ISA2004
Guten Morgen,
nun ja, ich kenne ja nicht Deine Ausgangssituation. Also, was ist schon offen, wer darf was - wohin? usw.
Fangen wir mal von Grund auf an. Wenn Du den ISA installierst, kann der ja zunächst gar nix. Er lässt weder was raus, noch was rein. Selbst der ISA Server als Rechner kann niergends zugreifen. Das Einzige was geht ist die Domänenanmeldung. Das ist aber wirklich das Einzige was der ISA Server nach Installation kann.
OK, jetzt soll es natürlich so sein dass die Clients im LAN einen Internetzugriff erhalten (evtl. der ISA Server selbst auch).
Dazu erstellt man eine Zugriffsregel:
Rechte Maustaste auf Firewallrichtlinie -> Neu -> Zugriffsregel
Regelname: Egal (z.B. Internetzugriff für alle)
Regelbedingung: Zulassen
Protokolle:
Jetzt kommt es drauf an, was Du alles zulassen willst (Standard ist: Gesamter ausgehender Datenverkehr). Dann lässt der ISA jede nur erdenkliche Clientanfrage nach außen und die Antworten kommen natürlich zurück. Also HTTP, HTTPS, FTP, DNS, POP, SMTP, SIP usw. Einfach alle Protokolle die möglich sind.
Quelle:
Betrifft die internen Clients. Also welche Rechner und Hosts dürfen überhaupt. Ich habe in meiner Testumgebung gewählt: Intern und Lokaler Host. (Achtung: Intern bedeutet alle internen Clients die über Netzwerk auf den ISA zugreifen, nicht aber der ISA selbst. Willst Du den auch musst Du Lokaler Host auch auswählen)
Ziel:
Wo dürfen die Clients denn hin? Also Extern
Wer darf:
Das ist das schöne am ISA. Er verwendet die AD Benutzer und man kann nach Benutzern bestimmen (Hier: Alle Benutzer). Wenn die eigene Domäne ein reine Windows Domäne ist, ist dass der große Vorteil von ISA. Bei ner PIX o.dergleichen müsste man mit nem RADIUS arbeiten, damit sowas anständig geht
Somit ist der Zugriff von Innen nach Außen für Alle mit allen Möglichkeiten gewährleistet.
Wenn es bereits eine derartige Regel gibt, diese allerdings im Protokoll eingeschränkt ist oder nur bestimmte Benutzer dürfen, kann es mit dem SIP'en zu Problemen kommen.
Grund 1: Je nach Telefon benötigt man bestimmte Protokolle/Ports für das Teil, damit es geht.
Grund 2: Da das Telefon ja kein Mitglied einer MS Domäne ist, kann es zu Problemen kommen, wenn die Zugriffsregel auf Benutzer begrenzt ist, da das Telefon ja so gesehen kein Benutzer sondern eher ein reiner Host ist.
Abhilfe:
Du erzeugst eine neue Zugriffsregel. Genau wie oben beschrieben (Protokoll: Alles) und begrenzt die Quelle auf die IP's die die Telefone haben. Bei Benutzer dann natürlich Alle Benutzer.
Diese neue Zugriffsregel ist dann Coexistent mit der bereits bestehenden Regel.
DAS WAR STEP 1, DAMIT DER VERKEHR VON INNEN NACH AUSSEN GEHT!!!
Weiter im Text. Jetzt geht es um das Incomming (Signalisierung und Ruf)
Dafür brauchen wir ne Serververöffentlichungsregel:
Rechte Maustaste auf Firewallrichtlinie -> Neu -> Serververöffentlichungsregel
Name: z.B. VoIP Phone 1 (Chef)
Server IP: IP Adresse des Telefons
Protokoll: Hier muss eine neue Protokollregel definiert werden (Die gibt es noch nicht als Template)
Also -> Neu
Name: z.B. VoIP 1 Server
Primäre Verbindung -> Neu
Typ: Vermutlich UDP (die meisten SIP Telefone)
Richtung: Empfangen
Port von: 5060 bis: 5060
OK -> Neu
Typ: Vermutlich UDP (die meisten SIP Telefone)
Richtung: Empfangen
Port von: 5004 bis: 5004
OK
Abhören: Extern
Fertig
Die Ports 5060 und 5004 sind Standardports für das 1. Telefon. Sind die an Deinem Telefon anders, dann natürlich die Ports eintragen.
Hast Du ein 2., 3., X. Telefon musst Du Dir natürlich so viele Serververöffentlichungen erstellen und Protokollregeln, wie Du Telefone hast. Natürlich dann mit je unterschiedlichen Ports
Sonst noch was? Das macht dann 3 Geld 50. Zu überweisen auf mein virtuelles Konto
Und wer kann mir nun bei meinem Problem helfen? ->
http://www.ip-phone-forum.de/forum/viewtopic.php?t=19166
