INFO

Verbindung von SwyxIt! zum SwyxServer durch eine Firewall hindurch (kb2623)

Die Information in diesem Artikel betrifft die folgenden Produkte:

  • Microsoft Windows Server 2003
  • SwyxWare ab Version 4
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition
  • Microsoft Windows NT 4.0 Workstation
  • Microsoft Windows NT 4.0 Server
  • Microsoft Windows Me
  • Microsoft Windows 98
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional
  • SwyxIt! alle Versionen

[ Zusammenfassung | Information ]


Zusammenfassung


Information

Das Vorhandensein einer Firewall zwischen dem Swyx-Server und den SwxIt! Clients stellt im Allgemeinen immer ein Hindernis dar, das möglichst von vornherein vermieden werden sollte. Der SwyxIt! Client benötigt eine ganze Reihe von offenen Ports, von denen einige, wenn sie geöffnet werden, den Sinn der Firewall eher zweifelhaft machen. Weitere Informationen hierzu finden Sie in dem Knowledgebase Artikel:

Das Hauptproblem ist, dass der SwyxIt! Client mit dem Swyx-Server über Microsofts DCOM-Protokoll kommuniziert. Dabei werden Verbindungen nicht nur vom Client zum Server aufgebaut, sondern auch umgekehrt. Die Rechner müssen in der Lage sein, sich gegenseitig auf beliebigen Ports oberhalb 1023 erreichen zu können, Microsoft hat DCOM leider nicht auf einen kleineren Portbereich eingeschränkt.

Für die korrekte Funktion müssen zwischen Client und Server also alle Ports ab 1024 sowohl für TCP als auch UDP offen sein, dazu kommt noch der Zugriff per RPC auf Port 135, außerdem benötigt der Client freien Zugriff auf die im Netzwerk freigegeben Dateien auf dem Server. Wenn man bedenkt, dass gerade die zuletzt genannten für einen Zugriff von Aussen immer gesperrt sein sollen, wird an dieser Stelle schon klar, dass es praktisch unmöglich ist, sich mit einem SwyxIt! Client ohne weiteres frei durch das Internet hindurch an einem Server anzumelden.

Auch innerhalb eines privaten Netzwerkes kann es aber zu Schwierigkeiten kommen, wenn Sicherheitskomponenten bestimmte Ports gesperrt haben.

Das einer der nötigen Ports nicht frei ist, erkennt man in der Anmeldephase des Clients an verschiedenen Fehlermeldungen. Die gängigsten sind dabei die folgenden:

Sollte der Anmeldevorgang funktionieren, aber der Zugriff auf die freigegebenen Ordner des Swyx-Servers fehlschlagen, so bemerkt man das erst später. In diesem Fall wird man nicht in der Lage sein, irgendwelche Voicemail-Ansagen aufzusprechen, und auch ein Wechsel der Skin ist nicht möglich. Entweder kann man die ausgewählte Skin nicht öffnen, oder die Auswahlliste ist leer. Das gilt dann auch für die Auswahl an Klingeltönen.

In seltenen Fällen kann es auch vorkommen, dass die gesamte Anmeldephase sauber funktioniert, der Dateizugriff problemfrei möglich ist und alles zu funktionieren scheint, und dass man die Probleme erst beim Telefonieren selbst bemerkt, wenn nämlich in einer oder beiden Richtungen keine Sprache übertragen wird (wobei natürlich immer zuerst zu prüfen ist, ob das verwendete Audiogerät korrekt arbeitet).

Wenn es sich nicht um das Problem ungleicher "Quality of Service" Einstellungen auf den verschiedenen Rechnern handelt, kann man in diesen Fällen meistens davon ausgehen, dass eine Firewall bzw. ein einfacher Portfilter irgendwo zwischen dem SwyxIt! Client und dem Swyx-Server Netzwerkpakete blockiert.
Teilweise schwierig zu entdecken sind hierbei "Mini-Firewalls", einfache Portfilter, die möglicherweise in einer Virenschutzsoftware enthalten sein können. Gerade bei den sogenannten "personal editions", den preiswerten Varianten für den Heimgebrauch, ist dieser Portfilter meistens nicht konfigurierbar oder abschaltbar. Es kann unter Umständen nötig sein, auf eine andere Virenschutzsoftware umzusteigen, weil die nötigen Ports nicht freigemacht werden können, solange die Software auch nur installiert ist.

Wenn man sich mit einem SwyxIt! Client vom Heimarbeitsplatz aus am Firmenserver anmelden will, ist eine Öffnung der firmeneigenen Firewall zum Internet hin natürlich ohnehin völlig indiskutabel. In den meisten Fällen würde es auch nichts bringen, da die meisten Provider heutzutage wenigstens die Ports für den Dateizugriff sperren.

Für diesen Anwendungsfall empfiehlt sich das Anlegen einer VPN-Verbindung ins Firmennetzwerk. Ein solcher VPN-Zugang wirkt wie ein Tunnel durch das Internet und die Firewall, und stellt dem Client einen ungefilterten Zugang ins Firmennetz zur Verfügung, so als wäre er direkt vor Ort mit dem Netzwerk verbunden.

Die Daten können hierbei für die Durchquerung des Internet verschlüsselt werden, so dass ein Ausspionieren wichtiger Informationen praktisch unmöglich ist. Mit Hilfe des RRAS-Service ist jeder Windows-Server in der Lage, einen VPN-Einwahlpunkt zur Verfügung zu stellen. Ein VPN-Client ist in jedem Windows-Betriebssystem ab Windows98 integriert, es muß also nichts nachinstalliert werden.

Eine Anleitung zum Anlegen eines VPN-Servers soll in diesem Artikel nicht gegeben werden,  denn die Vorgehensweise und auch die Möglichkeiten hängen natürlich stark von den Gegebenheiten im jeweiligen Netzwerk ab. Die Einrichtung ist aber weder sonderlich kompliziert, noch ist sie ein besonderes Sicherheitsrisiko. Als Beispiel wird hier einmal die wirklich allereinfachste Variante eines VPN-Zuganges aufgeführt.

In diesem einfachsten Fall wird auf einem der Server des Netzwerkes der RRAS-Dienst aktiviert, der den Tunnelendpunkt für den Zugriff auf das Firmennetzwerk bereitstellt. Auf dem Router, der den Zugang zum Internet bereitstellt, wird eine Weiterleitung des GRE-Protokolls (Protokoll 47) zum RRAS-Server eingerichtet, außerdem muß Port 1723 geöffnet und ebenfalls zum RRAS-Server weitergeleitet werden. Das ist aber für ein PPtP-VPN auch bereits alles, das geöffnet werden muß. Der Aufwand für den Administrator ist also, zumindest in diesem sehr einfachen Beispiel, durchaus überschaubar.

Eine Anleitung zur Konfiguration einer VPN Verbindung für z.B. Home Offices finden Sie in dem Knowledgebase Artikel:


Kommentar

Hat Ihnen dieser Artikel weitergeholfen? Kommentieren Sie diesen Artikel



Sollten sich Fragen aus Ihrem Kommentar ergeben, wie können wir Sie erreichen?

E-Mail Adresse (optional)


Hinweis

Dieses Kommentar-Feld steht Ihnen nicht für Support-Anfragen zur Verfügung. Diese richten Sie bitte ausschliesslich an Ihren Swyx Händler bzw. Distributor.


Änderungen

Erstellt: 06.05.2004, Letzte Änderung: 14.05.2004