Lauritzl am 9. April 2026 um 13:29 Uhr

2026-04-09T13:29:27Z

Änderungen zeigen

Lauritzl am 14. Januar 2026 um 11:15 Uhr

2026-01-14T11:15:26Z

Änderungen zeigen

Lauritzl am 14. Januar 2026 um 10:32 Uhr

2026-01-14T10:32:41Z

Änderungen zeigen

Lauritzl: 1 Version importiert

2025-09-11T15:41:24Z

1 Version importiert

← Nächstältere Version		Version vom 11. September 2025, 17:41 Uhr
(kein Unterschied)

Lauritzl am 11. September 2025 um 13:38 Uhr

2025-09-11T13:38:18Z

Neue Seite

{{Lang}}

{{#vardefine:headerIcon|spicon-utm}}

{{var | display
| VoIP Best Practice
| }}

{{var | head
| Beispielszenarien zur VoIP Konfiguration mit der Securepoint UTM
| }}

{{var | Vorbemerkung
| Vorbemerkung
| }}
{{var | Vorbemerkung--desc
| FAQs zur Fehlerbehandlung und z.B. anderen Protokoll Optionen (udp ohne SIP Helper, TCP mit SIP-Helpern) finden sich in einem [[UTM/FAQ-VoIP|eigenen Artikel]].
| }}

