Lauritzl: 1 Version importiert

2025-09-11T15:41:23Z

1 Version importiert

← Nächstältere Version		Version vom 11. September 2025, 17:41 Uhr
(kein Unterschied)

Lauritzl am 11. September 2025 um 06:51 Uhr

2025-09-11T06:51:58Z

Neue Seite

{{Archivhinweis|UTM/FAQ-VoIP|ver=VoIP}}
{{Set_lang}}

{{#vardefine:headerIcon|spicon-utm}}

{{var | display
| UTM zwischen VoIP-Client und VoIP-Server
| UTM between VoIP client and VoIP server }}
{{var | head
| Einstellungen in der UTM-Firewall für VoIP-Geräte, wenn die UTM zwischen dem VoIP-Server und den VoIP-Clients liegt.
| Settings in the UTM firewall for VoIP devices when the UTM is located between the VoIP server and the VoIP clients. }}
{{var | Paketfilter--Bild
| UTM v12.2.3 Portfilter VoIP-Regel.png
| UTM v12.2.3 Portfilter VoIP-Regel-en.png }}
{{var | Paketfilter--cap
| Paketfilter-Regel für VoIP
| Port filter rule for VoIP }}
{{var | voip--desc
| Wenn zwischen VoIP-Endgeräten und einem VoIP-Server eine UTM steht, ist es notwendig, eine zusätzliche Paketfilter-Regel anzulegen, die VoIP mit NAT freischaltet.<br>Der Verbindungsaufbau erfolgt über SIP, das Gerät meldet sich mit seiner lokalen IP am VoIP-Server an. Die Sprachpakete selbst werden dann aber über rtp auf anderen Ports gesendet.<br>Um nun den VoIP-Client und gleichzeitig die bei Verbindungsaufbau übermittelten rtp-Ports im lokalen Netz von außen - in diesem Fall für den VoIP-Server erreichbar zu machen ist es notwendig eine Paketfilter-Regel dafür anzulegen.
| If there is a UTM between VoIP end devices and a VoIP server, it is necessary to create an additional packet filter rule that enables VoIP with NAT.<br>The connection is established via SIP, the device logs on to the VoIP server with its local IP. The voice packets themselves are then sent via rtp on other ports.<br>In order to make the VoIP client and the rtp ports in the local network available from outside - in this case accessible for the VoIP server - it is necessary to create a packet filter rule for this. }}
{{var | Paketfilterrel erstellen--Bild
| UTM v12.6 FAQ-VoIP Paketfilterrel erstellen.png
| UTM v12.6 FAQ-VoIP Paketfilterrel erstellen-en.png }}
{{var | Paketfilterregel hinzufügen
| Paketfilterregel hinzufügen
| Adding packet filter rule }}
{{var | Regel hinzufügen
| Regel hinzufügen
| Add Rule }}
{{var | action| Aktion
| Action }}
{{var | source
| Quelle
| Source }}
{{var | source--desc
| Es sollte eine geeignete Gruppe definiert werden. Z.B.: ''Telefone und Workstations'' oder ''VoIP-clients''
| An appropriate group should be defined. For example: ''Phones and workstations'' or ''VoIP-devices'' }}
{{var | source-kein internal--Hinweis
| ''Internal Network'' erlaubt ''allen'' Netzwerkgeräten VoIP!
| ''Internal Network'' allows ''all'' network devices VoIP! }}
{{var | source-Netzwerksicherheit--Hinweis
| Aus Gründen der Netzwerk-Sicherheit sollte Geräten, die kein VoIP benötigen (z.B. Druckern oder IoT-Geräten) auch kein VoIP erlaubt werden.
| For reasons of network security, devices that do not require VoIP (e.g. printers or IoT devices) should not be allowed VoIP either. }}
{{var | dest
| Ziel
| Destination }}
{{var | service
| Dienst
| Service }}
{{var | service--desc
| Dienstgruppe VoIP: Schaltet folgende Ports frei:
| VoIP service group: Enables the following ports: }}
{{var | nat
| NAT
| NAT }}
{{var | type
| TYP
| Type }}
{{var | netobject
| Netzwerkobjekt
| Network object }}
{{var | kmod
| Zusätzlich '''kann''' es notwendig sein folgende Befehle im CLI auszuführen:
| Additionally, it '''may be''' necessary to execute the following commands in the CLI: }}
{{var | kmod_desc
|
debug kmod load module nf_nat_sip
debug kmod load module nf_nat_h323
debug kmod load module nf_conntrack_sip
debug kmod load module nf_conntrack_h323

