Starface TK Installation mit ESXi und Sophos UTM Astaro

Share

Virtuelle Starface VoIP-Telefonanlage & Sophos UTM Astaro

Die Starface Telefonanlage gibt es in 3 Ausführungen, Appliances,
Cloud Server und VM-Edition.  Hier wird die Installation

auf einem VMWare ESXi beschrieben, die Sophos UTM Astaro ist das Standard Gateway des Netzes und auch der zentraler VPN Router.

Auf www.Starface.de kann man sich eine kostenlose Testversion als OVF-Vorlage für VMWare runterlagen und in den ESXi importieren.

Zuerst legen wir in der Sophos UTM ein DMZ-Netzwerk  für die TK-Anlage an mit eigenem IPv4 Kreis (IPv6 wird noch nicht unterstützt), dazu ein physikalisches Interface wählen, welches mit dem ESXi verbunden ist. Als Typ wird 'Ethernet VLAN' gewählt. Als IP Kreis ist hier 172.16.44.0 /24 mit VLAN-Tag 1044 gewählt, der IP-Kreis für die Telefone im internen Netzwerk wird 192.168.44.0 /24 mit VLAN-Tag 2044 sein.

VLAN vergebe ich immer nach dieser "Logik":

Das VLAN Tag und das IPv6 Netzwerk kann “analog” dem IPv4 Netzwerk vergeben werden, um auf einen Blick erkennen zu können,
um welches IPv4/IPv6 Subnet bzw VLAN es sich handelt
Beispiel
IP Netz
VLANBeispiel IPv6 /64 Subnet-
x10.10.x.XXXXXXX10.0.125.0/2401252001:4hh0:fbd5:0125: :/64es geht nur 0 und 4 (bis 4095)
1172.016.XXX1XXX172.16.040.0/2410402001:4hh0:fbd5:1040:: /64eigentlich Class B, hier immer Class C
2192.168.XXX2XXX192.168.140.0/2421402001:4hh0:fbd5:2140:: /64

 

Interfaces & Routing -> Interfaces |Interfaces| "New Interface"

Interfaces TK Starface Sophos UTM

 

Für das Netzwerk werden DNS, NTP und Internetzugang benötigt:
Networks Services -> DNS |Global| “Allowed Networks” das ‘Interface network’ N-DMZ-TK hinzufügen.
Network Services -> NTP “Allowed Networks” das ‘Interface network’ N-DMZ-TK hinzufügen.
Web Protection -> Web Filtering |Global| “allowed Networks” das ‘Interface network’ N-DMZ-TK hinzufügen

Falls der Zugriff nach Extern auch für andere Dienste als HTTP/HTTPS möglich seien soll, dann noch Masquerading aktivieren unter
Network Protection -> NAT |Masquerading| "New Masquerading Rule"
Masquerading-NAT-TK-Interface-Sophos-UTM

 

Dieses VLAN Tag muss jetzt auch im ESXi bekannt sein, damit der virtuelle Starface TK Maschine dieses Netzwerk/VLAN zugeordnet werden kann.

Im vSphere Client unter |Konfiguration| des ESXi >Netzwerk dem Standard-Switch0 (vSwitch) ein weiteres Netzwerk hinzufügen unter
"Eigenschaften". Verbindungstyp ist 'Virtuelle Maschine'
Netzwerkbezeichnung: N-DMZ-TK, VLAN-ID 1044  (analog der Einrichtung in der UTM)

vSphere Client Netzwerk TK

 

Jetzt kann man die OVF-Vorlage importieren:
vSphere Client OVF Vorlage Starface

 

Als Netzwerk kann jetzt schon die DMZ im vswitch zugeordnet werden

Netzwerk VLAN Starface TK Sophos UTM

 

Nach dem Import ist die Starface startbereit und man kann die Grundkonfiguration des Netzwerkes vornehmen
Nach dem Start der Maschine admin linux settings wählen und mit ipaddr die IPv4 Adresse der Starface für eth0 ändern:

vSphere Client Konsole TK IP Address

IP ist 172.16.44.10, Broadcast address ist 172.16.44.255, Netmask ist 255.255.255.0, genau wie bei dem Interface in der Sophos UTM.

