macomar
Goto Top

Anbindung Telekom Cloud PBX mit Sophos SG330

Hallo an alle,

wir beabsichtigen mit unserer alten Siemens Telefonanlage auf Telekom Cloud PBX umzusteigen. Da wir eine Verwaltung sind, müssen wir dies über einen dedizierten Internetanschluss realisieren, der von Telekom gleich mit angeboten wird - VDSL 100 für ca. 120 User.

Wir haben bereits ein VOIP VLAN für Telefonie auf den Switchen konfiguriert. Wir routen unser Netzwerk mit unserem HP Level3 Core-Switch via Inter-VLAN-Routing. Ich gehe mal davon aus, dass es mit den Tischgeräten kein Problem sein wird, die Gespräche über den separaten Anschluss in das VOIP VLAN zu leiten.

NFON hat in seinem Gegenangebot vorgeschlagen den dedizierten Internetanschluss an unseren bestehenden Sophos Firewall Cluster zu klemmen. Diese erkennt anhand des Zieles (IP Range der NFON SIP Server), dass es sich um VOIP Traffic handelt und leitet diesen über den eigens dafür geplanten Anschluss raus.

Telekom hat in ihrem Cloud PBX Angebot einen Lancom Router 883 mit aufgeführt. Bis jetzt haben wir an unserer Sophos ein Draytek Vigor 165 Modem im Einsatz (SVDSL 250). Benötigt Telekom unbedingt diesen Lancom Router für die PBX Funktion und wie verarbeitet man dies mit der Sophos ? Eine weitere Frage wäre noch wie das mit dem Desktop Client (Softphone) gelöst werden soll, der ja auf dem PC/Laptop installiert ist und im PC VLAN hängt.

Außerdem wurde mir vom Telekom die Funktion „lokale Medienströme“ erklärt, mit der die interne Telefonie (2 Teilnehmer) innerhalb des LAN bleibt und nicht über das Internet geroutet wird.

Zitat:

"...Lokale Medienströme
Werden firmeninterne Telefongespräche geführt, so bleiben die Medienströme, also die RTP Pakete mit den Sprachnachrichten unter bestimmten Voraussetzungen im LAN und werden nicht über den Internetzugang zur Plattform und zurückgeschickt. Dies gilt nur bei Gesprächen zwischen zwei Teilnehmern. Dreierkonferenzen oder größere Gesprächsrunden erfordern immer eine Führung der RTP Pakete zur Cloud PBX Plattform im Netz der Telekom, um hier die einzelnen Sprachkanäle zu mischen.
Damit RTP Ströme lokal im LAN geroutet werden, müssen:

Alle Endgeräte und VoIP Clients über die selbe öffentliche IP Adresse mit der CPBX Plattform (dem Outbound Proxy) kommunizieren.
die SIP Nachrichten (genauer die SDP Informationen) die lokalen IP Adressen der Clients enthalten. Dies ist der Normalfall, solange z.B. keine Firewall in den SIP Verkehr eingreift.
Damit die Endgeräte auch tatsächlich untereinander RTP Pakete austauschen können, müssen die für RTP Pakete im Kapitel „Systemvoraussetzungen Firewall“ beschriebenen Verbindungen innerhalb des lokalen Netzwerkes erlaubt sein..."

Gibt es hier Kolleginnen/en, die das schon (ähnlich) realisiert haben ? Ich weiß nicht, wie man das miteinander verkettet bzw. man die Sophos konfiguriert. Im Internet liest man, man soll die VOIP Funktion der Sophos benutzen, die anderen sagen bei Telekom soll man das explizit ausschalten.

Für Hilfe wäre ich sehr dankbar.

