FBF 7050, Netscreen 5GT, ext. DSL-Modem -> beste Konfig?

[kai-o-saft]

Moinsen,

ich habe eine FBF 7050, eine Netscreen 5GT Firewall Appliance und ein zusätzliches externes DSL-Modem.

Ich suche nach Vorschlägen für die beste Konfig und möchte mit dieser folgendes erreichen:

- VOIP über die FBF (mit Traffic Shaping???)
- Zugriff auf das Webinterface der FBF für einfache Verwaltung
- Auswertung der Verbindungsdaten der FBF über den FBF-Anrufmonitor
- Router- und Firewallfunktionalität über die Netscreen
- IPSEC-Tunnel über die Netscreen
- DynDNS, egal über welche Box/Appliance

z.Zt. hängt bei mir nur die FBF am Inet (1&1), die beiden anderen Komponenten warten auf einen sinnvollen Einsatz....

Vielen Dank & Grüße aus OL
Kai-Olaf

 

[kai-o-saft]

Ergänzung

Wow - nicht alle auf einmal :wink:

Ich denke, eine kleine Ergänzung meinerseits zum Anstoß der Diskussion ist angebracht.Ich habe drei verschiedene Szenarien im Kopf, aber nicht die Zeit sie durchzuprobieren (bei drei Kindern + Job!):

1. Inet -- DSL-Modem -- Netscreen -- Switch -- FBF 7050
hiermit lassen sich IMHO die meisten meiner Vorhaben realisieren, aber was ist mit Traffic-Shaping? Muss ich dafür dann QOS-Regeln auf der Netscreen erstellen?

2. Inet -- DSL-Modem -- Netscreen-DMZ --FBF 7050
ähnlich wie oben, nur kein Port-Forwarding nötig.

3. Inet -- FBF 7050 -- Netscreen
Traffic-Shaping scheint hier geregelt, aber was ist mit dem Management der FBF?

Gibt es noch alternative Szenarien, die Vorteile bieten?

Lieben Dank für euren Hirnschmalz...

Gruß aus OL
Kai-Olaf

 

[kai-o-saft]

Monolog

Intelligente Menschen führen gerne Selbstgespräche... :wink:

Im Zweifelsfalle dokumentiere ich jetzt einfach mal meine (Miss-)Erfolge. Am langen Wochenende habe ich mit der .85 Firmware folgendes probiert:

1. Inet -- DSL-Modem -- Netscreen -- Switch -- FBF 7050

FBF ohne Zugangsdaten als Client mit fester IP, Netscreen als GW eingetragen, DNS Server von 1&1 statisch hinterlegt

Ergebnis: Alles funzt bis auf VOIP. Internetrufnummern werden nicht registriert. Hab auf der Netscreen per ANY-Regel erstmal allen (ausgehenden) Verkehr erlaubt.

Jemand mit Ideen?

Gruß aus OL
Kai-Olaf

 

[kai-o-saft]

(fast) gelöst

...ein Wochenende später:

So, dank zahlreicher :wink: Wortbeiträge der Community hab ichs nun geschafft. Was ich gemacht habe:

1. Inet -- DSL-Modem -- Netscreen -- Switch -- FBF 7050

2. FBF 7050->Internet->Zugangsdaten->Internetzugang über LAN A->Vorhandene Internetverbindung im Netzwerk mitbenutzen (IP-Client)->IP-Adresse manuel vergeben, die Netscreen als Default-GW eingetragen, DNS Server von 1&1 statisch hinterlegt, Upstream und Downstream für DSL 6000 eingetragen

3. Auf der Netscreen dem UNTRUST-Interface folgende VIP-Services hinzugefügt: UDP-Ports 3478-3479, 5060, 5062, 5070-5072, 7077-7081 und auf die FBF 7050 gemapt

4. Ausgehend ist bisher noch alles per ANY-Regel erlaubt

bleibt noch:

- DynDNS, funzt nicht mehr über die FBF 7050, hab es bei der Netscreen noch nicht gefunden...
- Regelsätze auf der Netscreen feiner definieren...
- Verlegen der Zwangstrennung auf Zeitpunkt in der Nacht über FBF 7050 auch nicht mehr möglich...Alternative?
- IPSEC-Tunnel testen
- VOIP-Qualität unter Last testen - greift noch das Traffic-Shaping?