Das Default Gateway ist das Interface N-DMZ-TK mit 172.16.44.1. Nach dem Eintragen der festen IP muss die Starface neu gestartet werden.

 

Jetzt in der Sophos UTM einen Host anlegen, um alle Einstellungen für die Starface TK verwalten zu können

Definition & Users -> Network Definitions |Network Definition| "New network definition"

Host TK Starface Sophos UTM

Da der Traffic zu den Starface nicht durch die Webproxy der UTM laufen soll, sollte man unter
Web Protection -> Web Filtering |Advanced| “Skip transparent mode destination hosts/nets” den Host hinzufügen.. Alternativ das ‘Interface network’ N-DMZ-TK hinzufügen.

Im internen DNS Server (meistens der DC des Windows Netzwerkes) sollte der Host als DNS A auch unter gleichem Namen angelegt werden, damit man per Browser über den FQDN Namen und nicht über die IP auf die Weboberfläche zugreifen kann.

 

Für den Zugriff auf das Admin-Webinterface jetzt unter
Network Protection -> Firewall |Rules| "New rule" erstellen

Firewall Rule Admin Starface TK Sophos UTM

 

Damit kann der Admin PC (Host) auf den Webadmin der Starface per Browser zugreifen über https://starface.meineDomain.local . Damit der Browser den Zugriff nicht über den Webproxy der UTM versucht sollte WPAD konfiguriert sein.

Dem Punkt "Update" erst mal mit 'Next" überspringen. Danach erfolgt die Grundkonfiguration der Starface TK mit Angabe von Vorwahl des Standortes, Mail Adresse und Name.

Nach dem ersten Login als Administrator erfolgt die weitere Grundeinrichtung

STARFACE Administration Grundeinstellungen Sophos UTM

 

Configuration -> Server |Network| "Network Settings"
In Gateway IP sollte die Interface IP des UTM stehen

Hostname starface.meineDomaine.local (Analog dem DNS-Eintrag)
DNS Server 1: 172.16.44.1 (Interface IP der UTM)
DNS Server 2: Weiterer DNS Server, ggf der DC

"Proxy Settings"
Use for: HTTP=Ja  HTTPS=Ja
Adress: interner Name der UTM FQDN, zB utm.meineDomain.local
Port: 8080
Danach mit "Apply" übernehmen

 

Die Starface TK ruft zum Download von Updates leider URLs mit ungültigen SSL Zertifikat auf, damit das Update durch den Webproxy der Sophos UTM Astaro, muss man eine Ausnahme für den SSL Scan der Website konfigurieren:
Diese Seiten müssen zur Ausahme angegeben werden:

^https?://([A-Za-z0-9.-]*.)?telemaxx.net/
^https?://([A-Za-z0-9.-]*.)?starface.de/

Ausnahme für:
Authentication / Caching / Antivirus / Extension blocking / SSL scanning / Certificate Trust Check / Certificate Date Check

Staface-TK-Ausnahme-Webproxy-Sophos-UTM-Astaro

 

Danach kann man die Starface TK unter

Configuration -> Server |State|  "Updates: Search now" updaten.

During the updating process telephony will not be available!
Active calls get disconnected and registered users get logged out.

Heisst einige Dienste werden neu gestartet und Telefonverbindungen können abbrechen.

Weitere Einstellungen:
Configuration -> Server |Time/Date| "Specify automatically" als ersten NTP Server die IP der UTM einsetzten 172.16.44.1

Configuration -> Server |Mail Server| Server: external wählen, als
"Sender e-mail address" die gewünschte Absenderadresse der Starface angebene zB [email protected]

Der SMTP Server ist die Sophos UTM Astaro mit wieder der IP 172.16.44.1

Damit die Starface Mails in die UTM senden darf, muss unter
Email Protection -> SMTP |Relaying| "Host-based relay" 'Allowed hosts/networks' den Host TK-Starface hinzufügen.

