dmetzger 10 Geschrieben 3. Januar 2006 Melden Teilen Geschrieben 3. Januar 2006 Salü miteinander Ich beschäftige mich aktuell - unter vielem anderem - mit einem VoIP-Pilotprojekt auf Basis Small Business Server 2003. Hier geht es um die Einbindung der Schweizer VoIP-Software e-phone, die Microsoft nach dem Kauf der Entwicklerfirma Media-Streams in Office 12 integrieren will. Eingehende und ausgehende Telefonate werden hierbei in Outlook erfasst und verwaltet, ein Live Communications Server stellt die Verfügbarkeitsinformation von Adressaten bereit. Die besondere Herausforderung unseres Projektes besteht darin, sämtliche Dienste und Anwendungen auf nur einem Servergerät laufen zu lassen, also dem Small Business Server. Wir gehen davon aus, dass in vielen Firmen bloss ein Server vorhanden ist und diese Firmen möglicherweise keine Lust haben, zwecks Internettelefonie einen zweiten anzuschaffen und zu betreiben. Das Projekt steht kurz vor der Verwirklichung, nachdem wir lange mit einem Problem gekämpft haben, das bei einem mit zwei Netzwerkadaptern ausgerüsteten SBS systembedingt ist: Wird RRAS über den Assistenten der Serververwaltungskonsole eingerichtet, wird beim SBS automatisch auch NAT aktiviert. Das ist aus Sicht von Microsoft gewollt, weil der SBS aus Herstellersicht gesichert genug ist, um direkt am Internet zu hängen und die Adressenübersetzung für die internen Clients vorzunehmen. Ist allerdings - wie hoffentlich immer - ein Firewallgerät vorgeschaltet, bezieht dieses die öffentliche IP und führt ebenfalls NAT aus. Das Doppel-NAT stört in der Regel nicht, ausser wenn das Thema SIP auftaucht, also VoIP. Denn mit aktiviertem NAT auf dem SBS ist kein SIP-Verkehr zum und vom Server möglich, weil das NAT des SBS kein ALG (Application Layer Gateway) beherrscht, zumindest nicht nach meinem bisherigen Kenntnisstand. Die Lösung besteht in der manuellen Ausschaltung von NAT auf dem SBS mit vorgeschaltetem Firewallgerät: -> Verwaltung -> Dienste -> Routing und RAS -> IP-Routing -> NAT/Basisfirewall -> WAN-Verbindung des Servers -> "Eigenschaften". Hier "An ein privates Netzwerk angeschlossene, private Schnittstelle" wählen, womit NAT deaktiviert wird. Auf dem Firewallgerät muss eine statische Route ins interne Subnetz eingerichtet werden, damit die von den Clients angeforderten Datenpaket aus dem Internet den Weg zurück finden. Der SIP-Verkehr funktioniert nun unter der Voraussetzung, dass die vorgeschaltete Firewall mit ALG für SIP zurecht kommt und dieses auch aktiviert ist. Natürlich sollte auf der externen "privaten" Netzwerkkarte nur TCP/IP aktiviert sein, also kein Client für Microsoft-Netzwerke und keine Datei- und Druckerfreigabe. Die Abschaltung der NAT auf dem SBS interessiert möglicherweise nicht bloss, wenn der Einbau eines SIP-Gateway für VoIP ins Netzwerk bevorsteht, sondern wenn einfach die doppelte NAT auf Server und Firewallgerät vermieden werden soll. Später möchte ich weitere Erfahrungen mit e-phone und der Integration der Internet-Firmentelefonie im SBS-Netzwerk berichten. Bis dann. Zitieren Link zu diesem Kommentar
