Hallo,

ich stehe bei einem Firewall Problem gerade auf der Leitung:

Kunde hat ein internes Netzwerk 192.168.1.0/24, das über eine Cisco ISA570 Firewall -> Modem ins Internet kann.
Jetzt kommt eine VOIP Anlage dazu, mit dem Netzwerk 192.168.100.0/24, die aber getrennt sind zu Zeit.
Die Telefonanlage läuft beim Provider über die 2. LWL Leitung.

Da die PC Software zum raustelefonieren aber mit der VOIP-Anlage und den Telefonen kommunizieren muss, brauche ich eine Verbindung in das VIOP Netz.
Auf dem Port 3 der Firewall (IP 192.168.100.254) habe ich eine Verbindung zum VOIP Netzwerk und ein Static Routing eingetragen:

Static Route:
-> alles was an 192.168.100.0/24 geht -> 192.168.100.254

das funktioniert auch, also ich kann von den PCs die Telefone anpingen (umgekehrt nicht, ist auch so gewollt)

Jetzt muss ich von intern, aber auch noch auf die (fiktiven) IPs 1.2.3.4 und 1.2.3.5 kommen.

Static Route:
-> alles was an 1.2.3.4 geht -> 192.168.100.254 (Firewall Port 3)
-> alles was an 1.2.3.5 geht -> 192.168.100.254 (Firewall Port 3)

leider kann ich aber da die externen IP Adressen nicht anpingen. (innerhalb des VOIP Netzes schon)
habe auch schon das probiert:

Static Route:
-> alles was an 1.2.3.4 geht -> 192.168.100.1 (Router VOIP)
-> alles was an 1.2.3.5 geht -> 192.168.100.1 (Router VOIP)

Kann mir da jemand meinen Denkfehler aufzeigen?
ich hoffe ich habe mich verständlich ausgedrückt, unten noch eine Skizze:

http://666kb.com/i/d4kfvs63lfiugmaml.gif

Definiere mal etwas genauer, was fiktive IPs sind.

Die statische Route ins 192.168.100.0/24 Netz kannst Du Dir eigentlich sparen.

Vom Internen PC Netz wird ja die 570 das Default Gateway sein, wenn die Firewall damm mit dem dritten Interface eh dem 100er Netz steht, musst Du nur die Firewall Regeln definieren, das Routing dürfte alleine laufen.

Wenn Du jetzt die 1.2.3.4 per Route von intern auf die 100.254 schickst, wird erstmal nichts weiter passieren, außer eine Routing Fehlermeldung, da die internen PCs die 100.254 gar nicht direkt erreichen können.

Am VOIP-Router muß eine Rückroute drin sein, also 192.168.1.0/24 -->192.168.100.254 und dein zweiter Versuch dazu (1.2.3.4 geht -> 192.168.100.1)

Oder du benutzt NAT an deinem Router, damit immer die 192.168.100.254 als IP Richtung VOIP erscheint.

Am VOIP-Router muß eine Rückroute drin sein, also 192.168.1.0/24 -->192.168.100.254 und dein zweiter Versuch dazu (1.2.3.4 geht -> 192.168.100.1)

Oder du benutzt NAT an deinem Router, damit immer die 192.168.100.254 als IP Richtung VOIP erscheint.

NAT muss ja schon drin sein, sonst würde aktuell Ping nicht gehen. Die Pakete würden ja den Weg zurück nicht finden, es sei denn deren Default GW ist dann die 570er Firewall.

Die große Frage ist ja, wo sind die 1.2.3.4 definiert und wie sind die sonst zu erreichen. Wenn die auf dem VOIP Router als virtuelle IPs laufen, muss auf der 570 eine statische Route für diese IPs auf die 100.1 gesetzt werden. Das sollte dann reichen.

Definiere mal etwas genauer, was fiktive IPs sind.

ich wollte jetzt nicht die IPs von dem Provider reinschreiben, darum 1.2.3.4 und 1.2.3.5

Die statische Route ins 192.168.100.0/24 Netz kannst Du Dir eigentlich sparen.

ok, das macht die Firewall normalerweise alleine.

Vom Internen PC Netz wird ja die 570 das Default Gateway sein, wenn die Firewall damm mit dem dritten Interface eh dem 100er Netz steht, musst Du nur die Firewall Regeln definieren, das Routing dürfte alleine laufen.

ja ist default GW. Firewall Regel LAN -> Voice Netz ist eingetragen.

