3. Workshop des VCC. - Firewall und Videokonferenz- Christoph Fleck TU Dresden

Transkript

1 3. Workshop des VCC - Firewall und Videokonferenz- Christoph Fleck TU Dresden

2 Inhalt Beteiligte weitere, Ausblick

3 VCC Dresden: Cisco PIX 515 Version 6.3(1), 64 MB RAM, 16 MB FLASH Cisco MCM Version 12.1(5)T8 VCON vpoint Version 5.1 NetMeeting 3.01 Polycom ViewStation 512 Version Dienst DFNVideoConference: Radvision ECS Version Radvision ViaIP 400 Version 2.2 GnuGK Version 2.0.2

4 PIX Cisco PIX 515 Version 6.3(1), 64 MB RAM, 16 MB FLASH fixup protocol h323 h fixup protocol h323 ras access-list inside_access_in permit ip any any log access-list outside_access_in permit tcp any eq h323 log access-list outside_access_in permit icmp any any echo log access-list outside_access_in permit icmp any any echo-reply log access-list outside_access_in deny ip any any log global (outside) static (inside,outside) netmask static (inside,outside) netmask static (inside,outside) netmask static (inside,outside) netmask static (inside,outside) netmask static (inside,outside) netmask static (inside,outside) netmask

5 PIX

6 PIX

7 PIX

8 1 VCC Terminal PIX Terminal MCM GK-Anmeldung VC-Ruf

9 2 VCC VCC Dienst DFNVideoConference Terminal Terminal PIX MCM ECS GK-Anmeldung VC-Ruf

10 3 Terminal VCC Dienst DFNVideoConference PIX MCM MCU ECS Terminal GK-Anmeldung VC-Ruf

11 Bisher festgestellte Problem PIX neueste ECS-Version Netmeeting T.120

12 Bisher festgestellte [1] Bei Rufen von n am ECS kommt kein Audio/Video hinter der PIX an.

13 Der Blick hinter die Kulissen... [1] Die MCU soll an die private Adresse des Terminals senden?

14 Die (Not-) [1] 1.) Im vpoint NAT aktivieren: 2.) alle Verbindungen erlauben: access-list outside_access_in permit ip host MCU log access-list outside_access_in permit ip host MCU log access-list outside_access_in permit ip host rvideo log

15 Die (Not-) [1]

16 weitere festgestellte Problem: Netmeeting Ruf schlägt fehl bei Gespräche automatisch annehmen Abhilfe: Option abschalten Problem: T.120 Bei Rufen der MCU (dial out) sind keine Datenanwendungen hinter der PIX möglich Abhilfe: Auflegen, selbst einwählen NetMeeting und vpoint ohne NAT erhalten keine Datenverbindung wenn sie hinter der PIX gerufen werden. Abhilfe vpoint: NAT einschalten Abhilfe NetMeeting: auflegen und zurückrufen

17 Problem: NAT- / dynamische DHCP-Adressen ssh2 optional ssh1: fleck@rncmm10:~/> ssh Selected cipher type <unknown> not supported by server. zu viel logging mit netbios vpoint mit USB-Kamera und Notebooksound geht

18 Testergebnisse: Terminals hinter der PIX können rufen Bei Anrufen: Problem PIX neueste ECS-Version Hotfix: NAT-Funktion am Terminal + Accesslist in PIX weiterer Testbedarf: Systematischer Test Beide Terminals sind hinter einer Firewall T.120 Maximale Belastbarkeit Ausblick: Evtl. schnelle durch Cisco? Neue Software (Terminals, Gatekeeper, MCU,...) neue? Weitere Erfahrungen?

19 Vielen Dank für Ihre Aufmerksamkeit!