DMZ einrichten

[Dr.Einstein]

Wenn du möchtest, dass deine N.N Mapping Tabelle automatisch nach deiner Zwangstrennung angepasst wird mit deiner neuen dynamischen, öffentlichen IP-Adresse, nutze folgenden Eintrag in der Aktionstabelle:

Aktiv: ja
Name: ...
Gegenstelle: Congstar
Sperrzeit: 0
Verbindungsereignis: Aufbau
Aktion:
exec: set /Setup/IP-Router/N-N-NAT/1 * * * %a

Der Befehl unter Aktion bedeutet grob:
Rufe über Telnet den Pfad zur N:N Tabelle auf, gehe in den Eintrag mit dem Index 1, behalte Quell-IP / Quell-Maske / Ziel-IP bei und setze die gemappte Adresse um auf %a, wobei %a für die aktuelle, öffentliche IP-Adresse steht. (Variable)

Ob das bei deinem Problem hilft, weiß ich nicht. Du hast aber danach gefragt

Gruß Dr.Einstein

[Jirka]

Hallo cpuprofi,

was macht man mit der N:N-NAT-Tabelle nun genau? Ich dachte die N:N-NAT-Tabelle enthält Regeln, auf welche IP-Adressen die Quell-Adressen einzelner Stationen oder ganzer IP-Netze umgesetzt werden sollen.

Genau so ist es. Allerdings weiß dann das IP-Telefon noch nichts von der Sache. Es kennt ja ohne STUN nur seine eigene Intranet-IP-Adresse...

Habe ich gemacht und mit SIPGATE funktioniert es schon , nur Easybell und Dus.net gehen nicht... refused with code 403

Ja, weil sipgate es akzeptiert, das sich das IP-Telefon mit der Intranet-IP-Adresse am SIP-Server anmeldet/registriert und sipgate in dem Moment diese Intranet-IP-Adresse durch die WAN-IP-Adresse, von der der Registrierungswunsch kam, ersetzt.

Viele Grüße,
Jirka

[cpuprofi]

Ja, weil sipgate es akzeptiert, das sich das IP-Telefon mit der Intranet-IP-Adresse am SIP-Server anmeldet/registriert und sipgate in dem Moment diese Intranet-IP-Adresse durch die WAN-IP-Adresse, von der der Registrierungswunsch kam, ersetzt.

Wie kann ich es denn hin bekommen, daß sich das Telefon auch bei Dus.net und Easybell registriert? STUN habe ich eingetragen, hat aber keinen Effekt...

Grüße
cpuprofi

[Jirka]

Hallo cpuprofi,

ja, da müsste man jetzt einen Wireshark-Trace hinter dem IP-Telefon machen, um feststellen zu können, was hier falsch läuft.
Dus.net und Easybell sind nicht zufälligerweise im 1722 als SIP-Leitung eingetragen?

Viele Grüße,
Jirka

[cpuprofi]

Dus.net und Easybell sind nicht zufälligerweise im 1722 als SIP-Leitung eingetragen?

Ja, sind aber deaktiviert. Sipgate übrigens auch. Ich habe schon festgestellt, daß wenn der Eintrag von Sipgate im 1722 aktiv ist, die Gespräche dort auflaufen. Desweiteren habe ich im Snom 370 den Port 5062 für Sip eingetragen, im 1722 ist es Port 5060.

Grüße
cpuprofi

[cpuprofi]

Hallo Jirka, Backslash und Dr.Einstein,

ich habe gerade von Portunity den VPN-PPTP-Client Zugang mit fester IP erhalten.

http://www.portunity.de/portal/access-dsl-...46639.html

Wie muß ich diesen nun im Lancom 1722 einrichten?

Die Zugangsdaten bestehen aus folgenen Teilen:

PPTP-Gateway: pptp.ffm.portunity.de
PPTP-Username: vpn-pty/*****
Passwort: 123456
IPv4: 188.246.*.***
Protokolle: PPTP
Authentifizierung: PAP
MTU / MRU (PPTP): 1400

DNS-Server 1 (Resolver für DNS-Lookups):
IPv4: 188.246.0.34

DNS-Server 2 (Resolver für DNS-Lookups):
IPv4: 217.144.128.34

Es müßte doch ähnlich wie ein Internet-Einwahlzugang eingerichtet werden?

Vielen Dank im vorraus für eure Hilfe.

Grüße
cpuprofi

[Jirka]

Hallo cpuprofi,

sorry, aber ich hatte Dir schon mitgeteilt, dass PPTP im LANCOM nur unverschlüsselt geht. Das wirst Du so, wo ich das Passwort da oben sehe, nicht eingerichtet bekommen.

Viele Grüße,
Jirka

[backslash]

Hi cpuprofi

Es müßte doch ähnlich wie ein Internet-Einwahlzugang eingerichtet werden?

prinzipiell genau so - nur daß du die Gegenstelle nicht in der DSL- oder Dial-Up-Peer-Liste definierst, sondern halt in der PPTP-Liste...

