Wat te doen bij een firewall in het bedrijfsnetwerk
In sommige situaties kunnen er problemen optreden met de verbinding met Octalarm portal (het portaal: portal.octalarm.com). Dit kan leiden tot een slechte/beperkte verbinding voor de alarmmelder, waardoor deze voortdurend berichten naar onze server verzendt. De server raakt hierdoor overbelast. Voor u betekent dit dat het risico bestaat dat de alarmmelder geen stabiele verbinding heeft en dus geen VoIP. Hoe kunt u dit voorkomen?
Meestal is een firewall in het bedrijfsnetwerk de oorzaak.
*Let op: het is dringend aanbevolen een vast IP-adres in te stellen.
Uitgaande firewall
Een firewall in het netwerk kan standaard alle uitgaande verbindingen blokkeren. Vanwege het dynamische karakter van het configuratieproces van de Octalarm alarmmelder, is het moeilijk vooraf te bepalen welk IP-adres en welke UDP/TCP-poorten vereist zijn voor een verbinding.
Om de alarmmelder voor een succesvolle verbinding voldoende toegang tot het internet te geven, kiest u voor de firewall configuratie één van de volgende manieren:
1. Firewalling op basis van source IP
-
Optie 1 (alleen source IP met toegang alle poorten): geef het source IP van de Octalarm alarmmelder toegang tot heel het IPv4 en IPv6 internet.
-
Optie 2 (source IP met specifieke poort/protocol): geef het source IP van de Octalarm alarmmelder toegang naar het internet via:
- TCP poort 443;
- TCP/UDP poort 53 DNS;
- ICMP echo request;
- UDP alle poorten.
Tip: combineer dit eventueel met de installatie van de alarmmelder in een eigen netwerkzone (VLAN). Verdere verbindingen tussen de melder en het bedrijfsnetwerk kunt u dan specifiek (laten) beveiligen.
Voorbeeld firewall regels alleen source IP met toegang tot alle poorten
Het IPv4-adres van de Octalarm alarmmelder is in dit voorbeeld 192.168.1.10.
| Bron machine | Bron poort (of protocol) | Doel machine | Doel poort (of protocol) |
|---|---|---|---|
| 192.168.1.10/24 | allemaal | 0.0.0.0/0 | allemaal |
Voorbeeld firewall regels source IP en specifieke poort/protocol
Het IPv4-adres van de Octalarm alarmmelder is in dit voorbeeld 192.168.1.10.
| Bron machine | Bron poort (of protocol) | Doel machine | Doel poort (of protocol) |
|---|---|---|---|
| 192.168.1.10/24 | allemaal | 0.0.0.0/0 | TCP poort 443 |
| 192.168.1.10/24 | allemaal | 0.0.0.0/0 | UDP/TCP poort 53 |
| 192.168.1.10/24 | allemaal | 0.0.0.0/0 | ICMP echo request |
| 192.168.1.10/24 | allemaal | 0.0.0.0/0 | UDP poort allemaal |
2. Firewalling op basis van DNS naam
- Voeg onderstaande DNS namen toe in de firewall van het bedrijfsnetwerk:
- config.octalarm.nl
- config.octalarm.com
- vpn.octalarm.nl
- vpn.octalarm.com
Goed om te weten: de DNS namen bevatten meerdere IPv4 adressen (A records) en meerdere IPv6 adressen (AAAA records) waarmee de Octalarm alarmmelder verbinding kan maken. Bij uitbreiding of verandering van de portal.octalarm.com-servers worden de IPv4 en IPv6 adressen van de DNS namen eventueel bijgewerkt. Door het gebruik van deze DNS namen verwerkt de firewall van het bedrijfsnetwerk automatisch deze verandering.
- Sta toe dat het source IP van de Octalarm alarmmelder kan communiceren met de DNS namen.
