Swyx RemoteConnector in DMZ

[Stevie]

Hallo zusammen,

 

ich glaube, dass ich einen Gedankenfehler mache.

 

Wir haben einen Swyx-Server in der Version 2015R3.2 in unserem lokalen LAN laufen. Wir möchten nun die Funtionalität des RemoteConnector nutzen, so dass auch die Kollegen außerhalb des Büros ohne VPN telefonieren können.

Daraufhin haben wir einen Server in der DMZ installiert und auf diesem dann nur den Swyx RemoteConnector installiert.

 

Bei der Konfiguration haben wir für den Authentifikationsserver und für den RemoteConnector Server jeweils die gleiche öffentliche IP-Adresse konfiguriert. Wir wollen ungern per NAT arbeiten.

 

 

Leider funktioniert der Zugriff nicht.

 

Ist so eine Konfiguration überhaupt möglich, dass der RemoteConnector in der DMZ und der Swyx-Server im lokalen LAN steht?

 

Vielen Dank im Voraus.

 

Gruß

Stefan

 

 

[Virikas]

Jein

 

Den Remoteconnector kannst du in die DMZ stellen. Ob der dann per NAT oder nativ per Public IP erreichbar ist, spielt keine Rolle.

Der Authentication Service ist aber Bestandteil des eigentlichen SwyxServerDienster. Somit musst du mindestens den Auth. Port in dein LAN bekommen, damit es mit den NextGen Clients (SwyxMobile für iOS/Android, Swyxfor Mac; Next Gen swyxIT, wenn der kommt) funktioniert.

 

Wenn du NUR klassiches SwyxIT unter Windows hast, dann brauchst du den Authentication Service nicht, da die Zertifikatsverteilung dort anders läuft und der Client wirklich nur den Tunnel zum remote Connector aufmacht.

[IngoL]

Hallo,

 

kann mir mal jemand einen Schubs in die richtige Richtung geben bzgl. Installation eines abgesetzten Remote Connector in der DMZ ...

Muss auf dem internen SwyxWare Server auch die Software Komponente "SwyxRemoteConnector" installiert sein, oder reicht es diese nur auf dem DMZ Server zu installieren.

Derzeit habe ich das so und der DMZ Server SwyxWare Konfigurationsassistent redet offensichtlich nicht mit dem internen SwyxWare Server.

Bei der Frage nach "SwyxServer Auswahl" kann ich IP Adresse oder fqdn eintragen, erhalte danach aber immer nur die Meldung "Der Anrufer wurde vom Dienst nicht authentifiziert".

Die Doku hält sich zu dem Thema irgendwie ungewohnt stark in Grenzen, oder ich habe noch nicht die richtige gefunden.

 

Gruß

 

Ingo

[Virikas]

Swyxserver bekommt alles bis auf die RemoteConnector Funktion.

Diese (und nur diese) wird auf dem abgesetzten System in der DMZ installiert.

 

Zwischen Swyxserver und remoteConnector müssen ein paar Ports offen sein (vgl. KB4635).

Zwischen Inet und Swyxserver muss 9101 offen sein

Zwischen Inet und remoteConnector muss der konfigurierte Port (default lauscht der RC auf 443, 16203 und 57203) offen sein.

[Stevie]

Hallo Virikas,

 

wir haben das Problem, dass wir aus Sicherheitsgründen den Port 9101 nicht über NAT zur Verfügung stellen können. Allerdings wollen wir nur die Windows SwxyIT Clients über den RemoteConnector in der DMZ versorgen. Dies müsste doch eigentlich über das ausgestellte Zertifikat gehen, da die Authentifizierung darüber läuft. Meines Wissens wird der Port 9101 für die App oder den MacClient genutzt.

 

Richtig oder mache ich einen Gedankenfehler?

 

Viele Grüße

Stefan

[Stevie]

Oh, ich sehe gerade, dass Du meine Frage schon vorher beantwortet hast.

[Virikas]

Hinweis am Rande, weil selbst grad drüber gestolpert:

Der Skype Connector Client nutzt zusätzlich noch den TCP Port 9100 zum verbinden. Scheinbar ist das Ding ein Hybride aus alter und neuer Welt.

 

So oder so: Die Nextgen Clients kommen und damit wirst du früher oder später den Authentication Service von extern erreichbar machen müssen. Inwiefern das "aus Sicherheitsgründen" ein Problem sein soll erschließt sich mir jedoch nicht.

[SvenS]

3 hours ago, Virikas said:

Der Skype Connector Client nutzt zusätzlich noch den TCP Port 9100 zum verbinden.

