Seite 1 von 1

SP-UTM vor oder hinter Fritz Box?

Verfasst: Di 11.05.2021, 20:07
von Blecheimer
Hallo zusammen,

ich bin neu hier im Forum, beschäftige mich aber beruflich häufig mit den Securepoint-UTMs meiner Kunden.

Heute habe ich allerdings ein paar Fragen zu meiner eigenen Umgebung.

Ist-Zustand:

Internet-Zugang über die Telekom (Glasfaseranschluss mit fester IP), Router ist eine Fritz Box 7590. Dahinter eine AD-Domäne auf Hyper-V-Basis inkl. Exchange-Server.

Die Fritz Box macht Telefonie und WLAN-Mesh mit mehreren Repeatern über zwei Gebäude verteilt.

Ich habe mir jetzt eine Black Dwarf gekauft.

Ich habe hier schon viel über "Securepoint hinter Fritz Box" gelesen, vermute aber, dass bei meiner Konstellation eher "Fritz Box hinter Securepoint (Fritz Box macht dann nur noch "WLAN-Controller und ggfs. Telefonie.)

Da ich für den Glasfaseranschluss sowieso ein extra Modem habe, kann die Einwahl ins Internet ja auch über die Securepoint erfolgen oder?

Was mir noch wichtig ist: Der Exchange-Server soll, sobald die Black Dwarf im Einsatz ist, hinter den Reverse-Proxy. Über den Reverse-Proxy soll später noch ein RDS-Gateway über 443 erreichbar sein. Wildcard-Zertifikat ist vorhanden.

Ach so: Die Black Dwarf muss dann auch sowohl s2s- als auch RW-VPN machen können.

Meine konkreten Fragen:

Was macht mehr Sinn? Securepoint oder Fritz Box "vorne"?

Was gibt es im Hinblick auf meine Anforderungen ggfs. noch zu beachten?

Vielen Dank schonmal für jeden Tipp.


Viele Grüße. :)

Re: SP-UTM vor oder hinter Fritz Box?

Verfasst: Mi 12.05.2021, 07:44
von Bjoern
Hallo,

es macht immer Sinn die UTM davor zu haben. Was nicht gehen wird ist RDS über den Reverse Proxy.

Gruß Björn

Re: SP-UTM vor oder hinter Fritz Box?

Verfasst: Mi 12.05.2021, 09:00
von Blecheimer
Hallo Bjoern,

vielen Dank für die Antwort.

Das bedeutet, die Fritz Box ist dann "nur" noch ein Client mit ner IP, der dann in der Securepoint einfach als Netzwerkobject gemanaget wird? Wenn die weiterhin Telefonie machen soll, war doch irgendwas mit RTP-Ports freigeben, oder?

Gibt es bzgl. des RDS-Gateways einen Workaround? (Z.B., dass das RDS-Gateway nicht 443 verwendet? Muss ich recherchieren, ich weiß nicht, ob das von Microsoft vorgesehen ist.)

Nur interessehalber: Warum funktioniert das nicht?


Viele Grüße

Re: SP-UTM vor oder hinter Fritz Box?

Verfasst: Mi 12.05.2021, 11:15
von Mario
Das haengt von der Situation ab. Normalerweise sollte die fritzbox auch hinter der Securepoint keine groeßeren Schwierigkeiten haben, als Telefonanlage zu fungieren. Falls hier Probleme auftreten kann die Fritzbox natuerlich auch vor der Firewall stehen und die Telefonie fuer Geraete hinter der Securepoient UTM folgendermaßen geloest werden:


- Der Router (z. B. Fritzbox) benötigt eine Route für die zu erreichenden Netzwerke hinter der Firewall

(Zielnetz= Netze hinter der Securepoint| Gateway: Externe IP der Securepoint UTM im Netz der Fritzbox)

- Für die fritzbox wird ein Netzwerkobjekt im Portfilter angelegt
- Eine Regelgruppe wird erstellt, die möglichst oben im Regelwerk angelegt wird. Wenn vorhanden, automatisch generierte Regeln in einer anderen Gruppe nachbauen und diese dann deaktivieren


Beispiel für Portfilterregel
1
Internal-Network > Fritzbox | Dienst: ANY | HIDENAT-EXCLUDE External-Interface
2
Fritzbox > Internal-Network | Dienst: ANY

Re: SP-UTM vor oder hinter Fritz Box?

Verfasst: Mi 19.05.2021, 18:55
von Blecheimer
Ich wollte nur nochmal kurz berichten, dass alles wunderbar funktioniert hat.

Die Black Dwarf ist nun direkt am Glasfasermodem angeschlossen, die Telefonie funktioniert auch. Allerdings habe ich das VOIP-Telefon nun direkt SIP-registriert und die Fritz Box erstmal rausgenommen. Die möchte ich nochmal sauber reseten, als IP-Client konfigurieren und als "WLAN-Controller" für die drei WLAN-APs verwenden.

Vielen Dank nochmal. :)