinter XGS

Jürgen Pilz

Hallo zusammen,

ich habe hier folgendes Scenario:

Vodafone Anschluss mit fester IP (145.253.111.21 - nicht REAL). 
Jetzt soll eine TK-Anlage über VoIP angebunden werden. Da 4 IPs vorhanden sind, habe ich am Port 2 der Sophos eine 2. öffentliche und zugeordnete IP-Adresse (z.B. 145.253.111.23) eingetragen.

Zudem habe ich eine FW-Regel erstellt:

Die Telefonanlage hängt im selben Netz wie die Clients/Server.

Eine NAT-Regel ist auch vorhanden:

Leider bekomme ich keinen Connect zu Vodafone mit der vorgegebenen IP: 145.253.111.23.

Was läuft hier schief bzw. mache ich falsch.

Bin dankbar für alle Hinweise.

Jürgen



Added TAGs
[edited by: Raphael Alganes at 11:51 PM (GMT -7) on 21 Jul 2024]
Parents
  • 0

    You cannot use a LinkedNAT for this but need to create a manual DNAT rule.

    You should create a DNAT rule. Original destination should be the public IP. DNAT target should be the internal device.

    Also my advise is to limit the ports that you forward to this device to only the ports that are necessary.

    And like @dirkkotte said, the DNAT wizard will seemlessly guide you in setting up what you want if you don't want to manually create DNAT rule.

    Managing several Sophos firewalls both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

Reply
  • 0

    You cannot use a LinkedNAT for this but need to create a manual DNAT rule.

    You should create a DNAT rule. Original destination should be the public IP. DNAT target should be the internal device.

    Also my advise is to limit the ports that you forward to this device to only the ports that are necessary.

    And like @dirkkotte said, the DNAT wizard will seemlessly guide you in setting up what you want if you don't want to manually create DNAT rule.

    Managing several Sophos firewalls both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

Children
  • 0 in reply to apijnappels

    Hallo,

    was schonmal auffällt im ersten Bild, dass ist eine Firewall Regel für ein DNAT also WAN to LAN. Da hast du unten bei Zielnetzwerke die Unifi TK rein gelegt, das muss aber der Port rein, wo der Internetanschluss dran hängt z.B. #Port8 sollte da rein gelegt werden.

    2tes Bild DNAT Regel

    hier muss bei Ursprüngliches Ziel auch der Port rein z.B. #Port8, direkt darunter in der Dropdown Box Übersetztes Ziel, da musst du die Unifi TK auswählen die du vorher als FQDN oder IP HOST angelegt hast. Ursprünglich Dienst SIP weiß ich nicht was du da hinter hast, wenn es nur Port 5060 ist, wird auch nur der Signalisierungsport durch gelassen. Ganz unten eingehende ausgehende Schnittstelle, kann man auf beliebig machen, ich würde mir die Leitung auswählen die verwendet wird wir z.B.  Telekom <-> Telekom.

    Dann möchte ich wie immer anmerken, das ich gute 90 TK-Anlagen draußen habe, Agfeo, Auerswald, Cloud-TKs etc. von 5 - 120 Teilnehmer pro TK und es war noch niemals nie Notwendig einen eingehende DNAT Regel anzulegen.

    Das haben wir vor 10 Jahren noch gemacht um Home-Office Telefone an der TK anzumelden ohne VPN. Das war damals schon eine schlechte Idee und heute wäre diese Idee noch viel viel schlechter.

    LG

    Patrick

  • 0 in reply to Patrick81

    Hallo,

    die Erfahrung von   teile ich, denn die TK-Anlage baut ja den SIP-Trunk auf, indem sie den SIP-Provider kontaktiert und sich anmeldet. Also von innen nach außen. Danach ist das Thema erledigt. Du musst also lediglich dafür sorgen, dass die IP-Adresse, unter der du dich nach außen "meldest" (MASQ? richtiger Port?) auch an einerm der externen Ports anliegt.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to PhilippRusch

    richtig, es seidenn etwas hebelt den SIP helper aus und der eingehende rtp stream kann nicht zugeordnet werden...

    kommt vor.

    wir verwender meist eine spezielle ip für die ausgehende sip verbindung und schicken alles was eingehend auf dieser ip kommt zur tk- anlage.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Unfiltered HTML