Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Lync, SIP Trunk & Firewall

Pagina: 1
Acties:

vrijdag 19 juni 2015 11:37

Acties:
  • YellowOnline
  • Registratie: Januari 2005
  • Laatst online: 28-03-2023

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter
Ik heb Skype for Business 2015 (ex-Lync) opgezet en vandaag een trunk geleverd gekregen. Helaas ben ik niet thuis in networking en onze netwerkman (we hebben er maar één) is nog eventjes thuis wegens ziekte :X

Tegen dat hij terug is wil ik op zijn minst verstaan waar het probleem zit. De server heeft twee netwerkkaarten: één in het bedrijfsnetwerk en één in de DMZ. Dat ziet er zo uit:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13

Ethernet adapter INTERN:

   Connection-specific DNS Suffix  . :
   IPv4 Address. . . . . . . . . . . : 192.168.5.140
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 192.168.5.2

Ethernet adapter EXTERN:

   Connection-specific DNS Suffix  . :
   IPv4 Address. . . . . . . . . . . : 192.168.215.223
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 192.168.215.6


Mijn trunks zijn link01.sip.qsc.de en link02.sip.qsc.de (is publieke info, werkt toch niet zonder verdrag).

Voorwaarden voor de trunking zijn geen NAT of wat voor inmenging in de traffic dan ook.

Static routing is aangelegd op de externe NIC voor de trunks:
code:
1
2
3
4
5
6
7

IPv4 Route Table
===========================================================================
Active Routes:
Network Destination        Netmask          Gateway       Interface  Metric
    213.148.136.0    255.255.255.0      192.168.5.6  192.168.215.223      6
    213.148.137.0    255.255.255.0      192.168.5.6  192.168.215.223      6
===========================================================================


Maar nu het deel dat ik niet snap: in hun schemaatje is het adres van de externe NIC in de DMZ een publiek adres. Jamaar? Het is toch de bedoeling een DMZ adres te hebben in de DMZ en pas een publiek adres voorbij de FW? :?

Afbeeldingslocatie: http://static.tweakers.net/ext/f/Q7TyIRU5hWpVSBhGFt1qQeAg/full.png
Letzterer wird am Besten mit der DMZ (Demilitarized Zone) der Firewall verbunden und kann hier eine
feste, öffentliche IP-Adresse erhalten. Im externen Teil der Firewall darf kein NAT- und keine ALG-Funktion
zum Mediation-Server konfiguriert und die o. g. Ports frei geschaltet sein. Da sich die QSC-SBC in zwei
definierten IP-Subnetzen befinden (213.148.136.0/24 und 213.148.137.0/24), kann die Firewall gegebenenfalls so konfiguriert werden, dass die SIP-Signalisierung und -Mediadaten nur zu diesen Subnetzen zugelassen werden.
In de FW waar dit aan hangt (Sophos UTM 9) is er routing voorzien voor SIP, maar die mag ik niet activeren omdat er al zogeheten NAT helpers actief zijn aan de kant van de SIP provider. Resultaat: wat ik nu precies moet vragen om te configureren is mij onduidelijk. Geraakt iemand er wijs aan uit?

[ Voor 11% gewijzigd door YellowOnline op 19-06-2015 12:56 ]

vrijdag 19 juni 2015 12:46

Acties:
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 15:27

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

YellowOnline schreef op vrijdag 19 juni 2015 @ 11:37:
IStatic routing is aangelegd op de externe NIC voor de trunks:
Zo te zien heb je nu gewoon twee keer een route naar dezelfde gateway opgevoerd. Al het verkeer zal nu via 192.168.5.2 verstuurd worden. In jouw setup zal nooit verkeer naar je externe gateway verstuurd worden.

