SSL VPN -> PBX Client traffic wird geroutet obwohl er nicht sollte

Hallo,

die Zahl der Antworten lässt vermuten, dass ich nicht der einzige mit Problemen bei dieser Frage(-stellung) bin.

Ich benötige etwas Hilfe:

- wann hat der PC PBX-probleme? (er ist zu Hause und verbindet sich mit der Firma per SSL-VPN?)

- welche IP hat der PC?

- was bedeutet "Wir haben natürlich für einige unserer Netze und Rechner routen bzw. allowed networks/clients festgelegt"

  ... wo wurden die Routen und allowed networks festgelegt

- wie sieht die VPN-konfiguration aus? Wird alles in den Tunnel geschickt?

- zu welcher IP versucht der "CloudPBX Client" zu verbinden? Welche IP/name hat die Cloud PBX?

- Wie sieht ein Tracert zu dieser IP vom Client aus? (mit und ohne VPN-Tunnel)

- ist die Routingtabelle vom PC?

Hi,

-> Geräte verbindet sich per SSL-VPN von Zuhause zum Firmennetz.

-> IP des Geräte 10.242.2.30

-> Fernzugriff, SSL, Fernzugriffsprofil -> Lokale Netzwerke

-> es wird nicht alles durch den Tunnel geschickt.

-> IP der CloudPBX von der Telekom nicht bekannt. Aber es sollten folgende Netze sein: (217.0.0.0/13, 37.50.8.0/25, 37.50.160.0/24)

Ja die Routingtabelle ist vom PC.

Es existiert eine SNAT Regel für das interne-Netz als auch für den VPN-Pool(SSL).

Wir haben mehrere WAN-Schnittstellen inkl zig IP´s.

Maskierungsregeln für Internes und VPN-Pool Objekt sind -> Uplink Interfaces.

Die 1Gbit/s LWL Ist in den Interface-Settings priorisiert mit 100. (Uplinkausgleich: LWL=100, Coax=0)

Multipath-Regel für internes-Netz und VPN-Pool -> TelekomLWL

Grüße und Danke

Hallo,

die CloudPBX-Clients müssen ja auf irgendeine Art mitgeteilt bekommen, mit welchem Konto sie auf welchen Server gehen sollen, um die Verbindung aufzubauen. Dort muss es also eine Konfiguration geben, in der dann entweder IP-Adressen der Server oder DNS-Namen (besser) eingegeben werden.

Können diese DNS-Namen von VPN-Cient aufgelöst werden? Geht der SIP-Traffic durch die Homeoffice Anschlüsse ungehindert durch?

Alternativ könnte man "alles" durch den VPN-Tunnel routen, dann kann man das besser kontrollieren, Bandbreite dazu habt ihr glaube ich genug.

Wozu dient die SNAT-Regel in Richtung VPN?

Hallo,

die Clients melden sich mittels Durchwahl an. Ist halt ein typischer Closed-Source PBX-Client der Telekom.

Inzwischen werden die o.g. PBX-Server netze auch durch das VPN geroutet, d.h. die NAT-Regel für das VPN.

Trotzdem hängt es hier und da mit den PBX-Clients, die melden sich einfach ab und sind 2 Minuten später wieder Online.

Als ob die UTM die Verbindung unterbricht. 

Wir haben eine Netzwerkdefinition mit den SIP-Netzen der Telekom und mit denen jeweils

Firewall Regeln für Internes-Netz und VPN-Pool

(s)NAT-Regeln für internes und VPN-Pool

Maskierungen für internes-Netz und VPN-Pool

Grüße

Hallo,

können wir genau diese mal sehen, bitte?

Netzwerkdefinition mit den SIP-Netzen der Telekom

Firewall Regeln für Internes-Netz und VPN-Pool

(s)NAT-Regeln für internes und VPN-Pool

Maskierungen für internes-Netz und VPN-Pool

Hi,

klar:

FW-Regeln:

Netzwerk-Definition:

SNAT-Regeln:

Maskierungen:

Schnittstellen:

Grüße

Hallo,

die Regel 20 ist überflüssig, wenn nicht sogar gefährlich. Die Clients bauen doch die Verbindung auf und registrieren sich beim SIP-Registrar. Eine stateful firewall benötigt keine "Rückwärtsrichtung".

Die drei SNAT-Regeln sind überflüssig, wenn man das mit Multipath-Regeln macht, so wie es bei der Sophos SG-UTM eigentlich vorgesehen ist, sobald man mehr als ein Gateway für mehr als einen Uplink hat.

Beispielsweise so:

Die SNAT--Regeln müssen dann natürlich deaktiviert werden. (Regel 15, 16 und 17)

Hi,

interessant.

Bräuchte ich dann nicht noch eine 2 Multipathregel für den VPN-Pool? Sofern SIP über VPN gehen soll?

Grüße

Ja, das wäre in diesem Fall dann zusätzlich erforderlich. Aber dann ist die SNAT Regel für die VPN-Clients jetzt auch schon verkehrt.

Ja, das wäre in diesem Fall dann zusätzlich erforderlich. Aber dann ist die SNAT Regel für die VPN-Clients jetzt auch schon verkehrt.