6
Routing Problem Firewall - VOIP Netzwerk
Hallo,
ich stehe bei einem Firewall Problem gerade auf der Leitung:
Kunde hat ein internes Netzwerk 192.168.15.0/24, das über eine Cisco ISA570 Firewall -> Provider Modem (LWL) ins Internet kann.
Jetzt kommt eine VOIP Anlage dazu, mit dem Netzwerk 172.16.230.0/24.
Die Telefonanlage läuft extern beim Telefonieanbieter über die eine zweite LWL Leitung (IP-Adressen y.y.y.18, y.y.y.25)
Da die PC Software zum raustelefonieren aber mit der VOIP-Anlage und den Telefonen kommunizieren muss, brauche ich eine Verbindung in das VOIP Netz, aber nicht normal über die Internetleitung sondern über das VOIP Netz.
Dazu habe ich den Port 3 der Firewall die IP-Adresse 172.16.230.254 gegeben und mit dem VOIP Swich verbunden.
Bei der Firewall habe ich ein Static Route eingetragen:
das funktioniert auch, also ich kann von den PCs die Telefone anpingen (umgekehrt nicht, ist auch so gewollt)
Jetzt muss ich von intern, aber auch noch auf die externe Telefonanlage kommen (y.y.y.18 & y.y.y.25) über das VOIP Netz
Dazu habe ich 2 Static Routes eingetragen:
Leider funktioniert das nicht und diese werde auch im Route Table nicht angezeigt. Warum auch immer.
Tracert sagt mir das über die normale Internetverbindung rausgegangen wird, warum?
Kann mir da jemand meinen Denkfehler aufzeigen?
ich hoffe ich habe mich verständlich ausgedrückt, unten noch eine Skizze:
ich stehe bei einem Firewall Problem gerade auf der Leitung:
Kunde hat ein internes Netzwerk 192.168.15.0/24, das über eine Cisco ISA570 Firewall -> Provider Modem (LWL) ins Internet kann.
Jetzt kommt eine VOIP Anlage dazu, mit dem Netzwerk 172.16.230.0/24.
Die Telefonanlage läuft extern beim Telefonieanbieter über die eine zweite LWL Leitung (IP-Adressen y.y.y.18, y.y.y.25)
Da die PC Software zum raustelefonieren aber mit der VOIP-Anlage und den Telefonen kommunizieren muss, brauche ich eine Verbindung in das VOIP Netz, aber nicht normal über die Internetleitung sondern über das VOIP Netz.
Dazu habe ich den Port 3 der Firewall die IP-Adresse 172.16.230.254 gegeben und mit dem VOIP Swich verbunden.
Bei der Firewall habe ich ein Static Route eingetragen:
das funktioniert auch, also ich kann von den PCs die Telefone anpingen (umgekehrt nicht, ist auch so gewollt)
Jetzt muss ich von intern, aber auch noch auf die externe Telefonanlage kommen (y.y.y.18 & y.y.y.25) über das VOIP Netz
Dazu habe ich 2 Static Routes eingetragen:
Leider funktioniert das nicht und diese werde auch im Route Table nicht angezeigt. Warum auch immer.
Tracert sagt mir das über die normale Internetverbindung rausgegangen wird, warum?
Kann mir da jemand meinen Denkfehler aufzeigen?
ich hoffe ich habe mich verständlich ausgedrückt, unten noch eine Skizze:
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 290902
Url: https://administrator.de/contentid/290902
Printed on: April 19, 2024 at 14:04 o'clock
6 Comments
Latest comment
Jetzt kommt eine VOIP Anlage dazu, mit dem Netzwerk 172.16.230.0/24.
Dann benötigst du ein 2tes IP Segment an der Firewall.Grundlagen wie das einzurichten ist findest du hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
etwas mehr Cisco spezifisch hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Damit wäre dein "Problem" eigentlich schon gelöst, denn so hast du beide IP Segmente über die FW routingtechnsich verbunden und alles sollte wie gewohnt funktionieren !
Dazu habe ich den Port 3 der Firewall die IP-Adresse 172.16.230.254 gegeben und mit dem VOIP Swich verbunden.
