5
Windows VOIP über Proxy o. Gateway auf VPN-Tunnel
Hallo Leute,
ich habe eine Frage für die ich eine Lösung suche.
Ich möchte mein Notebook/Rechner über den VPN-Software-Tunnel vom SBS2003 "Verbindung mit Small Business Server herstellen" mit meinem
Netzwerk verbinden. Das stellt so ja erst mal kein Problem da.
Aber ich möchte ein externes "Auerswald COMfortel VoIP2500AB" Telefon dazu bringen, das ich mit meiner Telefonanlage hinter dem ISA (vom SBS) ankomme und sich das
Telefon an der TK-Anlage anmeldet, so das es sich wie ein interner Teilnehmer verhält.
Die Idee war die, das ich zuerst den VPN-Tunnel mit dem Notebook/Rechner aufbaue und das VOIP-Telefon dann diesen Rechner als Proxy/Gateway nutzt. Der Rechner müsste dann
das ganze zwischen dem VPN-Tunnel und dem Telefon routen.
Aber irgendwas geht hier nicht, ich bekomme es nicht zum laufen, am Rechner kann ich beide Teilnehmer bei vorhandenen Tunnel anpingen aber vom SBS kann ich das VOIP-Telefon nicht anpingen.
Netzwerkbereich Tk-Anlage.xxx.xxx.1.99
Adresse vom Rechner xxx.xxx.2.120
VOIP-Telefon: xxx.xxx.2.122
Brauche ich noch ein extra Tool damit das ganze geht, oder bekomme ich es nur mit einem Hardware-VPN-Router hin?
Irgendwelche Ideen wie ich das zum laufen bekommen könnte?
Gruß
Thorsten
ich habe eine Frage für die ich eine Lösung suche.
Ich möchte mein Notebook/Rechner über den VPN-Software-Tunnel vom SBS2003 "Verbindung mit Small Business Server herstellen" mit meinem
Netzwerk verbinden. Das stellt so ja erst mal kein Problem da.
Aber ich möchte ein externes "Auerswald COMfortel VoIP2500AB" Telefon dazu bringen, das ich mit meiner Telefonanlage hinter dem ISA (vom SBS) ankomme und sich das
Telefon an der TK-Anlage anmeldet, so das es sich wie ein interner Teilnehmer verhält.
Die Idee war die, das ich zuerst den VPN-Tunnel mit dem Notebook/Rechner aufbaue und das VOIP-Telefon dann diesen Rechner als Proxy/Gateway nutzt. Der Rechner müsste dann
das ganze zwischen dem VPN-Tunnel und dem Telefon routen.
Aber irgendwas geht hier nicht, ich bekomme es nicht zum laufen, am Rechner kann ich beide Teilnehmer bei vorhandenen Tunnel anpingen aber vom SBS kann ich das VOIP-Telefon nicht anpingen.
Netzwerkbereich Tk-Anlage.xxx.xxx.1.99
Adresse vom Rechner xxx.xxx.2.120
VOIP-Telefon: xxx.xxx.2.122
Brauche ich noch ein extra Tool damit das ganze geht, oder bekomme ich es nur mit einem Hardware-VPN-Router hin?
Irgendwelche Ideen wie ich das zum laufen bekommen könnte?
Gruß
Thorsten
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 157624
Url: https://administrator.de/contentid/157624
Printed on: April 24, 2024 at 09:04 o'clock
5 Comments
Latest comment
Moin,
du bekommst von dem DHCP ja vermutlich eine IP-Adresse aus einem Remote-Netzwerk (d.h. deine TA steht z.B. im Netz 192.168.0.x, du bekommst als IP im VPN aber 10.x.x.x). Jetzt ist es oft so das die IP-TAs so eingestellt sind das man nur aus dem eigenen Netzwerk sich anmelden darf.
Also müsstest du entweder dein VPN passend einstellen oder deiner Anlage bei der Netzwerk-Konfig sagen das es auch erlaubt ist (bei Asterisk wäre das z.B. in der sip.conf - unabhängig davon ob du über das OS bereits die Routen gesetzt hast).
du bekommst von dem DHCP ja vermutlich eine IP-Adresse aus einem Remote-Netzwerk (d.h. deine TA steht z.B. im Netz 192.168.0.x, du bekommst als IP im VPN aber 10.x.x.x). Jetzt ist es oft so das die IP-TAs so eingestellt sind das man nur aus dem eigenen Netzwerk sich anmelden darf.
Also müsstest du entweder dein VPN passend einstellen oder deiner Anlage bei der Netzwerk-Konfig sagen das es auch erlaubt ist (bei Asterisk wäre das z.B. in der sip.conf - unabhängig davon ob du über das OS bereits die Routen gesetzt hast).