Anschließend als root-user per ssh den Befehl
conntrack -F
mehrmals ausführen
|
debug kmod load module nf_nat_sip
debug kmod load module nf_nat_h323
debug kmod load module nf_conntrack_sip
debug kmod load module nf_conntrack_h323

Then as root-user via ssh execute the command
conntrack -F
run several times }}
{{var | neu--Slip-Stream-Hinweis
| Hinweis zur Vermeidung von Slipstreaming Angriffen
| Note on avoiding slipstreaming attacks }}
{{var | kmod_desc--Hinweis
| In diesem Falle ist der Rechner, der die Verbindung initiiert in Verbindung mit der oben genannten Paketfilter Regel für Slipstreaming Angriffe verwundbar.<br>Das Netzwerkobjekt für das Ziel sollte hier auf die Telefonanlage begrenzt werden, um das Risiko zu reduzieren.
| In this case, the device initiating the connection in conjunction with the packet filter rule shown above is vulnerable to slipstreaming attacks.<br>The network object for the destination should be limited to the PBX here to avoid the risk. }}
{{var | Allgemein
| Allgemein
| General }}
{{var | SIP-Port--Hinweis
| Der vordefinierte <u>Dienst</u> ''sip'' (enthalten in der Paketfiltergruppe ''voip'') hat den <u>Protokolltyp</u> ''sip'', welcher die Application Layer Gateway (ALG) Module lädt.
| The predefined <u>service</u> ''sip'' (contained in the packet filter group ''voip'') has the <u>protocol type</u> ''sip'', which loads the Application Layer Gateway (ALG) modules. }}
{{var | SIP-Port--desc
| Protokolltyp ''sip''
| protocol type ''sip'' }}
{{var | SIP-Port--info
| Der Protokolltyp ''sip'' lädt die Application Layer Gateway Module (ALG)
| The protocol type ''sip'' loads the Application Layer Gateway modules (ALG) }}
{{var | Ziel--desc
| VoIP-Verbindungen mit entsprechend geöffneten Ports sollten ausschließlich zum VOIP-Server möglich sein.
| VoIP connections with the corresponding open ports should only be available to the VOIP server. }}
{{var | Ausgangslage
| Ausgangslage
| Starting point }}
{{var | Paketfilter Regel
| Paketfilter Regel
| Packetfilter rule }}
{{var | VoIP ohne SIP Helper
| VoIP ohne SIP Helper
| VoIP without SIP Helper }}
{{var | VoIP ohne SIP Helper--desc
| Soll VoIP ohne die sip-Helper und damit ohne ALG durchgeführt werden, muss eine neuer Dienst angelegt werden, der den Port 5060 UDP ohne den Protokolltyp ''sip'' verwendet.<br>{{Menu-UTM|Firewall|Dienste||Objekt hinzufügen|+}}
| If VoIP is to be performed without the sip helper and thus without ALG, a new service must be created that uses port 5060 UDP without the protocol type ''sip''.<br>{{Menu|Firewall|Services||Add object|+}} }}
{{var | Name
| Name:
| Name: }}
{{var | Name--val
| udp 5060 ohne Typ
| udp 5060 without type }}
{{var | Name--desc
| Aussagekräftiger Name
| Prominent name }}
{{var | Protokoll
| Protokoll:
| Protocol: }}
{{var | Protokolltyp
| Protokolltyp:
| Protocol type: }}
{{var | Protokolltyp--desc
| Frei lassen!
| Leave blank! }}
{{var | Zielport Typ
| Zielport Typ:
| Destination port type: }}
{{var | Einzelner Port
| Einzelner Port
| Single port }}
{{var | Port-Bereich
| Port-Bereich
| Port range }}
{{var | Zielport Typ--desc
| Nur ein Port wird benötigt
| Only one port is needed }}
{{var | Zielport
| Zielport:
| Destination port: }}
{{var | Zielport--desc
| Zielport für sip über udp ist 5060
| Destination port for sip via udp is 5060 }}
{{var | Quellport Typ
| Quellport Typ:
| Source port type: }}
{{var | Quellport Typ--val
| Alle
| All }}
{{var | Quellport Typ--desc
| Die Clients können über verschiedene Ports die Verbindung aufbauen
| The clients can establish the connection via various ports }}
{{var | Speichern und schließen
| Speichern und schließen
| Save and close }}
{{var | Speichern und schließen--desc
| Anlegen des Dienstes
| Create the service }}
{{var | Dienst anlegen
| Dienst anlegen
| Create service }}
{{var | Dienst anlegen--Bild
| UTM v12.6 FAQ-VoIP Dienst erstellen.png
| UTM v12.6 FAQ-VoIP Dienst erstellen-en.png }}
{{var | Dienst anlegen--cap
| Neuer Dienst
| New service }}
{{var | Dienst hinzufügen
| Dienst hinzufügen
| Add Service Object }}
{{var | Dienstgruppe anlegen
| Dienstgruppe anlegen
| Create service group }}
{{var | Dienstgruppe anlegen--desc
| Anschließend sollte unter {{KastenGrau|Dienstgruppen}} mit {{Button|Gruppe hinzufügen|Add folder}} eine neue Gruppe angelegt werden:

