Digitalisierungsbox Smart als TK Anlage hinter Fritzbox und Firewall

[Gerber_]

Hi zusammen,

ich habe ein Problem, bzw. eine Herausforderung mit der Digitalisierungsbox Smart der Telekom.
Folgendes Szenario:

WWW ---> Digi BOX ---> LAN
--------> TK Anlage ist mit mehreren S0 Anschlüssen an der Digitalisierungsbox angeschlossen.

---

Nun soll ins Netzwerk eine Firewall der Firma Sophos integriert werden.
Problem ist, dass die Fritzbox die Digi Box nicht ersetzten kann, da mehrere S0 Anschlüsse für die TK ANlage (ältere Anlage) benötigt werden und es keine Fritzbox mit mehreren S0 Ausgängen gibt.

---

Hierbei stellen sich mir folgende Fragen zur Digitalisierungsbox Smart:

1.)

Ist es möglich in der Digitalisierungsbox Smart ein Exposed Host (wie in der Fritzbox) zu konfigurieren?

Falls ja, wie verhält es sich mit der TK Anlage in der Digitalisierungsbox? Kann diese wie bei der Fritbox trotzdem abgegriffen werden und alles andere wird an den Exposed Host geschickt, oder wird komplett alles an den Exposed Host durchgereicht.

2.)

Falls keine Exposed Host mit der Digi Box möglich ist, habe ich mir überlegt die Digitalisierungsbox nur als TK Anlage hinter der FB und Firewall laufen zu lassen und die SIP Ports an der Firewall an die TK Anlage, bzw. Digi Box durchzureichen.

Hat jemand darüber Erfahrung ist dies möglich? Bzw funktioniert dies reibungslos?

Aufbau:

WWW --> FB (Exposed Host an Firewall) ---> Sophos Firewall ---> LAN
---> Digi Box (Sip Einwahl) --> S0 Bus an die TK Anlage


Danke euch im Voraus für die Antworten.

Grüße Phil

 

[d2boxSteve]

Ich persönlich würde es wie im Aufbaubild machen und die Digibox zur TK Anlage degradieren ohne weitere Funktion. Das ist das sauberste. Die SIP Ports müssen von der Sophos dann halt an die Digibox geleitet werden.
Wichtig ist noch, die Sophos darf kein NAT mehr machen, das macht schon die FritzBox und 2. NAT ist der Tod für jedes Voip. Die Fritzbox muss dann alle internen Netze als Route haben die zur Sophos zeigt.

 

[Gerber_]

@d2boxSteve :

danke dir für deine Antwort.
Hast du bereits so eine Konstellation konfiguriert und hast Erfahrungen mit der Stabilität?

Zweites Nat will ich eben vermeiden, wie du sagst kommt es hier nicht nur bei VoIp zu Problemen.
Was meinst du genau mit "Die Fritzbox muss dann alle internen Netze als Route haben die zur Sophos zeigt. " ??

Ich hätte eben auf der Fritzbox ein Exposed Host auf die Firewall konfiguriert. Ich muss allerdings in den Sophos Firewall Regeln ein NAT durchführen, da sonst die Verbindung vom internen LAN nach WWW nicht zustande kommt.

WWW ---> Fritzbox (192.168.111.1) -----> WAN Sophos (192.168.111.10) -- LAN Sophos (192.168.169.254) ---> LAN ---> TK Anlage


Was mir jetzt gerade noch einfällt:

Theoretisch könnte ich die TK Anlage auch direkt hinter der Fritzbox einhängen und gar nicht hinter der Sophos Firewall platzieren?


Grüße Phil

 

[d2boxSteve]

Ich selbst habe einen ähnlichen Netzaufbau (Fritzbox --> Cisco ASA --> mehrere VLAN's), lediglich eine Telefonanlage habe ich nicht, das geht bei mir als privat über die Fritzbox. Alle meine VLAN-Netze sind in der Fritzbox als statische Route zur ASA hin eingetragen.

Dann musst du in der Fritzbox eine Route zum Netz 192.168.169.0/24 anlegen die zur WAN IP der Sophos (192.168.111.10) zeigt damit die Rückpakete ins interne Netz zurückfinden (das macht ja sonst das NAT).

Und ja, die TK kann natürlich auch direkt an die Fritzbox, es gibt dann halt evtl. Probleme mit CTI Software (falls sowas überhaupt genutzt wird).

Ergänzung (13. Februar 2019)

Nachtrag: wenn du die TK vor die Sophos stellst bleibt natürlich die Frage, warum dann so eine Firewall, wenn dann die Hälfte doch davor steht ... :=)

Ergänzung (13. Februar 2019)

Und: eine Sophos UTM (die kostenlose Privatversion als VM) habe ich für mein Gastnetz (LAN + WLAN). Ist zwar übertrieben aber warum nicht ...