{{var | Beispielszenario 1
| Beispielszenario 1
| }}
{{var | Beispielszenario 1--cap
| Router mit integrierter Telefonanlage
| }}
{{var | Beispielszenario 1--Bild
| VoIP-Beispiel 1.png
| }}
{{var | Routenerstellung auf Fritz!Box anzeigen
| Routenerstellung auf Fritz!Box anzeigen
| }}
{{var | 1=Beispielszenario 1--Routen auf Fritz!Box
| 2={{Disclaimer2|class=left mw100|Artikel=Abschnitt}} <ul> <li>Szenario: <ul> <li>IP-Adresse der Fritz!Box im internen Netz: 192.168.178.1</li> <li>IP-Adresse der UTM im Netz zur Fritz!Box (z.B. A0, Zone ''external''): 192.168.178.2</li> <li>Netz-IP des internen Netzes, in dem sich die VoIP-Clients befinden (z.B. A1, Zone ''internal-network''): 192.168.175.0/24 </li> </ul> </li> <li>Beispiel Fritzbox: <ul> <li>Menü {{Menu|Heimnetz|Netzwerk|Netzwerkeinstellungen|Anw=AVM}} → Option {{c|1=weitere Einstellungen |2=blau}} → Abschnitt {{B|Tabelle für statische Routen|Anw=AVM}} → Schaltfläche {{Button|IPv4-Routen|Anw=AVM}}</li> <li>Schaltfläche {{Button|Neue IPv4-Route|Anw=AVM}} <ul> <li>IPv4-Netzwerk: 192.168.175.0</li> <li>Subnetzmaske: 255.255.255.0</li> <li>Gateway: 192.168.178.1</li> <li>Checkbox: IPv4-Route aktiv</li> </ul> </li> <li>Schaltfläche Übernehmen</li> </li> </ul></ul>
| 3= }}
{{var | 1=Beispielszenario 1--Routen auf Speedport
| 2={{Disclaimer2|class=left mw100|Artikel=Abschnitt}} <ul> <li>Szenario: <ul> <li>IP-Adresse des Speedport im internen Netz: 192.168.2.1</li> <li>IP-Adresse der UTM im Netz zum Speedport (z.B. A0, Zone ''external''): 192.168.2.2</li> <li>Netz-IP des internen Netzes, in dem sich die VoIP-Clients befinden (z.B. A1, Zone ''internal-network''): 192.168.175.0/24 </li> </ul> </li> <li>Beispiel Speedport: <ul> <li>Menü ''Heimnetz → Netzwerkeinstellungen → Routing'' (Je nach Modell kann der Pfad leicht abweichen, z. B. "Erweiterte Einstellungen → Statische Routen")</li> <li>Neue Route hinzufügen: <ul> <li>Zielnetz: 192.168.175.0</li> <li>Subnetzmaske: 255.255.255.0</li> <li>Gateway: 192.168.2.1</li> <li>Schnittstelle:LAN</li> </ul> </li> <li>Schaltfläche Übernehmen</li> </li> </ul></ul>
| 3= }}
{{var | Beispielszenario 1--desc
| <div>
* Der Router (z. B. Fritz!Box) benötigt eine Route für die zu erreichenden Netzwerke hinter der Firewall {{info| {{#var:Beispielszenario 1--Routen auf Fritz!Box}}| Routenerstellung auf Fritz!Box anzeigen }} {{info| {{#var:Beispielszenario 1--Routen auf Speedport}}| Routenerstellung auf Speedport anzeigen }}
* Für den Router wird ein Netzwerkobjekt im Paketfilter angelegt
* Eine Regelgruppe wird erstellt, die möglichst oben im Regelwerk angelegt wird. Wenn vorhanden, auto generierte Regeln in einer anderen Gruppe nachbauen und diese dann deaktivieren
</div>
| }}
{{var | Router Netzwerkobjekt--Bild
| UTM v14.1.1 VoIP BestPractice Router Netzwerkobjekt.png
| UTM v14.1.1 VoIP BestPractice Router Netzwerkobjekt-en.png }}
{{var | Router Netzwerkobjekt--cap
| * Netzwerkobjekt für den Router erstellen unter {{Menu-UTM|Firewall|Netzwerkobjekte||Objekt hinzufügen|+}}
| }}
{{var | Netzwerkobjekt hinzufügen
| Netzwerkobjekt hinzufügen
| }}
{{var | Netzwerkobjekte
| Netzwerkobjekte
| }}
{{var | Regelgruppe VoIP--Bild
| UTM v12.7.3 VoIP BestPractice Regelgruppe VoIP.png
| UTM v12.7.3 VoIP BestPractice Regelgruppe VoIP-en.png }}
{{var | 1=Regelgruppe VoIP--cap
| 2=<ul>
* Unter {{Menu-UTM|Firewall|Paketfilter||Regelgruppe hinzufügen|addfolder}} sollte eine Regelgruppe für die Paktefilter Regeln erstellt werden.
<li class="list--element__alert list--element__hint">Diese an oberste Position verschieben</li></ul>
| 3= }}
{{var | Regelgruppe hinzufügen
| Regelgruppe hinzufügen
| }}
{{var | Paketfilter
| Paketfilter
| }}
{{var | Paketfilter internal-network router--Bild
| UTM v12.7.3 VoIP BestPractice Paketfilter internal-network router.png
| UTM v12.7.3 VoIP BestPractice Paketfilter internal-network router-en.png }}
{{var | Paketfilter internal-network router--cap
| * ''Ausgehende'' Paketfilterregel unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}} erstellen.
| }}
{{var | Regel hinzufügen
| Regel hinzufügen
| }}
{{var | Paketfilter router internal-network--Bild
| UTM v12.7.3 VoIP BestPractice Paketfilter router internal-network.png
| UTM v12.7.3 VoIP BestPractice Paketfilter router internal-network-en.png }}
{{var | Paketfilter router internal-network--cap
| * ''Eingehende'' Paketfilterregel unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}} erstellen
| }}
{{var | 1=Regel-Gruppen Hinweis
| 2=<li class="list--element__alert list--element__hint">Regel der zuvor erstellten Gruppe zuweisen, damit sie vor anderen Regeln ausgeführt wird</li>
| 3= }}
{{var | Übersicht der Regeln
| Übersicht der Regeln
| }}
{{var | Quelle | Quelle | Quelle }}
{{var | Ziel | Ziel | Target }}
{{var | Dienst | Dienst | Service }}
{{var | Aktion | Aktion | Action }}
{{var | Aktiv | Aktiv | Active }}
{{var | Typ | Typ | Type }}
{{var | Netzwerkobjekt | Netzwerkobjekt | Networkobject }}
{{var | Allgemein | Allgemein | General }}
{{var | Abb
| Abb.
| Fig. }}

