Lauritzl: Textersetzung - „sptable2 spezial“ durch „sptable2 Paketfilter“

2024-05-29T09:50:56Z

Textersetzung - „sptable2 spezial“ durch „sptable2 Paketfilter“

← Nächstältere Version		Version vom 29. Mai 2024, 11:50 Uhr
Zeile 289:		Zeile 289:
	<div class="Einrücken">		<div class="Einrücken">

	{\| class="sptable2 ~~spezial~~ pd5 tr--bc__white zh1"<br>		{\| class="sptable2 Paketfilter pd5 tr--bc__white zh1"<br>
	\|- class="bold small no1cell"		\|- class="bold small no1cell"
	\| class="Leerzeile bc__default normal fs-initial" rowspan="3"\| {{#var:Portfilter Regel ohne sip Helper--desc}} \|\| \|\| <nowiki>#</nowiki> \|\| style="min-width:12em;"\| {{#var:Quelle}} \|\| style="min-width:12em;"\| {{#var:Ziel}} \|\| style="min-width:12em;"\| {{#var:Dienst}} \|\| style="min-width:6em;"\| NAT \|\| {{#var:Aktion}} \|\| {{#var:Aktiv}} \|\|style="min-width:5em;"\|		\| class="Leerzeile bc__default normal fs-initial" rowspan="3"\| {{#var:Portfilter Regel ohne sip Helper--desc}} \|\| \|\| <nowiki>#</nowiki> \|\| style="min-width:12em;"\| {{#var:Quelle}} \|\| style="min-width:12em;"\| {{#var:Ziel}} \|\| style="min-width:12em;"\| {{#var:Dienst}} \|\| style="min-width:6em;"\| NAT \|\| {{#var:Aktion}} \|\| {{#var:Aktiv}} \|\|style="min-width:5em;"\|

Lauritzl: Die Seite wurde neu angelegt: „{{Archivhinweis|UTM/FAQ-VoIP|pre=12.6.0}} {{Set_lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | UTM zwischen VoIP-Client und VoIP-Server | UTM between VoIP client and VoIP server }} {{var | head | Einstellungen in der UTM-Firewall für VoIP-Geräte, wenn die UTM zwischen dem VoIP-Server und den VoIP-Clients liegt. | Settings in the UTM firewall for VoIP devices when the UTM is located between the VoIP server and the VoIP clients.…“

2024-01-29T16:42:43Z

Die Seite wurde neu angelegt: „{{Archivhinweis|UTM/FAQ-VoIP|pre=12.6.0}} {{Set_lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | UTM zwischen VoIP-Client und VoIP-Server | UTM between VoIP client and VoIP server }} {{var | head | Einstellungen in der UTM-Firewall für VoIP-Geräte, wenn die UTM zwischen dem VoIP-Server und den VoIP-Clients liegt. | Settings in the UTM firewall for VoIP devices when the UTM is located between the VoIP server and the VoIP clients.…“

