Hoe portforwarden?

Beste, het werkt nog steeds niet.

Heb nu de router in DMZ gezet en alles naar de watchguard Firebox T15 (IP:192.168.2.3) geplaatst.

Hier zijn de poorten geforward:

TCP/UDP 5060 --> 192.168.2.20 (PBX)

TCP/UDP 40000-40999 --> 192.168.2.20 (PBX)

Het gekke is soms werkt het wel en soms niet????

Kan altijd naar buiten bellen, maar inkomende werken soms wel.

Bij Proximus heb ik gelijkaardige problemen opgelost voor klanten, dit betekent dat er een netwerk element is dat poorten dynamisch openzet en sluit (waarschijnlijk je modem, of die firebox).

Als je een uitgaande oproep maakt, wordt automatisch een poort geopend (omdat je telefooncentrale, die zich in je netwerk bevindt, dit initiëert) deze poort blijft een bepaalde tijd openstaan, en na een time-out, wordt de poort automatisch terug gesloten.
Zolang je binnen de time-out periode zit, staat de poort nog open, en kunnen daarom ook inkomende oproepen erdoor komen, na de time-out periode is de poort dicht en kan er niets van extern meer naar binnen, vandaar dat inkomende oproepen soms wel en soms niet doorkomen.

Een mogelijke oplossing is om je telefooncentrale regelmatig sip option paketjes te laten sturen.
De tijd tussen 2 SIP option paketten moet kleiner zijn dan de port closure time-out, zodat de poort open blijft.
Geen idee hoelang poorten open blijven bij Orange modems of bij die firebox, maar als je ziet dat je nog inkomende oproepen verliest, moet je de SIP option timer verkleinen in je telefooncentrale.

Een vraagje (ben een redelijke leek in netwerken) dus even een domme vraaag:

Wat is de beste/juiste setup?

Dient de modem/router hetzelfde IP adress hebben als het home netwerk of moet dit juist verschillend zijn?

vb. 1) modem/router (DMZ) ip: 192.168.2.1 --> firewall/router 192.168.2.3 -----> rest netwerk 192.168.2.xxx

OF MOET DIT:

vb. 2) modem/router (DMZ) ip: 192.168.1.1 --> firewall/router 192.168.2.1 -----> rest netwerk 192.168.2.xxx

OF BETER:

vb. 3) modem/router (DMZ) ip: 192.168.1.1 --> firewall/router 192.168.2.1

-----> rest netwerk 192.168.2.xxx

-----> VOIP 172.168.2.xxxx

OF MAG/KAN/BETER?

vb 4) modem/router (GEEN DMZ) ip: 192.168.2.1 --> firewall/router 192.168.2.3 -----> netwerk 192.168.2.xxx

A.) in modem/router port forwarden naar firewall/router (en hier nog eens forwarden naar eind IP)

B.) in modem/router port forwarden naar eind IP en in firewall/router nog eens forwarden naar eind IP

Alvast bedankt voor de feedback,

Dave

Hallo,

Alvorens in te gaan op je vraag, misschien eerst even wat uitleg over netwerken.

Bij huis-tuin en keuken netwerken, heeft je eigen netwerk meestal 255 IP adres mogelijkheden, het laatste gedeelte van je IP@   bvb 192.168.1.xxx  waarbij xxx kan gaan van 1 tot 255.
1 is gewoonlijk het interne IP@ van de modem/router, en 255 is gereserveerd en kan je niet gebruiken.
Apparaten of PC's in jouw netwerk kunnen enkel communiceren met apparaten die zich in je eigen netwerk bevinden.  Als je op het internet wil, zorgt de router ervoor dat je naar een ander netwerk kan gaan.
Het internet is eigenlijk een hele hoop kleine netwerkjes die door middel van routers met elkaar verbonden kunnen worden.

Een router verbindt netwerken met elkaar, en heeft daarom minstens 2 IP adressen.
Een publiek IP adres op het internet (bij Orange begint dat met 94...., en een privé adres aan de binnenkant in jouw netwerk.

Consumenten routers, zoals die van Orange, geven je maar beperkte instellingsmogelijkheden, via een grafische webpagina, je kan maar 1 enkel intern netwerk aanmaken, en het is ook niet altijd duidelijk wat de verschillende settings onderliggend in je router exact doen, terwijl je bij professionele routers via een textconsole de volledige controle hebt over je router.
De reden hiervoor is dat weinig mensen weten hoe je een router volledig en veilig moet configureren, en de internet service providers een hoop helpdesk oproepen willen vermijden van klanten die door een verkeerde instelling zichzelf van het internet hebben afgesneden.

Vb 1 ..3 zijn mogelijk, mits je eigen router dit ondersteunt
Om te vermijden dat je apparaten de router/firewall omzeilen moet je wel in je Orange router, DHCP uitschakelen, je eigen router op het DMZ IP@ zetten, en DHCP aktiveren op je eigen router.

Vb4 lijkt me minder aangewezen, omdat je dan 2 port forwardings na elkaar hebt, wat in bepaalde gevallen ervoor zorgt dat je wel zelf uitgaand IP verkeer naar internet kan opzetten, maar dat de terugweg van internet naar jou niet altijd gedefiniëerd is,  bij VoIP geeft dat het "one way voice" probleem, je correspondent kan jou wel horen maar jij kan hem niet horen.

Voor VoIP kunnen sommige firewalls wel roet in het eten gooien, als ze niet uitgerust zijn met een SIP ALG (Application layer Gateway) functie, die ervoor zorgt dat IP adressen die zich in het sip messaging protocol bevinden, correct vertaald worden als er port forwarding gebruikt wordt, en die er ook dynamisch voor zorgt dat enkel de poorten die gebruikt worden bij een voice call opengezet worden, ipv een paar duizend poorten die je anders statisch op de firewall zou moeten openzetten om de voice door te laten.

Merci, heldere uitleg.

Ik denk dat het probleem ligt aan de firewall/router dat ik enkel het IP van het netwerk (192.168.2.xxx) heb ingesteld maar niet deze aan modem/router (orange) zijde (192.168.1.xxx).

- DHCP staat uit op de orange

- DHCP staat aan in de firebox (watchguard)

- moet nog een external trusted toevoegen in de firebox 😉

de firebox heeft een SIP-ALg, maar volgens sommige zou deze problemen kunnen veroorzaken.

Heb mij laten informeren om gewoon een portforwarding te doen (nu kan dit later nog altijd eens uittesten als de rest aan de praat heb).

Zie bijlage watchguard firebox: scenario 1 lijkt het scenario bij ons te zijn.

https://www.watchguard.com/help/configuration-examples/public_IP_behind_Firebox_configuration_example_(en-US).pdf

straks eens controleren,

keep you posted