Meinungen - Anregungen - Vorschläge?

Grüße aus OL
Kai-Olaf

 

[Novize]

- DynDNS, funzt nicht mehr über die FBF 7050, hab es bei der Netscreen noch nicht gefunden...
- Regelsätze auf der Netscreen feiner definieren...

Viel Spass beim suchen und basteln

Verlegen der Zwangstrennung auf Zeitpunkt in der Nacht über FBF 7050 auch nicht mehr möglich...Alternative?

Schaltuhr am Netscreen

VOIP-Qualität unter Last testen - greift noch das Traffic-Shaping?

Das Traffic-Shaping der Fritzbox auf keinen Fall mehr, wie denn auch, wenn der gesamte Traffic an ihr vorbei geht, direkt auf den Netscreen :?
Vielleicht hat der Router ja auch Traffic-Shaping, dann dort natürlich die VoIP-Ports priorisieren :!:

 

[kai-o-saft]

Hi Novize,

Viel Spass beim suchen und basteln :wink:

das muss ich erstmal nach hinten schieben, sonst gibt es Stress mit der Regierung :roll:
Im Ernst, die Netscreen soll in einer neuen OS-Version einen DynDNS-Client eingebaut haben. Ist aber kostenpflichtig per Software-Subscription :cry: -> mal schauen, was das kosten soll...

Schaltuhr am Netscreen

nicht elegant, aber wirkungsvoll

Das Traffic-Shaping der Fritzbox auf keinen Fall mehr, wie denn auch, wenn der gesamte Traffic an ihr vorbei geht, direkt auf den Netscreen :?
Vielleicht hat der Router ja auch Traffic-Shaping, dann dort natürlich die VoIP-Ports priorisieren :!:

Genau genommen läuft der Verkehr schon noch über die FBF -- habe sie bei allen Geräten noch als Default-GW eingetragen -> Ob's was hilft :?:
Vermutlich aber hast du Recht, und ich muss das Traffic Shaping über die Netscreen machen.

Mal 'ne allgemeine Frage wegen der spärlichen Antworten auf meine Fragen - ist das Thema zu speziell oder zu trivial?

Grüße aus OL
Kai-Olaf

 

[Novize]

Mal 'ne allgemeine Frage wegen der spärlichen Antworten auf meine Fragen - ist das Thema zu speziell oder zu trivial?

Ich denke mal, zu speziell.
Sorry, daß das Feedback bei Dir so spärlich ist
Ich selbst habe auch keine Hanung von Deinem Netscreen, kann da also auch nur vermuten...

 

[hannes123]

Hi,
die 5GT hat schon seit einiger Zeit den DynDNS Client und es läuft hervorragend, sogar unser kleines Firmen VPN funktioniert damit.

Allerdings habe ich Probleme meine 7050 hinter der Gt ans Laufen zu bringen. Anrufen klappt aber den draussen kann ich nicht hören, er aber mich. Hab schon alles mögliche probiert.

Gruss,

Hannes

 

[VaterGans]

Moin Jungs!

Habe ne ähnliche Konfig nur mit ner FRITZ!Box Fon WLAN 7170 (UI), Firmware-Version 29.04.40 !! Aber komme da nicht weiter habe schon diverse Port mit Multiport VIP von der netscreen auf die FritzBox weitergeleitet. Und es haut nicht hin. Ich könnte nur hier die Wände hochgehen. Der Kunde macht mich Irre!

Vielen Dank schonmal für eure Hilfe!