Welche Router sollen noch gestestet werden?

  • Ich nehme den "Bintec RS353jv" auch noch als gewünschten Testkanidaten auf. Aktuell stocken die Tests leider etwas, aber ich werde versuchen bei passender Gelegenheit selbige höher zu priorisieren zu lassen.

    Technische Redaktion


    STARFACE GmbH | Adlerstraße 61 | 76137 Karlsruhe | www.starface.com

  • Hallo,


    für die, die sich eine Anleitung für Gateprotect/pfSense/All20VPN wünschen:
    Welches Szenario soll ich hier testen/konfigurieren?


    Die Geräte besitzen alle keine VDSL-Modems und können damit nicht direkt an den Anschluss der Telekom geschlossen werden.
    Ich habe mich für das einfachste Szenario: Telekom Anschluss <-> VDSL-Modem <-> Gateprotect/pfSense/All20VPN <-> Starface entschieden.


    Habt ihr euch das auch so vorgestellt?


    Viele Grüße
    Norman

  • Hi,


    ok. Ich habe auf dieser Basis eine Konfiguration für die GPO 150 ausgearbeitet. Sobald die Doku von Thomas veröffentlicht wurde, bitte ich euch darum darüber zu schauen und Verbesserungsvorschläge anzubringen.


    Viele Grüße
    Norman

  • Hallo Norman,


    ich kann da gerne drüberschauen. Ich habe selbiges Szenario mit einer GPO-150, mehreren GPO-100 und einem Paar GPA-300 (HA) am Laufen. In Kürze werde ich die GPO-150 noch auf die neue v15 Firmware ziehen.


  • Die Geräte besitzen alle keine VDSL-Modems und können damit nicht direkt an den Anschluss der Telekom geschlossen werden.
    Ich habe mich für das einfachste Szenario: Telekom Anschluss <-> VDSL-Modem <-> Gateprotect/pfSense/All20VPN <-> Starface entschieden.


    Habt ihr euch das auch so vorgestellt?


    Modem = PPPoE (von Gateprotect/pfSense)
    Wenn ich die Gateprotect Anleitung richtig verstanden habe macht ihr aus dem Modem ein Router?


    Edit: PPPoE besser beschrieben

  • Hallo Norman,
    hallo Thomas,


    kurzes Feedback zur Gateprotect-Anleitung:


    Punkt 7. Neues Rechnerobjekt erstellen:
    Die Art des Objekts, welches auf den Arbeitsbereich gezogen wird und die STARFACE repräsentiert, muß nicht vom Typ Server sein. Es kann jeder Typ ausgewählt werden – z.B. auch VoIP. Der Objekttyp bestimmt hier lediglich das Icon.


    Punkt 8. Verbindung erstellen:
    Die Reihenfolge, in der die Objekte STARFACE und Internetzugang ausgewählt werden, macht für die Anleitung einen Unterschied, da die Richtung der Regelerzeugung (Bestimmung des Quell- und Zielobjekts) daran festgemacht werden. Man kann das zwar anschließend über die Pfeile im Regeleditor ändern, aber für eine Anleitung wäre es gut, wenn hier Eindeutigkeit vorliegen würde.


    Die STARFACE kann außerdem die gateprotect als DNS-Server verwenden. Dann muß kein DNS-Dienst hinzugefügt werden.


    Punkt 9–11:
    Für SIP (UDP/5060) gibt es bereits eine Regel. Diese wird nur fälschlicherweise als "sipgate" anstatt SIP bezeichnet wird. Der Umstand, dass hier fälschlicherweise der Name eines Anbieters anstelle des Protokolls verwendet wird, ist bei gateprotect lange bekannt (und immer noch nicht behoben,... grml).


    Bei Abbildung 14 spielt die Reihenfolge der Objekte STARFACE und Internetzugang nun eine Rolle. Verbindungen der Dienste DNS und Ping dürfen hier nur von der STARFACE initiiert (links nach rechts) werden.


    Die Ausgestaltung der Regeln in Bezug auf NAT verstehe ich nicht ganz. Laut Anleitung wird "Hinter NAT" in der STARFACE deaktiviert. Für SIP wird NAT im Router deaktiviert und für RTP wieder aktiviert.
    Wenn "Hinter NAT" in der STARFACE deaktiviert wird, wird im SIP-Header die interne IP-Adresse der STARFACE zusammen mit Port 5060/UDP stehen. Der SIP-Anbieter wird sich dann an die Angabe im IP/UDP-Header halten, was die IP-Adresse bzw. den Port angeht und die Angabe im SIP-Header ignorieren, da NAT offensichtlich ist. Dann sollte NAT aber auch für SIP und RTP aktiviert sein.
    Alternativ wird "Hinter NAT" aktiviert und im Regeleditor der gateprotect ein Portforwarding für SIP und RTP eingerichtet.
    Oder handelt es sich beim angegebenen Vorgehen um eine Eigenheit des "Deutschland LAN IP Voice S"?