Vielen Dank und Grüße
Macomar

Content-Key: 443408

Url: https://administrator.de/contentid/443408

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: aqui
aqui 21.04.2019 aktualisiert um 12:43:30 Uhr
Goto Top
Ich gehe mal davon aus, dass es mit den Tischgeräten kein Problem sein wird, die Gespräche über den separaten Anschluss in das VOIP VLAN zu leiten.
Richtig, das ist ein Kinderspiel bzw. simples IP Routing was ja eh schon passiert. Die Zuordnung der Voice Endgeräte in Voice VLAN macht man in der Regel per LLDP.
Ganz wichtig ist noch die Priorisierung des Voice Traffics am Router oder Firewall sowie internen Switches. Der Traffic sollte immer Vorrang vor Datentraffic haben. OK, simple Binsenweisheit bei Voice.
Hier muss man dann die Endgeräte entsprechend cistomizen je nachdem ob man eine L2 Priorisierung mit 802.1p oder L3 Priorisierung mit DSCP macht. Siehe auch hier:
Kaufberatung - Switches mit VoIP-Priorisierung
dass es sich um VOIP Traffic handelt und leitet diesen über den eigens dafür geplanten Anschluss raus.
Ist auch richtig, ist simplestes Policy Based Routing (PBR). Grundlagen dazu auch hier:
Cisco Router 2 Gateways für verschiedene Clients
Ich weiß nicht, wie man das miteinander verkettet bzw. man die Sophos konfiguriert.
Sieh dir das Cisco Beispiel oben aus dem Thread an, das ist vollkommen identisch bei der Sophos. Das handbuch ist hier dein Freund, Kapitel PBR. Das ist mit ein paar Mausklicks erledigt.
Dir eine grundlegende Sophos Schulung hier via Forum zu geben würde ganz sicher den Rahmen dieses Forums sprengen.
Nochwas nebenbei OT...
Als Behörde solltet ihr nie vergessen das Outsourcing der VoIP Anlage in die "Cloud" immer ein Geschmäckle hat. Alle Gespäche, dazu gehören auch vertrauliche Gespäche, sowie alle Verbindungsdaten landen dann bei Fremden und in fremden Händen. Was auch immer diese dann mit diesen Daten machen ?! Hier sollte man gerade als öffentliche Einrichtiung genau klären ob sowas DSGVO verträglich ist.
Mitglied: Vision2015
Vision2015 21.04.2019 um 12:48:32 Uhr
Goto Top
Moin..
wir beabsichtigen mit unserer alten Siemens Telefonanlage auf Telekom Cloud PBX umzusteigen
das ist die schlechteste lösung, da kann ich aus erfahrung nur abraten!
etliche kunden haben nur probleme... und die Telekom keine lösung!

Telekom hat in ihrem Cloud PBX Angebot einen Lancom Router 883 mit aufgeführt.
der ist ja nicht der schlechteste....
Benötigt Telekom unbedingt diesen Lancom Router für die PBX Funktion und wie verarbeitet man dies mit der Sophos ?
ja, ohne geht es nicht! von dort aus wird ein VPN in die Cloud PBX erstellt, und nur das wird auch von der Telekom supportet!
und das ist schon nicht einfach....
ich würde den Lancom als Gateway für die Telefonie in netz und und die Sophos stellen...
Eine weitere Frage wäre noch wie das mit dem Desktop Client (Softphone) gelöst werden soll, der ja auf dem PC/Laptop installiert ist und im PC VLAN hängt.
die software ist echt gruselig...einfach eine route zur PBX erstellen, natürlich muss der der PC im Vlan sein!

die Admin Software ist auch das Letzte.... ach ja.. erstell als erstes ein Pin liste für die mitarbeiter... es kommt morgens öfter mal vor, das auf dem Tel. lapidar steht. PIN!

es ist auch nix neues, wenn die anlage zu geschäftzeiten gewartet wird.... mal eben... dazu bekommst du aber natürlich keine Info!
wenn du noch Telefone brauchst, kannst du dich gerne melden- ein Kunde möchte eine größere anzahl verkaufen! (3 monate alt) er hat jetzt eine 3CX... die läuft wenigstens, und kann mehr (wenn internet vorhanden) .