Neue Seite

{{Archivhinweis|UTM/FAQ-VoIP|pre=12.6.0}}
{{Set_lang}}

{{#vardefine:headerIcon|spicon-utm}}

{{var | display
| UTM zwischen VoIP-Client und VoIP-Server
| UTM between VoIP client and VoIP server }}
{{var | head
| Einstellungen in der UTM-Firewall für VoIP-Geräte, wenn die UTM zwischen dem VoIP-Server und den VoIP-Clients liegt.
| Settings in the UTM firewall for VoIP devices when the UTM is located between the VoIP server and the VoIP clients. }}
{{var | Portfilter--Bild
| UTM v12.2.3 Portfilter VoIP-Regel.png
| UTM v12.2.3 Portfilter VoIP-Regel-en.png }}
{{var | Portfilter--cap
| Portfilter-Regel für VoIP
| Port filter rule for VoIP }}
{{var | voip--desc
| Wenn zwischen VoIP-Endgeräten und einem VoIP-Server eine UTM steht, ist es notwendig, eine zusätzliche Portfilter-Regel anzulegen, die VoIP mit NAT freischaltet.<br>Der Verbindungsaufbau erfolgt über SIP, das Gerät meldet sich mit seiner lokalen IP am VoIP-Server an. Die Sprachpakete selbst werden dann aber über rtp auf anderen Ports gesendet. Um nun den VoIP-Client und gleichzeitig die bei Verbindungsaufbau übermittelten rtp-Ports im lokalen Netz von außen - in diesem Fall für den VoIP-Server erreichbar zu machen ist es notwendig eine Portfilter-Regel dafür anzulegen:
| If there is a UTM between VoIP end devices and a VoIP server, it is necessary to create an additional port filter rule that enables VoIP with NAT.<br>The connection is established via SIP, the device logs on to the VoIP server with its local IP. The voice packets themselves are then sent via rtp on other ports. In order to make the VoIP client and the rtp ports in the local network available from outside - in this case accessible for the VoIP server - it is necessary to create a port filter rule for this: }}
{{var | add_rule
| Regel hinzufügen
| Add Rule }}
{{var | action| Aktion
| Action }}
{{var | source
| Quelle
| Source }}
{{var | source--desc
| Es sollte eine geeignete Gruppe definiert werden. Z.B.: ''Telefone und Workstations'' oder ''VoIP-clients''
| An appropriate group should be defined. For example: ''Phones and workstations'' or ''VoIP-devices'' }}
{{var | source-kein internal--Hinweis
| ''Internal Network'' erlaubt ''allen'' Netzwerkgeräten VoIP!
| ''Internal Network'' allows ''all'' network devices VoIP! }}
{{var | source-Netzwerksicherheit--Hinweis
| Aus Gründen der Netzwerk-Sicherheit sollte Geräten, die kein VoIP benötigen (z.B. Druckern oder IoT-Geräten) auch kein VoIP erlaubt werden.
| For reasons of network security, devices that do not require VoIP (e.g. printers or IoT devices) should not be allowed VoIP either. }}
{{var | dest
| Ziel
| Destination }}
{{var | service
| Dienst
| Service }}
{{var | service--desc
| Dienstgruppe VoIP: Schaltet folgende Ports frei:
| VoIP service group: Enables the following ports: }}
{{var | nat
| NAT
| NAT }}
{{var | type
| TYP
| Type }}
{{var | netobject
| Netzwerkobjekt
| Network object }}
{{var | kmod
| Zusätzlich '''kann''' es notwendig sein folgende Befehle im CLI auszuführen:
| Additionally, it '''may be''' necessary to execute the following commands in the CLI: }}
{{var | kmod_desc
|
debug kmod load module nf_nat_sip
debug kmod load module nf_nat_h323
debug kmod load module nf_conntrack_sip
debug kmod load module nf_conntrack_h323

Anschließend als root-user per ssh den Befehl
conntrack -F
mehrmals ausführen
|
debug kmod load module nf_nat_sip
debug kmod load module nf_nat_h323
debug kmod load module nf_conntrack_sip
debug kmod load module nf_conntrack_h323

