Support Konfiguration Fortigate Firewall externer Zugriff mobile Clients

Hallo zusammen,

wir betreiben eine Starface Pro hinter einer Fortigate 90D Firewall. Bisher erfolgte der Zugriff auf die Starface über deren interne IP (für alle externen Benutzer via VPN). Das funktioniert inzwischen alles gut und stabil.
Jetzt möchten wir auch unsere Außendienstler anbinden und die Starface mobile Clients unterstützen.
Die notwendige Einrichtung habe ich soweit hinbekommen, so dass alles funktioniert bis auf die Sprachübertragung (beide Richtungen).

Das Verhalten der Mobile Clients im Detail:
- Anmeldung über eigene Domain (siehe unten), TLS an, Port 5222, Chat und Softphone aktiviert => OK, Status Softphone und Chatstatus ist grün
- Journal wird korrekt geladen
- Zugriff/Suche Kontakte funktioniert
- Anruf nach extern (über SIP): Gegenstelle klingelt, aber kein Freiton im Client. Wird Anruf von Gegenstelle angenommen kommt Verbindung zustande, aber kein Ton auf beiden Seiten
- Anruf von Extern: Client klingelt, wird Anruf angenommen kommt Verbindung zustande aber kein Ton auf beiden Seiten

Die Konfiguration ist derzeit folgendermaßen (dabei wurden alle Punkte im "Cheatsheet zu den STARFACE Mobile Clients 6.4" beachtet):
(Die Konfiguration ist derzeit nur zu Testzwecken so offen)

Fortigate:
- sip-session helper und sip-ALG deaktiviert
- "Virtual IPs" mit Portforwarding für die TCP-Ports 443, 5060, 5061, 5222, sowie die UDP-Ports 10000-20000, 20000-65535 von der dedizierten externen Starface-IP auf die interne IP
- Security Policy von Extern zur Starface über die Virtual IPs ohne NAT und zusätzliche Einschränkungen
- Security Policy von Starface nach Extern ohne zusätzliche Einschränkungen

Starface:
- Netzwerk: Hinter NAT: NEIN
- Netzwerk: Automatisch erkannte externe IP korrekt
- Erweitert/XMPP: Eigene Domain eingetragen, löst korrekt auf (intern und über VPN auf interne IP, extern auf externe IP)
- Alle Clients (UCC und mobile Clients) verwenden als Server die eigene Domain

Hab in das Thema schon ne Menge Zeit investiert und würde das jetzt gerne endlich mal zum Laufen (und in einem nächsten Schritt auch möglichst sicher) bekommen.
Wäre sehr dankbar für jegliche Hilfe, auch auf professioneller Basis gegen Bezahlung.

Vielen Dank und beste Grüße,

Patrick

Danke für Ihre Antwort!
Über VPN funktioniert ja bereits alles, und leider ist VPN für die Außendienstler keine Option, das haben wir bereits ausprobiert. Die VPN Verbindung bleibt nicht permanent bestehen und die wenig Technik affinen Benutzer kommen damit nicht gut zurecht.

Schöner Gruß,
Patrick

Hallo Till,

danke für deine Antwort. 5222 ist auf TCP konfiguriert. Das mit der NAT Einstellung auf der Starface werde ich ausprobieren (hatten das auch schonmal so), aber rein von meinem Verständnis ist es eigentlich falsch, weil die Fortigate über die Regel ja kein NAT macht (siehe Screenshot), oder sehe ich das falsch? bei den mobile clients gibts die Option ja nicht wie du schon gesagt hast, bei den PC/Mac clients haben wir die Option auch an.

FortiWiFi_-_Banovo-FWF90D.jpg

Schöner Gruß,
Patrick

Quote from sgogolka@eazy-it.de

Guten Morgen,

Patrick konntest du dein Problem bereits lösen ?

Stehe gerade vor der gleichen Situation !

Ports sind alle frei gegeben. Gesprächsaufbau klappt, aber kein Audio..

LG Sven

Display More

Ja, hatte es dann hinbekommen.
War dann wohl die Einstellung "Hinter NAT?- ja" unter Server/Netzwerk/SIP Einstellungen in der Starface.
Unter Externe Adresse muss die gleiche IP stehen, die in der Fortigate Virtual IP verwendet wird.
In der Fortigate haben die IPv4 Policies schon gepasst:
From: WAN
To: LAN
Source: all/was du brauchst
Destination: Virtual IP 1-5*
Service: Service 1-5*
Action: Accept
NAT: Disabled
Security Profiles: was du brauchst/keine

*Virtual IPs/Services: (RTP-Ports evtl. anpassen für jeweiligen Provider)
1-RTP: UDP 10000-20000
2-XMPP: TCP 5222-5223
3-HTTPS: TCP 443
4-SIP: UDP 5060
5-SIP-TLS: TCP 5061

Damit solltest du es auch hinbekommen, LG, Patrick