Normaal gesproken wordt er maar één gateway opgevoerd (op de externe nic), en worden er routes aangemaakt voor de interne netwerken.
.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 19 juni 2015 12:56

Acties:
  • YellowOnline
  • Registratie: Januari 2005
  • Laatst online: 28-03-2023

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter
Question Mark schreef op vrijdag 19 juni 2015 @ 12:46:
[...]
Zo te zien heb je nu gewoon twee keer een route naar dezelfde gateway opgevoerd. Al het verkeer zal nu via 192.168.5.2 verstuurd worden. In jouw setup zal nooit verkeer naar je externe gateway verstuurd worden.

Normaal gesproken wordt er maar één gateway opgevoerd (op de externe nic), en worden er routes aangemaakt voor de interne netwerken.
.
Copy/paste faal van mijnentwege :X Gecorrigeerd nu

vrijdag 19 juni 2015 13:01

Acties:
  • Taz86
  • Registratie: November 2010
  • Laatst online: 27-10 11:01

Taz86

ligt misschien aan mij maar jouw volgende zin:
"Voorwaarden voor de trunking zijn geen NAT of wat voor inmenging in de traffic dan ook. "
is vrij logisch maar je gaat toch achter een router met NAT werken.

DMZ is ook enkel mogelijk als je met sip werkt. Mijn ervaring met DMZ en SIP (Trunking) is desastreus ivm de RTP poorten die gekozen worden.

De enige vraag die ik eigenlijk voor je heb: Heb je nog een Extern WAN ip beschikbaar?

vrijdag 19 juni 2015 13:02

Acties:
  • ralpje
  • Registratie: November 2003
  • Laatst online: 29-11 10:08

ralpje

Deugpopje

YellowOnline schreef op vrijdag 19 juni 2015 @ 11:37:
Maar nu het deel dat ik niet snap: in hun schemaatje is het adres van de externe NIC in de DMZ een publiek adres. Jamaar? Het is toch de bedoeling een DMZ adres te hebben in de DMZ en pas een publiek adres voorbij de FW? :?

[afbeelding]
Welkom in de wondere wereld van SIP door Microsoft.
Op je externe NIC zul je ook een extern IP moeten hebben. Het adres op die NIC wordt namelijk gebruikt in de SIP-signaling die verstuurd gaat worden. Als je daar een intern IP mee stuurt krijg je dus nooit je pakketjes meer terug, omdat de SIP-provider niet weet waar het heen moet.
Wil je wel een intern IP op die NIC hebben dan zul je dus iets tussenliggends moeten hebben wat je SIP-packets rewrite of als proxy aan de ene kant de trunk met je ISP afhandelt en andere kant de Lync-kant van je trunk doet.

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer

vrijdag 19 juni 2015 13:06

Acties:
  • Bart
  • Registratie: Februari 2001
  • Laatst online: 08:43

Bart

En nu is de gateway 192.168.5.6, dat is toch nog steeds in het interne subnet?

Daarnaast hebben beide adapters een default gateway, dat is sowieso niet echt jofel...

En wat Taz86 klopt ook. Er mag geen NAT gebruikt worden volgens de provider maar zolang jij een private IP op je interface hebt staan zal er toch ergens NAT gebruikt worden om bij de publieke interface van de provider te komen.. NAT hoeft overigens geen issue te zijn als de provider daar goed mee om kan gaan. Desalniettemin blijft SIP van Microsoft wel iets aparts...

Maar stap 1 is je netwerk/routeringen goed krijgen zodat er uberhaupt verkeer naar de provider toe gaat. Eventuele issues met SIP is een tweede.

I'm not deaf, I'm just ignoring you.

vrijdag 19 juni 2015 13:06

Acties:
  • Question Mark
  • Registratie: Mei 2003
  • Laatst online: 15:27

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

YellowOnline schreef op vrijdag 19 juni 2015 @ 12:56:
[...]


Copy/paste faal van mijnentwege :X Gecorrigeerd nu
Dan nog heb je twee nic's met allebei een gateway geconfigureerd. Afhankelijk van NIC-order binding kan het syteem nu de externe gateway gaan proberen te gebruiken voor het benaderen van interne netwerken.

Best practise is het configureren van één gateway (op de nic met de meest verbonden subnetten), en het gaan instellen van statische routes voor de overige subnetten.