 

Danke, jetzt weiß ich auch warum der Skype Connector sich nicht verbinden wollte.

[IngoL]

On ‎16‎.‎11‎.‎2016 at 0:15 PM, Virikas said:

Swyxserver bekommt alles bis auf die RemoteConnector Funktion.

Diese (und nur diese) wird auf dem abgesetzten System in der DMZ installiert.

 

Zwischen Swyxserver und remoteConnector müssen ein paar Ports offen sein (vgl. KB4635).

Zwischen Inet und Swyxserver muss 9101 offen sein

Zwischen Inet und remoteConnector muss der konfigurierte Port (default lauscht der RC auf 443, 16203 und 57203) offen sein.

 

hmm, ich bin der Meinung das soweit alles gemacht zu haben. Trotzdem erhalte ich beim Versuch nach der RemoteConnector Installation in der DMZ Maschine beim durchklicken der Konfig immer noch die Meldung "Der Anrufer wurde vom Dienst nicht authentifiziert".

Zwischen dem DMZ und LAN Netz gibt es für die beiden Hosts derzeit zum testen keine begrenzende Firewall Regeln, jeder darf alles in jede Richtung.

Kann es eventuell an den Dienstekonten liegen ? Der SwyxWare Server im Lan läuft seit je her unter einem Domänen-Dienstekonto.

Da die Maschine in der DMZ logischerweise nicht Mitglied des internen AD´s ist, habe ich dort zur Installation lediglich einen lokalen, gleichlautenden Benutzer angelegt und das gleiche Passwort für den (RC) Dienstbenutzer verwendet.

[SvenS]

abgesetzte Dienste müssen mit Domänenkonto laufen

[IngoL]

Grundsätzlich mag ich das so glauben und nachvollziehen.

Meine Hoffnung war aber das bei einem solchen Dienst der sich dafür anbietet in einer DMZ eingesperrt zu werden der Sinn einer DMZ durch so eine Anforderung nicht wieder ad absurdum geführt wird.

Technisch geht das bestimmt anders. Ich kann mir nicht vorstellen das der rosa Riese für jede seiner Wolkenkunden der Dienste skalieren möchte ein AD aufsetzt nur damit sich ein paar Services miteinander unterhalten können.

 

Trotzdem Danke für´s Feedback. Ich schlaf mal drüber und wäge die Vor/Nachteile neu ab.

[Virikas]

19 hours ago, IngoL said:

Ich kann mir nicht vorstellen das der rosa Riese für jede seiner Wolkenkunden der Dienste skalieren möchte ein AD aufsetzt nur damit sich ein paar Services miteinander unterhalten können.

 

Für soetwas gibt es das tolle Konzept von Service ADs

[badmin]

Ist es richtig, dass der Swyx WebAccess der Vorgänger zum RemoteAccess ist? Bzw. Webaccess für die Mobile Clients 2011 benötigt wird?

Und gibt es von Swyx eine BestPractice für den RemoteConnector? Ich kann mir irgendwie nicht ganz vorstellen, dass alle die den Connector nutzen ihren Sywxserver mit 2 Ports im Internet freigeben ...!?

[srom]

Wenn Sicherheit wichtig ist, dann wird in der Regel auf VPN gesetzt. Ist zwar nicht ganz so elegant aber dafür Sicher.

 

Da der Serverdomänen Mitglied sein muss, hat man durch den RC in der DMZ kaum Sicherheitsvorteile.

Da der Port 9101 immer auf den Swyx Server zeigen muss.

[badmin]

Leider haben wir ein Problem mit unserer Firewall. Fortigate macht uns Probleme bei aufgebautem SSL Tunnel.

Man kann dann noch anrufen oder angerufen werden, aber sprechen und hören ist nicht möglich. Ob der Status richtig übermittelt wird kann ich gerade nicht auswendig sagen.

So bin ich dann zum Remote Connector gekommen. Immerhin ist das ja auch ein Feature von Swyx - one number anywhere

Blöd, wenn das dann so unsicher ist.

[Virikas]

On 31.1.2017 at 9:42 AM, badmin said:

Blöd, wenn das dann so unsicher ist.

 

Was ist denn daran 9101 auf den Swyxserver zu schieben unsicherer als die ganzen Ports die du zwischen RC und Swyxserver brauchen würdest, wenn der Authentication Service auf dem RC mitlaufen würde? Die Unterschiede im Sicherheitslevel sind da bestenfalls marginal.