Dein Notebook/Rechner der den VPN Tunnel aufbaut ist ja dann dein Router der zwischen lokalem LAN und dem VPN Tunnel routet, denn dein VPN Tunnel ist in einem separaten IP Netz als auch dein lokales LAN. Eine klassische Routing Situation also mit allen Punkten die dieses Tutorial beschreibt !:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Leider ist deine Beschreibung sehr oberflächlich und rudimentär so das eine konkrete Hilfe so gut wie unmöglich ist mit diesen Daten
Wichtig sind folgende Punkte:
Letztlich ist das aber ein schlechtes unsauberes Design was für den Produktivbetrieb mehr als ungünstig ist. Bedenke allein das die Telefonie komplett abhängig von der Verfügbarkeit des VPN herstellenden Netbooks/Rechners ist. Fummelt da einer an der FW rum oder an allen anderen Einstellungen ists aus mit dem Telefonieren. Von Performance Problemen mal ganz abgesehen sollte ein Benutzer andere Aktionen auf dem VPN Netbook machen die das Paket Forwarding in den VPN Tunnel behindern !
Besser ist in solchen Konstellationen immer eine LAN zu LAN Kopplung mit VPN Routern zu machen, wobei du zwingend darauf achten solltest das diese Router das PPTP (oder L2TP) VPN Protokoll supporten denn vermutlich damit hast du ja dein VPN aufegbaut, oder ?? (Diese Information fehlt ebenfalls von dir )
Draytek Router u. Co. sind deine Freunde, denn die supporten alle VPN Protokolle.
Somit hast du eine transparente, immerwährende LAN zu LAN Kopplung mit dem Telefon Anlagennetz das eben NICHT abhängig ist von einem Rechner und dem Benutzer der daran arbeitet, sondern arbeitet über einen stabilen, immer verfügbaren Tunnel, der auch da ist wenn das Netbook mal anderweitig benutzt wird !! So wird sowas in der Regel gelöst und nicht mit Laptop Frickeleien wie du es machst. Die funktionieren zwar auch (wenn man weiss was man macht) haben aber erheblich Nachteile s.o.
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Leider ist deine Beschreibung sehr oberflächlich und rudimentär so das eine konkrete Hilfe so gut wie unmöglich ist mit diesen Daten
Wichtig sind folgende Punkte:
- Deine IP Adressierung muss einzigarteig sein. VPN Tunnel und lokales Netz. Siehe #comment-toc6 hier
- Dein Routing auf dem Netbook/Rechner muss aktiviert sein ! Details dazu in diesem_Tutorial
- Wenn dein VPN Server hinter einem NAT/Firewall Router steht gilt #comment-toc5 das_hier ! Bedenke bitte auch das dein Telefon dann NICHT mit dem Gateway auf den Internet Router zeigen muss sondern auf den VPN Router, sprich bei dir also das Netbook/Rechner ! Ein Traceroute (tracert bei Winblows) oder Pathping zeigt dir die korrekte Wegewahl im IP Netz an !
Letztlich ist das aber ein schlechtes unsauberes Design was für den Produktivbetrieb mehr als ungünstig ist. Bedenke allein das die Telefonie komplett abhängig von der Verfügbarkeit des VPN herstellenden Netbooks/Rechners ist. Fummelt da einer an der FW rum oder an allen anderen Einstellungen ists aus mit dem Telefonieren. Von Performance Problemen mal ganz abgesehen sollte ein Benutzer andere Aktionen auf dem VPN Netbook machen die das Paket Forwarding in den VPN Tunnel behindern !
Besser ist in solchen Konstellationen immer eine LAN zu LAN Kopplung mit VPN Routern zu machen, wobei du zwingend darauf achten solltest das diese Router das PPTP (oder L2TP) VPN Protokoll supporten denn vermutlich damit hast du ja dein VPN aufegbaut, oder ?? (Diese Information fehlt ebenfalls von dir
)Draytek Router u. Co. sind deine Freunde, denn die supporten alle VPN Protokolle.
Somit hast du eine transparente, immerwährende LAN zu LAN Kopplung mit dem Telefon Anlagennetz das eben NICHT abhängig ist von einem Rechner und dem Benutzer der daran arbeitet, sondern arbeitet über einen stabilen, immer verfügbaren Tunnel, der auch da ist wenn das Netbook mal anderweitig benutzt wird !! So wird sowas in der Regel gelöst und nicht mit Laptop Frickeleien wie du es machst. Die funktionieren zwar auch (wenn man weiss was man macht) haben aber erheblich Nachteile s.o.
Hallo agui,
ich denke mal Du hast recht eine bessere Lösung ist hier die Hardware-Lösung "Lan zu Lan".