Then as root-user via ssh execute the command
conntrack -F
run several times }}
{{var | neu--Slip-Stream-Hinweis
| Hinweis zur Vermeidung von Slipstreaming Angriffen
| Note on avoiding slipstreaming attacks }}
{{var | kmod_desc--Hinweis
| In diesem Falle ist der Rechner, der die Verbindung initiiert in Verbindung mit der oben genannten Portfilter Regel für Slipstreaming Angriffe verwundbar.<br>Das Netzwerkobjekt für das Ziel sollte hier auf die Telefonanlage begrenzt werden, um das Risiko zu reduzieren.
| In this case, the device initiating the connection in conjunction with the port filter rule shown above is vulnerable to slipstreaming attacks.<br>The network object for the destination should be limited to the PBX here to avoid the risk. }}
{{var | Allgemein
| Allgemein
| General }}
{{var | SIP-Port--Hinweis
| Der vordefinierte <u>Dienst</u> ''sip'' (enthalten in der Portfiltergruppe ''voip'') hat den <u>Protokolltyp</u> ''sip'', welcher die Application Layer Gateway (ALG) Module lädt.
| The predefined <u>service</u> ''sip'' (contained in the port filter group ''voip'') has the <u>protocol type</u> ''sip'', which loads the Application Layer Gateway (ALG) modules. }}
{{var | SIP-Port--desc
| Protokolltyp ''sip''
| protocol type ''sip'' }}
{{var | SIP-Port--info
| Der Protokolltyp ''sip'' lädt die Application Layer Gateway Module (ALG)
| The protocol type ''sip'' loads the Application Layer Gateway modules (ALG) }}
{{var | Ziel--desc
| VoIP-Verbindungen mit entsprechend geöffneten Ports sollten ausschließlich zum VOIP-Server möglich sein.
| VoIP connections with the corresponding open ports should only be available to the VOIP server. }}
{{var | Ausgangslage
| Ausgangslage
| Starting point }}
{{var | Portfilter Regel
| Portfilter Regel
| Port filter rule }}
{{var | VoIP ohne SIP Helper
| VoIP ohne SIP Helper
| VoIP without SIP Helper }}
{{var | VoIP ohne SIP Helper--desc
| Soll VoIP ohne die sip-Helper und damit ohne ALG durchgeführt werden, muss eine neuer Dienst angelegt werden, der den Port 5060 UDP ohne den Protokolltyp ''sip'' verwendet.<br>{{Menu|Firewall|Portfilter|Dienste|Objekt hinzufügen|+}}
| If VoIP is to be performed without the sip helper and thus without ALG, a new service must be created that uses port 5060 UDP without the protocol type ''sip''.<br>{{Menu|Firewall|Portfilter|Services|Add object|+}} }}
{{var | Name
| Name:
| Name: }}
{{var | Name--val
| udp 5060 ohne Typ
| udp 5060 without type }}
{{var | Name--desc
| Aussagekräftiger Name
| Prominent name }}
{{var | Protokoll
| Protokoll:
| Protocol: }}
{{var | Protokolltyp
| Protokolltyp:
| Protocol type: }}
{{var | Protokolltyp--desc
| Frei lassen!
| Leave blank! }}
{{var | Zielport Typ
| Zielport Typ:
| Destination port type: }}
{{var | Zielport Typ--val
| Einzelner Port
| Single port }}
{{var | Zielport Typ--desc
| Nur ein Port wird benötigt
| Only one port is needed }}
{{var | Zielport
| Zielport:
| Destination port: }}
{{var | Zielport--desc
| Zielport für sip über udp ist 5060
| Destination port for sip via udp is 5060 }}
{{var | Quellport Typ
| Quellport Typ:
| Source port type: }}
{{var | Quellport Typ--val
| Alle
| All }}
{{var | Quellport Typ--desc
| Die Clients können über verschiedene Ports die Verbindung aufbauen {{f| Na, ob das so stimmt?}}
| }}
{{var | Speichern
| Speichern
| Save }}
{{var | Speichern--desc
| Anlegen des Dienstes
| Create the service }}
{{var | Dienst anlegen
| Dienst anlegen
| Create service }}
{{var | Dienst anlegen--Bild
| UTM v12.2.3 Portfilter VoIP-Dienst.png
| UTM v12.2.3 Portfilter VoIP-Dienst-en.png }}
{{var | Dienst anlegen--cap
| Neuer Dienst
| New service }}
{{var | Dienstgruppe anlegen
| Dienstgruppe anlegen
| Create service group }}
{{var | Dienstgruppe anlegen--desc
| Anschließend sollte unter {{KastenGrau|Dienstgruppen}} mit {{Button|Gruppe hinzufügen|Add folder}} eine neue Gruppe angelegt werden:

