Hallo liebe SecurePoint Kollegen,
wir ärgern uns gerade mit einer Placetel Installation von einem unserer Kunden rum und hoffen, dass uns jemand von euch einen Rat hat, denn wir kommen nicht wirklich weiter.
Das Problem: Placetel aka Webex hat einen Firewall Leitfaden (h**ps://help.webex.c*m/en-us/article/b2exve/Port-Reference-Information-for-Webex-Calling), welcher ganz viele freizugebende URLs auflistet, alle allerdings mit Wildcard. Nach meinem Kenntnisstand kann eine SecurePoint UTM zwar Hostnamen als Netzwerkobjekte, aber eben nur absolute Adressen, keine Wildcards. Es werden zwar auch diverse IP-Netzwerke aufgelistet, diese freizugeben scheint aber nicht zu reichen.
Bei den Ports ist Placetel auch ziemlich großzügig und möchte, dass man den gesamten Portbereich von 19560-65535 freigeben soll.
Da der Kunde Handys und Tablets zum telefonieren mit Placetel benutzt und keine Telefonapparate, ist eine Netzwerkgruppe mit Any-Regel ins Internet auch nicht gerade prickelnd.
Hat von euch schon mal jemand erfolgreich Placetel in Verbindung mit SecurePoint eingerichtet und was war/ist euer Vorgehen hier? Wie würdet ihr das ganze umsetzen, um möglichst wenig in der FW öffnen zu müssen?
Vielen Dank
LG
Dominic
Placetel "sicher" freigeben
Moderator: Securepoint
Placetel "sicher" freigeben
hcsystem
Moin,
ja das habe ich.
Es waren zwar nur IP Telefone, doch vom Prinzip ist es ja nichts anderes.
Auf alle Fälle empfehle ich ein separates Netzwerk.
Da die gewünschten Ports freigeben und eine HTTP-Proxy Ausnahme hinzufügen.
Ich habe aber auch probiert gehabt das mit im internen Netz laufen zu lassen, alle Geräte mit der Mac Adresse zu erfassen und diese festgelegten IP´s dann in eine Netzwerkgruppe zu packen.
Aber das war eher schlecht als recht. Auch nach Anleitung eingerichtet, das was im SP Wiki zu VoIP steht.
Ich hatte mir aber auch damals die Mühe gemacht und all die von placetel gewünschten IP Adressbereiche in eine Gruppe zu packen um sie dann im HTTP-Proxy in eine Exclude Regel zu packen.
Also "IP Telefone" an "externe Placetel Netze" exclude http und https.
Ansonsten waren die Probleme bei Placetel von der Art das die erste Sekunde immer verschluckt wurde oder Anrufe vorzeitig beendet wurden.
ja das habe ich.
Es waren zwar nur IP Telefone, doch vom Prinzip ist es ja nichts anderes.
Auf alle Fälle empfehle ich ein separates Netzwerk.
Da die gewünschten Ports freigeben und eine HTTP-Proxy Ausnahme hinzufügen.
Ich habe aber auch probiert gehabt das mit im internen Netz laufen zu lassen, alle Geräte mit der Mac Adresse zu erfassen und diese festgelegten IP´s dann in eine Netzwerkgruppe zu packen.
Aber das war eher schlecht als recht. Auch nach Anleitung eingerichtet, das was im SP Wiki zu VoIP steht.
Ich hatte mir aber auch damals die Mühe gemacht und all die von placetel gewünschten IP Adressbereiche in eine Gruppe zu packen um sie dann im HTTP-Proxy in eine Exclude Regel zu packen.
Also "IP Telefone" an "externe Placetel Netze" exclude http und https.
Ansonsten waren die Probleme bei Placetel von der Art das die erste Sekunde immer verschluckt wurde oder Anrufe vorzeitig beendet wurden.
-
- Beiträge: 5
- Registriert: Do 30.03.2023, 14:47
Hi,
wir nutzen Placetel Profi bei unseren Kunden. Folgendes Konstrukt nutzen wir:
- Telefone per DHCP statisch in ein Subnetz packen
- Die ganzen Dienste anlegen
- Dienstgruppe anlegen
- Subnetz für die Telefone anlegen (Netzwerkobjekt)
Dann eine Regel, die das Telefonsubnetz auf die Dienstgruppe zulässt. Da die Telefone HTTP(s) nutzen, auch die Gruppe vom transparenten Proxy ausschließen.
Auf die ganzen IPs + Hostnamen zu filtern habe ich früh aufgegeben. Sehe ich als Kampf gegen Windmühlen.
Wenn du mit Handys + APP arbeitest musst du denen manuell oder per MDM die zufälligen MAC-Adressen abgewöhnen. Da bei Placetel Profi auch HTTP(s) freigegeben werden muss würde ich das mit Handys im internen Netz nicht machen.
Alle Geräte werden brav gefiltert, und bei Smartphones reißt man die Tore auf... da sehe ich als sichere Lösung nur ein eigenes Netz (Mitarbeiter WLAN), in dem die Geräte dann die Freiheit bekommen, ohne das interne Netz zu gefährden.
VG
Stefan
wir nutzen Placetel Profi bei unseren Kunden. Folgendes Konstrukt nutzen wir:
- Telefone per DHCP statisch in ein Subnetz packen
- Die ganzen Dienste anlegen
- Dienstgruppe anlegen
- Subnetz für die Telefone anlegen (Netzwerkobjekt)
Dann eine Regel, die das Telefonsubnetz auf die Dienstgruppe zulässt. Da die Telefone HTTP(s) nutzen, auch die Gruppe vom transparenten Proxy ausschließen.
Auf die ganzen IPs + Hostnamen zu filtern habe ich früh aufgegeben. Sehe ich als Kampf gegen Windmühlen.
Wenn du mit Handys + APP arbeitest musst du denen manuell oder per MDM die zufälligen MAC-Adressen abgewöhnen. Da bei Placetel Profi auch HTTP(s) freigegeben werden muss würde ich das mit Handys im internen Netz nicht machen.
Alle Geräte werden brav gefiltert, und bei Smartphones reißt man die Tore auf... da sehe ich als sichere Lösung nur ein eigenes Netz (Mitarbeiter WLAN), in dem die Geräte dann die Freiheit bekommen, ohne das interne Netz zu gefährden.
VG
Stefan