All-IP Best Practice

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Certus
Beiträge: 3
Registriert: Mi 16.04.2014, 08:42

All-IP Best Practice

Beitrag von Certus »

Hallo zusammen,

immer mehr Kunden stellen auf ALL-IP um. Wir würden uns daher gerne ein paar Meinungen von euch einholen wie Ihr mit dem Thema umgeht.

Welche Erfahrungen habt ihr mit den Geräten? (Fritzbox, Zyxel ...)
Telefonanlage direkt ans Modem oder in eine DMZ der Firewall?
Aufbau der VPN Verbindungen und Zugriff aufs Userinterface evtl. durch Portweiterleitung?

Wir freuen uns auf euer Feedback.

Grüße
Certus

RPFComputers
Beiträge: 3
Registriert: Do 09.10.2014, 21:13

Beitrag von RPFComputers »

Hallo Certus,

ich persönlich habe sehr gute Erfahrungen mit einer Fritzbox vor der Securepoint.
Hat der Kunde eine ISDN-TK Anlage dann vorzugsweise eine 7490 o.ä. mit internem So-Port.

Fritzbox mit Zugangsdaten füttern, Firewall in die DMZ (exposed Host). Habe keinerlei Probleme damit. Auch Fernadministration, SSL-VPN etc. klappen reibungslos.
Probleme gibt es mit der IPSec S2S-Verbindung, wenn man an beiden Seiten eine solche Konstellation hat. Dann findet nach der Zwangstrennung in der Regel kein Connect mehr statt. Liegt daran, dass dann beide Gateway genattet rauskommen, hat man mir an der Hotlline erklärt. An zumindest einer Seite sollte in dem Fall die Fritzbox nur als Modem dienen, was den Einsatz als All-IP-Gateway dann ausschließt.
In dem Fall konfiguriere ich aber die S2S einfach als SSL-VPN. Dann gibt es die Probleme nicht.

Ein einem Fall neulich habe ich eine IP-Telefonanlage hinter eine bestehende Fritzbox geklemmt und direkt mit dem SIP-Account/Provider verbunden. Ging auch. Man muss in dem Fall einfach die Ports (5060/5061) einfach an die TK-Anlage schicken. Bei dem Kunde war aber keine Firewall im Einsatz, sodass es dort keine DMZ gab. Das wäre zu noch zu testen, wie sich Fritzchen dann verhält. Wenn das nicht klappt würde ich persönlich die SIP-Anlage halt auch hinter die SP hängen.
Auch Entertain und Securepoint hinter der Fritzbox vertragen sich ohne zu zicken.

Beim Speedlink von Zyxel bin ich persönlich weniger begeistert. DMZ gibs nicht. Dort muss man einfach alle Ports dann durchrouten - was nicht dasselbe ist. Man kann auch nicht den ganzen Portbereich nehmen, sondern es gibt reservierte Bereiche im Gerät die man aussparen muss. Es sind also dann immer mehrere Regeln, die man dafür anlegen muss. Auch ansonsten mag ich das Gerät nicht. Als SIP-Gateway schon probleme mit BusyOnBusy gehabt, handling meines Erachtens nicht ausgereift. Und der Speedport ist ein völliger Schuss ins Knie. Manch einer mag auf die Geräte schwören, ich mag sie nicht, weil ich eine Lösung kenne, die IMHO viel einfacher, benutzerfreundlicher und störungssicherer ist.

Ich hoffe ich konnte Dir ein wenig mit meiner persönlichen Einschätzung helfen.
Wie macht ihr das denn bisher?

Grüße
Rolf

nraeth
Beiträge: 32
Registriert: Fr 03.07.2015, 16:20

Beitrag von nraeth »

Langfristig kommt das ja auf uns alle zu.
Wir haben eine Unify X8, die soll natürlich dann direkt SIP aufbauen. Die kann direkt PPPoE oder in der DMZ oder normal im internen Netz.
Bin mir da auch noch etwas unschlüssig, vor allem was Verfügbarkeit angeht bei Neustart der Appliance etc.
Aber vermutlich ist sie in der DMZ hinter der SP am besten aufgehoben. Oder ich besorge ne zweite Leitung mit vernünftigem Router nur dafür, und konfiguriere die nebenbei noch als Failover an der Securepoint, hätte auch seinen Reiz.
IP-TK direkt hinter DSL-Modem finde ich glaube ich trotz integrierter Firewall nicht so prickelnd.

Antworten