@Jirka: Wieso sollte er das nicht eingerichtet bekommen? Da der Provider als Authentifizierung PAP fordert, wird eh nicht verschlüsselt. PPTP-Verschlüsselung verlangt zur Authentifizierung mindestens MS-CHAP - besser noch MS-CHAPv2

Gruß
Backslash

[cpuprofi]

Das wirst Du so, wo ich das Passwort da oben sehe, nicht eingerichtet bekommen.

Das Passwort ist natürlich nicht das "richtige" Passwort... Aber nicht verraten...

[cpuprofi]

Hilfe!

der PPTP-Tunnel haut irgendwie nicht hin...

1. Als erstes habe ich in der PPTP-Liste die Gegenstelle mit IP eingetragen:



2. Dann habe ich in der PPP-Liste die Einwahldaten des Tunnels eingetragen.






3. Den MTU-Wert habe ich auch angepasst.




4. Ich habe auch noch die N:N-Tabelle und das Portforwarding angepasst, aber ich bekomme keinen Zugriff vom Internet auf das Test-SIP-Telefon.

Ich weiß auch nicht, ob der Tunnel schon steht (kann man das irgendwie im Lanmonitor sehen?) oder muß man bei der Routing-Tabelle auch noch etwas ändern, da dort Portunity ja nicht drin steht?



Ich bitte um Hilfe!

Grüße
cpuprofi

[backslash]

Hi CpuProfi,

du darfst in der PPP-Tabelle bei "Authentifizierung der Gegenstelle (Anfrage)" gar nichts anhaken - so wie bei einem normalen Internetzugang auch. Denn sonst würde das LANCOM vom Provider verlangen, daß dieser sich beim LANCOM Authentifiziert - das wird der niemals machen...

Desweiteren brauchst du noch eine Route, die auf die Gegenstelle PORTUNITY verweist. Das kann eine zweite - mit einem Routing-Tag versehene - Defaultroute sein, oder aber eine Route, die nur auf deinem SIP-Provider verweist.

Wenn du eine getaggte Defaultroute verwendest, dann mußt du noch in der Firewall eine Regel erstellen, mit der du den Paketen deines SIP-Telefons das Tag zuweist:

Code: Alles auswählen

Routing-Tag: Tag das du der PORTUNITY-Route zugewiesen hast
Aktion:      übertragen
Quelle:      IP des SIP-Telefons
Ziel:        alle Stationen
Dienste:     alle Dienste

Oder aber du gibst der DMZ, in der das SIP-Telefon hängt als Interface Tag das Routing-Tag der PORTUNITY-Route

Bekommst du denn bei dem Provider nur eine feste IP-Adresse oder ein ganzes Netz? Wenn du nur *eine* IP-Adresse bekommst, dann mußt du die PORTUNITY-Route maskieren und ändert sich eigentlich gar nichts zum vorherigen Szenario - außer das du dem Telefon nun sagen kannst, das es in den SIP-Paketen die feste öffentliche IP-adresse eintragen soll... Wenn du ein Netz bekommst, dann kannst du eine DMZ anlegen, die dieses Netz auspannt und die PORTUNITY-Route entweder ganz unmaskiert lassen oder die Maskierungs-Option auf "nur Intranet maskieren" stellen.


N:N-NAT brauchst du für dieses Szenario in jedem Fall überhaupt nicht

Gruß
Backslsh

[cpuprofi]

Hallo Backslash,

ich denke mal, daß die von mit gemachten Eintragungen unter (1.) in der PPTP-Liste richtig sind (dort dürfte wohl kein Routing-TAG eingetragen werden)





Die PPP-Liste (2.) habe ich jetzt, gemäß Deiner Vorgabe, geändert (wofür steht die "Zeit"-Variable denn?)





Die N:N-Tabelle (4.) habe ich gelöscht.


Die Port-Forwarding-Tabelle sieht wie folgt aus (gibt es eine Möglichkeit "alle" oder "fast alle" Ports aus dem Portunity-Tunnel zu forwarden?)





In der Routing-Tabelle habe ich der PORTUNITY-Defaultroute das Routing-TAG "1" zugewiesen.





Dann habe ich der DMZ unter IP-Netzwerke das Routing-Tag 1 gegeben und unter RIP-Netzwerke auch. Ist das richtig oder muß ich noch irgendwo das Routing-Tag setzen?

Bekommst du denn bei dem Provider nur eine feste IP-Adresse oder ein ganzes Netz?

Ich habe vom Provider nur eine feste IP-Adresse bekommen.

außer das du dem Telefon nun sagen kannst, das es in den SIP-Paketen die feste öffentliche IP-adresse eintragen soll

Wo bzw. wie? Über Stun klappt irgendwo durch nicht...


Kann man die von PORTUNITY erhaltene IP,Subnetmask,Gateway,DNS1 und DNS2 nicht automatisch per DHCP über dem Lancom 1722 dem SIP-Telefon zuordnen lassen?


Grüße
cpuprofi

[cpuprofi]

Hallo an Alle,

Wo bzw. wie? Über Stun klappt irgendwo durch nicht...

Mittlerweile funktioniert es. Warum, weis ich auch nicht genau, ich habe ja seit gestern Abend nichts mehr geändert...

Kann es sein, daß sich die VoIP-Provider die ehemalige SIP-Telefon IP-Adresse 1 oder 2 Tage lang merken?

Alles sehr komisch...

Grüße
cpuprofi