| Subsequently, a new group should be created under {{KastenGrau|Service groups}} with {{Button|Add group|Add folder}}: }}
{{var | Portfilter Regel ohne sip Helper--desc
| Zuletzt wird eine Portfilter Regel wie oben erstellt, die als Dienst nun aber die neue Dienstgruppe enthält.
| Finally, a port filter rule is created as described above, but now containing the new service group as the service. }}
{{var | Dienste-Gruppe--val
| voip ohne ALG
| voip without ALG }}
{{var | Kein laden per CLI
| Ein laden oder entladen der sip-Helper Module per CLI ist nicht mehr erforderlich
| There is no longer a need to load or unload the sip-Helper modules via CLI }}
{{var | Quelle | Quelle | Source }}
{{var | Ziel | Ziel | Target }}
{{var | Dienst | Dienst | Service }}
{{var | Aktion | Aktion | Action }}
{{var | Aktiv | Aktiv | Active }}

{{var | Name-Dienstgruppe--val
| voip ohne ALG
| voip without ALG }}
{{var | Dienste
| Dienste:
| Services: }}
{{var | Dienste--desc
| Der soeben neu angelegte Dienst für ''udp (Port 5060)'' und der Dienst ''rtp (ports 7070-7089)'' müssen enthalten sein
| The newly created service for ''udp (port 5060)'' and the service ''rtp (ports 7070-7089)'' must be included }}
{{var | Zielports
| Zielports:
| Destination ports: }}
{{var |
|
| }}

</div>{{Select_lang}}{{TOC2|limit=1}}
{{Header| 07.2022 |
* {{#var:neu--Slip-Stream-Hinweis}}
|[[UTM/FAQ-VoIP_v11.8 | 11.8]]
}}

=== {{#var:Ausgangslage}} ===
{{ pt3 | {{#var:Portfilter--Bild}} | hochkant=3 | {{#var:Portfilter--cap}} }}
<div class="Einrücken">
<p>{{#var:voip--desc|Wenn zwischen VoIP-Endgeräten und einem VoIP-Server eine UTM steht, ist es notwendig, eine zusätzliche Portfilter-Regel anzulegen, die VoIP mit NAT freischaltet.<br>
Der Verbindungsaufbau erfolgt über SIP, das Gerät meldet sich mit seiner lokalen IP am VoIP-Server an. Die Sprachpakete selbst werden dann aber über rtp auf anderen Ports gesendet. Um nun den VoIP-Client und gleichzeitig die bei Verbindungsaufbau übermittelten rtp-Ports im lokalen Netz von außen - in diesem Fall für den VoIP-Server erreichbar zu machen ist es notwendig eine Portfilter-Regel dafür anzulegen:}}</p>
</div>

=== {{#var:Portfilter Regel}} ===
<div class="Einrücken">{{ Menu | Firewall | Portfilter | Portfilter | {{#var:add_rule|Regel hinzufügen}} | +}}</div>

<br clear=all>
{| class="sptable2 pd5 Einrücken"
|- class="Leerzeile"
| colspan="3" | {{Kasten|{{#var:Allgemein}} }}
|-
| {{ b | {{#var:source|Quelle}} }} || {{ic| voip-clients|dr|icon=netgroup|class=mw13}} || {{#var:source--desc}}
<li class="list--element__alert list--element__warning">{{#var:source-kein internal--Hinweis}}</li>
<li class="list--element__alert list--element__warning">{{#var:source-Netzwerksicherheit--Hinweis}}</li>
|-
| {{ b | {{#var:dest|Ziel}} }} || {{ic| voip-server|dr|icon=host|class=mw13}} || {{#var:Ziel--desc}}
|-
| {{ b | {{#var:service|Dienst}} }} || {{ic| voip|dr|icon=dienste|class=mw13 }} || {{#var:service--desc|Dienstgruppe VoIP: Schaltet folgende Ports frei: }}
* SIP: UDP Port 5060 {{#var:SIP-Port--desc}} {{info|{{#var:SIP-Port--info}} }}
* rtp: UDP Port 7070-7089
|-
| {{ b | {{#var:action|Aktion}} }} || {{ Button | Stateless | dr |class=mw13}} ||
|- class="Leerzeile"
| colspan="3" | {{ Kasten | {{#var:nat|NAT}} }}
|-
| {{ b | {{#var:type|TYP}} }} || {{ Button | HIDENAT |dr|class=mw13}} ||
|-
| {{ b | {{#var:netobject|Netzwerkobjekt}} }} || {{ ic | external-interface | dr | icon=interface|class=mw13}} ||
|}
<br>

