Firewall an Speedport mit VoIP wie realisieren

[Freezer__]

Hallo zusammen,

folgende Situation. Aktuell wird an einem DSL 6000 Anschluss der Telekom ein Speedport W921V betrieben. Dieser befindet sich im Modembetrieb und ist weiter nicht konfiguriert, hat also keine Einwahldaten hinterlegt.
Daran angeschlossen befindet sich eine Firewall, Sophos UTM 120. Diese ist über das WAN Interface auf LAN Port 2 des Speedports verbunden und baut über die PPoE Einwahl die Verbindung zum Internet auf.

Für Telefonie stehen mehrere ISDN Rufnummern zur Verfügung die ganz klassisch über Splitter --> NTBA --> an eine Agfeo AS35 Telefonanlage angeschlossen sind.

Soweit der Stand heute, funktioniert gut!

Problemstellung:

Das Problem ist, das der Inhaber dieses Anschlusses einen Tarifwechsel durchgeführt hat, auf einen Tarif mit VoIP. Der Schalttermin wird aktuell noch herausgezögert, ich benötige deshalb dringend eine Lösung für dieses Problem. Sobald ich jedoch VoIP nutze, muss meines Wissens der Speedport die Verbindung herstellen, um eben die Internettelefonie zu verwalten.
Die Firewall kann sich somit nicht mehr ins Internet einwählen, hängt die ein "Client" im Netz und ist von außen nicht mehr erreichbar.
Jetzt bin ich am Grübeln wie ich dieses Problem lösen kann.

Hier ein paar Ideen von mir:

1. Zweiter Mitbenutzersuffix. Würde es damit gehen? Stellt die Telekom das noch zur Verfügung? Kann sich meine Firewall trotzdem noch über das Modem des Speedports einwählen, wenn der Speedport auch schon Zugangsdaten hinterlegt hat?
2. Zweiter DSL Anschluss, einer für DSL an der Firewall, einer für Telefonie. Wohl eine schlechte Methode weil teuer. Technisch möglich? Schält die Telekom zwei DSL Anschlüsse?
3. Ein Anschluss wird "gebridged", ich kenne das von Fritzboxen, dort erhält man dann noch eine öffentliche IP. Ist das möglich? Nur mit Fritzbox möglich? Überhaupt möglich?
4. Firewall baut nach wie vor Internetverbindung auf und stellt dem Speedport nur Internet zur "Verfügung" um für VoIP online zu sein, ist das realisierbar?


Jetzt seit ihr gefragt, gibt es noch weitere Lösungsmöglichkeiten die sauber funktionieren? Hat einer schon sowas realisiert? Hat jemand einen ganz anderen Vorschlag der funktioniert?

Viele Grüße
Freezer

 

[Mojo1987]

Nutz den Speedport doch normal als Router und schalt die FW dahinter. Ich vermute es geht darum ggf per VPN auf die FW und damit ins Netz zu kommen, aber das ist garkein Problem, einfach die Ports entsprechend im Speedport an die Sophos forwarden.

 

[HominiLupus]

Falls möglich, definiere die Sophos UTM als DMZ.

 

[Freezer__]

@ Mojo1987
Klar das ist möglich das ist mir bekannt. Das ist aber nicht das Ziel. Die Firewall soll schon im Internet "stehen". Sonst muss ich ja für jeden Dienst ein Port Forwarding machen. Danke für deine Antwort, aber das möchte ich nicht, sorry

@HiminiLupus
kannst du das ein bisschen genauer ausführen? Wie du das realisieren würdest? Bzw was du damit meinst?

 

[HominiLupus]

http://de.wikipedia.org/wiki/Demilitarized_Zone

 

[arvan]

1. Zweiter Mitbenutzersuffix. Würde es damit gehen? Stellt die Telekom das noch zur Verfügung? Kann sich meine Firewall trotzdem noch über das Modem des Speedports einwählen, wenn der Speedport auch schon Zugangsdaten hinterlegt hat?

Auf keinen Fall einfach zweiten Mitbenutzersuffix eingeben, das wird dann nach Zeit berechnet und du hast ne riesen Rechnung an der Backe.
Da du kein Entertain Anschluss hast, gingen mehrere Einwahlen gleichzeitig. Allerdings muss der Router PPPoE Pass Through können, beim W921V ist das einstellbar.

 

[Kenneth Coldy]

Falls möglich, definiere die Sophos UTM als DMZ.

https://forum.telekom.de/foren/read...dport-900er-serie/w921v-dmz,544,10810929.html

Das war der erste Treffer mit "921v DMZ".

-> 921v kann kein DMZ

 

[Freezer__]

Okay dann habe ich ja direkt zwei Antworten
- DMZ kann der 921v nicht
- Modembetrieb ist nicht möglich wenn Telefonie Betrieb genutzt wird.

Also alle bisherigen Ideen k.o.

Jemand noch ne gute Idee?

 

[brainDotExe]

Besorg dir bei eBay günstig eine FritzBox 5010 (wenn du die ISDN Anlage nicht mehr benötigst), 5012 oder 5050.
Die hängst du dann als IP-Client hinter die Firewall, leitest auf dieser die VoIP-Ports weiter und wickelst die Telefonie über die FritzBox ab.

 

[Freezer__]

Hey die FritzBoxen sind ja "steinalt". Doch die Telefonanlage inkl. Telefonnummern und Endgeräte wird natürlich weiterhin benötigt. Nur durch einen Tarifwechsel werden es ja nicht weniger Telefone.

Gibt es einen Grund wieso du diese alten Fritzboxen genannt hast? Geht es mit neueren auch noch? Ist es auch mit aktuellen Fritzboxen möglich die VoIP Ports weiterzuleiten? Hast du das selbst schonmal so konfiguriert?

Danke und Gruß
Matze

 

[brainDotExe]

Mit den neuen FritzBoxen geht das natürlich auch.
Bloß musst du da schon mindestens 100€ ausgeben um ein Modell mit S0 Schnittstelle zu bekommen.
Die FritzBox wird ja in diesem Setup nur für VoIP benutzt. DSL Modem, WLAN, etc. wird nicht gebraucht.
Von daher muss man nicht das aktuellste Modell nehmen.

Deine Telefonanlage könntest du z.b. an die 5012 oder 5050 hängen.
Die Ports leistest du auf deiner Firewall zu der FritzBox weiter, da dort ja die WAN Adresse liegt.
Alternativ kann die FritzBox auch mit STUN Arbeiten.

Eingerichtet habe ich das schon ein paar mal, allerdings noch an keinem Telekom Anschluss.
Bisher nur an Inexio Anschlüssen, bei der Telekom ist hier in der Gegend kein DSL möglich