CTI-Anbindung bei segmentiertem Netzwerk

[ramaka]

Hallo,
ich habe folgendes Problem, seit das PC-Netzwerk von der Telefonie getrennt wurde, funktioniert CTI nicht mehr.

Beim Anmelden der Swxyit-Software ans Telefon (CTI) wird am Telefon die Meldung angezeigt:  Verbindung akzeptieren oder ignorieren, Akzeptieren geht aber nicht.
Wenn Telefon und PC im gleichen Netzwerk sind klappt es.

 

Es handelt sich um eine Swyx-On Konfiguration mit einem Lancom Router (192.168.10.110) der in das 100.70.4.7 Netz eine VPN-Verbindung aufbaut und an einer FritzBox (192.168.10.254) hängt, die eine Route in das 100.70.4.7 Netz über den Lancomrouter konfiguriert hat.

Neu dazugekommen ist eine Sonicwall (WAN IP 192.168.10.150) die nun die PC´s (192.168.90.0) von den Telefonen (192.168.10.0) trennt. Welche Ports und welche Routen sind nun nötig um CTI zu verwenden?
Müssen von der IP der Lancom zum PC oder vom Swxyon 100.70.4.7 zum PC bestimmte Ports (welche?) geöffnet werden?
Welche Routen sind nötig?
Gibt es da so etwas wie ein "Best Practice"?

Oder ist das der komplett falsche Ansatz und der Lancomrouter muss auch hinter die Firewall, damit die Telefone auch im gleichen Netzwerk wie die PC´s sind?

Ist eine Netzwerksegementierung mit Swyx unüblich? 

 

Danke, falls weitere Angaben nötig sind, bitte fragen, ich bin schon etwas "betriebsblind"
Viele Grüsse Rainer

[srom]

Also grundsätzlich gibt es keine Kommunikation zwischen Client und IP-Telefon im CTI-Modus.

Die Steuerung erfolgt über den Server. Also die Kommunikation ist immer Client-Server und IP-Telefon-Server.

 

Bei dem Fehlverhalten handelt es sich in der Regel um ein Netzwerkproblem. In der Regel ist die Quittierung des Telefon/Clients die nicht am Server angekommen.

Aus meinen alten Tagen war dies oft Routing Probleme, das die Pakete unterschiedlie Wege nehmen und dann verworfen werden.

Vermutlich liegt es auch am NAT der Sonicwall welche die Clients vom LANCOM trennt.

 

Kannst du das ganze mal mit RemoteConnector probieren ob sich hier das verhalten ändert ?

 

 

[ramaka]

Hallo srom,

Du hast absolut Recht, dass es die Sonicwall ist, denn ohne der ging/geht es tadellos.

Im RemoteConnector ist unter Server die 100.70.4.7 eingetragen, ohne Fallback und bei der öffentlichen Serveradresse die remote.swyxon.com:11022
Beim einem alten Client ohne Sonicwall ist die öffentl. Serveradresse auf nie gesetzt, geht aber genauso wenig mit dieser Einstellung.

Ich hab auch schon versucht sämtliche Sicherheitsfeatures die die Sonicwall so hat, zu deaktivieren und dann die CTI-Verbindung herzustellen, ohne Erfolg.
Im Logfile der SonicWall ist auch nichts zu sehen.
PC per netstat -a gibt es hergestellte Verbindungen zu 100.70.4.7:5060 und Port 9094 sonst nichts.
Bei einem alten PC der noch im gleichen Subnet steht, sind es noch Verbindungen zu Port 9094 und 9100 sowie zig weitere Port die mit Port 5070 des PC´s verbunden sind.
 

Muss man ggf. die alten PC´s aus irgendeiner Einstellung löschen weil die noch "verbunden" sind?
Oder sind einfach zwei Router einer zu viel für die FritzBox?
 

[srom]

Wo ist den dein SIP-Trunk terminiert, was macht der LANCOM ausser dem VPN auch SBC/SIP-Trunk ?

 

Würde das denke komplett umbauen.

 

Firtzbox - Sonicwall an die Sonicwall das Telefonie und Client-Netzwerk und falls der LANCOM SBC ist, diesen in das Telefonienetz.

Dazu den VPN vom LANCOM in die Sonicwall umziehen.

 

[ramaka]

Swyx-On ist eine Mietlösung der Telefonanlage von Swyx, damit wir der SIP Trunk dort terminiert.
Der Lancom Router stellt nur die VPN Verbindung zum privaten Netz von Swyx her, 100.70.4.7 ist der interne Server dort.

 

Hab das versucht umzustellen, aber die VPN-Verbindung Lancom-Swyx-On kommt einfach nicht zu Stande, da muss ich den Sonicwall-Support kontaktieren.
 

[srom]

Ja kann man in der Swyx-ON terminieren oder eben an einem SBC. Wobei das in Swyx-ON in meinen Augen die bessere Variante mit dem ganzen Homeoficce/MobilWorker Thema ist.

 

Denke mit dem Support sollte das möglich sein den Tunnel von LANCOM auf Sonicwall umzustellen.

Benötigt nur jemanden mit einer Übersetzungstabelle 😉

 

[ramaka]

Hallo srom,

es scheint nun endlich zu gehen, danke für die Anregungen.
Ich habe die Lancom hinter die Sonicwall gehängt und mittlerweile geht es, mit Hilfe vom Sonicwall Support, einige Sicherheitsfeatures für die Lancom freigegeben.
Da aber erst nachdem in Monitor von der Sonicwall nichts vom Lancom zu sehen war, war letztendlich die Lösung dass ein festes Gateway in der Lancom konfiguriert wurde. Sieht man nur nicht so einfach, erst in der Web-Oberfläche sieht man "hinter" den Alias, im LanConfigtool ist es versteckt.