    Die Angabe, der grüne Pfeil bei den RTP und SIP-Diensten müsse (in Verbindung mit NAT in beide Richtungen zeigen, verstehe ich nicht ganz. Es handelt sich um UDP-Verbindungen. Die Firewall muß also eingehende UDP-Pakete aufgrund der NAT ohnehin einer bestehenden Verbindung zuordnen können und kann das bei UDP nur durch die Session-Table, da es ja keine Portforwarding-Regel gibt. Es sollte also ausreichen, einen Pfeil wie bei DNS ("Links darf auf rechts zugreifen, Rechts darf nur antworten") zu konfigurieren. Die Firewall muß natürlich in regelmäßigen Abständen (und vor dem Leeren der Session-Table-Einträge) ausgehende SIP-Pakete sehen.

  • Irgendwie sieht meine (voll funktionsfähige) Konfiguration mit einer GPO-125 komlett anders aus......*confused*


    Ich betreibe das Zyxel aber auch nur als Modem und nicht als Router, deswegen auch PPPoE-Einwahl (statt Routerverbindung).
    Dann sind meine Einstellungen für


    SIP: 5060 UDP; DMZ (auf die IP der Starface); NAT
    RTP: UDP alle Ports NAT (Leserechte analog zu DNS)


    Bei der von Euch vorgeschlagenen Konfig ist ein ziemlich großes Loch in die Gateprotect- Firewall gebohrt....


    Gruß


    Looser

  • Fabian:


    "Punkt 9–11:
    Für SIP (UDP/5060) gibt es bereits eine Regel. Diese wird nur fälschlicherweise als "sipgate" anstatt SIP bezeichnet wird. Der Umstand, dass hier fälschlicherweise der Name eines Anbieters anstelle des Protokolls verwendet wird, ist bei gateprotect lange bekannt (und immer noch nicht behoben,... grml)."


    Die Regel "sipgate" auf der GPO umfasst nicht nur Port 5060, sondern auch weitere, die für die Starface nicht relevant sind. Von daher gehe ich davon aus, dass die "sipgate"-Regel doch für das Produkt gedacht ist.
    An dieser Regel habe ich mich übrigens beim Erstellen der Regeln für die Starface orientiert.


    "Oder handelt es sich beim angegebenen Vorgehen um eine Eigenheit des "Deutschland LAN IP Voice S"?"
    Davon gehe ich aus. Ich kann auch nicht ganz nachvollziehen, warum, aber es funktioniert so und anders funktioniert es nicht.


    "Die Angabe, der grüne Pfeil bei den RTP und SIP-Diensten müsse (in Verbindung mit NAT in beide Richtungen zeigen, verstehe ich nicht ganz. Es handelt sich um UDP-Verbindungen. Die Firewall muß also eingehende UDP-Pakete aufgrund der NAT ohnehin einer bestehenden Verbindung zuordnen können und kann das bei UDP nur durch die Session-Table, da es ja keine Portforwarding-Regel gibt"
    Muss diese Sessiontabelle auf der GPO aktiviert/gepflegt werden?
    RTP funktioniert nicht, wenn der Pfeil nicht in beide Richtungen zeigt. Ich hatte auch erwartet, dass "Links darf auf Rechts zugreifen" ausreicht. Hat sich aber in der Praxis nicht als richtig erwiesen. Ich musste den Kanal in beide Richtungen öffnen.


    Looser:
    Ich werde noch eine Anleitung im PPPoE-Modus erstellen.


    Viele Grüße
    Norman

  • Hallo,
    oh war schon lange nicht mehr hier unterwegs.


    Da ich aber gerade den Provier wechsel von KabelDeutschland/Vodafone auf Telekom hab ich mich mal informiert.


    Zum Thema, ich kann beruhigt mitteilen, dass Sophos als Router mit der Starface dahinter funktioniert.
    Wer da mal Details dazu benötigt darf sich gern melden, kann das hier gerne mit veröffentlichen.


    Gruß

  • Ich nehme den "Bintec RS353jv" auch noch als gewünschten Testkanidaten auf. Aktuell stocken die Tests leider etwas, aber ich werde versuchen bei passender Gelegenheit selbige höher zu priorisieren zu lassen.


    Genau, der Bintec RS353jv wäre uns auch wichtig.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!