Frank
Mitglied: falscher-sperrstatus
falscher-sperrstatus 21.04.2019 aktualisiert um 13:13:35 Uhr
Goto Top
Moin,

Als Behörde solltet ihr nie vergessen das Outsourcing der VoIP Anlage in die "Cloud" immer ein Geschmäckle hat. Alle Gespäche, dazu gehören
auch vertrauliche Gespäche, sowie alle Verbindungsdaten landen dann bei Fremden und in fremden Händen. Was auch immer diese dann mit
diesen Daten machen ?! Hier sollte man gerade als öffentliche Einrichtiung genau klären ob sowas DSGVO verträglich ist.

hier bin ich komplett bei @aqui.

Ansonsten ist die Umsetzung, auch in einer Sophos, relativ fix erledigt. Auf die SIP/VoIP Funktion der Sophos setze ich allerdings nicht, da diese nach der Erfahrung nicht unbedingt zuverlässig ist. Ansonsten ist die TK Anbindung per Sophos allerdings kein Problem. Wenn du möchtest und noch Unklarheiten in Planung und Umsetzung vorhanden sind, schreib mir gerne eine PN/Mail - Bei Bedarf lässt sich auch gerne über das Thema Datenschutz und ggf. lokale Alternative zur CloudPBX reden, ebenfalls geht meine Empfehlung hin zur 3cx.

@Frank - da deine Nachricht erst dazwischen kam, wo siehst du die Sache mit dem Funktionsverlust ohne Internet (gut, das ist essentiell, ohne geht kein VoIP mehr und ISDN geht's an den Kragen). Aber ich sehe DS-technisch keinen Vorteil in gehosteten 3cx ;)

@macomar
Werden firmeninterne Telefongespräche geführt, so bleiben die Medienströme, also die RTP Pakete mit den Sprachnachrichten unter bestimmten
Voraussetzungen im LAN und werden nicht über den Internetzugang zur Plattform und zurückgeschickt. Dies gilt nur bei Gesprächen zwischen
zwei Teilnehmern. Dreierkonferenzen oder größere Gesprächsrunden erfordern immer eine Führung der RTP Pakete zur Cloud PBX Plattform im
Netz der Telekom, um hier die einzelnen Sprachkanäle zu mischen.

Unter dem Aspekt, was sprach denn gegen eine lokale TK-Anlage (in Software)?

Viele Grüße,

Christian
Mitglied: shadynet
shadynet 21.04.2019 um 14:22:50 Uhr
Goto Top
Zitat von @Vision2015:
Telekom hat in ihrem Cloud PBX Angebot einen Lancom Router 883 mit aufgeführt.
der ist ja nicht der schlechteste....
Benötigt Telekom unbedingt diesen Lancom Router für die PBX Funktion und wie verarbeitet man dies mit der Sophos ?
ja, ohne geht es nicht! von dort aus wird ein VPN in die Cloud PBX erstellt, und nur das wird auch von der Telekom supportet!
und das ist schon nicht einfach....
die software ist echt gruselig...einfach eine route zur PBX erstellen, natürlich muss der der PC im Vlan sein!

die Admin Software ist auch das Letzte.... ach ja.. erstell als erstes ein Pin liste für die mitarbeiter... es kommt morgens öfter mal vor, das auf dem Tel. lapidar steht. PIN!


Moin Frank,

die CloudPBX ist keine Netphone Cloud. Du verwechselst da was. Das eine ist Broadsoft und läuft einfach so ohne VPN, das andere ist Swyx und braucht ein VPN zur Itenos. Hier gehts um die Broadsoft-Lösung.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 21.04.2019 aktualisiert um 14:43:47 Uhr
Goto Top
Zitat von @shadynet:


die CloudPBX ist keine Netphone Cloud. Du verwechselst da was. Das eine ist Broadsoft und läuft einfach so ohne VPN, das andere ist Swyx und braucht ein VPN zur Itenos. Hier gehts um die Broadsoft-Lösung.