Configuring multiple gateways on a network
If you have multiple network adapters in your computer and you configure a default gateway for each adapter (which creates a default route in the IP routing table for all destinations that are not located on the subnet), information on your network might not be routed to the correct destinations if you connect to disjoint networks—separate networks that are not designed to communicate directly. Only a single gateway is used for all destinations that are not located on the subnet, even when you configure multiple default gateways. An example of this is when a computer is connected to both an intranet with multiple subnets and the Internet. With a default gateway configured for both adapters, you can either communicate with all computers on the Internet or all computers on the intranet, but not both.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 19 juni 2015 13:55

Acties:
  • YellowOnline
  • Registratie: Januari 2005
  • Laatst online: 28-03-2023

YellowOnline

BEATI PAVPERES SPIRITV

Topicstarter
Question Mark schreef op vrijdag 19 juni 2015 @ 13:06:
[...]

Dan nog heb je twee nic's met allebei een gateway geconfigureerd. Afhankelijk van NIC-order binding kan het syteem nu de externe gateway gaan proberen te gebruiken voor het benaderen van interne netwerken.

Best practise is het configureren van één gateway (op de nic met de meest verbonden subnetten), en het gaan instellen van statische routes voor de overige subnetten.

Configuring multiple gateways on a network


[...]
Hmz, ik dacht dat door die statische route in te stellen op de externe interface verkeer richting die adressen by default ook over die route zou moeten gaan. Overigens is de NIC order in orde. Maar aangezien de externe NIC niets anders doet dan die trunk kan ik de gateway gemakkelijk weghalen.
ralpje schreef op vrijdag 19 juni 2015 @ 13:02:
[...]


Welkom in de wondere wereld van SIP door Microsoft.
Op je externe NIC zul je ook een extern IP moeten hebben. Het adres op die NIC wordt namelijk gebruikt in de SIP-signaling die verstuurd gaat worden. Als je daar een intern IP mee stuurt krijg je dus nooit je pakketjes meer terug, omdat de SIP-provider niet weet waar het heen moet.
Wil je wel een intern IP op die NIC hebben dan zul je dus iets tussenliggends moeten hebben wat je SIP-packets rewrite of als proxy aan de ene kant de trunk met je ISP afhandelt en andere kant de Lync-kant van je trunk doet.
Is dat zo typisch voor MS dan? Ik dacht dat SIP min of meer gestandardiseerd was.
Taz86 schreef op vrijdag 19 juni 2015 @ 13:01:
ligt misschien aan mij maar jouw volgende zin:
"Voorwaarden voor de trunking zijn geen NAT of wat voor inmenging in de traffic dan ook. "
is vrij logisch maar je gaat toch achter een router met NAT werken.

DMZ is ook enkel mogelijk als je met sip werkt. Mijn ervaring met DMZ en SIP (Trunking) is desastreus ivm de RTP poorten die gekozen worden.

De enige vraag die ik eigenlijk voor je heb: Heb je nog een Extern WAN ip beschikbaar?
Ja, er is al een publiek adres voorzien enkel en alleen voor die trunk, maar dat bestaat pas vanaf de FW natuurlijk.

vrijdag 19 juni 2015 15:58

Acties:
  • ralpje
  • Registratie: November 2003
  • Laatst online: 29-11 10:08

ralpje

Deugpopje

YellowOnline schreef op vrijdag 19 juni 2015 @ 13:55:
[...]
Is dat zo typisch voor MS dan? Ik dacht dat SIP min of meer gestandardiseerd was.
De hele wereld doet SIP over UDP, MS doet het over TCP. ;) :+

Op zich is het redelijk standaard, maar bij veel systemen (centrales, toestellen) heb je de mogelijkheid om in de config aan te geven wat je externe IP is. De software zorgt dan dat het correcte IP in de SIP-packets terecht komt.
MS (iig in Lync 2013, of dat in de nieuwe Skype for Business ook nog zo is weet ik niet) pakt gewoon het IP wat op je NIC zit.

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq