Teleworker Funktion

[TPaulat]

Habe direkt die naechste Frage, damit es nicht Langweilig wird...

 

Gibt es in der snomONE Plus eine (bei anderen Herstellern) so genannte Teleworker Funktion?

Bedeutet unter`m Strich nichts anderes als das ich mein IP Phone an eine WAN Leitung bzw. einen entsprechenden Modem Router anschliessen und so quasi ueber das Internet (ueber eine getunnelte Verbindung wie z.B. bei Mitel) mit der Anlage kommunizieren kann und genau so auch mit meiner internen Nebenstelle dort angemeldet bin.

 

Zum Beispiel im Home Office ueber meine Office Nst. auf meinem gewohnten Apparat zu erreichen bin und die internen Gespraeche dann auch intern laufen ueber die snomONE.

[Vodia PBX]

Das ist selbstverständlich und wir machen das tagein-tagaus. Vielleicht hat Marketing vergessen, das überhaupt zu erwähnen .

 

snom ONE kommt mit mehreren IP-Adressen klar, z.B. 192.168.1.2 und 213.214.215.216 (man kann sogar IPv6-Adressen da reinmischen). Wichtig ist es den den Betrieb im Internet, dass die Adresse geroutet werden kann. Im Klartext: Das Telefon zuhause muss der PBX auch ein Paket schicken können. Klingt trivial, wird aber oft in Frage gestellt. Wenn eine Firewall in der Firma im Spiel ist, ist es am einfachsten die PBX in eine DMZ zu stellen, aber nach wie vor eine öffentliche Adresse zu verwenden. Port forwarding funktioniert gut bei Web-Servern, da die PBX aber auch RTP (UDP) Daten schicken und empfangen muss, bringt ein einfaches Port Forwarding nicht viel. Mehr unter http://wiki.snomone.com/index.php?title=Server_Behind_NAT auf Englisch...

[TPaulat]

Vielen Dank fuer die (wie immer) sehr gute und extrem schnelle Antwort! Ich koennte also quasi hingehen und die Anlage selbst in die entsprechende DMZ verfrachten, dem Interface die Externe IP anbinden aber zudem quasi eine Secondary IP "dazu" einstellen damit diese auch intern erreichbar ist?

 

Gibt es eine guideline wie dies am Besten zu bewerkstelligen ist?

[Vodia PBX]

Im Prinzip ja. Ich würde mir vorher allerdings nochmal die Routing-Tabelle vor Augen führen. Der PBX-Teil ist der einfachste (wenn das Routing klar ist), die PBX macht das dann alles automatisch.

[TPaulat]

Es ist derzeit in Planung bei der RIPE weitere IP Adressen auf unseren VDSL Anschluss zu legen. Die snomONE Plus wuerde ich dann entsprechend mit der ETH0 ins interne (192.168.x.x) Netz legen und die ETH1 in eine DMZ direkt auf eine der Public IPs.

 

Als Router wollte ich dafuer eine Bintec R3502 einsetzen da ich darueber auch meine Site-to-Site VPNs aufrecht halten kann.

 

Somit steht die PBX mit der oeffentlichen IP im Internet (ETH1), mit ETH0 nur im LAN oder gibt es eine bessere moeglichkeit? Wuerde entsprechend im Switch die DMZ nicht integrieren bzw. mit der ETH1 direkt auf einen isolierten Port auf der Bintec

[Vodia PBX]

Ja, letztlich ist es so dass die PBX mit einem Interface auf public IP ist. Damit hätte ich auf der PBX-Seite kein Problem; aber ich würde noch überprüfen ob noch irgendwelche anderen Dienste auf dem Server laufen die nicht laufen sollten (z.B. FTP). Den Bintec router kenne ich nicht; sollte aber nicht allzu schwer sein, die Pakete anhand er IP and das richtige Interface weiterzuleiten.

[TPaulat]

In diesem Fall hatte ich ueberlegt ob die PBX ggfls. eine eigene Public IP bekommt, somit waere ein Routing der Pakete schon fast nicht mehr notwendig...

Bei der PBX handelt es sich um die snomONE PLUS Loesung, diese wurde von den Diensten her entsprechend nicht veraendert, somit laufen nur die Dienste die "von Werk" aus auch aktiv sind.

[Vodia PBX]

In diesem Fall hatte ich ueberlegt ob die PBX ggfls. eine eigene Public IP bekommt, somit waere ein Routing der Pakete schon fast nicht mehr notwendig...

Bei der PBX handelt es sich um die snomONE PLUS Loesung, diese wurde von den Diensten her entsprechend nicht veraendert, somit laufen nur die Dienste die "von Werk" aus auch aktiv sind.

 

Unsere snom ONE plus läuft auch auf Public IP, kein Problem. Ich würde mir aber vom Support das SSH-Login freischalten lassen (Passwort ändern).

[TPaulat]

Das SSH Login benutze ich derzeit ueber den Superadmin Account. Dafuer muss ich unbedingt vorher noch das Passwort aendern. Ansonsten ist SSH schon in Betrieb

[TPaulat]

Mir ist noch eine Frage zum Thema snomONE Plus in der DMZ eingefallen: Wie sieht es Sicherheitstechnisch aus wenn ich die Anlage zwar "ins Internet" stelle jedoch den administrativen Zugriff auf das interne Netzwerk beschraenke (management nur ueber interne IP Adressen erlauben)?

[Vodia PBX]

Mir ist noch eine Frage zum Thema snomONE Plus in der DMZ eingefallen: Wie sieht es Sicherheitstechnisch aus wenn ich die Anlage zwar "ins Internet" stelle jedoch den administrativen Zugriff auf das interne Netzwerk beschraenke (management nur ueber interne IP Adressen erlauben)?

 

Das ist sicher eine gute Idee und schadet der PBX Funktionalität überhaupt nicht. Wie man das einstellt weiss ich allerdings nicht ...

[TPaulat]

Dies kann man bei der snomONE Plus unter Einstellungen --> Zugriff einstellen und Access grand / deny auswaehlen. Frage ist nur: wenn ich die Subnetmask auf 0.0.0.0 einstelle fuer deny und nur fuer ein internes LAN grand gebe, bleibt das System manageable oder greift eher die deny Regel?

[Vodia PBX]

ausprobieren

[TPaulat]

Bietet die CentOS Installation mir auch die gleichen Möglichkeiten wie die snomONE Plus? Wuerde es dann dort reproduzieren... Wenn ich die Anlage "abschieße" habe ich ein echtes Problem da diese in Bochum/Deutschland steht und ich mich in Irland befinde...

[Vodia PBX]

Ja nicht abschiessen, sondern neu starten... Ja mit CentOS sollte man das Probem nachstellen können.

[TPaulat]

Gibt es eine Installationsanleitung bzw. Compatibility Guideline bezueglich CentOS Builds und snomONE? Hatte gesehen das die Datei snomone-centos5-x64 heisst. Laeuft diese nur unter 5.x oder auch unter 6.x?

 

Ein Neustart wuerde jedes mal die Beschraenkung entfernen? Wie koennte man diese im System permanent setzen wenn alles funktioniert?

[Vodia PBX]

Es dürfte kein Problem sein, CentOS 6 zu verwenden. Wir verwenden ja keine anderen Applikationen und das was wir an Libs verwenden ist seit vielen vielen Monden stabil. Es gibt keine direkte Anleitung für CentOS (bei Linux setzen wir wesentlich fundiertere Kentnisse voraus als z.B. bei Windows). Es gibt noch ein paar links aus den pbxnsip-Zeiten unter http://kiwi.pbxnsip.com/index.php/Installing_in_Linux für Linux, ich glaube die haben es noch nicht ins snom ONE wiki geschafft.

[TPaulat]

Habe mittlerweile das Thema CentOS fuer die snomONE Ad Acta gelegt.

 

Leider bleibt weiterhin die Frage wie ich die snomONE PLUS entsprechend nach aussen freigeben kann (DMZ) aber trotzdem das innere Netz schuetze. Derzeit steht sie quasi komplett im Netz, alles funktioniert jedoch ist mir dies zu unsicher...

 

Wie muss die ETH1 Schnittstelle programmiert werden um eine Teleworker Funktion zu erlauben, jedoch den Rest der snomONE nicht fuer alle freizugeben?

 

Gibt es ein entsprechendes How-To oder Settings die gewaehlt werden muessen? Wie muss die Konfiguration der ETH1 Schnittstelle und Firewall aussehen?

 

Vielen Dank im Voraus

[Vodia PBX]

snom ONE ist nicht gleich snom ONE plus... snom ONE läuft (auch) unter CentOS, auf einem "ganz normalen" Server. Vermutlich gab es da ein Mißverständnis. snom ONE plus ist ein Stück Hardware, auf dem snom ONE installiert ist und NetBorder Express von Sangoma, und welches unter CentOS läuft. Es gab vor einiger Zeit bei snom leider die Meinung dass es eine gute Idee ist, den Eigentümer der snom ONE vom Zugriff auf das Betriebssystem auszugrenzen; aber inzwischen wurde das aufggeben und man darf sich auch als root einloggen. Als root kann man dann alles machen was man auch auf einen ganz normalen Server machen kann (inkl. alles verstellen, leider).

 

 

Die snom ONE appliance komplett ins DMZ zu stellen sehe ich nicht als allzu grosses Problem an. netstat sollte zeigen, welche Ports offen sind und ohne es jetzt überprüft zu haben gehe ich mal davon aus, dass dort kein FTP oder SAMBA zu sehen ist. Es sollten eigentlich keine ports sichtbar sein, die nichts mit der PBX zu tun haben, ausser SSH Zugang. Ja, den sollte man tatsächlich absichern, vor allem deswegen weil alle snom ONE plus mit dem gleichen Default-Passwort ausgeliefert werden. Wenn es auf der Firewall geht, wäre eine einfache Lösung, alle TCP/UDP ports ausser SSH/TCP auf snom ONE plus abzubilden.

 

Wichtig bei DMZ ist, dass snom ONE tatsächlich die öffentliche Adresse auf dem Interface konfiguriert hat. Faustregel ist, wenn Pakete nicht zu snom ONE reroutet werden können (und zwar unter der Adresse die im Interface und in den Routing-Tabellen eingestellt sind), wird es auch schwierig mit two-way audio. Die SIP ports 5060/5061 sind relativ klar; Problem ist oft dass ein weiter Bereich an RTP-Ports auf snom ONE abgebildet werden müssen. Wenn es zu wenig Ports sind besteht die Gefahr dass verschiedene Calls auf dem gleichen Port landen. Jeder Call braucht 4 ports, also wenn man 10 Calls parallel haben will muss man auf jeden Fall mindestens 40 RTP ports forwarden. Ich würde aber auf jeden Fall kräftig überdimensionieren, z.B. 100 oder 200 Ports damit es da keine Probleme gibt.