2
VPN-Kopplung für VOIP
Hallo allerseits,
durch die Umstellung der Telekom auf ALL-IP-Anschlüsse muss ich mir etwas einfallen lassen, um nicht Tür und Tor ins Netz zu öffnen.
Die IST-Situation ist folgende:
- Haupt-Stelle mit eigener Telefonanlage
- Zweigstelle mit eigener Telefonanlage
- Beide Anlagen sind über die VPN-Site-to-Site Kopplung der Netzwerke miteinander verbunden.
Das ist derzeit auch unproblematisch, da wir extern noch über ISDN telefonieren und ich keine Ports für SIP und RTP nach außen geöffnet habe.
Doch durch die Umstellung muss ich diese Ports nach außen öffnen. Dadurch ergibt sich das Problem, dass ich einen fliegenden Durchgang durch das gesamte Netz hätte.
Daher möchte ich die beiden Telefonanlagen über einen separaten VPN-Tunnel miteinander verbinden.
Meine Frage ist daher, ob es eine Möglichkeit gibt innerhalb eines bestehenden VPN-Tunnels einen weiteren Tunnel aufzubauen, um die beiden VLAN-Netze in denen die Telefonanlagen sind, zu verbinden.
Durch diese Maßnahme kann ich die Kommunikation zwischen den lokalen Netzen und den Telefonanlagen auf den CTI-Port begrenzen und die Anlagen haben ungehinderte Kommunikation untereinander und nach außen.
Als Firewall setzen wir 2x GateProtect GPO-125 ein. Die Kopplung der Standorte erfolgt über SSL.
Ich könnte eine weitere Kopplung aufbauen über IPsec und die Telefonanlagen da rein packen. Doch macht das Sinn?
Wie habt Ihr das Problem gelöst?
Gruß
Looser
durch die Umstellung der Telekom auf ALL-IP-Anschlüsse muss ich mir etwas einfallen lassen, um nicht Tür und Tor ins Netz zu öffnen.
Die IST-Situation ist folgende:
- Haupt-Stelle mit eigener Telefonanlage
- Zweigstelle mit eigener Telefonanlage
- Beide Anlagen sind über die VPN-Site-to-Site Kopplung der Netzwerke miteinander verbunden.
Das ist derzeit auch unproblematisch, da wir extern noch über ISDN telefonieren und ich keine Ports für SIP und RTP nach außen geöffnet habe.
Doch durch die Umstellung muss ich diese Ports nach außen öffnen. Dadurch ergibt sich das Problem, dass ich einen fliegenden Durchgang durch das gesamte Netz hätte.
Daher möchte ich die beiden Telefonanlagen über einen separaten VPN-Tunnel miteinander verbinden.
Meine Frage ist daher, ob es eine Möglichkeit gibt innerhalb eines bestehenden VPN-Tunnels einen weiteren Tunnel aufzubauen, um die beiden VLAN-Netze in denen die Telefonanlagen sind, zu verbinden.
Durch diese Maßnahme kann ich die Kommunikation zwischen den lokalen Netzen und den Telefonanlagen auf den CTI-Port begrenzen und die Anlagen haben ungehinderte Kommunikation untereinander und nach außen.
Als Firewall setzen wir 2x GateProtect GPO-125 ein. Die Kopplung der Standorte erfolgt über SSL.
Ich könnte eine weitere Kopplung aufbauen über IPsec und die Telefonanlagen da rein packen. Doch macht das Sinn?
Wie habt Ihr das Problem gelöst?
Gruß
Looser
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 270865
Url: https://administrator.de/contentid/270865
Printed on: April 18, 2024 at 17:04 o'clock
2 Comments
Latest comment
Moin,
Du kannst doch über die Firewallregeln penibel steuern, wie wo was erlaubt ist oder nicht. Ich sehe da kein Problem...
Gruß,
Dani
Dadurch ergibt sich das Problem, dass ich einen fliegenden Durchgang durch das gesamte Netz hätte.
Wie kommst zu dieser Aussage? Hast eine Regel "Allow any any" angelegt? Du kannst doch über die Firewallregeln penibel steuern, wie wo was erlaubt ist oder nicht. Ich sehe da kein Problem...Gruß,
Dani
Moin,
das ist das Leid mit der eGUI von GateProtect
Ist zwar alles schön bunt und einfach zu bedienen, aber wenn man Sonderfälle hat....
Also sollte es genügen, wenn ich die beiden VLAN-Netze über den gleichen Tunnel schicke und nach extern die Ports nur "lesend" öffne (intern darf auf extern zugreifen, umgekehrt aber nicht)?
Noch habe ich gar keine Regeln dafür angelegt.....aber ich will das umgesetzt haben, bevor die Telekom umschaltet. Das wird noch chaotisch genug....
Gruß
Looser
das ist das Leid mit der eGUI von GateProtect
Ist zwar alles schön bunt und einfach zu bedienen, aber wenn man Sonderfälle hat....
Also sollte es genügen, wenn ich die beiden VLAN-Netze über den gleichen Tunnel schicke und nach extern die Ports nur "lesend" öffne (intern darf auf extern zugreifen, umgekehrt aber nicht)?
Noch habe ich gar keine Regeln dafür angelegt.....aber ich will das umgesetzt haben, bevor die Telekom umschaltet. Das wird noch chaotisch genug....
Gruß
Looser