Jetzt kann man in der Starface unter Configuration -> Server |Mail Server| eine Testmail senden

Wichtig ist auch das automatische Backup aktivieren und per Mail versenden zu lassen:
Unter dem Reiter |Backup| "New backup" anlegen. Da man die Sophos UTM Astaro als SMTP-Relay benutzt, kann man auch externe Adressen von anderen Maildomänen angeben, ein Exchange Server lässt das so nicht zu.

Da die Starface TK über LDAP-UDP mit dem DC kommunizieren soll, muss der Dienst mit dem benutzten Port 1902 in Sophos UTM angelegt werden in der Firewall freigegeben werden. Unter
Definitions & Users -> Service Definitions "New service definition"

LDAP Starface TK Sophos UTM

 

Die Regel unter Network Protection -> Firewall |Rules| "New rule" gibt den Zugriff auf der TK-DMZ auf den Domänencontroller per LDAP und LDAP-UDP frei.

Starface TK Firewall LDAP Sophos UTM Astaro

 

In der Starface TK kann nun der LDAP Zugriff für das Auslesen des Adressbuches eingerichtet werden:

Configuration -> Adressbook |Configuration| LDAP anwählen und dann die Daten eintragen:
Server address: FQDN des DCs, analog dem Eintrag in der Sophos UTM oder die IP eintragen
User Name: Administrator oder einen User anlegen, der die Leseberechtigung hat
Base folder: ou=users, DC=MeineDomain, DC=lokal (Alternativ kann auch eine andere ou angeben werden, in der User stehen)

Die Daten kann man auch aus der Sophos UTM Astaro unter
Definitions & Users -> Authentications Servers |Servers| auslesen, dort wird die eine ähnliche Abfrage gemacht.

Jetzt kann man sich das Adressbuch ansehen unter Addressbook

Starface Adressbuch Sophos UTM Astaro

Man muss im AD natürlich die Telefonnummern eintragen und alle anderen Daten die man in der Starface TK nutzen will.

Leider kann man mit der LDAP-Anbindung im jetzigen Stand nicht wirklich arbeiten, es ist ein reines Auslesen und Anzeigen der User.

Unter
Configuration -> Extended Settings |Active Directory| kann der Zugriff auf das AD unter anderem für die Weboberfläche und sind fast gleich der dem LDAP.
Domain: meineDomain.local
Directory Server: FQDN des Servers, Mein-DC.meineDomain.local
Base DN: DC=meineDomain, DC=local

Jetzt kann man den Zugriff mit einem AD-User und dessen Passwort testen.

 

In der Sophos UTM wird jetzt das Netwerk für die Telefone angelegt:
Das VoIP-Netzwerk für die Telefone wird per VLAN getaggt und auf allen Switchen aufgeschaltet. Dazu wird ein freies eth benötigt, das vorhandene Internal kann man nicht auf 'Ethernet VLAN' umstellen.

Interfaces & Routing -> Interfaces |Interfaces| "New interface"

VoIP Internal VLAN Tag Sophos UTM Astaro

VLAN ID ist 2044, IPv6 ist nicht nötig, das die Starface dieses nicht unterstützt.

 

Networks Services -> DNS |Global| “Allowed Networks” das ‘Interface network’ VoIP-Internal hinzufügen.
Network Services -> NTP “Allowed Networks” das ‘Interface network’ VoIP-Internal hinzufügen.

Web Protection -> Web Filtering |Advanced| “Skip transparent mode destination hosts/nets” das ‘Interface network’ VoIP-Internal hinzufügen.

 

Unter Network Protection -> VoIP  |SIP| "SIP Protocol Support" aktivieren und die Starface TK und die SIP Client Networks angeben.

SIP Protocol Support Stargate TK Sophos UTM Astaro
Da die Telefone ihre Autokonfiguration über HTTP und HTTPS bekommen, muss hier für auch noch einen Regel erstellt werden:
Network Protection -> Firewall |Rules| "New Rule"

VoIP LAN Starface TK Sophos UTM Astaro

 

Im VoIP Telefon wird jetzt die IP des Starface TK Registrations-Server angeben: 172.16.44.10

Damit ist die Konfiguration von ESXi, Sophos UTM Astaro, LDAP und die Netzwerk Grundkonfiguration des Starface TK abgeschlossen.

 

Münster AD 2013

 

 

Share