 

[Gerber_]

Danke dir für die Antworten.

Genau hier ist das Problem. Du nutzt die TK Anlage der Fritzbox, deswegen hast du auch kein Probleme mit VoIP Und dem SIP Protokoll.

Bedeutet also, ich sollte in der Sophos kein NAT machen und über eine Route in der Fritzbox das ganze erledigen?

Muss ich auch eine Rückroute konfigurieren?

##

Naja und zu deinem Punkt mit der TK ANlage vor der Sophos, bzw. wieso dann die Sophos benötigt wird, gibt es genügend Gründe.

Du nutzt deine TK Anlage auch vor der ASA in dem du die der FB nutzt, oder ? . Im Grunde also genau das gleiche
Also die hälfte steht nicht davor. Es würde dann die TK Anlage davor stehen und der restliche Teil vom Internen Netz wird durch die Firewall und die Prüfungen laufen.

Etwas übertrieben da hast du Recht , aber scheeeeen

Grüße Phil

 

[d2boxSteve]

Bei mir ist es aber privat und es wären weder die ASA noch die Sophos notwendig, das ist quasi meine "Spielwiese".

Bei dir hört sich das nach gewerblicher Nutzung an, die Digitalisierungsboxen kommen üblicherweise mit den Business-Tarifen der Telekom. Beruflich habe ich damit zu tun, da haben Kunden auch Voip-Telefonanlagen und ähnliche Netzstrukturen.

Ich empfehle hier die DigiBox hinter die Sophos zu hängen und wie beschrieben die Route in der Fritzbox einzutragen. Damit ist das komplette Netz durch die Sophos geschützt.

Und zur Rückroute ... das ist genau das was du in der Fritzbox eintragen musst.

Beispieltraffic:

Quelle 192.168.249.50 / Ziel 8.8.8.8 --> geht ohne NAT über die Sophos zur Fritzbox
Dort gibts dann NAT: Quelle WAN IP FB / Ziel 8.8.8.8
Wenn google das Paket zurückschickt setzt die FB das wieder um und das Rückpaket sieht wie folgt aus: Quelle 8.8.8.8 / Ziel 192.168.249.50 ... und genau hier muss die FB wissen wohin damit, nämlich zur Sophos :=)

 

[Gerber_]

Danke dir für die Erklärung.

Hast du vollkommen Recht, es handelt sich nicht um keine private Spielwiese. ;-).

Nochmal für mich zum Verständnis:
Wenn ich auf der Sophos keine Maskierung (NAT) durchführe, dann wird eben nicht die IP Adresse des WAN Anschluss zwischen Sophos und FB benutzt, sondern die IP Adresse des Clients wird direkt zur FB durchgereicht und dort von NAT ins WWW umgesetzt?

In unserem Beispiel wird also die 192.168.249.50 an der FB ankommen und nicht die 192.168.111.11, richtig ?

Und mit dieser Konstellation gibt es auch keinerlei Probleme mit den Diensten auf der Sophos, oder?
Ich frage mich gerade, wieso ich dies niemals vorher so konfiguriert habe. Bisher habe ich immer auf der Sophos noch eine NAT Regel angewandt. (Firewall Regel)

Grüße Phil

 

[d2boxSteve]

Ja, das ist so richtig. Deswegen muss die FB wissen wohin damit.

Nein, keine Probleme. Du kannst alles konfigurieren: Webfilter, Proxy, VPN, .... Du musst nur in der FB die Sophos als Exposed Host eintragen, dann kommt an der alles an, für VPN z.B. (hier ist wichtig, das VPN in der FB muss aus sein sonst leitet die keine VPN Pakete weiter trotz Exp. Host).

 

[Gerber_]

Danke dir für deine klasse Hilfe.

Genau Exposed Host ist klar und über die Probleme mit der aktiven VPN Funktion bin leider auch schon einmal gestolpert .

Grüße Phil

 

[burglar2k18]

Generell kannst du dir auch etwas Arbeit ersparen, indem du die Fritzbox durch ein reines Modem ersetzt oder versuchst, sie "dumm" zu machen. Dann kannst du direkt von der Sophos PPPoE machen und sparst dir NATing.

 

[Gerber_]

@burglar2k18

Danke dir für deine Antwort.
Hast du natürlich Recht. Da die Telefonanlage sowieso die Einwahl per Sip macht, kann ich vorne an ein Modem schalten.

Grüße Phil