=== {{#var:VoIP ohne SIP Helper}} ===
<div class="Einrücken">
{{#var:SIP-Port--Hinweis}}

{{#var:VoIP ohne SIP Helper--desc}}

==== {{#var:Dienst anlegen}} ====
{| class="sptable2 pd5 zh1 Einrücken"
|-
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
| class="Bild" rowspan="8" | {{Bild | {{#var:Dienst anlegen--Bild}}|{{#var:Dienst anlegen--cap}} |class=width75}}
|-
| {{b|{{#var:Name}} }} || {{ic| {{#var:Name--val}}|class=mw13}} || {{#var:Name--desc}}
|-
| {{b|{{#var:Protokoll}} }} || {{Button|udp|dr|class=mw13}} ||
|-
| {{b|{{#var:Protokolltyp}} }} || {{button| |dr|class=mw13}} || {{#var:Protokolltyp--desc}}
|-
| {{b|{{#var:Zielport Typ}} }} || {{Button|{{#var:Zielport Typ--val}}|blau}} || {{#var:Zielport Typ--desc}}
|-
| {{b|{{#var:Zielport}} }} || {{ic|5060|c|class=mw13}} || {{#var:Zielport--desc}}
|-
| class=mw8 | {{b|{{#var:Quellport Typ}} }} || {{Button| {{#var:Quellport Typ--val}}|blau }} || {{#var:Quellport Typ--desc}}
|- class="Leerzeile"
| colspan="2" | {{Button|{{#var:Speichern}} }} || {{#var:Speichern--desc}}
|}

==== {{#var:Dienstgruppe anlegen}} ====
<div class="Einrücken">{{#var:Dienstgruppe anlegen--desc}}<br>
{| class="sptable2 pd5"
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
|-
| {{b|{{#var:Name}} }} || {{ic| {{#var:Name-Dienstgruppe--val}} }} || {{#var:Name--desc}}
|-
| {{b|{{#var:Dienste}} }} || {{ic| {{cb|{{spc|udp|o|{{#var:Name--val}} {{#var:Zielports}}5060}}|-|class=max-content}}<br> {{cb|{{spc|udp|o|rtp {{#var:Zielports}} 7070:7089}}|-}}|cb|class=max-content}} || {{#var:Dienste--desc}}
|}

</div>

==== {{#var:Portfilter Regel}} ====
<div class="Einrücken">

{| class="sptable2 spezial pd5 tr--bc__white zh1"<br>
|- class="bold small no1cell"
| class="Leerzeile bc__default normal fs-initial" rowspan="3"| {{#var:Portfilter Regel ohne sip Helper--desc}} || || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"|

|-
| {{spc|drag|o|-}} || 24 || {{spc|netgroup|o|-}} voip-clients || {{spc|host|o|-}} voip-server || {{spc|dienste|o|-}} {{#var:Dienste-Gruppe--val}} || {{Kasten|HN|blau}} || {{Kasten|Stateless|grau|icon=info}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
|- class="Leerzeile"
| class=bc__default |
|}

<br><br>

</div>

</div>

{{#var:Kein laden per CLI}}

UTM/FAQ-VoIP 07.2022 - Versionsgeschichte

Lauritzl: Textersetzung - „sptable2 spezial“ durch „sptable2 Paketfilter“