Guten Tag,
langsam bin ich mit meinen Latein am Ende. Wir nutzen derzeit pascom zusammen als Mix mit Desktop Clients und Tischtelefon als on-site Anlage wir wollen und das ganze Konstrukt endlich mal so umstellen, dass wir auch von außen (via App) auf das System zugreifen können.
Folgendes Konstrukt besteht aktuell bei uns:
- pascom Server in der aktuellsten Version
- Firewall: IPFire 2.23 (x86_64) - Core Update 134
- Windows DHCP-Server (mit Autoprov Einstellungen nach Docs)
- SNOM Tischtelefone mit der aktuellsten Firmware
- Desktop Clients mit Jabra Headsets
Aktuell funktioniert alles über das interne Netz einwandfrei. Die Telefone und die Desktop-Clients laufen wie gewünscht. Auch die App läuft natürlich über das interne Netz ohne Probleme.
Nun zum eigentlichen Problem:
Wir würden gerne die Anlage nun von außen für die App öffnen, erforderliche Einstellungen habe ich bereits vorgenommen (Screenshot [1]) . Wenn ich nun in der Anlage den Netzwerkadapter so einstelle, dass dieser unseren öffentlichen Hostnamen nutzt (static IP ist vorhanden) können die Tischtelefone unsere Anlage nicht mehr erreichen. Also schlägt dann die Provisionierung fehl. Die App allerdings funktioniert dann von außen ohne Probleme. Unten habe ich noch einmal Screenshots mit aktuellen Einstellungen angehängt.
Vielen Dank,
Jonas
[1]
[2]
[3]
Hi Jonas,
das Problem ist, dass der SIP Proxy die Pakete, wenn die externe IP eingestellt ist, von intern nicht annimmt bzw. wenn die interne IP eingestellt ist, von extern nicht annimmt, da die IP-Adresse nicht passt. Das Thema ist hier schon mehrfach durchgekaut worden. Probier mal in der Suche nach Stichwort Haipinning zu suchen.
Entweder erstellst du 2 Netzwerkadapter, einen für intern und einen für extern. Alternativ könntest du auch am Adapter als FQDN eure externe Adresse eingeben und in der Firewall NAT Hairpinning/Reflections aktivieren.
Da du ja einen externen Hostnamen hast, würde ich dir empfehlen NAT Reflections in der Firewall einzuschalten, dann sollte eigentlich alles gehen.
Gruss
Flo
1 Like
Danke für die Antwort. Nach vielem hin -und her und nach fast 10 Tagen Arbeit, haben wir es nun endlich zum laufen bekommen.
Leider war die IPFire nicht dazu in der Lage NAT Reflections zu nutzen, aus dem Grunde haben wir uns dann eine Securepoint zugelegt.
Zusammen mit folgendem SP Wiki Eintrag https://wiki.securepoint.de/UTM/RULE/Portumleitung-Intern
haben wir die Anlage nun richtig zum laufen gekriegt. Vielen Dank!
Grüße
Hi Jonas,
wenn du schon von der ipfire kommst, hätte ich dir zu Opnsense oder pfsense geraten.
Gruss
Flo
Also, es läuft alles soweit ohne Probleme.
Nur die IP-Tischtelefone bringen mich um den Verstand. Anscheinend lehnen die meinen öffentlichen Namen ab, da die pascom mein Zertifikat nicht aktualisiert.
Also das Telefon erwartet telefon.domain.de und auch entsprechend ein Zertifikat von telefon.domain.de bekommt aber das Zertifikat von 192.168.254.15 obwohl es entsprechend in der pascom eingepflegt ist.
Hast Du oder jemand dazu noch eine Idee?
Grüße
Ich habe noch einmal meine Testanlage in unserer DMZ angeschmissen. Dort tritt das Problem ebenfalls aus. Das Zertifikat aktualisiert sich nicht.
Hast du ein Letsencrypt Zertifikat? Wenn ja schau bitte mal im Log was angezeigt wird.
Hast du den Port 80 auf die Pascom weitergeleitet?
Hab inzwischen mehrere Sachen probiert, leider keine Lösung gefunden. Ja, Port 80 wird durchgeschleift. Logs kann ich leider erst heute Abend oder Montag schauen.
Habe mir jedoch ein auch Singledomain Zertifikat zugelegt. Das wird von der Pascom auch nicht durchgetauscht.
Grüße