dippas 10 Geschrieben 12. Januar 2006 Melden Teilen Geschrieben 12. Januar 2006 Interessante Info. Allerdings habe ich eine Verständnisfrage ganz allgemein, also nicht zum SBS/VoIP/NAT etc. Du schreibst: Ist allerdings - wie hoffentlich immer - ein Firewallgerät vorgeschaltet, bezieht dieses die öffentliche IP und führt ebenfalls NAT aus. Das Doppel-NAT stört in der Regel nicht, ausser wenn das Thema SIP auftaucht, also VoIP.... sowie Die Abschaltung der NAT auf dem SBS interessiert möglicherweise nicht bloss, wenn der Einbau eines SIP-Gateway für VoIP ins Netzwerk bevorsteht, sondern wenn einfach die doppelte NAT auf Server und Firewallgerät vermieden werden soll. Reden wir mal über die richtigen Männerspielzeuge - äh - richtige Firewalls und nicht über 100 Euronen DSL-Router mit "Firewallfunktionalität" (wobei es im Ergebnis dasselbe ist): Welchen sinnvollen Grund gibt es, einen SBS mit 2 Netzwerkkarten auszustatten, wobei eine im LAN steht und eine im "Zwischen-LAN" (Firewall/SBS) steht? Warum "vergnügt" man sich mit fehlerträchtigen Konfigurationen am SBS und an der Firewall - Routing Tables betreffend? Warum wird bei normalen W2k3-Installationen nicht so ein (in meinen Augen!) Humbug veranstaltet, sondern einfach LAN - Firewall - WAN konfiguriert? Ich würde einen SBS stumpf ins LAN packen, nur eine Netzwerkkarte drin haben und als Gateway die Firewall angeben. Basta. Hätte ich auch nicht die Probs mit doppeltem NAT ;) Bitte erkläre mir mal, was es mit dem von Dir beschrieben Konstrukt auf sich hat. So rein interesse halber. Später möchte ich weitere Erfahrungen mit e-phone und der Integration der Internet-Firmentelefonie im SBS-Netzwerk berichten. Bis dann. Das interessiert mich dann aber schon im Detail :D grüße dippas Zitieren Link zu diesem Kommentar
grblzbx 10 Geschrieben 11. April 2006 Melden Teilen Geschrieben 11. April 2006 Hallo & sorry wenn ich mich so spät hier dranhänge, aber genau die Fragen die Dippas stellt habe ich auch (bin froh, dass das jemand schon so wunderbar zu Ende formuliert hat). Gibt es dazu irgendwie irgendwo Antwort(en)? Danke... Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 12. April 2006 Autor Melden Teilen Geschrieben 12. April 2006 Argumente für oder gegen eine oder zwei Netzwerkkarten im SBS gibt es hier: http://www.microsoft.com/austria/kmu/businessthemen/it-sicherheit/sicherheit/artikel/sec_sbs2003_network.mspx http://www.microsoft.com/technet/prodtechnol/sbs/2003/plan/gsg/appx_b.mspx Nicht vergessen: Wir befinden uns im Kleinfirmen-Umfeld und wollen mit beschränkten Mitteln viel Sicherheit erreichen. Eine richtige Firewall (kein DSL-Router...) ist vorgeschaltet. Wir haben auch eine professionelle Internetanbindung mit 2MB/2MB und fester IP plus SIP-Gateway (SmartNode, nix AVM Fritz oder so) mit Failover auf ISDN. Zu einem späteren Zeitpunkt soll der SBS mit einem ISA Server 2004 versehen werden. Auch da sind 2 NICs willkommen. VoIP funktioniert mit der oben beschriebenen Konfiguration tadellos, und das nun auch schon seit 3 Monaten. Das verwendete Produkt ist E-Phone mit Outlook-Integration. Hierbei handelt es sich um die Software, die Microsoft in die nächste Version des Live Communication Server einbauen will und die MS-intern auch im Einsatz ist. Mitarbeiter setzen sich dann zum Beispiel irgendwo auf der Welt ins Hotel mit Breitbandanschluss, stecken das USB-Telefon (Plantronics) ein, machen VPN auf den Server und sind unter ihrer eigenen Firmennummer erreichbar. Niemand merkt, dass sie auswärts sind, ausser die Telefonrechnung, die viel weniger hoch ausfällt als früher;-) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.