Generell der richtige Schritt...Bei der Firewall habe ich ein Static Route eingetragen:
Das ist wie immer Blödsinn !! Und auch kontraproduktiv....jedenfalls was die 172er Route anbetrifft.Beide IP Netze (172er und 192er) sind ja direkt an der Firewall dran bzw. angeschlossen. Somit "kennt" die Firewall also direkt alle IP Netze. Warum also so ein überflüssiger Unsinn wie statische Routen in lokal angeschlossene Netze...sind nicht erforderlich und solltest du besser gleich wieder löschen !
das funktioniert auch, also ich kann von den PCs die Telefone anpingen (umgekehrt nicht, ist auch so gewollt)
Auch soweit richtig und zeigt das es grundsätzlich klappt.Das es umgekehrt nicht geht liegt an der Firewall bzw. den von dir darauf konfigurierten Zugriffs Regeln !
Dazu habe ich 2 Static Routes eingetragen:
Wie gesagt die 172er ist Unsinn !Beide Segmente sind direkt angeschlossenn und die externe Anlage wird über die Default Route erreicht. Statische Routen sind nicht erforderlich...außer der default Route natürlich und der beiden Netze die über den VoIP Provider und den VoIP Router geroutet werden sollen.
Leider funktioniert das nicht und diese werde auch im Route Table nicht angezeigt.
War zu erwarten auch weil sie syntaktisch falsch ist.An der etwas blödsinningen 172er Route kannst du das ersehen.
Du routest auf das 172.16.230er Netz und als Next Hop Gateway gibst du einen IP in dem gleichen Netz an.
Zu sowas muss man wohl nichts mehr kommentieren. Zeigt eigentlich das du das Thema IP Routen wenig bis gar nicht verstanden hast...sorry für die harten Worte, ist aber so.
Das wäre so als wenn du auf ein Verkehrschild in einer unbekannten Stadt siehst und dort steht: "Wenn man zum Bahnhof will muss man zum Bahnhof fahren...!"
Da würdest du dich auch an den Kopf tippen wenn du sowas lesen würdest.
Vergiss also deine unsinnige statische 172er Route. Der Cisco ist glücklicherwiese auch im Klicki Bunti Interface für Winblows Knechte so intelligent das er diese ignoriert, weil falsch. Trotzdem solltest du sie löschen.
Die Lösung ist kinderleicht:
Dein Denkfehler ist das du 2 Router hast. Der eine soll das gesamte Internet abfackeln, der andere aber nur die Voice Verbindung.
Du musst der ASA also dedizierte statische Routen für die öffentlichen IP Netze NUR des VoIP Providers einrichten via VoIP Router !
Das hast du ja auch schon mit den beiden durchgestrichenen Routen gemacht ! Dort stimmt auch der next Hop auf den VoIP Router.
Aaaaber...wenn du nun von Voice Endgeräten im 192.168.15.0 /24er Netz arbeitest werden die ja auch über den VoIP Router zum Voice Provider geschickt.
Kommen von dem nun die Antworten oder Voice Daten muss dieser Router logischerweise auch wissen wie man das 192.168.15.0 /24er Netz erreicht.
Folglich braucht dieser Router also auch eine statische Route mit folgender Syntax:
ip route 192.168.15.0 255.255.255.0 172.16.230.254
Sprachlich also: Das 192.168.15.0 /24er Netz erreichst du über das Gateway 172.16.230.254 im lokalen LAN.
Fertisch !
Damit funktioniert das dann wunderbar...entsprechende Firewall Regeln natürlich auch vorausgesetzt !!
Guten Abend,
danke für deine ausführlichen Antworten.
Problem ist aber, wenn ich die Statische Route (172.16.230.0 -> 172.16.230.1) nicht eintrage, komme ich nicht mehr auf die Telefone (ping), auf den VOIP Router aber schon.
Also deiner Meinung stimmen die Statischen Routen
y.y.y.18 -> 172.16.230.1
y.y.y.25 -> 172.16.230.1
nur fehlt wsl. auf dem VOIP Router ein
192.168.15.0 -> 172.16.230.254
?
MFG Daniel
danke für deine ausführlichen Antworten.
Problem ist aber, wenn ich die Statische Route (172.16.230.0 -> 172.16.230.1) nicht eintrage, komme ich nicht mehr auf die Telefone (ping), auf den VOIP Router aber schon.
Also deiner Meinung stimmen die Statischen Routen
y.y.y.18 -> 172.16.230.1
y.y.y.25 -> 172.16.230.1
nur fehlt wsl. auf dem VOIP Router ein
192.168.15.0 -> 172.16.230.254
?