Wenn Du jetzt die 1.2.3.4 per Route von intern auf die 100.254 schickst, wird erstmal nichts weiter passieren, außer eine Routing Fehlermeldung, da die internen PCs die 100.254 gar nicht direkt erreichen können.

ja das ist mein Problem

NAT muss ja schon drin sein, sonst würde aktuell Ping nicht gehen. Die Pakete würden ja den Weg zurück nicht finden, es sei denn deren Default GW ist dann die 570er Firewall.

Die große Frage ist ja, wo sind die 1.2.3.4 definiert und wie sind die sonst zu erreichen. Wenn die auf dem VOIP Router als virtuelle IPs laufen, muss auf der 570 eine statische Route für diese IPs auf die 100.1 gesetzt werden. Das sollte dann reichen.

die 1.2.3.4 und 1.2.3.5 sind die IP Adressen von der VOIP Telefonanlage und die muss ich von dem PC netz aus erreichen, aber nicht über die normale Internet Leitung sonder über das VOIP Netzwerk.

wenn ich mein Notebook in das VOIP Netzwerk hänge, bekomme ich eine DHCP Adresse mit dem VOIP Router als Gateway (192.168.100.1).
in dem Netzwerk kann ich den Port 3 (192.168.100.254) der Firewall und die externen IPs (1.2.3.4, 1.2.3.5) pingen.

muss nicht im VOIP Router auch eine Route drin sein (wenn nach 192.168.1.0/24 etwas gehen soll -> nach 192.168.100.254)

Stimmt, NAT muss schon an sein, sonst wärs komisch.
Wie siehts mit VLAN aus? Es kann z.B. sein, daß an Port3 ein VLANx eingerichtet ist, die Telefonports zwei VLANs(x,y) haben und der VOIP-Router nur das zweite VLANy hat.

@User77 Kannst du vom Cisco-Router die 192.168.100.1 anpingen?

die Ports haben zwar VLAN IDs, aber auf Access. (muss man bei der ISA570) einstellen...
im VOIP Netz hat nichts VLANs.

von der Weboberfläche der Firewall kann ich den VOIP Router (192.168.100.1) und die VOIP Anlage (1.2.3.4) anpingen...

Ist in der Cisco auch NAT für das Netz/Host 1.2.3.4/5 eingerichtet und nicht nur für 192.168.100.0?

Nat habe ich gar nichts eingerichtet.

Dadurch dass ping von 1.0/24 nach 100.0/24 geht muss an der Firewall ein SNAT passieren, auf die Adresse der Firewall. Sonst würden die Pakete nicht zurückkommen und ping keine Antwort liefern.

Wenn du aktuell von dem internen Netz 1.2.3.4 anpingst, geht es zur int. FW und die geht weiter zum Provider. Somit neue statische Route, dass diese Pakete ans GW des 1.0/24 Routers weitergehen müssen. Auf der Firewall müsste die Route ja definierbar sein, da die ja mit einem Bein in dem Netz steht.

Dadurch dass ja wie gesagt NAT aktiv sein muss, müssten dann die Pakete auf der VOIP Firewall mit der Adresse der internen Firewall ankommen und somit auch wieder Ihren Weg zurückfinden.

Also nach den Daten die hier so zusammen gekommen sind, würde ich eigentlich vermuten, dass für die 1.2.3.4 eigentlich nur eine Firewall Regel fehlt, wenn Du schon die statische Route auf der Firewall hast, die sagt. 1.2.3.4 ist über 192.168.100.1 zu erreichen. Besonders, wenn Du von der Firewall aus die Adressen erreichen kannst.

was ich nicht verstehe ist, dass wenn ich static routing:

network --- next hop --- metric
1.2.3.4 --- 192.168.100.1 --- 1

einstelle, dass mir das tracert auf der firewall trotzdem über die Internet IP rausgeht und nicht über 192.168.100.254.
in der Routing Tabelle sehe ich dann die Einträge nicht.



wenn ich static routing:

network --- next hop --- metric
1.2.3.4 --- 192.168.100.254 --- 1

einstelle, zeigt mit das Tracert, dass es über 192.168.100.254 rausgeht, kommt aber dann ja nicht weiter.
in der Routing Tabelle sehe ich dann die Einträge
da fehlt dann irgendwo die Verbindung zum VOIP Router 192.168.100.1...
ich kann aber auf dem Port 3 nur eine IP einstellen, keinen zusätzlichen Gateway...

