Port Freigabe - Eingrenzung auf Herkunft?

Ich würde den FQHN sowie die aktuelle und die vom TK-Anbieter gelisteten IP's als Quelle zulassen.

Es kann nicht verkehrt sein, 99% der Weltbevölkerung davon abzuhalten, nach Schwachstellen oder Konfigurationsfehlern im System zu suchen.

Ich habe eben noch in der Anleitung von Easybell gelesen, dass NAT in 95 % der Fälle reicht. 

Wäre es also möglich nur NAT einzurichten und auf die Firewall-Regel zu verzichten? Oder muss man beides hinterlegen? 

Ich will ungern etwas nach außen offen machen, was nicht sein muss. 

Dann würde ich eine NAT-Regel anlegen Quelle: pbx.easybell.de

Ziel würde ich eine Gruppe erstellen mit den Easybell-Usern. 

Wäre das so richtig? Oder bedenklich :- )

Ich bin neu im Thema Sophos aber sehr interessiert dazuzulernen. Gebt mir eine Chance. 

In der Regel spricht man immer von SNAT oder DNAT. Eine SNAT ist eine Source Network Address Translation Regel also immer ausgehend (LAN to WAN)! Eine DNAT Regel ist eine Destination Network Address Translation Regel, also eingehend (WAN to LAN). 

Unter NAT siehst du die Default Regel, das ist eine SNAT von LAN to WAN. Hier steht meist any drin, das ist soweit auch ok. Die fängt ausgehend alles ab, wenn dort drüber nichts definiert ist, da von oben nach unten die Regeln geprüft/abgearbeitet werden, von oben nach unten, findest du bei SD-WAN, Firewall-Regeln, NAT-Regeln. Das sind die 3 wichtigsten, wo man sich drüber bewusst sein sollte, wie diese abgearbeitet werden!

Im Klar-Text

Du erstellt eine Firewall Regel für die TK (hast du ja schon). Hast du nun 2 Internetanschlüsse, kannst du über das SD-WAN mit Hilfe der default (S)NAT Regel sagen, welcher WAN Anschluss verwendet werden soll.

LG

Patrick

Ich sehe grade, die Firewall-Regel, ist eine DNAT Regel, von WAN to LAN. Du brauchst eine SNAT, von LAN to WAN. Bei Quellzone deine LAN-Zone, dann Quellnetzwerke und Geräte deine TK, bauen die Clients selbstständig eine Verbindung ins Internet/SIP-Provider auf, stell es auf Beliebig, oder den DHCP Bereich der Clients rein. bei Zielzone WAN rein, Zielnetzwerke = Internet, also auch da = Beliebig, oder die IPs von Easybell rein. Dienste kannst so lassen. VoIP Port 5060 ist auch dabei bei den Diensten?

PS: Wenn du auch eine DNAT Regel erstellt hast, lösche diese bitte mal.

LG

Patrick

Hallöchen, leider bin ich zeitlich nicht mehr dazu gekommen. 

Habe jetzt einmal das von dir beschriebene umgesetzt. Es funktioniert, zumindest eingeschränkt.

Ich habe eine SNAT Regel eingerichtet. Quelle LAN, Ziel WAN - soweit klar.

Quellnetzwerk habe ich eine Gruppe angelegt mit allen die telefonieren dürfen. 

Was ich nicht hinbekomme, ist das Zielnetzwerk & Dienste. Wenn ich wie im Screenshot beliebig hinterlege klappt es. 

Wenn ich aber sip.easybell.de oder auch pbx.easybell.de für die Cloud-Telefonanlage hinterlege scheitert die Verbindung. 

Selbiges bei dem Dienst. Hinterlege ich VoIP_5060 verliert der Desktopclient sofort die Verbindung. 

Was mache ich falsch? Macht es nicht Sinn es möglichst weit einzugrenzen statt "beliebig" zu hinterlegen? 

Besten Dank im Voraus. 

Hey guten Morgen,

was siehst du den im Log wenn du wieder eingrenzt auf die entsprechenden Dienste?

Ich bekomme nur etwas angezeigt, wenn ich beliebig hinterlege. Sofern ich den Port 5060 als Dienst hinterlege, sagt die Easybell App "failed" und es erscheint kein Log mehr. Es sei denn ich mache was falsch. 

Bei erfolgreicher Verbindung sieht man aber das immer der Port 443 und einmal Port 80 genommen wird. Wenn ich richtig liege ist das HTTP und HTTPS ? 

Siehe Screenshot 

5060 UDP ist ja nur der Signalisierung-Port, dann "Klingeln die Telefone". RTP sind die Sprach-Ports, das sind die High-Ports die aufgemacht werden. Das Problem ist diese können sich je nach Anlagenhersteller unterscheiden, also die Range der RTP-Ports.