Mit dem Rest hat er dennoch Recht, die (Telekom) GUI ist für....

(einen Extra Router braucht er aber nicht)
Mitglied: macomar
macomar 21.04.2019 aktualisiert um 14:59:34 Uhr
Goto Top
Hallo die Runde,

vielen Dank für die vielen Meldungen am Feiertag, sehr nett von euch.

DSGVO-Technisch wird dies mit dem Ministerium abgeklärt. Es gibt soweit Infos, das es sich einen reinen deutschen Anbieter handeln sollte. Es sind schon mehrere Verwaltungen in der Umgebung die in die Cloud gewandert sind. Teilweise zu anderen Anbietern, aber auch zu Telekom. Es findet hierzu gerade die Findung einer kooperativen Gemeinschaft statt.

Die meisten stecken vor dem gleichen Dilemma wie wir und wissen nicht was sie machen sollen -> Anlage alt, voll, ausgelastet, nicht mehr erweiterbar, das gleiche für die Endgeräte, PMX Anschluss wird Ende des Jahres abgeschaltet, alles vergrößert sich, ständige Mitarbeiterfluktuation, Home Office, etc. -> es muss was flexibles her. Die meisten Verwaltungen haben nur eine Stelle für einen Admin, der/die sich um alles kümmern muss. Da wäre das Auslagern der Telefonanlage schon ein Gewinn und man hat Zeit für anderes.

@aqui
Lieben Dank für die Hinweise, das Cisco Beispiel werde ich mir mal anschauen.

@Frank
Auch hier danke für die Infos. Wir nutzen seit ca. 6 Monaten eine Aussenstelle als Versuch mit Cloud PBX, diese ist sehr zufrieden. Auch von der Nachbarverwaltung habe ich bis jetzt nur gute Erfahrungen gehört.

Bezüglich des Lancom Routers. Verstehe ich das richtig, dass dieser vor die Sophos gehängt wird ? Fungiert dieser dann als reines Modem - wie bei unserem Draytek - oder übernimmt dieser die Internet Einwahl etc. und die Sophos wird nur via Transfer-Netz davor gehängt ?

Wegen dem Desktop Client, wo soll die Route denn gesetzt werden ? Ich dachte mir das so, dass die PCs das VOIP VLAN als getaggtes VLAN zusätzlich zu ihrem LAN VLAN welches untagged ist zugewiesen bekommen.

@Christian
Auch hier lieben Dank für die Infos. Wenn man die SIP/VOIP Funktion der Sophos nicht nutzt wird dass dann alles über das Firewall Regelwerk abgebildet ? Muss ja dann riesig sein, bei all den Ports die man da in Betracht ziehen muss.

Wir haben uns etliche Angebote kommen lassen. Mit interner TK Anlage, Aufrüsten der alten Siemens, Kauf, Miete etc. alles endet im Schnitt beim gleichen Preis und relativ unflexibel in der Lizenzierung (Starface, Unify, Placetel, NFON). Bei Telekom spricht uns die Flexibilität an, da wir auf die User bezogen Pakete mit monatlicher Kündigung buchen und auch alle Außenstellen in den Vertrag mit reinholen können, welche aber über ihre eigene Leitung vor Ort dann telefonieren und die Red-Tunnel nicht damit belasten.

Zudem möchten wir keine TK Anlage mehr im Haus haben die Aufwand für Pflege und Wartung benötigt. Dies soll vom Lieferanten erfolgen. Die Cloud Anlage wird ja vom Provider ständig gewartet, was im Monatspreis inklusive ist und kein zusätzlicher Wartungsvertrag nötig.

Was wäre denn dieses 3CX ? Habe ich schon öfters von gehört jetzt.