was ich nicht verstehe ist, dass wenn ich static routing:

network --- next hop --- metric
1.2.3.4 --- 192.168.100.1 --- 1

einstelle, dass mir das tracert auf der firewall trotzdem über die Internet IP rausgeht und nicht über 192.168.100.254.
in der Routing Tabelle sehe ich dann die Einträge nicht.



wenn ich static routing:

network --- next hop --- metric
1.2.3.4 --- 192.168.100.254 --- 1

einstelle, zeigt mit das Tracert, dass es über 192.168.100.254 rausgeht, kommt aber dann ja nicht weiter.
in der Routing Tabelle sehe ich dann die Einträge
da fehlt dann irgendwo die Verbindung zum VOIP Router 192.168.100.1...
ich kann aber auf dem Port 3 nur eine IP einstellen, keinen zusätzlichen Gateway...

Du brauchst ja auch kein weiteres Gateway. Deine interne Firewall hat nen Default GW und der VOIP Router hat nen Default GW.

Du legst ja jetzt nur eine Route an, die der internen Firewall sagst, dass die 1.2.3.4 nicht über das Default GW zu erreichen ist, sondern über die 192.168.100.1

Ergo wenn Du jetzt aus dem internen Netz die 1.2.3.4 ansprichst, geht das Paket erst einmal an das Default GW vom internen PC, welches ja Deine Firewall ist. Die würde jetzt die Pakete normalerweise an das Provider Modem geben. Das verhinderst Du ja durch die Route welche nun eine Ausnahme definiert und sagt, schicke die Pakete nicht zum Provider sondern an die 100.1

Jetzt ist aber die Frage, mit welcher Quelladresse die Pakete dann am VOIP Router ankommen. Wenn die in das 100er Netz reinpingst und da eine Antwort kriegst, muss definitiv SNAT aktiv sein und für die Rechner im VOIP Netz kommen die Pakete von der 192.168.100.254 und gehen dahin wieder zurück. Den Rest macht ja dann die interne Firewall. Ergo wenn Du die 1.2.3.4 anpingst und die direkt zum VOIP Router schickst, sollten die dort auch mit der 192.168.100.254 ankommen und die Antworten zurückgehen.

Ich würde mal gucken, ob Du im VOIP Netz die Möglichkeit hast zu checken, ob die Pakete überhaupt ankommen, bzw an der internen Firewall mal gucken ob die Pakete durchgelassen werden.

Ich vermute weiterhin, da fehlt eigentlich nur eine Regel, dass die 1.2.3.4 überhaupt angesprochen werden darf, bzw das dann auch ein SNAT gemacht wird.

Alternativ richte doch mal auf dem VOIP Router eine statische Route ein die sagt 192.168.1.0/24 ist an die 192.168.100.254 zu routen.


Ansonsten noch eine Sache, die mir noch durch den Kopf geht. Die 1.2.3.4 sind die auf der 192.168.100.1 auch konfiguriert? Oder sind das Adressen, die der Provider vielleicht selbst hält und durch eine NAT Regel erst an Deinen VOIP Router schickt? In dem Fall kannste Du die so auf keinen Fall erreichen, dann musst Du vom internen Netz aus einmal durchs Internet und auf dem anderen Router wieder rein.

ich kann über die Weboberfläche der Firewall Ping und Tracert auf die 1.2.3.4 durchführen, da funktioniert es, aber vom normalem Netz nicht. Da bekomme ich beim Tracert bis zur 192.168.100.254, dann zeitüberschreitungen.

ich habe auch zu testzwecken auch eine Regel erstellt, das alles auf alles zugreifen darf, also an eine nicht vorhandenen Firewall regel kann es nicht liegen...

ich habe schon viel Firewalls installiert und eingerichtet, aber sowas ist mir noch nicht untergekommen...


die 1.2.3.4 und 1.2.3.5 sind die Telefonanlage und laufen beim telefonanlagenanbieter und sind nur durch das VOIP Netz erreichbar.

Wie gesagt, probiere das mal

Alternativ richte doch mal auf dem VOIP Router eine statische Route ein die sagt 192.168.1.0/24 ist an die 192.168.100.254 zu routen.

Ansonsten versteh ich hier auch nicht mehr, warum das nicht gehen soll. Ist ja jetzt eigentlich kein Hexenwerk.