| Subsequently, a new group should be created under {{KastenGrau|Service groups}} with {{Button|Add group|Add folder}}: }}
{{var | Paketfilter Regel ohne sip Helper--desc
| Zuletzt wird eine Paketfilter Regel wie oben erstellt, die als Dienst nun aber die neue Dienstgruppe enthält.
| Finally, a packet filter rule is created as described above, but now containing the new service group as the service. }}
{{var | Dienste-Gruppe--val
| voip ohne ALG
| voip without ALG }}
{{var | Kein laden per CLI
| Ein laden oder entladen der sip-Helper Module per CLI ist nicht mehr erforderlich
| There is no longer a need to load or unload the sip-Helper modules via CLI }}
{{var | Quelle | Quelle | Source }}
{{var | Ziel | Ziel | Target }}
{{var | Dienst | Dienst | Service }}
{{var | Aktion | Aktion | Action }}
{{var | Aktiv | Aktiv | Active }}

{{var | Name-Dienstgruppe--val
| voip ohne ALG
| voip without ALG }}
{{var | Dienste
| Dienste:
| Services: }}
{{var | Dienste--desc
| Der soeben neu angelegte Dienst für ''udp (Port 5060)'' und der Dienst ''rtp (ports 7070-7089)'' müssen enthalten sein
| The newly created service for ''udp (port 5060)'' and the service ''rtp (ports 7070-7089)'' must be included }}
{{var | Zielports
| Zielports:
| Destination ports: }}
{{var | Paketfilter
| Paketfilter
| Packetfilter }}
{{var |
|
| }}

----
{{var |
|
| }}

</div><div class="new_design"></div>{{Select_lang}}{{TOC2|limit=1}}
{{Header| 12.6.0 |
* {{#var:neu--rwi}}
|[[UTM/FAQ-VoIP_07.2022 | 07.2022]]
[[UTM/FAQ-VoIP_v11.8 | 11.8]]
|
}}
----

=== {{#var:Ausgangslage}} ===

<div class="Einrücken">
<p>{{#var:voip--desc}}</p>
</div>
----

=== {{#var:Paketfilter Regel}} ===
{| class="sptable2 pd5 zh1 Einrücken"
| class=noborder colspan=3 | {{Menu-UTM|Firewall|Paketfilter||{{#var:Regel hinzufügen}}|+}}
|- class=noborder
| colspan=3 | {{Kasten|{{#var:Allgemein}} }}
|-
| {{ b | {{#var:source|Quelle}}: }} || {{ic| voip-clients|dr|icon=netgroup|class=mw13}} || {{#var:source--desc}}
<li class="list--element__alert list--element__warning">{{#var:source-kein internal--Hinweis}}</li>
<li class="list--element__alert list--element__warning">{{#var:source-Netzwerksicherheit--Hinweis}}</li>
| class=Bild rowspan=8 | {{Bild|{{#var:Paketfilterrel erstellen--Bild}}|{{#var:Paketfilterregel hinzufügen}}||{{#var:Regel hinzufügen}}|Firewall|{{#var:Paketfilter}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
|-
| {{ b | {{#var:dest|Ziel}}: }} || {{ic| voip-server|dr|icon=host|class=mw13}} || {{#var:Ziel--desc}}
|-
| {{ b | {{#var:service|Dienst}}: }} || {{ic| voip|dr|icon=dienste|class=mw13 }} || {{#var:service--desc|Dienstgruppe VoIP: Schaltet folgende Ports frei: }}
* SIP: UDP Port 5060 {{#var:SIP-Port--desc}} {{info|{{#var:SIP-Port--info}} }}
* rtp: UDP Port 7070-7089
|-
| {{ b | {{#var:action|Aktion}}: }} || {{ Button | Stateless | dr |class=mw13}} ||
|- class=noborder
| colspan="3" | {{ Kasten | [ - ] NAT }}
|-
| {{ b | {{#var:type|TYP}}: }} || {{ Button | HIDENAT |dr|class=mw13}} ||
|-
| {{ b | {{#var:netobject|Netzwerkobjekt}}: }} || {{ ic | external-interface | dr | icon=interface|class=mw13}} ||
|- class="Leerzeile"
|
|}
----

