Sophos UTM Zugriff auf Unify Telefonanlage mit myPortalToGo vom Internet und internen Netz

Hallo Alexander,

ich bin grad etwas verwirrt, da ich das komplett (in meinen Augen) einfacher und sicherer (da via WAF) schon bei diversen Unify's konfiguriert habe.

Vorab aber die Frage: Welche SW-Version hast Du auf der Unify?

Für Version R1 hast Du Recht, das geht nur über NAT. Ab Version R2 reicht da vollkommen eine WAF-Regel auf Port 8802 des reelen Servers zeigend. Hier kann sogar der ext. Port (virt. Server) z.B. auf 443 liegen. Das geht natürlich nur, wenn man entweder den Port 443 sonst nicht benötigt oder eine eigene Sub-Domain für die Unify erstellt hat. 
Kann dann z.B. über https://tk.domain.de aufgerufen werden. Läuft sowohl per Webbrowser auf dem PC als auch über die Handy-App.

Der UDP-Port wird übrigens garnicht mehr benötigt ab Version R2.

P.S.: Ja, ich bin ein absoluter Feind von NAT, wenn es nicht unbedingt sein muss. Wofür habe ich dann eine Firewall?

Hallo Manuel,

diese Einstellung habe ich von meiner anderen FullNAT abgeleitet, da ich sonst nicht vom internen LAN auf den DNS-Namen der externen IP kam.

Es gibt sicherlich viel viel bessere Lösungen... wie hast Du dies genau geregelt (Screens´s, Beispiel Config?), bin ein Newcomer auf dem Gebiet der Sophos... hatte bisher nur mit einer Cisco FW meine Erfahrungen machen müssen.

Die Unify habe ich mir zum großen Teil bis auf die Grundkonfig selbst eingereichtet, hier meine Version: osbiz_v2_R2.1.0_262

Für myPortalToGo habe ich mir die Vorgehensweise von Unify genommen, Ports etc...

Bin aber mit myPortalToGo auch nicht ganz zufrieden, da wenn andere App´s auf dem Smartphone im Vordergrund sind, das myPortal im Hintergrund wenn überhaupt nur Messenges geben, wenn ein Anruf kommt, dass ist sehr schlecht. Optimal wäre es, dass sich myPortalToGo beim eingehenden Anruf sofort aktiviert und in den Vordergrund schiebt, damit der Anruf angenommen werden kann.

Schönen Tag und noch einen guten Rutsch ins neue Jahr...

bis bald

Alexander

Für die Verbindung von internen Geräten auf externe Hostnamen der eigenen Infrastruktur ist Split-(Brain-)DNS eigentlich die bessere Wahl als ein NAT. Auf der UTM muss dann gar keine Spezialconfig erfolgen, außer der NAT- oder WAF-Umsetzung für den Zugriff von extern.

Du legst im internen DNS eine neue Forward-Lookupzone an, die genau so heisst, wie der externe Hostname (z.B. telefonanlage.firma.de), darin einen einzelnen A-Record ohne Namen, nur mit der internen IP (oder einer IP in der DMZ).

Hi Kevin,

das setzt voraus, dass er einen DC laufen hat.

Einfacher geht es mit einem Host-Eintrag in der UTM:

In dem Eintrag wird die interne IP-Adresse der Unify-UC und als Hostname der externe Hostname eingetragen.

@Alexander: Meine myPortal-Lösung poste ich Dir später noch ;-)

Hallo Manu,

(Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

If they do have an internal name server and they follow DNS best practice, I prefer Kevin's solution since most admins are more familiar with Linux/WinServer than with the UTM.  The Host solution is one that I use with clients that don't have internal DNS.

MfG - Bob (Bitte auf Deutsch weiterhin.)

Hallo Manuel,

Du scheinst dich ja mit der Unify gut auszukennen.

Welche Ports hast Du in der Sophos für VOIP bei der Unify freigeschaltet????

bekomme hier nur drops zu Sipgate und Telekom.

Als aller erstes hatte ich VOIP freigeschaltet

danach eine DNAT eingerichtet

Für DNAT habe ich versucht den externen Port 5070 auf intern 5060 umzulenken, so wie es in der Device@home for SIP der Unify beschrieben ist

wenn man sich das Live Protocol ansieht wird aber einiges geblockt

es scheint so, dass die STUN Registrierung nicht funktioniert

Idee?

Gruß Alexander