Ich habe mir nun mal einen Draytek 2820 zugelegt, ich möchte nun einen L2TP-Tunnel zwischen beiden DRATEK-DSL-Routern aufbauen.
1. Ich habe mir für beide DSL-Strecken feste IPs vom Provider geholt (Arcor/Vodafone). Somit sind beide auch ohne DynDNS erreichbar.
2. Den L2TP-Tunnel zwischen beiden Routern gem. Anleitung Draytek aufgebaut, läuft auch ohne Probleme. (Wie Du schon sagtest, Draytek ist genau das richtige für sowas.)
Jetzt bin ich aber an einem Punkt angelangt, wo ich mir mit dem weiteren vorgehen unsicher bin, hier mal meine IP-Adress-Bereiche:
Home-Intern: 192.168.2.x <----INTERNET über VPN-TUNNEL-----> Firma-Intern: 192.168.30.x <---------> 1. NW-Karte im SBS 192.168.30.x <ISA-Sever> 2. NW-Karte im SBS 192.168.1.x <---Lokales Netzwerk (Intranet).
So ist es jetzt aufgebaut, somit hat der ISA noch voll Kotrolle über die Internetzugänge aus und in die Firma, dieser Aufbau behindert
mich aber erst mal dahingehend um in das Lokale-Netzwerk mit meinem Home-Bereich (192.168.2.x) Client und VOIP-Telefon zu gelangen.
Ich denke ich habe nun 2 Möglichkeiten.
1. Ich lasse den Aufbau so wie er ist, muss aber dann dem DSL-Router eine Static-Route von meinem 192.168.2.x auf den 192.168.30.x setzen, damit der
Router diese Pakete an den SBS sendet. Oder?
2. Möglichkeit ich nehme in Internen Bereich 192.168.30.x raus und lege den Router in das Lokale Firmen-Netzwerk 192.168.1.x,
habe aber dann nicht mehr den ISA dazwischen. Ist das Schlau?
Ich denke, dann kann man nicht mehr über die Gruppenrichtlinien vom SBS (ist auch DC) den Zugang zum Internet verwalten?
Oder geht das trotzdem, vieleicht wenn ich immer alle Internetports (80 usw) auf den SBS-Server im Bereich 192.168.1.x weiterleite, oder?
Vieleicht kannst Du mir da etwas auf die Sprünge helfen.
Gruß
Thorsten
ich denke mal Du hast recht eine bessere Lösung ist hier die Hardware-Lösung "Lan zu Lan".
Ich habe mir nun mal einen Draytek 2820 zugelegt, ich möchte nun einen L2TP-Tunnel zwischen beiden DRATEK-DSL-Routern aufbauen.
1. Ich habe mir für beide DSL-Strecken feste IPs vom Provider geholt (Arcor/Vodafone). Somit sind beide auch ohne DynDNS erreichbar.
2. Den L2TP-Tunnel zwischen beiden Routern gem. Anleitung Draytek aufgebaut, läuft auch ohne Probleme. (Wie Du schon sagtest, Draytek ist genau das richtige für sowas.)
Jetzt bin ich aber an einem Punkt angelangt, wo ich mir mit dem weiteren vorgehen unsicher bin, hier mal meine IP-Adress-Bereiche:
Home-Intern: 192.168.2.x <----INTERNET über VPN-TUNNEL-----> Firma-Intern: 192.168.30.x <---------> 1. NW-Karte im SBS 192.168.30.x <ISA-Sever> 2. NW-Karte im SBS 192.168.1.x <---Lokales Netzwerk (Intranet).
So ist es jetzt aufgebaut, somit hat der ISA noch voll Kotrolle über die Internetzugänge aus und in die Firma, dieser Aufbau behindert
mich aber erst mal dahingehend um in das Lokale-Netzwerk mit meinem Home-Bereich (192.168.2.x) Client und VOIP-Telefon zu gelangen.
Ich denke ich habe nun 2 Möglichkeiten.
1. Ich lasse den Aufbau so wie er ist, muss aber dann dem DSL-Router eine Static-Route von meinem 192.168.2.x auf den 192.168.30.x setzen, damit der
Router diese Pakete an den SBS sendet. Oder?
2. Möglichkeit ich nehme in Internen Bereich 192.168.30.x raus und lege den Router in das Lokale Firmen-Netzwerk 192.168.1.x,
habe aber dann nicht mehr den ISA dazwischen. Ist das Schlau?
Ich denke, dann kann man nicht mehr über die Gruppenrichtlinien vom SBS (ist auch DC) den Zugang zum Internet verwalten?
Oder geht das trotzdem, vieleicht wenn ich immer alle Internetports (80 usw) auf den SBS-Server im Bereich 192.168.1.x weiterleite, oder?
