VoIP-Telefon hinter einer weiteren Firewall

[RalphT]

Moin,

ich habe derzeit folgenden Aufbau:

1 x Firewall 1793 VAW. Daran angeschlossen an einem LAN ein VoIP-Telefon. Das funktioniert soweit.

Jetzt soll eine weitere Firewall hinzukommen. Eine Lancom 1793 VA. An dessen Netz soll auch das Telefon angeschlossen werden. Am Telefon Siemens DX800A habe ich nur die Einträge für Registration-Server und weitere angepasst.
Diese zeigen jetzt auf den Anschluss der oberen Lancom.

Wird man von extern abgerufen, dann klingelt auch das Telefon. Nach dem Abnehmen hört man nichts.

Soviel ich weiß, erstellt die Lancom bei den internen Diensten, wie DHCP, VoIP u.ä. seine Firewallregeln selber.
Augenscheinlich fehlt aber etwas. Wo könnte denn hier noch etwas fehlen?

Leider hatte ich dazu recht viel ausprobiert und weiß jetzt heute nicht mehr, was ich alles probiert hatte. Einige Einstellungen habe ich dann mitlerweile wieder gelöscht.

Anbei ein Blockplan.

Lancom VoIP.jpg

[tobiasr]

Stark Vereinfacht: VoIP hinter Firewall geht nicht. Ich terminiere daher alle VoIP Gespräche im Router (VCM Option). Gibt es eine Notwendigkeit vor das Telefon eine Firewall zu schalten?

Eine Idee von Lancom hier gehen ist das sog. SIP ALG.

[RalphT]

Stark Vereinfacht: VoIP hinter Firewall geht nicht. Ich terminiere daher alle VoIP Gespräche im Router (VCM Option). Gibt es eine Notwendigkeit vor das Telefon eine Firewall zu schalten?

Es gab ein Security Audit. Da wurde vorgeschlagen alles hinter einer weiteren Firewall zu segmentieren. Naja der ganze Rest liegt jetzt dahinter, nur die Telefone fehlen eben noch. Aber ich denke, dass muss jetzt nicht zwingend notwendig sein. Wenns halt nicht geht, dann ist das eben so. Dann bleibt das so wie es ist.
Jetzt weiß ich zumindest, dass ich da nicht weiterumprobieren brauche. Ist doch zumindest auch eine Lösung.

[backslash]

Hi RalphT

das 1793VA hat doch auch einen VCM...
warum meldest du das Telefon nicht beim 1793VA an und der 1793VA meldet sich beim 1793VAW an..
damit sollte der 1793VA und der 1793VAW in der Firewall die Sessions passend anlegen...

Gruß
Backslash

[RalphT]

Hi RalphT

das 1793VA hat doch auch einen VCM...

Gruß
Backslash

Hm, daran hatte ich überhaupt gedacht! Es lag wohl auch daran, weil ich zuerst eine alte 1711 als zweite Firewall verbaut hatte. Die lag da gerade rum und daher hatte ich das Altgerät verwendet. Später nachdem alles lief, habe ich mir dann ein aktuelles Gerät besorgt.
Das werde ich im Januar mal so umsetzen.

[tobiasr]

Welchen Vorteil hat jetzt die nicht mehr administrierbare 2. Firewall? Was ist jetzt WIRKLICH sicherer und wird nicht durch die vermeindliche Sicherheit und die erhöhte Komplexität am Ende unsicherer?

[RalphT]

Welchen Vorteil hat jetzt die nicht mehr administrierbare 2. Firewall? Was ist jetzt WIRKLICH sicherer und wird nicht durch die vermeindliche Sicherheit und die erhöhte Komplexität am Ende unsicherer?

Wenn man es ganz genau nimmt, habe ich das zu 100% nicht optimal gelöst. Die äußere und innere Firewall sollten nicht vom gleichen Hersteller sein. Existiert eine bekannte Sicherheitslücke in der ersten Firewall, dann wären die Täter im gesamten LAN. In diesem Falle hat man eine weitere Firewall vor sich.
In einer anderen Stelle hatte man sogar noch eine dritte Firewall empfohlen.
Ich gebe dir Recht, das ganze wird mächtig aufwändig und bedeutet wesentlich mehr Konfigurationsaufwand.

Die innere Firewall erreiche durch den VPN.