Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 2 subscribers
  • Views 5293 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Two IP's for Single WAN

Airtime
I have an interesting problem. Our ISP has only provided us with a single active ethernet port that we connected to the WAN of our Sophos UTM 220. I've been trying to install a PBX (from another company) that requires a fixed IP on it's own WAN connection.

I was hoping to be able to direct traffic for this second IP (different from the one assigned to the UTM) over the same WAN on the UTM so that I could have both be available on one ethernet line. Does anyone have any good ideas for how to do this, I haven't been able to figure it out.


This thread was automatically locked due to age.
Parents
  • 0
    From what I've been thinking. I would want to redirect all traffic destined for the public PBX IP to the internal IP using a DNAT (if it won't disrupt outbound from the PBX). I've been looking at the DNAT settings, but I don't see a way to do it for all traffic, rather than just one service.

    As for Network Security VOIP, I though that service was for the internal network to designate a PBX that clients (phones) could connect to. Is that not the case?

    The UTM is on 8.506 and the PBX is a Samsung. Unfortunately I'm not given access to the PBX, just told to get it on the network so it can be administered remotely.

    The setup would be something like this:
    Outside traffic to the PBX IP would be routed to the WAN interface on the PBX which would be directly connected to a port on the UTM.
    Outgoing traffic from the PBX meant for the outside would do a similar thing in reverse.
    Internal traffic (phones, etc.) would be on a Vlan (40) and connect to the PBX on it's internal interface, which would be connected directly to a switch and also be on the same Vlan.
Reply
  • 0
    From what I've been thinking. I would want to redirect all traffic destined for the public PBX IP to the internal IP using a DNAT (if it won't disrupt outbound from the PBX). I've been looking at the DNAT settings, but I don't see a way to do it for all traffic, rather than just one service.

    As for Network Security VOIP, I though that service was for the internal network to designate a PBX that clients (phones) could connect to. Is that not the case?

    The UTM is on 8.506 and the PBX is a Samsung. Unfortunately I'm not given access to the PBX, just told to get it on the network so it can be administered remotely.

    The setup would be something like this:
    Outside traffic to the PBX IP would be routed to the WAN interface on the PBX which would be directly connected to a port on the UTM.
    Outgoing traffic from the PBX meant for the outside would do a similar thing in reverse.
    Internal traffic (phones, etc.) would be on a Vlan (40) and connect to the PBX on it's internal interface, which would be connected directly to a switch and also be on the same Vlan.
Children
  • 0 in reply to Airtime
    From what I've been thinking. I would want to redirect all traffic destined for the public PBX IP to the internal IP using a DNAT (if it won't disrupt outbound from the PBX). I've been looking at the DNAT settings, but I don't see a way to do it for all traffic, rather than just one service.


    Hi,

    You should be able to use the 'ANY' service definition in the DNAT.


    As for Network Security VOIP, I though that service was for the internal network to designate a PBX that clients (phones) could connect to. Is that not the case?


    Its primary use is for internal VOIP devices which make connections to the internet. 
    My experience is using it with SIP phone devices, but I believe it should work with at least some PBX's.

    Note that you don't need a DNAT if the VOIP Security setup works with your PBX. (although you would need a DNAT (for certain ports) if there's an admin interface that needs to be managed remotely.)
    If the VOIP Security functions don't work, use the DNAT, and an SNAT or MASQ for the outgoing traffic, and make sure you setup PacketFilter rules for both directions as well (or use the 'Auto PacketFilter Rule' option in the NATs).


    The setup would be something like this:
    Outside traffic to the PBX IP would be routed to the WAN interface on the PBX which would be directly connected to a port on the UTM.
    Outgoing traffic from the PBX meant for the outside would do a similar thing in reverse.


    Right, either using NATs or the VOIP Security.

    Internal traffic (phones, etc.) would be on a Vlan (40) and connect to the PBX on it's internal interface, which would be connected directly to a switch and also be on the same Vlan.


    Sounds fine. The internal traffic wouldn't pass through the firewall if everything's on one VLAN.

    Barry
  • 0 in reply to Airtime
    Sorry do you/can you have only one IP address, is that fixed?
    If you have 1 Wan link with multiple IP address, you can configure the Astaro to have multiple IP address on it's Wan Link. Problem solved.
    But surely the PBX is only routing Voip traffic.
    Realy you only need two DNAT rules. 1x for SIP and 1x RTP for the PBX.

    Mark
  • 0 in reply to Mark_D_01
    Sorry do you/can you have only one IP address, is that fixed?
    If you have 1 Wan link with multiple IP address, you can configure the Astaro to have multiple IP address on it's Wan Link. Problem solved.
    But surely the PBX is only routing Voip traffic.
    Realy you only need two DNAT rules. 1x for SIP and 1x RTP for the PBX.

    Mark


    We have an IP range, but only one outgoing connection. I know I can put multiple IP's onto WAN port of the UTM, but I wanted one to go directly to the PBX.

    The real problem is that the company that provides the hardware and service insists on administering the box themselves. That means I can't just have SIP (and related) translation to the box. I'll look at the VOIP security settings in the UTM again and see if that might work.
  • 0 in reply to BarryG
    Hi,

    You should be able to use the 'ANY' service definition in the DNAT.



    Barry,
    I can add the SIP clients (phones) and the internal interface of the PBX to the VOIP security settings, although I'm not sure this would do anything since everything is on the internal network.

    My real challenge is getting the PBX set up so that requests to its IP can travel through the firewall and straight to PBX. I've tried using the "any" service definition in the DNAT settings, but I get the "cannot map all services to one" error. Am I doing it incorrectly?