innovaphone Forum

You are here

Help with Search (new window)
Picture of Muschelpuster
Registered 7 years 342 days
Muschelpuster Saturday, 18 November 2017, 12:26 PM
Zugriff auf Estos-Meta-Directory via Reverse-Proxy
Moin zusammen,

Ich habe ein Estos MD 3.5 und will, dass Telefone via Reverseproxy darauf zugreifen können. Intern funktioniert alles und ich habe dem MD jetzt ein root-PW gegeben, damit ich die Zugriffe absichere, was intern auch klappt. 
Doch nun von extern...?
Die Adresse im Phone auf einen extra erstellten und zugewiesenen Domain-Namen geändert und LDAP für diesen Namen entspr. konfiguriert. Doch lt. Wiki ist dieser Domain-Name bei LDAP uninteressant, es wird auf den User geschaut. Beim MD ist das cn=root,dc=meta - also habe ich noch einen Eintrag mit dem Domainnamen meta\root getestet - der Erfolg will sich damit aber auch nicht einstellen...

unverbundene Grüße
Niels
Picture of MJeck
Registered 8 years 253 days
MJeck Monday, 20 November 2017, 08:18 AM
Re: Zugriff auf Estos-Meta-Directory via Reverse-Proxy
Hallo Niels

wenn ich es richtig im Kopf habe müssen Sie Domainpbx\Benutzer auf dem Metadir anlegen damit es funktioniert, da der Proxy sonst die Anfrage nicht weiterschickt.

Beste Grüße

Markus
Picture of Muschelpuster
Registered 7 years 342 days
Muschelpuster Monday, 20 November 2017, 08:26 AM
Re: Zugriff auf Estos-Meta-Directory via Reverse-Proxy
Moin Markus, Leider unterstützt das meine MetaDir-Lizenz (Business) nicht. Daher hoffte ich mit dem Standard-User glücklich zu werden. unlizensierte Grüße Niels
Picture of Achim 1648
Registered 10 years 243 days
Achim 1648 Monday, 20 November 2017, 02:21 PM
Re: Zugriff auf Estos-Meta-Directory via Reverse-Proxy
Moin moin,

hab im Buch zum Thema noch ein paar Screenshots gefunden,

Gruß Achim
Reverse-Proxy_und_Meta-Directory.JPG

Picture of Muschelpuster
Registered 7 years 342 days
Muschelpuster Tuesday, 21 November 2017, 07:36 AM
Re: Zugriff auf Estos-Meta-Directory via Reverse-Proxy
Danke Achim,

Wie immer - wer lesen (oder in diesem Fall klicken) kann ist klar im Vorteil wink
Für mich ist nur noch die Frage offen, wie ich dann den Benutzer angeben muss?
dc=meta,dc=hq,dc=innovaphone,dc=com,cn=ldap-guest klappt nicht.

unberechtigte Grüße
Niels
Picture of Achim 1648
Registered 10 years 243 days
Achim 1648 Tuesday, 21 November 2017, 05:32 PM
1 of 1 users consider this post helpful
Re: Zugriff auf Estos-Meta-Directory via Reverse-Proxy
Moin moin,

im estos MetaDirectory Administrator kann man im Menü Datenbank-Manager unter z.B. dc=meta, Eigenschaften, den User wie oben angezeigt anlegen domain\user.

Im Reverse Proxy/Services verweist Du ja auf die Domain:

"Test" IP:ip-des-metadirectory Port:712

Im User unter Directories verweist Du auf:

User: "Test\LdapUser"
Server: DNS-Name des ReverseProxy
Search Base: dc=meta

Im Metadirectory wird nur der User "Test\LdapUser" mit Kennwort angelegt.

Der Client bekommt von der PBX den Eintrag in den Directories zugewiesen,
stellt seine Anfrage an den ReverseProxy (über DNS aufgelöst), dieser weiß anhand der Domain "Test" dass er die Anfrage an die IP des Metadirectory mit Port 712 weiterleiten muß.
Im Metadirectory schlägt die Anfrage dann mit Username "Test\LdapUser" und Kennwort auf und wird mehr oder minder erfolgreich beantwortet.