Vieleicht kannst Du mir da etwas auf die Sprünge helfen.
Gruß
Thorsten
1.)
Richtig ! Der Home-Intern: 192.168.2.x Router kann das IP Netzwerk hinter dem ISA nicht kennen. Folglich würde er alles ins Internet senden wo es versandet.
Du musst diesem Router mit einer statischen Route sagen das er somit auch alles was zu 192.168.1.x gehen soll in den Tunnel routen muss.
Achtung: Eine Ausnahem: Wenn der ISA NAT macht (Adress Translation) taucht das 192.168.1.er netz gar nicht auf denn dann wird alles auch die 192.168.30er IP des ISA umgesetzt. Dann entfällt diese Massnahme also ! Nur wenn der ISA transparent routet muss das gemacht werden ! Siehe hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Leider äußerst du dich zum Thema NAT ja oder nein rein gar nicht
2.)
..."Ist das Schlau?" Gute Frage.... Regelungen mit den Gruppenrichtlinien sind dann passe...keine Frage. Eigentlich ist es völlig egal. Wenn du den ISA richtig customized und die Routen stimmen stört es überhaupt nicht wenn der da drin bleibt ! Die Kontrollmöglichkeiten (und auch To Dos auf der anderen Seite) sind dann größer !
Richtig ! Der Home-Intern: 192.168.2.x Router kann das IP Netzwerk hinter dem ISA nicht kennen. Folglich würde er alles ins Internet senden wo es versandet.
Du musst diesem Router mit einer statischen Route sagen das er somit auch alles was zu 192.168.1.x gehen soll in den Tunnel routen muss.
Achtung: Eine Ausnahem: Wenn der ISA NAT macht (Adress Translation) taucht das 192.168.1.er netz gar nicht auf denn dann wird alles auch die 192.168.30er IP des ISA umgesetzt. Dann entfällt diese Massnahme also ! Nur wenn der ISA transparent routet muss das gemacht werden ! Siehe hier:
Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Leider äußerst du dich zum Thema NAT ja oder nein rein gar nicht
2.)
..."Ist das Schlau?" Gute Frage.... Regelungen mit den Gruppenrichtlinien sind dann passe...keine Frage. Eigentlich ist es völlig egal. Wenn du den ISA richtig customized und die Routen stimmen stört es überhaupt nicht wenn der da drin bleibt ! Die Kontrollmöglichkeiten (und auch To Dos auf der anderen Seite) sind dann größer !
Hallo Aqui.
Das NAT vom ISA ist aktiv, im Netzwerkbereich zwischen den Router und dem SBS ist der Bereich 192.168.1.x nicht bekannt, im moment würde der
Router diese direkt ins WWW senden
Dann werde ich das ganze mal mit der Route vom DSL zum SBS testen, der Router selbst erkennt ja, das er einen Tunnel zum 192.168.2.x offen hat und
routet diese dann entsprechend da durch.
Nur im Bereich 192.168.2.x, muss ich diesem Router mitteilen, das die Anfragen an das 192.168.1.x auch durch den Tunnel gehen sollen, da dieser Router erstmal nur
den BEreich 192.168.30.x kennt und würde ansonsten diese auch ins WWW senden
Da habe ich wohl ein bissle was zu tun
Gruß
Thorsten
Das NAT vom ISA ist aktiv, im Netzwerkbereich zwischen den Router und dem SBS ist der Bereich 192.168.1.x nicht bekannt, im moment würde der
Router diese direkt ins WWW senden
..."Ist das Schlau?" Gute Frage.... Regelungen mit den Gruppenrichtlinien sind dann passe...keine Frage. Eigentlich
ist es völlig egal. Wenn du den ISA richtig customized und die Routen stimmen stört es überhaupt nicht wenn der da
drin bleibt ! Die Kontrollmöglichkeiten (und auch To Dos auf der anderen Seite) sind dann größer !
ist es völlig egal. Wenn du den ISA richtig customized und die Routen stimmen stört es überhaupt nicht wenn der da
drin bleibt ! Die Kontrollmöglichkeiten (und auch To Dos auf der anderen Seite) sind dann größer !
Dann werde ich das ganze mal mit der Route vom DSL zum SBS testen, der Router selbst erkennt ja, das er einen Tunnel zum 192.168.2.x offen hat und
routet diese dann entsprechend da durch.
Nur im Bereich 192.168.2.x, muss ich diesem Router mitteilen, das die Anfragen an das 192.168.1.x auch durch den Tunnel gehen sollen, da dieser Router erstmal nur
den BEreich 192.168.30.x kennt und würde ansonsten diese auch ins WWW senden
Da habe ich wohl ein bissle was zu tun
Gruß
Thorsten