=== {{#var:VoIP ohne SIP Helper}} ===
<div class="Einrücken">
{{#var:SIP-Port--Hinweis}}

{{#var:VoIP ohne SIP Helper--desc}}

==== {{#var:Dienst anlegen}} ====
{| class="sptable2 pd5 zh1 Einrücken"
|-
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
| class="Bild" rowspan="8" | {{Bild | {{#var:Dienst anlegen--Bild}}|{{#var:Dienst anlegen--cap}}||{{#var:Dienst hinzufügen}}|Firewall|{{#var:Dienste}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
|-
| {{b|{{#var:Name}} }} || {{ic| {{#var:Name--val}}|class=available}} || {{#var:Name--desc}}
|-
| {{b|{{#var:Protokoll}} }} || {{Button|udp|dr|class=available}} ||
|-
| {{b|{{#var:Protokolltyp}} }} || {{Button| |dr|class=mw16}} || <li class="list--element__alert list--element__hint">{{#var:Protokolltyp--desc}}</li>
|-
| {{b|{{#var:Zielport Typ}} }} || {{Button|{{#var:Einzelner Port}}|class=aktiv}}{{Button|{{#var:Port-Bereich}} }} || {{#var:Zielport Typ--desc}}
|-
| {{b|{{#var:Zielport}} }} || {{ic|5060|c|class=available}} || {{#var:Zielport--desc}}
|-
| class=mw8 | {{b|{{#var:Quellport Typ}} }} || {{Button| {{#var:Quellport Typ--val}}|class=aktiv}}{{Button|{{#var:Einzelner Port}} }}{{Button|{{#var:Port-Bereich}} }} || {{#var:Quellport Typ--desc}}
|- class="Leerzeile"
| colspan="2" | {{Button-dialog||fa-floppy-disk-circle-xmark|hover={{#var:Speichern und schließen}} }} || {{#var:Speichern und schließen--desc}}
|}

==== {{#var:Dienstgruppe anlegen}} ====
<div class="Einrücken">{{#var:Dienstgruppe anlegen--desc}}<br>
{| class="sptable2 pd5"
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}}
|-
| {{b|{{#var:Name}} }} || {{ic| {{#var:Name-Dienstgruppe--val}} }} || {{#var:Name--desc}}
|-
| {{b|{{#var:Dienste}} }} || {{ic| {{cb|{{spc|udp|o|{{#var:Name--val}} {{#var:Zielports}}5060}}|-|class=max-content}}<br> {{cb|{{spc|udp|o|rtp {{#var:Zielports}} 7070:7089}}|-}}|cb|class=max-content}} || {{#var:Dienste--desc}}
|}

</div>

==== {{#var:Paketfilter Regel}} ====
<div class="Einrücken">

{| class="sptable2 Paketfilter pd5 tr--bc__white zh1"<br>
|- class="bold small no1cell"
| class="Leerzeile bc__default normal fs-initial" rowspan="3"| {{#var:Paketfilter Regel ohne sip Helper--desc}} || || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"|

|-
| {{spc|drag|o|-}} || 24 || {{spc|netgroup|o|-}} voip-clients || {{spc|host|o|-}} voip-server || {{spc|dienste|o|-}} {{#var:Dienste-Gruppe--val}} || {{Kasten|HN|blau}} || {{Kasten|Stateless|grau|icon=info}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}}
|- class="Leerzeile"
| class=bc__default |
|}

<br><br>

</div>

</div>

<div class="einrücken">
<li class="list--element__alert list--element__positiv">{{#var:Kein laden per CLI}}</li>
<br clear=all></div>

UTM/FAQ-VoIP v12.6 - Versionsgeschichte

Lauritzl: 1 Version importiert

Lauritzl am 11. September 2025 um 06:51 Uhr