Jump to content

Small Business Server 2003 ohne NAT


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Salü miteinander

 

Ich beschäftige mich aktuell - unter vielem anderem - mit einem VoIP-Pilotprojekt auf Basis Small Business Server 2003. Hier geht es um die Einbindung der Schweizer VoIP-Software e-phone, die Microsoft nach dem Kauf der Entwicklerfirma Media-Streams in Office 12 integrieren will. Eingehende und ausgehende Telefonate werden hierbei in Outlook erfasst und verwaltet, ein Live Communications Server stellt die Verfügbarkeitsinformation von Adressaten bereit.

 

Die besondere Herausforderung unseres Projektes besteht darin, sämtliche Dienste und Anwendungen auf nur einem Servergerät laufen zu lassen, also dem Small Business Server. Wir gehen davon aus, dass in vielen Firmen bloss ein Server vorhanden ist und diese Firmen möglicherweise keine Lust haben, zwecks Internettelefonie einen zweiten anzuschaffen und zu betreiben. Das Projekt steht kurz vor der Verwirklichung, nachdem wir lange mit einem Problem gekämpft haben, das bei einem mit zwei Netzwerkadaptern ausgerüsteten SBS systembedingt ist: Wird RRAS über den Assistenten der Serververwaltungskonsole eingerichtet, wird beim SBS automatisch auch NAT aktiviert.

 

Das ist aus Sicht von Microsoft gewollt, weil der SBS aus Herstellersicht gesichert genug ist, um direkt am Internet zu hängen und die Adressenübersetzung für die internen Clients vorzunehmen. Ist allerdings - wie hoffentlich immer - ein Firewallgerät vorgeschaltet, bezieht dieses die öffentliche IP und führt ebenfalls NAT aus. Das Doppel-NAT stört in der Regel nicht, ausser wenn das Thema SIP auftaucht, also VoIP. Denn mit aktiviertem NAT auf dem SBS ist kein SIP-Verkehr zum und vom Server möglich, weil das NAT des SBS kein ALG (Application Layer Gateway) beherrscht, zumindest nicht nach meinem bisherigen Kenntnisstand.

 

Die Lösung besteht in der manuellen Ausschaltung von NAT auf dem SBS mit vorgeschaltetem Firewallgerät: -> Verwaltung -> Dienste -> Routing und RAS -> IP-Routing -> NAT/Basisfirewall -> WAN-Verbindung des Servers -> "Eigenschaften". Hier "An ein privates Netzwerk angeschlossene, private Schnittstelle" wählen, womit NAT deaktiviert wird. Auf dem Firewallgerät muss eine statische Route ins interne Subnetz eingerichtet werden, damit die von den Clients angeforderten Datenpaket aus dem Internet den Weg zurück finden. Der SIP-Verkehr funktioniert nun unter der Voraussetzung, dass die vorgeschaltete Firewall mit ALG für SIP zurecht kommt und dieses auch aktiviert ist. Natürlich sollte auf der externen "privaten" Netzwerkkarte nur TCP/IP aktiviert sein, also kein Client für Microsoft-Netzwerke und keine Datei- und Druckerfreigabe.

 

Die Abschaltung der NAT auf dem SBS interessiert möglicherweise nicht bloss, wenn der Einbau eines SIP-Gateway für VoIP ins Netzwerk bevorsteht, sondern wenn einfach die doppelte NAT auf Server und Firewallgerät vermieden werden soll.

 

Später möchte ich weitere Erfahrungen mit e-phone und der Integration der Internet-Firmentelefonie im SBS-Netzwerk berichten. Bis dann.

Link zu diesem Kommentar
  • 2 Wochen später...

Interessante Info.

 

Allerdings habe ich eine Verständnisfrage ganz allgemein, also nicht zum SBS/VoIP/NAT etc.

 

Du schreibst:

Ist allerdings - wie hoffentlich immer - ein Firewallgerät vorgeschaltet, bezieht dieses die öffentliche IP und führt ebenfalls NAT aus. Das Doppel-NAT stört in der Regel nicht, ausser wenn das Thema SIP auftaucht, also VoIP....

 

sowie

 

Die Abschaltung der NAT auf dem SBS interessiert möglicherweise nicht bloss, wenn der Einbau eines SIP-Gateway für VoIP ins Netzwerk bevorsteht, sondern wenn einfach die doppelte NAT auf Server und Firewallgerät vermieden werden soll.

 

Reden wir mal über die richtigen Männerspielzeuge - äh - richtige Firewalls und nicht über 100 Euronen DSL-Router mit "Firewallfunktionalität" (wobei es im Ergebnis dasselbe ist):

 

Welchen sinnvollen Grund gibt es, einen SBS mit 2 Netzwerkkarten auszustatten, wobei eine im LAN steht und eine im "Zwischen-LAN" (Firewall/SBS) steht?

 

Warum "vergnügt" man sich mit fehlerträchtigen Konfigurationen am SBS und an der Firewall - Routing Tables betreffend?

 

Warum wird bei normalen W2k3-Installationen nicht so ein (in meinen Augen!) Humbug veranstaltet, sondern einfach LAN - Firewall - WAN konfiguriert?

 

Ich würde einen SBS stumpf ins LAN packen, nur eine Netzwerkkarte drin haben und als Gateway die Firewall angeben. Basta. Hätte ich auch nicht die Probs mit doppeltem NAT ;)

 

Bitte erkläre mir mal, was es mit dem von Dir beschrieben Konstrukt auf sich hat. So rein interesse halber.

 

Später möchte ich weitere Erfahrungen mit e-phone und der Integration der Internet-Firmentelefonie im SBS-Netzwerk berichten. Bis dann.

 

Das interessiert mich dann aber schon im Detail :D

 

grüße

 

dippas

Link zu diesem Kommentar
  • 2 Monate später...

Argumente für oder gegen eine oder zwei Netzwerkkarten im SBS gibt es hier:

http://www.microsoft.com/austria/kmu/businessthemen/it-sicherheit/sicherheit/artikel/sec_sbs2003_network.mspx

http://www.microsoft.com/technet/prodtechnol/sbs/2003/plan/gsg/appx_b.mspx

 

Nicht vergessen: Wir befinden uns im Kleinfirmen-Umfeld und wollen mit beschränkten Mitteln viel Sicherheit erreichen. Eine richtige Firewall (kein DSL-Router...) ist vorgeschaltet. Wir haben auch eine professionelle Internetanbindung mit 2MB/2MB und fester IP plus SIP-Gateway (SmartNode, nix AVM Fritz oder so) mit Failover auf ISDN. Zu einem späteren Zeitpunkt soll der SBS mit einem ISA Server 2004 versehen werden. Auch da sind 2 NICs willkommen.

 

VoIP funktioniert mit der oben beschriebenen Konfiguration tadellos, und das nun auch schon seit 3 Monaten. Das verwendete Produkt ist E-Phone mit Outlook-Integration. Hierbei handelt es sich um die Software, die Microsoft in die nächste Version des Live Communication Server einbauen will und die MS-intern auch im Einsatz ist. Mitarbeiter setzen sich dann zum Beispiel irgendwo auf der Welt ins Hotel mit Breitbandanschluss, stecken das USB-Telefon (Plantronics) ein, machen VPN auf den Server und sind unter ihrer eigenen Firmennummer erreichbar. Niemand merkt, dass sie auswärts sind, ausser die Telefonrechnung, die viel weniger hoch ausfällt als früher;-)

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...