Wichtig:
Die Anfrage an die PBX läuft genauso ab, daher ist in der PBX der Eintrag im LDAP-Server mit z.B. "PBX\User" wichtig, denn wenn die Anfrage an die PBX nicht funktioniert, läuft auch die Anfrage an den externen Server nicht durch.
Es sei denn man deaktiviert in den Directories des Users die interne PBX (so die Theorie) smile.

Gruß Achim

Picture of Muschelpuster
Registered 7 years 342 days
Muschelpuster Wednesday, 22 November 2017, 06:54 PM
Re: Zugriff auf Estos-Meta-Directory via Reverse-Proxy
Danke Achim für die Erklärungen.  

Gerade bei Innovaphone ist es extrem wichtig die Wege zu verstehen, sonst rührt man ewig im falschen Topf. Daher versuche ich bei diesen Feinheiten wirklich die Details zu verstehen. 

Meine 'Testreihen' haben jetzt gezeigt, dass die Wege des MyPBX-Clients und der Phones unterschiedlich sind: 
Der MyPBX-Client tunnelt seine Anfrage im http(s) zur Anlage. Hier muss die Anlage dann natürlich auch den DNS-Namen aus der Directory-Konfig des Users auflösen und erreichen können. Das kann auch das interne Interface des Reverse-Proxy sein, dieser macht dann ggf. die Umsetzung von SSL auf eine unverschlüsselte Verbindung zum MetaDirectory, so die Lizenz keine Verschlüsselung hergibt.
Die Phones hingegen gehen direkt zu der konfigurierten Adresse des Users. Daher müssen sie dann auch den Reverse-Proxy erreichen und dafür muss auf dem Reverse-Proxy ein Forwarding eingerichtet sein. Da man nur 1x den LDAP pro DNS forwarden kann, muss dies ein extra DNS-Name sein. Mein erster Gedanke, hier den DNS-Namen von der LAP zu nehmen ist auch unpraktisch, denn dieser Name wird bei mir von intern natürlich auf die interne Adresse der LAP aufgelöst. 
Unterm Strich bleibt es das Beste, wenn das Meta Directory mit der Enterprise-Lizenz gekauft wird und so SSL unterstützt. Bei den Preisen, die Estos da inzwischen aufruft, ist das aber auch nicht unbedingt eine leichte Entscheidung. Dann kann man aber den Namen aber intern direkt auf das Meta schieben und nimmt die Last vom Reverse-Proxy. Das ist sicher in der Standard-Installation nicht relevant, aber in großen Installationen könnte das schon ein Punkt sein, denn LDAP macht ja doch sehr viele Anfragen. Wozu der MetaDir-User auf der PBX noch unter Services-LDAP rein soll, erschließt sich mir nicht - das geht im Moment auch alles ohne dem. Aber der tut ja nun auch nicht weh und wenn es so sein soll... 

Nun zeigt nur noch das IP222 bei mehreren Rufnummern auch mehrfach den Treffer an und markiert alle Nummern als geschäftlich, obwohl es im MyPBX richtig läuft. Aber da wird der LDAP ja sowieso primär zur Namensauflösung bei ankommenden Anrufen gebraucht. 

zusammengefasste Grüße 
Niels
Picture of Achim 1648
Registered 10 years 243 days
Achim 1648 Thursday, 23 November 2017, 03:07 PM
1 of 1 users consider this post helpful
Re: Zugriff auf Estos-Meta-Directory via Reverse-Proxy
Moin moin,

habs vielleicht etwas umständlich ausgedrückt ..
Der LDAP-User des externen Servers muss nicht unter Services PBX eingetragen werden, sondern ein neuer LDAP-User für die PBX-Anfragen.

