Die meistens benutzte IP-Infrastruktur sieht in etwas so aus:
Internet (WAN)->Firewall/Router->Switch->LAN (internes Netz)
Im internen LAN sitzt
neben PC#s und anderen elektronischen devices auch das Videokonferenzsystem.
Folgende Sachverhalte werden anhand der Sony PCS-1 erläutert.
Die Firewall muss von aussen - also aus dem Internet - über eine öffentliche auch 'public' IP-Adresse ansprechbar sein, d.h. der DSL-Zugang der Firma hat eine öffentliche feste IP.
Die Firewall hat 2 IP-Adressen - nach aussen ins Internet die public und nach innen in Richtung LAN eine 'interne' IP-Adresse aus einem sogenannten privaten Adressbereich (z.B. 192.168.xxx.xxx). IP-Adressen aus privaten Adressbereichen existieren im öffentlichen Internet NICHT!
Ein Switch ist im LAN in unsichtbar - halt also keine eigene IP-Adresse.
Im Videokonferenzsystem Sony PCS-1 werden folgende Daten als 'Absender' der Maschine eingegeben:
IP-Adresse: interne IP-Adresse
(kann manuell zugewiesen werden oder über einen DHCP-Server automatisch mit einer internen IP versorgt werden), beispielsweise 192.168.xxx.xxx.
Subnetzmaske: beispielsweise 255.255.255.0
Gateway: interne IP-Adresse des Routers/Firewall
(in diesem Zusammanhang ist das Gateway die interne IP des Routers/der Firewall - nicht zu verwechseln mit einem ISDN-IP-Gateway)
DNS-Adresse: nicht unbedingt notwendig, kommt meistens vom DSL-Provider.
Kommen wir zur Charakterisierung der Signalwege:
1. LAN to WAN (von drinnen nach draussen):
Das Videokonferenzsystem schickt ein IP-Paket los. Diese Paket enthält einen Header mit den Adressinformationen und die sogenannte Nutzlast - die eigentlichen Audio- und Videodaten. Zusätzlich wird in der Nutzlast die interne IP des sendenden Videokonferenzsystem mitgeliefert.
Das empfangende Videokonferenzsystem schaut in der Nutzlast nach der Adresse des Absenders und antwortet seinerseits an diese Adresse. Da der Empfänger in diesem Fall auf eine interne IP antwortet und es diese im Internet NICHT gibt - antwortet er ins Nirwana. Seine Gegenstelle erhält kein Video/Audio.
Um die interne IP in der Nutzlast des Paketes gegen die externe IP der Firewall - denn nur diese ist für die Gegenstelle sichtbar und erreichbar - auszutauschen, muß IM Videokonferenzsystem ein Mechanismus namens NAT aktiviert werden. Das NATing der Firewall als solches erfolgt im Header des IP-Pakets und nicht in der Nutzlasz - daher muss dieses vom Videokonferenzsystem selbst erledigt werden.
Checkbox 'NAT-Modus' also auf 'on' setzen und unter 'NAT-Adresse' die externe IP der Firewall einsetzen!
In der Firewall müssen die Ports von LAN->WAN geöffnet sein bzw. sind die meisten Firewalls so konfiguriert, daß definierter Traffic von innen nach aussen - wenn der Traffic im LAN initiiert wird - rausgelassen wird.
Damit ist der Weg von LAN->WAN klar und okay!
2. WAN to LAN (von aussen nach innen):
Die Gegenstelle antwortet nun und schickt Ihre Antwort auf die public IP der Firewall.
Woher weiß die eigentlich was sie damit machen soll? Weiß sie nicht!
Müssen wir Frau Firewall erstmal klarmachen!
Hätte auch Herr geschrieben, aber es heißt nun mal DIE Firewall.
Frau Firewall soll den Traffic, der auf der öffentlichen IP auf den Videokonferenzsystem-Ports bei Ihr anklopft 1. durchlassen und 2. diese Traffic auf die interne IP des Videokonferenzsystems schicken.
Dieser Mechanismus ist in allen professionellen Firewalls regelbar/einstellbar und heißt je nach Firewall-Hersteller meistens: 1-to-1-NAT.
In diesem Mechanismus - auch Regel oder Dienst genannt - können die Ports für TCP und UDP in Ranges (von-bis) und auch einzeln angegeben werden, sowie daß dieser Traffic von z.B. extern 212.202.125.186 auf intern 192.168.xxx.xxx umgesetzt werden muß.
Wenn dieser Dienst/Regel eingerichtet ist, dann sollte die IP-Videokonferenz problemlos klappen!
3. Ausnahme VPN
In einem VPN - Virtual Private Network - benötigt man keine externen IPs, NATing usw.
In einer VPN-Verbindung werden in den Videokonferenzsystemen nur die internen IP-Adressangaben benötigt. 2 Firewalls bauen einen verschlüsselten Tunnel untereinander auf und die beiden Videokonferenzsysteme machen durch diesen Tunnel - vergleichbar mit einer internen LAN-Verbindung - einfach eine LAN-Konferenz!
Anmelden
Registrieren
FAQ
Suche