Meines Wissens nach kann in der 3CX ein Template angepasst werden worüber die RTP Ports frei definiert werden können. Diese musst auch frei geben, wenn du SRTP verwendest, ist dies auch zu beachten.

LG

Patrick 

Guten Morgen, 

ich bin mittlerweile etwas weiter. Zielnetzwerk habe ich hinbekommen. 

Hier scheint noch eine Subdomain angesprochen zu werden die hinterlegt werden musste. = sbc9.pbx.easybell.de 

Hinterlege ich nun diese drei, klappt es reibungslos (aber nur, wenn ich Ports auf "beliebig" stelle. Für alle die das evtl. mal betrifft. Screenshot anbei.

Was leider nicht klappen will, sind die Ports. 

Du hast doch die Easybell bereits erfolgreich laufen oder Patrick81 ? 

Kannst du mit ein Screenshot der Dienste schicken? 

Ich habe nun versucht Port 5060 TCP freizugeben und UDP den RTP 10000:50000. Wäre das richtig? 

Zum Verständnis, das kommt alles in die SNAT-Regel korrekt? Kein DNAT!

P.S. ich möchte Easybell einrichten, nicht 3CX. Von 3CX möchte ich weg - hin zur Easybell Cloud. 

Ja wir haben einige Easybell cloud Anlagen am laufen. Laut Easybell sind auch nur diese Ports nötig.

Die ich aber zugegebener maßen nicht verwende.

Es ist halt generell ein Problem, das zu leveln.  Man kann natürlich Tischtelefone nehmen, dort die Easybell Daten eingeben, Headset dran und die Telefone in ein eigenes Netz setzen, sodas die Telefone über eine Interne Regel noch den TAPI Server ansprechen können zwecks  klick and call und ausgehend werden die Dienste dann so eingeschräknt wie du es vor hast.

Die Wahrheit sieht aber zumindest bei uns ganz anders saus. Wir haben ganz viel USB Headsets draußen (Kunde will das so) die direkt am PC angeschlossen sind und die Account Daten der Easybell liegen in der CTI.

Die PC-Systeme haben eine Firewall Regel und zwar ist der DHCP Bereich vom Domänen Controller angeben. D.h. jeder PC der über diese Regel läuft, weil er ein IP aus dem DHCP bereich bekommen hat. Hat nach außen hin alle Dienste beliebig. Wir benutzen die Sophos DNS Protection + freigegebene Webseiten.

Auf Grund der Regel beliebig, kann sich der CTI Client problemlos mit der Cloud TK verbinden, sowie die Sprache (RTP) übertragen.

daher verwende ich eine Standard SNAT (ausgehende NAT Regel).

Ich verstehe deinen Wunsch, das so ein zu schränken, wie du es vor hast. Ich würde das auch am liebsten machen, aber manchmal ist es leider ehr Pragmatisch.

Wenn der Kunde eine feste IP hat, trage diese in der Cloud TK ein, sodass sich nur die IP mit der PBX verbinden darf, man kann auch mehr hinterlegen. Die Easybell Handy App ist wider gesondert, sodass es hier auch passt wenn du IPs beschränkst.

LG

Patrick

Ok, verstehe grob. Wir nutzen auch PC´s mit dem Windows Client. Soll auch so bleiben. Demnach grätsche ich dazwischen, sobald ich den PC für diese SNAT Regel den Port zuweise und verhindere quasi damit die Verbindung - weil PC? 

Also hast du auch "beliebig" als Dienst? 

Sollte auch sicher genug sein oder? Denn als Zielnetzwerk schränke ich ja schon auf easybell ein. 

In der Cloud auf eine IP beschränke ist ne gute Idee. Muss ich schauen wo das geht. 

Besten Dank für die Hilfe! 

Jap genau, der Dienst ist beliebig. Weil wenn du jetzt noch anfängst alles frei zu geben was die PCs benötigen HTTPS, HTTP, DNS, Zeitserver was auch immer. Das ist machbar, aber schon leicht Wahnsinn.

Ich finde es wichtiger die Systeme gut zu Monitoren EDR, MDR, dann über die Sophos Expliziten Content oder was auch immer zu verbieten, was in der Firma nicht sein darf.

gerne LG

Patrick

Jap genau, der Dienst ist beliebig. Weil wenn du jetzt noch anfängst alles frei zu geben was die PCs benötigen HTTPS, HTTP, DNS, Zeitserver was auch immer. Das ist machbar, aber schon leicht Wahnsinn.

Ich finde es wichtiger die Systeme gut zu Monitoren EDR, MDR, dann über die Sophos Expliziten Content oder was auch immer zu verbieten, was in der Firma nicht sein darf.

gerne LG

Patrick