Hallo,
ich habe einen Internet-Zugang über einen (Richt-) Funkempfänger, der auf die Adresse 192.168.100.1 konfiguriert ist.
Danach ist dann die Securenet Firewall konfiguriert, mit ETH0 auf 192.168.100.2
Das interne Netz an ETH1 ist dann mit 192.168.168.x konfiguriert - mit einer FritzBox auf Adresse 192.168.168.100.
Jetzt hat mir mein Provider mitgeteilt, dass die FritzBox für den Funkempänger umbedingt mit
192.168.100.100 konfiguriert sein muss, damit VoIP einwandfrei funktioniert.
Kann ich nun eine 'feste' address translation einrichten, so dass die FritzBox nach der Firewall für den Funkempänger
immer auch unter 192.168.100.100 erreichbar ist und falls ja, wie?
(sie sollte also 'virtuell' unter dieser Adresse vor der Firewall angeschlossen sein...)
Die Ports, die die FritzBox für die Kommunikation benötigt, sind mir bekannt und auch schon freigeschaltet (VoIP, ...)-
d.h. in eine Richtung funktioniert die Kommunikation auch schon.
Danke im Voraus!
Claus
'fixe' NAT für Fritz!Box
Moderator: Securepoint
Hallo,
ja an sich ist es möglich. Sie müssten die 192.168.100.100 mit auf die eth0 legen. Dann ein Netzwerkobjekt machen wobei Sie sich auf diese IP beziehen. Regel anlegen das die TK Anlage hinter der 192.168.100.100 genattet wird und die NAT Regel internal-network => Internet dahinter schieben. Portweiterleitungen wären dann auch über die .100 möglich. Ich glaube aber eher das der Anbieter sagt weil wir Paketfilter in der Securepoint haben. Sie können die TK-Anlage mit stateless ins Internet lassen. Des weiteren kann es helfen die SIP/ALG Module zu entladen:
Führen Sie bitte folgenden Befehle als Admin auf dem CLI aus:
debug kmod unload module nf_nat_sip
debug kmod unload module nf_nat_h323
debug kmod unload module nf_conntrack_sip
debug kmod unload module nf_conntrack_h323
Gruß Björn
ja an sich ist es möglich. Sie müssten die 192.168.100.100 mit auf die eth0 legen. Dann ein Netzwerkobjekt machen wobei Sie sich auf diese IP beziehen. Regel anlegen das die TK Anlage hinter der 192.168.100.100 genattet wird und die NAT Regel internal-network => Internet dahinter schieben. Portweiterleitungen wären dann auch über die .100 möglich. Ich glaube aber eher das der Anbieter sagt weil wir Paketfilter in der Securepoint haben. Sie können die TK-Anlage mit stateless ins Internet lassen. Des weiteren kann es helfen die SIP/ALG Module zu entladen:
Führen Sie bitte folgenden Befehle als Admin auf dem CLI aus:
debug kmod unload module nf_nat_sip
debug kmod unload module nf_nat_h323
debug kmod unload module nf_conntrack_sip
debug kmod unload module nf_conntrack_h323
Gruß Björn
Hallo Björn,
ich habe noch eine Frage zur Konfiguration bzw. den Einstellungen.
- die 192.168.100.100 mit auf die eth0 legen...
Das wäre im Punkt Netzwerkschnittstellen zu tun, d.h. wennn die Adresse bereits im eth0-Bereich enthalten ist (von...bis),
wäre diese Bedingung schon erfüllt, richtig?
- Netzwerkobjekt erstellen, das sich auf diese IP-Adresse bezieht...
Das wäre über .. Portfilter-> Netwerkobjekte - in meinem Fall wird dann die Adresse gleich als 'external' Zone erkannt, richtig?
- Regel anlegen, dass die TK Anlage hinter der 192.168.100.100 genanntet wird:
Das wäre dann z.B.
Regel 1:
Internet -> TK -> voip
mit NAT DESTNAT external-interface Dienst voip
Regel 2:
internal-network -> internet -> voip
mit HIDENAT -> external-interface
und evtl. noch stateless (für beide rules?)
Die eine Richtung (TK->internet) funktioniert, die andere Richtung noch nicht (ich habe statt 'voip' auch kurz 'any' probiert)
Mache ich noch einen Konfig-/ Denkfehler beim Traffic Internet -> TK?
Danke und viele Grüsse,
Claus
P.S.: Die Debug-Befehle habe ich ausgeführt; die sind doch dann permanent, auch nach einem reboot?!
ich habe noch eine Frage zur Konfiguration bzw. den Einstellungen.
- die 192.168.100.100 mit auf die eth0 legen...
Das wäre im Punkt Netzwerkschnittstellen zu tun, d.h. wennn die Adresse bereits im eth0-Bereich enthalten ist (von...bis),
wäre diese Bedingung schon erfüllt, richtig?
- Netzwerkobjekt erstellen, das sich auf diese IP-Adresse bezieht...
Das wäre über .. Portfilter-> Netwerkobjekte - in meinem Fall wird dann die Adresse gleich als 'external' Zone erkannt, richtig?
- Regel anlegen, dass die TK Anlage hinter der 192.168.100.100 genanntet wird:
Das wäre dann z.B.
Regel 1:
Internet -> TK -> voip
mit NAT DESTNAT external-interface Dienst voip
Regel 2:
internal-network -> internet -> voip
mit HIDENAT -> external-interface
und evtl. noch stateless (für beide rules?)
Die eine Richtung (TK->internet) funktioniert, die andere Richtung noch nicht (ich habe statt 'voip' auch kurz 'any' probiert)
Mache ich noch einen Konfig-/ Denkfehler beim Traffic Internet -> TK?
Danke und viele Grüsse,
Claus
P.S.: Die Debug-Befehle habe ich ausgeführt; die sind doch dann permanent, auch nach einem reboot?!
Hallo Claus,
Bei den Regeln beziehen Sie sich auf das neu angelegte Netzwerkobjekt mit der IP 192.168.100.100.
Denken Sie bitte daran das das Gerät vor der Securepoint auch die Ports an die 192.168.100.100 weiterleitet.
Ja die Module bleiben auch nach einem reboot aus.
Gruß Björn
das ist richtig- die 192.168.100.100 mit auf die eth0 legen...
Das wäre im Punkt Netzwerkschnittstellen zu tun, d.h. wennn die Adresse bereits im eth0-Bereich enthalten ist (von...bis),
wäre diese Bedingung schon erfüllt, richtig?
das ist richtig.- Netzwerkobjekt erstellen, das sich auf diese IP-Adresse bezieht...
Das wäre über .. Portfilter-> Netwerkobjekte - in meinem Fall wird dann die Adresse gleich als 'external' Zone erkannt, richtig?
Bei den Regeln beziehen Sie sich auf das neu angelegte Netzwerkobjekt mit der IP 192.168.100.100.
Denken Sie bitte daran das das Gerät vor der Securepoint auch die Ports an die 192.168.100.100 weiterleitet.
Ja die Module bleiben auch nach einem reboot aus.
Gruß Björn