vielleicht ist hier in diesem Forum doch irgendein FH oder erfahrener User, der mir ein paar zielführende
Tips geben kann. Hab das Problem, dass nahezu alle Kunden die Anlagen hinter einem Router betreiben
an dem Router hängt die Telefonanlage (VoIP, klar) und eine Sophos SG UTM FW. Wir (also mein Arbeit-
geber) hatten uns bisher nur um die IT gekümmert. Telefonie war schon durch andere Firmen abgedeckt
und eigentlich nie ein Thema für uns. Jetzt kommen die Telefoner um die Ecke (aber mehrere auf einmal)
und meinen, die Telefonanlage muss unbedingt hinter die Firewall - also ins LAN.
Hab das mal getestet in Form meiner Telefonanlagen … Also „mal eben“ geht da nichts. Kam mir wie
in die VoIP Urzeit zurückversetzt. RTP läuft nicht richtig, SIP so lala … Klar, fehlen FW Rules usw.
Macht ihr auch etwas mit VLANS? Trennt ihr wirklich Telekonie vom IT Netz über VLANS?
Was setzt ihr denn so an FW, Switchen usw. ein?
Würde mich echt über ein paar hilfreiche Tips bzw. Erfahrungsaustausch freuen.
Die Telefonanlagen kommen bei uns immer hinter die Firewall, wenn man von außen auf die Anlage will (z.B.: HomeOffice Softphone oder IP-Telefon) dann nur via VPN.
Ja das kommt auch auf die Firewall/Router an die eingesetzt wird. Bei einer FritzBox oder einem LANCOM braucht man so gut wie nix einstellen.
Bisher haben wir noch keine VoIP VLANs eingerichtet. Wir bauen eher einen eigenen Switch nur für VoIP ein.
Als Router/FW haben wir bis jetzt nur LANCOM im Einsatz. In kleinen Büros auch gern mal nur eine Fritzbox. Switche haben bisher nur von NetGear oder TP-Link verbaut.
herzlichen Dank für Deinen Beitrag. Ich habe eigentlich angenommen, dass ich hier von vielen unserer
Kollegen mit Infos erschlagen werde. War wohl aber nicht so … Schade. Umso mehr freue ich mich
über Deine Info.
Wenn Du den Router (LANCOM/Fritz!Box …) als FW siehst, hast Du natürlich recht! Aber ich meine eine echte Hardware Firewall wie die Sophos SG …
Wir setzen im Regelfall DSL => LANCOM Router => Sophos SG UTM FW => LAN ein. Die Telefonanlage liegt historisch bedingt im Netz des LANCOM Routers . Bisher haben wir auch einenen eigenen Switch für die Telefonie und einen für das LAN gesetzt. LAN hängt ja an der Sophos FW …
Erstmal habe ich die Erfahrung gemacht, dass es nicht gerade einfach ist, die Telefonie über die Sophos FW so richtig schön „problemlos“ zu bekommen. Denn die FW macht NAT in Richtung LANCOM und der LANCOM nochmals NAT ins Internet. Kann funktionieren muss aber nicht. Die bei Auerswald definierten Ports sind ja gut dokumentiert, aber wie man sich denken kann, setzen die Kunden unterschiedlichste ITK Anlagen (Unify, Mitel, Auerswald, Starface, …) ein.
Mein Hauptargument gegen die Einbindung der ITK-Anlage im LAN der FW spricht eigentlich, dass ich bei jeder Änderung der „normalen“ IT-FW Rules die VoIP Belange berücksichtigen muss und vor allem, bei jeglichem Reboot alle Telefongespräche in der Firma eben unterbrochen werden. Das mach beim surfen im Internet lästig sein, aber wenn ein Kundengespräch ggf. mehrfach unterbrochen wird weil der ITler wiedere einmal ein Upgrade durchführen muss wirds eng. Außerdem wäre die FW ein Single-Point-of-Failure. Sprich steht die FW aus irgendeinem Grund, kann der Kunde nicht mehr telefonieren …
Als Argument die Telefonanlage im LAN zu betreiben wäre TAPI … oder wenn ein Kunde, der sowieso
per (Open-) VPN in der FW eingeloggt ist, auch noch telefonieren möchte. Aber das sollte ich einfacher einrichten lassen als wie gesagt, die ganze ITK-Anlage ins LAN zu setzen und bei Problemen mit/in der FW kann die ganze Firma nicht mehr telefonieren …
Daher war die Frage an die Experten … wie handhabt oder besser, löst ihr diese Probleme? Vielleicht gibt es von Dir @Maik oder anderen Kollegen noch Erfahrungsberichte. Wir sind ja nicht im IP-Phone-Forum
wir nutzen unsere Telefonanlage hinter einer Sophos Firewall. Bis August die UTM, seitdem eine XGS.
Anlage ist eine Auerswald Compact 4000, Router Fritz!Box.
Bisher kein VLAN, das steht aber auf meiner To-Do Liste.
Das läuft seit Jahren absolut problemlos und stabil, und bei uns ist eigentlich ständig mindestens eine Person am Telefon.
Das spezielle Sophos VoIP Handling ist komplett deaktiviert, die Anlage und Telefone laufen als „normale“ Netzwerkgeräte.
