Eine unserer Primarschulen plant ein Radioprojekt mit PowerUp Radio. Neben einer UKW Übertragung gibt’s auch einen Livestream auf der Webseite. Um das zu realisieren, werden gemäss Anfrage die TCP Ports 80, 81 und 5901 benötigt (NACHTRAG: Neu sind es die Ports 8000, 8001 und 5901). Diese müssen auf der Firewall geöffnet werden. Unser Problem ist, dass nach unserer Firewall auch noch die Firewall der Swisscom vom Projekt “Schulen ans Netz” steht.

Auf unserer Firewall (Sophos UTM) habe ich zwei “Service Definitions” und eine Gruppe für die beiden benötigten Ports erstellt.

Danach kann man eine Firewall Regel für die beiden Protokolle nach aussen erstellen.

Wenn man den Zugang nun testen möchte, benötigt man einen Server im Internet, den man auf diesen Ports ansprechen kann. Die Seite http://portquiz.net/ bietet so einen Service an. Man kann mit Telnet einen gewünschten Port ansprechen.

Bei einem Verbindungsfehler kann man auf der Firewall überprüfen, ob sie die Anfrage blockt.

In diesem Fall lässt die Firewall die Anfrage auf die IP von portquiz.net mit Port 5901 aber durch. Trotzdem wird die Verbindung nicht aufgebaut. Dies muss also an der Firewall der Swisscom liegen.

Wir haben zwei Zugänge ins Internet. Auf der einen Seite den Zugang über den Contentfilter von der Swisscom und auf der anderen Seite eine öffentliche IP von der Swisscom, um unsere Server zu veröffentlichen. Bei beiden hat es eine Firewall der Swisscom, die nur von den Kantonsverantwortlichen als eigentlicher Kunde konfiguriert werden kann.

Mit unserer Firewall kann man mit sogenannten Multipath Rules bestimmen, welcher Verkehr über welchen Zugang abgewickelt werden soll.

So konnte ich verifizieren, dass beim Zugang über die öffentliche IP sowohl Port 81 als auch Port 5901 von der Swisscom Firewall geblockt wird. Beim Zugang über den Contentfilter der Swisscom kommt Port 5901 durch, aber Port 81 wird geblockt.

Hier sieht man, wie sich Telnet auf dem Port 5901 verbindet und statt einer Fehlermeldung ein schwarzes Fenster angezeigt wird.

Jetzt muss ich also bei den Kantonsverantwortlichen ansuchen, dass sie mir den anderen Port auch noch öffnen. Schliesslich wollen wir ein erfolgreiches Projekt mit PowerUp.