RP, DNS-Name:
extern = öffentliche IP-Adresse
intern = IP-Adresse in der DMZ oder dem Transfernetz

Zum RP:
Anfragen an PBX und Estos via Port 636

Vom RP zur PBX via Port 389
Vom RP zu Estos via Port 712


Ich hab da mal was vorbereitet:

gelb = LDAP-Anfragen an die PBX
grün = LDAP-Anfragen an Estos Metadirectory


ReverseProxy_LDAP.JPG

Picture of Muschelpuster
Registered 7 years 342 days
Muschelpuster Thursday, 23 November 2017, 04:57 PM
Re: Zugriff auf Estos-Meta-Directory via Reverse-Proxy
Achim, wir sind uns einig - Du hast Dich da nicht falsch ausgedrückt wink
Der Wiki-Artikel aus dem der obige Screenshot stammt ist einfach falsch, aber natürlich ist er erst einmal mein Leitfaden. Er zeigt, dass der MetaDir-User unter Service-LDAP rein soll, was ja aber auch wenig Sinn macht. In beiden Fällen steht hier hq.innovaphone.com - das kann so nicht funktionieren und führt zu Verwirrungen. Im Screenshot vom RP steht dann ja auch directory.innovaphone.com. Hier wäre eine Überarbeitung wohl mal angebracht, so dass nicht so sein soll und nur zur allgemeinen Verwirrung gedacht ist wink
Ich habe es jetzt fast wie von Dir beschrieben gelöst. Gerade die Verwendung einer nicht existenten Domain würde hier für Klarheit sorgen. Ich würde da hq.ldap oder hq.innovaphone.ldap verwenden (so habe ich es jetzt gemacht). Dann ist ebenso wie in Deinem Beispiel mit der Domain estos auf dem RP völlig klar, wozu der Eintrag ist. In der User-Phone-Konfig dann der DNS-Name vom RP rein und alles ist gut. Man muss sich nur bewusst machen, dass nun auch die internen LDAP-Suchen von den entsprechend konfigurierten Geräten nicht direkt zum MetaDir geht, sondern über den RP.

fehlgeleitete Grüße
Niels
Picture of Achim 1648
Registered 10 years 243 days
Achim 1648 Thursday, 23 November 2017, 05:42 PM
Re: Zugriff auf Estos-Meta-Directory via Reverse-Proxy
Lol .... jetzt wo Du es sagst hab ich es auch gesehen ... gleicher User unter PBX/Services/LDAP und im Estos ... woher soll der RP wissen an welche Domain er die Anfragen schicken soll.
Also die Screenshots aus dem Buch einfach vergessen.

Gruß Achim
Picture of Christoph Künkel (innovaphone)
Moderator Registered 14 years 357 days
Christoph Künkel (innovaphone) Wednesday, 29 November 2017, 03:28 PM
Re: Zugriff auf Estos-Meta-Directory via Reverse-Proxy
genau, es ging da eher darum, dass man eben im Estos auch einen Account mit Domain haben muss - was ja nicht der Standardfall aber erfreulicher weise doch möglich ist im metadirectory.

Ich habe jetzt hinzugefügt
If you use a 3rd party LDAP server, you will need to create a similar account in this server. Keep in mind that if you want to use both PBX LDAP server an d a 3rd party, you need to have accounts with different domains on both (e.g. hq.innovaphone.com\ldap-guest in the PBX and directory.innovaphone.com\ldap-guest in the 3rd party server).
Das hilft schon mal etwas. Leider gibts da in dem Screenshot auch noch eine Vermischung von company.com vs. innovaphone.com. Da habe ich jetzt auch keine Erklärung dafür. So wie ich das sehe, gehört in alle Stellen, wo jetzt company.com drin steht stattdessen innovaphone.com.

Christoph
Picture of Gerrit Beuko (innovaphone)
Moderator Registered 13 years 150 days
Gerrit Beuko (innovaphone) Thursday, 30 November 2017, 02:40 PM
Re: Zugriff auf Estos-Meta-Directory via Reverse-Proxy
Leider gibts da in dem Screenshot auch noch eine Vermischung von company.com vs. innovaphone.com. Da habe ich jetzt auch keine Erklärung dafür. So wie ich das sehe, gehört in alle Stellen, wo jetzt company.com drin steht stattdessen innovaphone.com.

Buch aktualisiert (Screenshot). Sollte jetzt ok sein.
Danke für den Hinweis.

Gruß Gerrit
← You can define your color theme preference here