{{var | Beispielszenario 2
| Beispielszenario 2
| }}
{{var | Beispielszenario 2--Bild
| VoIP-Beispiel 2.png
| }}
{{var | Beispielszenario 2--cap
| Telefonanlage und UTM im gleichen Netz an einem Router
| }}
{{var | Beispielszenario 2--Hinweis1
| Diese Konfiguration sollte unbedingt vermieden werden! Lassen sich keine Routen in der Telefonanlage hinterlegen kommt es mit hoher Wahrscheinlichkeit zu asynchronem Routing. Die Telefonanlage sollte am besten in einem eigenen Netz hinter die Firewall gebaut werden. Dann gilt [[#Telefonanlage_in_einem_eigenen_Netz_an_der_UTM_mit_Router|Beispielszenario 3]].
| }}
{{var | Beispielszenario 2--Hinweis2
| Falls es möglich ist, in der Telefonanlage Routen zu hinterlegen, ist das vorgehen ähnlich zu Beispielszenario 1. Statt des Routers wird dann nur die TK-Anlage in den Paketfilterregeln verwendet.
| }}
{{var | Beispielszenario 2a-cap
| Mit Regeln auf Telefonanlage
| }}
{{var | Beispielszenario 2b-cap
| Ohne Regeln auf Telefonanlage
| }}
{{var | TK-Anlage Netzwerkobjekt external--Bild
| UTM v14.0.0 VoIP BestPractice TK-Anlage Netzwerkobjekt external.png
| UTM v14.0.0 VoIP BestPractice TK-Anlage Netzwerkobjekt external-en.png }}
{{var | TK-Anlage Netzwerkobjekt--cap
| * Netzwerkobjekt für die TK Anlage erstellen unter {{Menu-UTM|Firewall|Netzwerkobjekte||Objekt hinzufügen|+}}
| }}
{{var | Paketfilter internal-network TK-Anlage--Bild
| UTM v14.0.0 VoIP BestPractice Paketfilter internal-network tk-anlage.png
| UTM v14.0.0 VoIP BestPractice Paketfilter internal-network tk-anlage-en.png }}
{{var | Paketfilter internal-network TK-Anlage--cap
| * ''Ausgehende'' Paketfilterregel unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}} erstellen.
| }}
{{var | Paketfilter TK-Anlage internal-network--Bild
| UTM v14.0.0 VoIP BestPractice Paketfilter tk-anlage internal-network.png
| UTM v14.0.0 VoIP BestPractice Paketfilter tk-anlage internal-network-en.png }}
{{var | Paketfilter TK-Anlage internal-network--cap
| * ''Eingehende'' Paketfilterregel unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}} erstellen.
| }}
{{var | Route auf Telefonanlage--Hinweis
| Route auf Telefonanlage nicht vergessen!
| }}
{{var | Beispielszenario 2b--desc
| Wenn keine Regeln auf der Telefonanlage angelegt werden könne, müssen auf der UTM auch Regeln für die Kommunikation zum Router erstellt werden. Dazu ist die Erstellung eines Netzwerkobjektes für den Router sowie zwei Regeln nötig. Insgesamt müssen in diesem Szenario dann folgende Regeln erstellt werden:
| }}

