Sidebar Sidebar
  • Eigenständig gehostete oder lokal installierte Instanzen sind komplexer in der Einrichtung und Fehlerbehebung und erfordern daher kostenpflichtigen technischen Support. Kostenlosen Support erhalten Sie mit 3CX StartUP oder einer gehosteten 3CX-Installation mit einen unterstützten SIP-Trunk-Anbieter.

Habt Ihr eine Hardwareempfehlung? - Router/Firewall Failover

D

Daniel E.

Forum User
Advanced Certified
Mitglied seit
26. Mai 2019
Beiträge
5
Sehr geehrte Kollegen,

ich bin aktuell auf der Suche nach einer Appliance die es wermöglicht über SSH die Portweiterleitung im Falle eines 3CX Failovers mit einem Script auf die IP der sekundären 3CX-Anlage umzuleiten.

Aktuell wird als Modem-Router-Firewall-Kombi eine Fritzbox eingesetzt.
Nun ist die Idee, entweder die Fritzbox durch eine Kombi zu ersetzten die SSH-Zugriff unterstütz oder die Fritzbox als Modem zu benutzen und eine Firewall mit Portforwarding dahinter zu schalten.

Was habt Ihr im Failover-Bereich so im Einsatz und was würdet ihr empfehlen? Ich hatte schon über eine OPNSense Firewall nachdach bin mir aber nicht so recht sicher, da mir die Efahrungswerte fehlen.

Wenn Ihr Tipps habt, würde ich mich sehr darüber freuen :)

MfG Daniel
 
Hallo,

was genau möchtest du realisieren? Die 3CX steht lokal zur FW/Router oder Cloud(-hosted)?
Wenn ich dich richtig verstehe ist deine 3CX lokal im LAN und bei Ausfall ( der 3CX ) willst du die Port-Forwardings auf eine andere internere IP ( die Failover 3CX ) realisieren, korrekt?
 
Hallo cmksol,

genau so ist es. Die 3CX Installationen sind beide lokal und das Portforwarding soll von einer IP auf die andere geschwänkt werden, falls die Hardware der primären Anlage versagt.

MfG Daniel
 
Hallo Daniel,

wenn Du Telefone von draußen hast wird das nur eingeschränkt funktionieren. Wie ist das mit der 3CX, hast Du da dann auf die gleiche FQDN registriert?

FailOver mit einem Gateway wird eher ausgehend eingesetzt (Internetverbindung), dafür eignet sich die PFSense recht praktikabel wenn Du es selbst umsetzen möchtest.

Inspiration, ich habe das unter HyperV mit einer Replikation umgesetzt falls die Hardware brennt.
So läuft immer nur "eine" 3CX. Das ist wesentlich einfacher in der Umsetzung.


Möglichkeit 2 (aber das wird nichts wenn die FQDN extern ist):

Eingehendes FailOver könnte funktionieren mit einem ReverseProxy (Squid) und einer XMLRPC Sync auf einen Host (der ja nicht läuft). Ich nehme mal an Du hast "nur" 1 feste IP.

Für einen Reverse Proxy musst Du aber immer zwingend das SSL "aufbrechen" am Proxy weil sonst die Clients zicken wenn das Zertifikat nicht mit der aufgerufenen URL übereinstimmt. Ich bezweifle dass Du ein (weiteres) Let's Encrypt Zertifikat auf einen Subdomain von 3CX ausstellen kannst.
Und der Reverse-Proxy muss ja alles annehmen damit er weiß wohin er das hinleiten muss.

Ich habe das für andere Server so umgesetzt:
1) Ein Python Script angelehnt an Certbot (Github) holt sich ein Wildcard von Let's Encrypt und das wird per SSH an alle Server eingespielt und entsprechende Dienste neu gestartet. Wildcard gibt es nur per DNS Challange, das hängt dann von Deinem DNS Anbieter ab.

Da das ganze für Debian, CentOS, Nginx, Apache und einem Tomcat unter Java für einen DNS Anbieter der nicht im Certbot verbaut ist funktioniert, musste man da schon etwas anpassen/programmieren.

2) Für die PFSense gibt es ein Plugin "ACME Certificates". Unterstützt wird aber kein Wildcard, da nur eine HTTP-Challange unterstützt wird. Da geht maximal SAN. Und auf Port 80 müssen dann mehrere Sub-Domains auflösbar sein mit u.a. Pfad (./well-known...)
Dieses Plugin holt dann ein SAN Zertifikat für die jeweiligen Sub-Domains.
Dafür benötigt man am besten den HAProxy der fischt alles mit
ACMEPath starts with:nono/.well-known/acme-challenge/
heraus und quittiert mit OK.
- Alle entsprechenden DNS müssen auf Deine IP zeigen auf die der HAProxy lauscht.
- Das ganze mit Zeitgesteuerten Regeln in der Firewall weil Port 80 nur offen ist wenn die Challange läuft.

Aber wie o.g. wird es daran scheitern wenn die URL auf abc.3cx lautet.

Das funktioniert bei einer eigenen URL zuverlässig und der Browser meckert da nicht, obwohl das Zertifikat auf dem dahinterliegenden Server ein anderes ist als am Proxy. Solange der Name passt nimmt der Browser das als richtig an. Man sieht es natürlich wenn man das Zertifikat anzeigen lässt. Das SSL ist trotzdem gebrochen, nämlich am ReverseProxy.
 
Um antworten zu können musst du eingeloggt sein.

Einstieg für Admins

Top-Foren

Zurzeit aktive Besucher

Gesamt: 65 (Mitglieder: 2, Gäste: 63)

Statistik des Forums

Themen
22.253
Beiträge
112.175
Mitglieder
71.296
Neuestes Mitglied
Thomas12345
Holen Sie sich 3CX - völlig kostenlos!

Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX register cta
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Verifizieren Sie Ihre E-Mail-Adresse

Prüfen Sie Ihren Posteingang!

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – Wenn Sie keine Nachricht finden können, dann überprüfen Sie auch Ihren Spam-Ordner.

Oben Unten
Zurück