Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 3723 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Build DMZ for Polycom Video device

Colin@Pyramid
Hi,
I am a complete newbie with an inherited ASG 220 V7.510 so please be gentle. I have a polycom video device that I would like to put in a DMZ and enable with an external address for conferencing to another remote endpoint. My internal is on (eth0) and my WAN is on (eth3). I can use (eth4-7) for the DMZ. The address I would like to use was already added to the WAN interface as an alias and is in an unresolved state. Broadcast, attached network and address all list as unresolved. How can I go about making this happen? Please keep in mind I need to create the DMZ to begin with.


This thread was automatically locked due to age.
  • 0
    Hi, Colin,

    First, a comment on your configuration.  The customary practice is to have the External interface on eth1, and to reserve eth3 for the Sync NIC in 'High Availability'.  In earlier versions of the 220, only the first four interfaces were gigabit, so some people used an eth4-7 interface for the WAN/External interface.  Not that your current configuration is a problem, just that you'll want to be sure to note that if ever you post a log containing eth3.

    I'm not sure what you mean when you say "list as unresolved" - perhaps you could [Go Advanced] below and show a picture.

    You certainly could create a DMZ, but I don't know that that buys you much with a polycom device.  You could tailor DNAT/SNAT rules tightly enough to allow only the traffic with the other endpoint.  For example, for the DNAT:

    Traffic Source: {remote endpoint}
    Traffic Service: {group of services needed for the Polycom}
    Traffic Destination: External [name of 'Additional Address' added for Polycom] (Address)
     
    NAT mode: DNAT (Destination)

    Destination: {internal Polycom IP}
    Destination Service: {This must be left empty!}


    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Thanks for the response Bob. I have attached the picture of the addresses as unresolved.
  • 0
    Bob this may make it easier to understand my confusion. It appears that they had this set up and working at one point and the attached picture shows the rules that were left over. They all reference an internal address of 192.168.1.74 as Video Conf but the address on the video device is configured as the external address in my previous post. Networking is not my strong point as you can probably tell.
  • 0
    Colin, how about a pic of the Deltacom defintion on the 'Interfaces' tab and of the Deltacom175 definiton on the 'Additional Addresses' tab?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Thanks, I should have known that without looking! [:)]

    All you need to to is to enable the Additional Address - click on the red button to toggle it green.

    Cheers - Bob
    PS Also, a comment on the NAT rules. Rules 3 & 4 should handle everything. I suggest that you disable 1 & 2. If things still work, then delete them.
    PPS If you only want to allow communication with the other site, then you can replace "Any" as a source/destination with a Host definition that's just their public IP.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob. No luck. As I said in my earlier post all of the rules reference an internal address of 192.168.1.74 but the device itself is configured with the external .175 address. Should it have the internal address configured on it?
  • 0
    Hi Bob. I changed the address and I can ping and get out now. I am going to ask the far end to give me a ring.
  • 0 in reply to Colin@Pyramid
    Hi Bob,
    No luck on the call. It seems that the ASG 220 is not passing some of the traffic properly. They could see me but not hear me and I could neither hear or see them.
  • 0 in reply to Colin@Pyramid
    Hello, could you solve your problem ? we've exactly the same scenario and the same result!!

    Thanks

    Oxiel
Cookie Information Banner