{{var | Beispielszenario 3
| Beispielszenario 3
| }}
{{var | Beispielszenario 3--Bild
| VoIP-Beispiel 3.png
| }}
{{var | Beispielszenario 3--cap
| Telefonanlage in einem eigenen Netz an der UTM mit Router
| }}
{{var | Beispielszenario 3--desc
| * Eine Regelgruppe wird erstellt, die möglichst oben im Regelwerk angelegt wird. Wenn vorhanden
* ggf. kann auf eine extra Regel für das SIP-Protokoll verzichtet werden, wenn SIP verschlüsselt übertragen wird. (Schreibt der Provider ggf. vor und muss dann auf der Telefonanlage eingerichtet werden.)
* auto generierte Regeln in einer anderen Gruppe nachbauen und diese dann deaktivieren
* Achtung: Hier findet doppeltes NAT statt: 1x durch die UTM und 1x durch den Router !
| }}
{{var | TK-Anlage Netzwerkobjekt--Bild
| UTM v12.7.3 VoIP BestPractice TK-Anlage Netzwerkobjekt.png
| UTM v12.7.3 VoIP BestPractice TK-Anlage Netzwerkobjekt-en.png }}
{{var | TK-Anlage Netzwerkobjekt--cap
| * Es muss ein Netzwerkobjekt für die TK-Anlage unter {{Menu-UTM|Firewall|Netzwerkobjekte||Objekt hinzufügen|+}} erstellt werden
| }}
{{var | Paketfilter Tk-Anlage Internet sip--Bild
| UTM v12.7.3 VoIP BestPractice Paketfilter Tk-Anlage Internet sip.png
| UTM v12.7.3 VoIP BestPractice Paketfilter Tk-Anlage Internet sip-en.png }}
{{var | Paketfilter Tk-Anlage Internet sip--cap
| * Es muss eine ausgehende Paketfilterregel mit dem Dienst {{ic|{{spc|udp|o|-}} sip|dr}} unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}} erstellt werden
| }}
{{var | 1=Beispielszenario 3-Paketfilter sip--Hinweis
| 2=<li class="list--element__alert list--element__hint">Wenn SIP verschlüsselt arbeitet, ist diese Regel nicht notwendig.</li>
| 3= }}
{{var | Paketfilter Internet Tk-Anlage any--Bild
| UTM v12.7.3 VoIP BestPractice Paketfilter Tk-Anlage Internet any.png
| UTM v12.7.3 VoIP BestPractice Paketfilter Tk-Anlage Internet any-en.png }}
{{var | Paketfilter Internet Tk-Anlage any--cap
| * Es muss eine ausgehende Paketfilterregel mit dem Dienst {{ic|{{spc|other|o|-}} any|dr}} unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}} erstellt werden
| }}

{{var | Beispielszenario 4
| Beispielszenario 4
| }}
{{var | Beispielszenario 4--Bild
| VoIP-Beispiel 4.png
| }}
{{var | Beispielszenario 4--cap
| Telefonanlage in einem eigenen Netz an der UTM / direkter Internetzugang
| }}
{{var | Beispielszenario 4--desc
| * Bei dieser Konfiguration sollten die Conntrack-Module nicht per Portfilterregel eingesetzt werden.
* Wichtig ist hier in den meisten Fällen, das in der Telefonanlage ein STUN-Server hinterlegt ist oder, wie bei ''Starface'', die externe IP (kann unter Server → Netzwerk geprüft werden) anderweitig ermittelt wird. Meist muss die TK-Anlage aber noch dazu gebracht werden, diese IP in den SDP-Teil des SIP-Paketes zu setzen. Bei Starface klappt das im Verbindungsprofil. Dort gibt es eine NAT-Einstellung. 
* Falls der Provider keinen STUN-Server anbietet klappt es meist ohne diesen. Man kann sich jedoch nicht darauf verlassen.
| }}
{{var | 1=Beispielszenario 4-Paketfilter sip--Hinweis
| 2=<li class="list--element__alert list--element__hint">Wenn SIP verschlüsselt oder mit TCP arbeitet, ist die Regel nicht notwendig.</li>
| 3= }}

----
{{var |
|
| }}
</div>

UTM/VoIP BestPractice.lang - Versionsgeschichte

Lauritzl am 9. April 2026 um 13:29 Uhr

Lauritzl am 14. Januar 2026 um 11:15 Uhr

Lauritzl am 14. Januar 2026 um 10:32 Uhr

Lauritzl: 1 Version importiert

Lauritzl am 11. September 2025 um 13:38 Uhr