Sophos XG, FritzBox, ESXi, SIP and VLAN configuration

Question

Hallo Forum, 
 ich bin kurz vorm Verzweifeln, da ich mein gew&uuml;nschtes Setup einfach nicht zum laufen bringe. 
 Im Grunde handelt es sich darum, dass meine IP-T&uuml;rsprechanlage (Mobotix T25) &uuml;ber meine FritzBox an meinem FritzFon per SIP anrufen soll, wenn jemand an der T&uuml;re klingelt. 
 
 Folgende Konstellation: 
 1 physikalischer Server, auf dem vmware ESXi l&auml;uft. 
 Darin Sophos XG als VM mit 3 vNICs: 
 1. vNIC: WAN, Einwahl &uuml;ber ein Allnet VSDL-Modem und PPPoE ins Internet 
 2. vNIC: LAN, 192.168.177.1 / 255.255.255.0, Portgruppe mit VLAN ID 0 in ESXi 
 3. vNIC: LAN, 192.168.178.1 / 255.255.255.0, Portgruppe mit VLAN ID 5 in ESXi 
 
 Als Switch dient ein HP 2530 (Layer 2). Der Port zur T&uuml;rstation ist untagged mit der VLAN ID 5, der Port zum Server ist untagged mit der ID 1 und tagged mit der ID 5. 
 
 S&auml;mtliche PCs und Hardware h&auml;ngen im Netz 192.168.177.0, nur die T&uuml;rstation (192.168.178.10) soll im Netz 192.168.178.0 mit VLAN ID 5 h&auml;ngen. Ich hoffe mit dem VLAN besser vermeiden zu k&ouml;nnen, dass evtl. jemand die T&uuml;rstation gewaltsam entfernt, an das herumbaumelnde Netzwerkkabel sein Notebook anst&ouml;pselt und in mein Netzwerk eindringt... 
 Eine Fritzbox (192.168.177.5) nutzt als Client die Internetverbindung der XG und dient als VOIP-Station. Zu dieser Fritzbox soll sich die T&uuml;rstation mittels SIP verbinden. 
 Um die beiden Netze miteinander zu verbinden habe ich in der XG zwei statische Routen hinterlegt: 
 Destination IP 192.168.177.0 / 255.255.255.0 
 Gateway - 
 Interface 192.168.177.1 
 
 Destination IP 192.168.178.0 / 255.255.255.0 
 Gateway - 
 Interface 192.168.178.1 
 
 Des weiteren habe ich eine Firewall Rule angelegt: 
 Source LAN, 192.168.177.5 sowie 192.168.178.10 
 Destination LAN, 192.168.177.5 sowie 192.168.178.10, any Services 
 alle weiteren Optionen sind deaktiviert 
 
 In der T&uuml;rstation ist die statische Route eingetragen: 192.168.177.0 / 255.255.255.0, Gateway 192.168.178.1 
 In der FritzBox ist die statische Route eingetragen: 192.168.178.0 / 255.255.255.0, Gateway 192.168.177.1 
 
 Mit meinem PC (192.168.177.99) kann ich mit dieser Konfiguration auf die T&uuml;rstation (Webinterface) zugreifen. Dort kann man auch beliebige IPs von der Kamera aus pingen lassen oder bspw. den DNS abfragen (192.168.177.30). Funktioniert alles wunderbar. Die T&uuml;rstation kann sich allerdings als nicht als SIP-Client mit der Fritzbox verbinden. Im Log der T&uuml;rstation erhalte ich folgenden Fehler: Registration of user 620 on sip:192.168.177.5:5060 failed: 404 Not Found 
 
 An den Zugangsdaten zur FritzBox liegt es nicht. Ich habe die T&uuml;rstation testweise mit der IP 192.168.177.4 versehen und aus dem VLAN 5 genommen, also ins selbe Netz wie die FritzBox geh&auml;ngt. So funktionierte alles wie gewollt. 
 Wo habe ich etwas &uuml;bersehen, was habe ich vergessen? Macht das separate VLAN f&uuml;r die T&uuml;rstation &uuml;berhaupt Sinn oder k&ouml;nnte man das noch anders/besser l&ouml;sen? 
 H&auml;ttet Ihr sonst noch einen Hinweis f&uuml;r mich? 
 
 Vielen Dank und viele Gr&uuml;&szlig;e, 
 Tobi

lferrara · Answer

Tobi, 
 There are some modifications that I suggested: 
 
 use one port on XG where you create 2 additional VLANS, 10 and 5 
 On the HP switch, edit the port that connects to XG from untagged to tagged with vlan 1, 10 and 5 (vlan 1 cannot be removed from physical Interface at the moment) 
 Move your fritzbox and your computer to VLAN 10 
 Create needed firewall rule to allow traffic 
 remove static routing created on XG 
 
 In this way the XG will act as a router on a stick and you can control all the vlans communication from XG.