Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Port Freigabe - Eingrenzung auf Herkunft?

Hallo Zusammen,

ich würde gerne in der Sophos XGS107 eine Portfreigabe für einen Telefoncloudanbieter einrichten. 

Welche Ports das sind, wird hier sehr gut beschrieben. 

https://www.easybell.de/hilfe/telefon-konfiguration/allgemein/firewall-fuer-easybell-voip-und-sip-trunking-konfigurieren/

Meine Frage ist, kann ich, wenn ja wie, die Quelle eingrenzen? Also nicht einfach nur WAN, sondern die Domain?

In dem Fall z.B. = pbx.easybell.de

Oder wäre das sicherheitstechnisch irrelevant? 

Vielen Dank im Voraus. 



Added TAGs
[edited by: Raphael Alganes at 9:01 AM (GMT -7) on 18 Oct 2024]
Parents
  • Ich würde den FQHN sowie die aktuelle und die vom TK-Anbieter gelisteten IP's als Quelle zulassen.

    Es kann nicht verkehrt sein, 99% der Weltbevölkerung davon abzuhalten, nach Schwachstellen oder Konfigurationsfehlern im System zu suchen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply
  • Ich würde den FQHN sowie die aktuelle und die vom TK-Anbieter gelisteten IP's als Quelle zulassen.

    Es kann nicht verkehrt sein, 99% der Weltbevölkerung davon abzuhalten, nach Schwachstellen oder Konfigurationsfehlern im System zu suchen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
  • Ok, verstanden.Danke.

    das hier ist die aktuelle Config für eine 3CX Anlage. 

    Wäre es korrekt, wenn ich die Quelle dann unter dem Quellnetzwerk hinterlege? 

     Es ist also immer ratsam das Quellnetzwerk bzw. Zielnetzwerk festzulegen, wenn es sich nicht oder sehr selten ändert korrekt?  

  • Ich habe eben noch in der Anleitung von Easybell gelesen, dass NAT in 95 % der Fälle reicht. 

    Wäre es also möglich nur NAT einzurichten und auf die Firewall-Regel zu verzichten? Oder muss man beides hinterlegen? 

    Ich will ungern etwas nach außen offen machen, was nicht sein muss. 

    Dann würde ich eine NAT-Regel anlegen Quelle: pbx.easybell.de

    Ziel würde ich eine Gruppe erstellen mit den Easybell-Usern. 

    Wäre das so richtig? Oder bedenklich :- )

    Ich bin neu im Thema Sophos aber sehr interessiert dazuzulernen. Gebt mir eine Chance. 

  • Hallo guten Tag,

    in der Regel brauchst du nur eine SNAT Regel, das reicht. Ich habe einige Easybell Cloud TKs sowie Easybell SIP-Trunks in den on premise Anlagen, geht ohne Probleme. Wenn Du eine Easy bell Cloud TK hast. Solltest du auch da die Blocklist von Ländern oder Rufnummern bearbeiten und nicht in der Sophos.

    Mach für die TK eine eigene Firewall Regel, wenn du mehr als einen Internet/WAN Zugang hast SD-WAN Routing anpassen, das es immer über die gleiche Leitung heraus geht! 

    Thats it

    LG

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • ok... könntest du etwas spezifischer werden? Ist eine SNAT eine eigene neue Regel? Wo und wie richte ich die ein? 

  • In der Regel spricht man immer von SNAT oder DNAT. Eine SNAT ist eine Source Network Address Translation Regel also immer ausgehend (LAN to WAN)! Eine DNAT Regel ist eine Destination Network Address Translation Regel, also eingehend (WAN to LAN). 

    Unter NAT siehst du die Default Regel, das ist eine SNAT von LAN to WAN. Hier steht meist any drin, das ist soweit auch ok. Die fängt ausgehend alles ab, wenn dort drüber nichts definiert ist, da von oben nach unten die Regeln geprüft/abgearbeitet werden, von oben nach unten, findest du bei SD-WAN, Firewall-Regeln, NAT-Regeln. Das sind die 3 wichtigsten, wo man sich drüber bewusst sein sollte, wie diese abgearbeitet werden!

    Im Klar-Text

    Du erstellt eine Firewall Regel für die TK (hast du ja schon). Hast du nun 2 Internetanschlüsse, kannst du über das SD-WAN mit Hilfe der default (S)NAT Regel sagen, welcher WAN Anschluss verwendet werden soll.

    LG

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • Ich sehe grade, die Firewall-Regel, ist eine DNAT Regel, von WAN to LAN. Du brauchst eine SNAT, von LAN to WAN. Bei Quellzone deine LAN-Zone, dann Quellnetzwerke und Geräte deine TK, bauen die Clients selbstständig eine Verbindung ins Internet/SIP-Provider auf, stell es auf Beliebig, oder den DHCP Bereich der Clients rein. bei Zielzone WAN rein, Zielnetzwerke = Internet, also auch da = Beliebig, oder die IPs von Easybell rein. Dienste kannst so lassen. VoIP Port 5060 ist auch dabei bei den Diensten?

    PS: Wenn du auch eine DNAT Regel erstellt hast, lösche diese bitte mal.

    LG

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • Hallöchen, leider bin ich zeitlich nicht mehr dazu gekommen. 

    Habe jetzt einmal das von dir beschriebene umgesetzt. Es funktioniert, zumindest eingeschränkt.

    Ich habe eine SNAT Regel eingerichtet. Quelle LAN, Ziel WAN - soweit klar.

    Quellnetzwerk habe ich eine Gruppe angelegt mit allen die telefonieren dürfen. 

    Was ich nicht hinbekomme, ist das Zielnetzwerk & Dienste. Wenn ich wie im Screenshot beliebig hinterlege klappt es. 

    Wenn ich aber sip.easybell.de oder auch pbx.easybell.de für die Cloud-Telefonanlage hinterlege scheitert die Verbindung. 

    Selbiges bei dem Dienst. Hinterlege ich VoIP_5060 verliert der Desktopclient sofort die Verbindung. 

    Was mache ich falsch? Macht es nicht Sinn es möglichst weit einzugrenzen statt "beliebig" zu hinterlegen? 

    Besten Dank im Voraus. 

      

  • Hey guten Morgen,

    was siehst du den im Log wenn du wieder eingrenzt auf die entsprechenden Dienste?

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • Ich bekomme nur etwas angezeigt, wenn ich beliebig hinterlege. Sofern ich den Port 5060 als Dienst hinterlege, sagt die Easybell App "failed" und es erscheint kein Log mehr. Es sei denn ich mache was falsch. 

    Bei erfolgreicher Verbindung sieht man aber das immer der Port 443 und einmal Port 80 genommen wird. Wenn ich richtig liege ist das HTTP und HTTPS ? 

    Siehe Screenshot 

  • 5060 UDP ist ja nur der Signalisierung-Port, dann "Klingeln die Telefone". RTP sind die Sprach-Ports, das sind die High-Ports die aufgemacht werden. Das Problem ist diese können sich je nach Anlagenhersteller unterscheiden, also die Range der RTP-Ports.

    Meines Wissens nach kann in der 3CX ein Template angepasst werden worüber die RTP Ports frei definiert werden können. Diese musst auch frei geben, wenn du SRTP verwendest, ist dies auch zu beachten.

    LG

    Patrick 

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!