MFG Daniel
Problem ist aber, wenn ich die Statische Route (172.16.230.0 -> 172.16.230.1) nicht eintrage, komme ich nicht mehr auf die Telefone (ping),
Das ist klar, denn das verhindert die Firewall mit ihren Regeln. Damit man die Telefone pingen kann muss ICMP Echo in den Firewall regeln auf dem Port erlaubt sein.Die statische Route ist ja Blödsinn von der Syntax her und gar keinen Route. Schlimm genug das man damit die Firewall Regeln aushebelt !
Passe also die Regeln der FW an dem Port an das diese Pakete passieren dürfen mit der Absender und desination IP.
Bei Voice musst du außerdem SIP und RTP auch erlauben. Es sei denn du machst für deine lokalen IP Segmente einen "Scheunentor Regel" wo du generell alles erlaubst.
Statische Route ist jetzt raus
ich habe jetzt testweise eine Regel eingetragen:
Von LAN to VOICE alles erlaubt
Von VOICE to LAN alles erlaubt
trotzdem kann ich mein Telefon (172.16.230.240) vom Internen Server (192.168.15.200) nicht pingen.
ich kann nur den VOIP Router (172.16.230.1) pingen
Von der Weboberfläche der Firewall funktioniert es auf beide 172.16.230.240 und 172.16.230.1
ich habe jetzt testweise eine Regel eingetragen:
Von LAN to VOICE alles erlaubt
Von VOICE to LAN alles erlaubt
trotzdem kann ich mein Telefon (172.16.230.240) vom Internen Server (192.168.15.200) nicht pingen.
ich kann nur den VOIP Router (172.16.230.1) pingen
Von der Weboberfläche der Firewall funktioniert es auf beide 172.16.230.240 und 172.16.230.1
trotzdem kann ich mein Telefon (172.16.230.240) vom Internen Server (192.168.15.200) nicht pingen.
Das ist dann doch offensichtlich das da immer noch ein Fehler ist in der ISA Konfig. Das es bei solchen Basis Funktionen der Firewall ein Bug ist kann man wohl getrost vergessen.Folglich hast du also immer noch ein Konfig Problem auf der Maschine !
Beachte das ICMP ein eigenständiges Protokoll ist. Es reicht also nicht in der FW UDP und TCP alles freizugeben. Wenn dann IP alles oder eben ICMP noch dazu.
Du musst zuallererst dafür sorgen das die Kommunikation zwischen deinen beiden lokalen IP Segmenten 192... und 172...sauber und fehlerfrei funktioniert.
Das ist Grundvoraussetzung für den Rest, sonst musst du gar nicht erst weitermachen....
Es ist auch möglich das das telefon kein Default Gateway oder das FALSCHE Default Gateway bekommt und deshalb nicht auf den Ping antwortet !
Prüfe das unbedingt in den IP Settings des Telefons !
Alle Telefone müssen auf deine ISA als Gateway zeigen. Es ginge auch der VoIP Router aber dann musst du dort zwingend einen statische Route eintragen auf das 192.168er netz via ISA. Was du aber auch so oder so machen musst...
Ist das geschehen ?
Hallo,
ich denke die Telefone haben als GW den VOIP-Router, da sie von dem auch DHCP beziehen.
Auf den VOIP-Router habe ich keinen Zugriff, aber mit wurde gesagt es ist alles eingestellt, damit es funktionieren sollte.
(Was ich aber bezweifle, da es ja sonst funktionieren würde, der VOIP-Techniker prüft das nochmal)
also mit der Route 192.168.15.0/24 -> 172.16.230.254 auf dem VOIP-Router eingestellt müsste alle meine Probleme lösen?
PS: vielen Dank für deine Antworten!
ich denke die Telefone haben als GW den VOIP-Router, da sie von dem auch DHCP beziehen.
Auf den VOIP-Router habe ich keinen Zugriff, aber mit wurde gesagt es ist alles eingestellt, damit es funktionieren sollte.
(Was ich aber bezweifle, da es ja sonst funktionieren würde, der VOIP-Techniker prüft das nochmal)
also mit der Route 192.168.15.0/24 -> 172.16.230.254 auf dem VOIP-Router eingestellt müsste alle meine Probleme lösen?
PS: vielen Dank für deine Antworten!