- Stel onderstaande poort in op de genoemde DNS naam:
- uitgaand TCP poort 443 op config.octalarm.nl en config.octalarm.com
- uitgaand TCP poort 443, ICMP echo request en UDP (alle poorten) op vpn.octalarm.nl en vpn.octalarm.com
- uitgaand UDP/TCP poort 53 naar de ingestelde DNS-servers
Tip: ook deze methode kunt u combineren met het plaatsen van de Octalarm alarmmelder in een eigen netwerkzone (VLAN).
Goed om te weten: het gebruik van firewalling op basis van DNS naam heeft de voorkeur omdat het IP-adres van de server automatisch wordt toegestaan, zelfs in het geval van updates aan de serverzijde.
Let op: wanneer u een andere manier van firewalling toepast, moet u de firewall aanpassen voor elke IP-update aan de serverzijde.
Voorbeeld firewall regels op basis van DNS naam met toegang tot alle poorten
Het IPv4-adres van de Octalarm alarmmelder is in dit voorbeeld 192.168.1.10.
| Bron machine | Bron poort (of protocol) | Doel machine | Doel poort (of protocol) |
|---|---|---|---|
| 192.168.1.10/24 | allemaal | config.octalarm.nl config.octalarm.com vpn.octalarm.nl vpn.octalarm.com | allemaal |
Voorbeeld firewall regels op basis van DNS naam, source IP en specifieke port/protocol
Het IPv4-adres van de Octalarm alarmmelder is in dit voorbeeld 192.168.1.10. De DNS-servers in dit voorbeeld zijn 192.168.1.254 en 8.8.8.8.
| Bron machine | Bron poort (of protocol) | Doel machine | Doel poort (of protocol) |
|---|---|---|---|
| 192.168.1.10/24 | allemaal | config.octalarm.nl config.octalarm.com | TCP poort 443 |
| 192.168.1.10/24 | allemaal | vpn.octalarm.nl vpn.octalarm.com | ICMP echo request |
| 192.168.1.10/24 | allemaal | vpn.octalarm.nl vpn.octalarm.com | UDP poort allemaal |
| 192.168.1.10/24 | allemaal | vpn.octalarm.nl vpn.octalarm.com | TCP poort 443 |
| 192.168.1.10/24 | allemaal | 192.168.1.254 8.8.8.8 | UDP/TCP poort 53 |
Inkomende firewall
In het geval dat uw netwerk een firewall heeft die standaard inkomende verbindingen niet toestaat, moet u bij gebruik van de webinterface aanpassingen maken aan uw firewall:
- zorg ervoor dat de webinterface bereikbaar is op TCP poort 80 op het IP-adres van de Octalarm alarmmelder;
- sta voor foutzoeken en monitoring eventueel ook ICMP echo request toe naar het IP-adres van de Octalarm alarmmelder.
Voorbeeld firewall regels op basis van source IP en destination poort/protocol
Het IPv4-adres van de Octalarm alarmmelder is in dit voorbeeld 192.168.1.10. Het IPv4-adres van de beheer pc's zijn 10.0.0.30 en 172.16.3.40.
| Bron machine | Bron poort (of protocol) | Doel machine | Doel poort (of protocol) |
|---|---|---|---|
| 10.0.0.30 | allemaal | 192.168.1.10 | TCP poort 80 |
| 10.0.0.30 | allemaal | 192.168.1.10 | ICMP echo request |
| 172.16.3.40 | allemaal | 192.168.1.10 | TCP poort 80 |
| 172.16.3.40 | allemaal | 192.168.1.10 | ICMP echo request |
Foutzoeken
Met een TCP dump kunt u communicatieproblemen van de Octalarm alarmmelder met uw netwerk onderzoeken. Deze dump bevat recent netwerkverkeer van alle netwerk interfaces van de melder. Hiermee kunt u, met programma's zoals Wireshark, het netwerkverkeer zoals de alarmmelder die ontvangt en verzendt, in detail zien. Dit maakt het mogelijk communicatieproblemen te ontdekken tussen de alarmmelder en het portaal (portal.octalarm.com).
Zie Het portaal: portal.octalarm.com|Instellen op afstand (wereldwijd)|Netwerk: download TCP dump voor verdere toelichting over hoe u een TCP dump downloadt.