Danke und Grüße
Marc
Mitglied: falscher-sperrstatus
falscher-sperrstatus 21.04.2019 aktualisiert um 16:25:03 Uhr
Goto Top
Hallo Marc,

bei der 3cx erfolgt die Lizenzierung auf gleichzeitigen Gesprächen. Nicht auf Usern oder Nebenstellen o ä halte das auch wesentlich entspannter als bei anderen. Bisher hat man da mit etwas vor Gedanken genug Puffer um nie in eine Lizenz Problematik zu kommen.

Es sind eine Hand voll Regeln, aber bei effektiver Nutzung, kommt man um die sowieso nie herum. Ausser man macht natürlich ein any-any. Aber dann kann man die sophos auch direkt durch eine Fritzbox ersetzen.

Nur weil die tk Anlage intern steht, muss die Wartung nicht intern erfolgen. Wir leisten dies u.a für unsere Kunden. Was hältst du davon, wenn wir nächste Woche telefonieren?

Grüße und schöne Ostern
Mitglied: macomar
macomar 05.05.2019 um 11:51:32 Uhr
Goto Top
Hallo an alle,

es gibt Neuigkeiten, da wir ein Beratungsgespräch vor Ort mit der Telekom geführt haben. In meinem Eintrag geht es um die Nutzung Lancom Router bzw. Alternativgerät an der Telekom Cloud PBX.

Wie bereits erwähnt setzen wir an unserer Internet&Surf SVDSL Leitung über den Sophos Cluster ein Draytek Vigor 165 ein, welches im Modem Betrieb läuft und Sophos die PPPOE Einwahl macht.

Im Beratungsgespräch wurde uns gesagt, dass bei Einsatz von nicht unterstützter Hardware (Draytek) erstmal kein Support geleistet wird. Dies wäre nur gewährleistet, wenn die Cloud PBX in Verbindung mit einem Lancom Router der Telekom betrieben würde. Ansonsten kämen die üblichen "Standard Ausreden", dass der Fehler erst einmal auf unserer Seite liegen würde.

Was ist bei dem Einsatz des Lancom Gerätes anders bzw. so besonders, als wenn wir dies mit dem Draytek Gerät umsetzen? Schließlich wird schlicht und einfach nur eine Einwahl ins Internet durchgeführt.

Der Einsatz des Sophos Firewall Clusters ist unabdingbar, da dies von der IT-Security zwingend vorgegeben ist. Gibt es wie bei den Digiboxen von Telekom an dem Lancom Gerät die Möglichkeit die Sophos als „Exposed Host“ einzutragen ?

Danke und viele Grüße
Marc
Mitglied: shadynet
shadynet 05.05.2019 um 12:40:06 Uhr
Goto Top
Du kannst den Lancom auch als Modem nutzen, geht alles wenn man will.
Lass dich von der Aussage aber nicht verwirren, die ist mir diesbezüglich vollkommen neu, dass kein Support geleistet wird bei Fremdroutern... Habe einige Kunden, die das Ding auch an Fremdprovidern nutzen und Support bekommen. Klar, nur soweit bis sich herausstellt, dass es wirklich mit dem Anschluss zusammen hängt, aber wenns heißt "es geht nix, ich bin bei ewe oder wo anders und mein Internet läuft" sagte bisher keiner "frag mal deinen Provider
Mitglied: Vision2015
Vision2015 05.05.2019 um 14:23:32 Uhr
Goto Top
moin....
Was ist bei dem Einsatz des Lancom Gerätes anders bzw. so besonders, als wenn wir dies mit dem Draytek Gerät umsetzen? Schließlich wird schlicht und einfach nur eine Einwahl ins Internet durchgeführt.

eigentlich nix, bis auf das die Supporter der Telekom nur ein Lancom Team haben...
mit dem Vigor und Sophos Cluster können die nix anfangen!

Frank