Externen Zugang (Port) auf einen LANCOM 1781xx über VPN in ein anderes Subnet mit eigenem LANCOM 1781xx routen

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
flexicam
Beiträge: 14
Registriert: 13 Apr 2012, 00:34
Wohnort: Würzburg

Externen Zugang (Port) auf einen LANCOM 1781xx über VPN in ein anderes Subnet mit eigenem LANCOM 1781xx routen

Beitrag von flexicam »

Ich habe folgendes Problem:
Der lokale Telefonprovider unserer Auslandsniederlassung blockiert die VOIP Calls bei Zugriff der Mobile Clients (Android, IOS) auf einen Server außerhalb des Landes.

Im Land selber klappt VOIP problemlos.

Wir haben in Deutschland einen LANCOM 1781EF+ im Rechenzentrum. Dort steht auch die Telefonanlage auf die von den Mobile Clients normal direkt zugegriffen wird (deutsche IP). Die Subnet IP ist 192.168.100.xxx.

Die Aussenstellen sind LANCOM 1781A/AW/VA/VAW und sind über VPN mit dem LANCOM 1781EF+ im Rechenzentrum verbunden. Jede Aussenstelle verfügt über ein eigenes Subnet 192.168.151.xxx ff. Die SIP-Telefone sind normal an die lokalen LANCOMs angebunden und der Traffic wird von den lokalen Subnets von/nach Rechenzentrum an die Telefonanlage geroutet.

Ich möchte nun einen lokalen Zugang in dem LANCOM 1781xx mit Subnet 192.168.150.xxx einrichten für Port 6000 und dieser wird über den vorhandenen VPN-Tunnel ins Rechenzentrum geroutet.

Ich habe dies über die Einstellungen IP Router / Port forwarding probiert (allerdings statt einer lokalen 192.168.150.xxx IP die 192.168.100.xxx IP von der Telefonanlage genommen), zusätzlich eine Firewall-Regel eingerichtet und einen Eintrag in der IPv4 Routing Table.

Allerdings klappt es nicht.

Ist der Denkansatz generell ok und wie müssen ggf. die Firewall-Regel bzw. der Routing-Eintrag aussehen?

Danke!
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Externen Zugang (Port) auf einen LANCOM 1781xx über VPN in ein anderes Subnet mit eigenem LANCOM 1781xx routen

Beitrag von backslash »

Hi flexicam

das Problem ist hier das VPN... Die Mobile-Clients kommen ja aus dem Internet - also mußt du in der Zentrale auf jeden VPN-Tunnel eine Default-Route legen und in jeder Filiale die VPN-Regeln (SAs) so erweitern, daß Traffic aus dem Internet in den Tunnel darf:

Entweder über die neuen VPN-Regeln unter VPN -> Allgemein -> Netzwerkregeln -> IPv4-Regeln

Code: Alles auswählen

Name:            ALLOW_INTERNET_TO_VPN
lokale Netze:    0.0.0.0/0
entfernte Netze: VPN-Gegenstelle
die der VPN-Verbindung (mit den bisherigen Regeln in der IPv4-Regelliste zusammengefaßt) in der Verbindungeliste zugeweisen wird

oder als VPN-Firewallregel:

Code: Alles auswählen

Name:   ALLOW_INTERNET_TO_VPN

[ ] diese Regel ist für die Firewall aktiv
[x] diese Regel wird zur Erzeugung von VPN-Netzbeziehungen (SAs) verwendet
[ ] weitere Regeln beachten, nachdem diese Regel zutrifft
[ ] diese Regel hält Verbindungszustände nach


Aktion:  übertragen
Quelle:  alle Stationen
Ziel:    VPN-Tunnel
Dienste: alle Dienste
Zusätzlich natürlich noch das Portforwarding und ggf. die Allow-Regel für den Zugriff auf den Server in der Firewall...

Gruß
Backslash
Antworten