TK-Anlage an eigene NIC + erreichbar aus dem Internet

Du müsstest NAT einrichten auf die IP der Telefonanlage an der Sophos. Mit der Fritzbox davor wäre das dann Doppel-NAT. Nehmen wir an eth4 auf der Sophos hätte 10.0.0.100/24 und die TK Anlage 10.0.0.1 .. du müsstest dann noch Masquerading aktivieren, DNS erlauben und eine Firewall regel erstellen damit ein dort angeschlossenes Laptop ins Internet kommt.

Darf ich fragen mit welcher Software du diese super Skizze gemacht hast? Sowas ist echt hilfreich wie in diesem Fall! Klasse!

Danke für deine Antwort. Habe die Grafik im Internet auf gliffy.com gemacht und mit Windows Snipping Tool einfach ausgeschnitten und als Bild gespeichert.

Zum Masquerading: Als Netzwerk gebe ich das Schnittstellen-Netzwerk an? Oder muss ich unter Definitionen & Benutzer>Netzwerkdefinitionen noch ein neues Netzwerk anlegen? Und als Schnittstelle müsste ich ja eth1 angeben oder?

Zum DNS erlauben: Meinst du damit eine Firewall Regel oder muss ich unter Netzwerkdienste>DNS>Zugelassene Netzwerke das neue Netzwerk hinzufügen?

Zur Firewall Regel: Neues Netzwerk - Web Surfing - Any ?

MfG

Du legst ja Netzwerke auf bestimmte Ethernet Adapter. Ist die Frage ob du ein neues Netz machen möchtest für VoIP.

Du müsstest das für eth4 dann genau so einrichten wie für eth0, mit IP Bereich, ggf. mit DHCP, DNS erlauben, Masquerading wäre VoIP Netz -> Uplink Interfaces / WAN

Firewall VoIP -> Service -> WAN

Nutzt du das Ganze zuhause über die Home Lizenz? 

VOIP wird nicht benutzt bei uns.

Nutzen das in der Firma mit Fullguard Lizenz und Endpoint Protection.

Also ich habe jetzt eine neue Schnittstelle mit dem Namen DMZ auf eth4 angelegt. Diese hat die IP 192.168.178.231. Das Schnittstellen-Netzwerk hat dann ja automatisch 192.168.178.0.

Als nächstes hab ich dann unter Netzwerkdienste>DNS>Zugelassene Netzwerke das Netzwerk DMZ hinzugefügt.

Danach unter Network-Protection>NAT eine neue Maskierungsregel angelegt: DMZ (Network) > External (WAN) DSL (das ist eth1 der Sophos)

Und in der Firewall hab ich eine neue Regel erstellt: DMZ (Network) - DNS, NTP, Web Surfing - Any

Dann hab ich noch einen DHCP Server erstellt. Dort hab ich als DNS Server die Fritzbox angegeben und als Gateway halt die 192.168.178.231. Liegt da schon der Fehler? Muss ich im Browser vom Laptop auch einen Proxy eintragen?

MfG

beim DHCP & DNS Server trägst du die jeweilige Schnittstellen IP der Sophos ein. Die Kommunikation mit der Fritzbox findet auschließlich über die Sophos über eth1 statt. Die Clients hinter der Sophos haben mit der Fritzbox nix zu tun. 

Ob du einen Proxy eintragen musst oder nicht liegt daran ob du a) die Websurf Protection für das Netz (DMZ) aktiviert hast oder b) eine Firewallwall Regel "Websurfing" angelegt hast (du hast ja geschrieben die hättest du angelegt)

Vom Prinzip sehe ich das so, das du nur beim DHCP Server jetzt noch die IPs von Gateway und DNS auf die Sophos Schnittstellen IP von eth4 / DMZ ändern musst.

Wenn die TK Anlage vom Internet aus erreichbar sein soll, müssen noch NAT Regeln hinzugefügt werden. Es sei denn die Smartphones benutzen VPN oder sind in einem anderen Netz der Sophos. Dann müssten entsprechende Firewall Regeln angelegt werden.

beim DHCP & DNS Server trägst du die jeweilige Schnittstellen IP der Sophos ein. Die Kommunikation mit der Fritzbox findet auschließlich über die Sophos über eth1 statt. Die Clients hinter der Sophos haben mit der Fritzbox nix zu tun. 

Ob du einen Proxy eintragen musst oder nicht liegt daran ob du a) die Websurf Protection für das Netz (DMZ) aktiviert hast oder b) eine Firewallwall Regel "Websurfing" angelegt hast (du hast ja geschrieben die hättest du angelegt)

Vom Prinzip sehe ich das so, das du nur beim DHCP Server jetzt noch die IPs von Gateway und DNS auf die Sophos Schnittstellen IP von eth4 / DMZ ändern musst.

Wenn die TK Anlage vom Internet aus erreichbar sein soll, müssen noch NAT Regeln hinzugefügt werden. Es sei denn die Smartphones benutzen VPN oder sind in einem anderen Netz der Sophos. Dann müssten entsprechende Firewall Regeln angelegt werden.

Funktioniert leider immer noch nicht. Sehe auch im Firewall Live Log keine Einträge, dass der Laptop der an eth4 hängt versucht ins Internet zu kommen. Der Laptop hat auch vom DHCP Server seine Informationen.

Kommt mir aber schon komisch vor, dass der Laptop GW, DNS und DHCP die Schnittstellen IP von eth4 hat.

Vielleicht muss man noch ne Route setzen, damit der Laptop weiß wo er lang muss um ins Internet zu kommen?

Das Netzwerk hinter eth4 weiß ja nicht, dass es über die Fritzbox raus soll.

MfG

ist das Interface evtl. deaktiviert?

Habe das DMZ Schnittstellen-Netzwerk mal den zugelassenen Netzwerken im Webfilter hinzugefügt. Nur um mal zu testen was passiert.

Nachdem ich dann den Proxy (für das 10er Netz!) im Browser vom DMZ Laptop eingetragen habe und mich authentifiziert habe, komme ich ins Internet. Aber da stimmt auch was nicht. Das Windows Symbol für Netzwerkzugriff zeigt mir weiterhin, dass ich keinen Zugriff aufs Internet habe an. Und ich muss mich trotz gespeichertem Passwort in Firefox immer wieder neu anmelden. Teilweise auch zweimal.

Also alles ganz merkwürdig.

Geplant war aber, dass Rechner bzw. TK-Anlage in der DMZ über die Firewall Regel ins Internet dürfen. Das klappt aber weiterhin nicht.Irgendwo ist noch ein Fehler und ich finde den einfach nicht.

MfG

kann mal mitgucken (teamviewer/anydesk) wenn gewünscht; skype: "benjamin.nobody" 

bei einer vorhandenen gekauften Lizenz wäre ansonsten der Kontakt zum Sophos Partner ein guter Weg.