K (Lauritzl verschob die Seite Spielwiese/UTM/FAQ-VoIP nach UTM/FAQ-VoIP) |
KKeine Bearbeitungszusammenfassung |
||
| Zeile 1: | Zeile 1: | ||
{{DISPLAYTITLE: UTM zwischen VoIP -Client und VoIP-Server ab UTM 11.8}} | {{Set_lang}} | ||
{{#vardefine:headerIcon|spicon-utm}} | |||
</div>{{DISPLAYTITLE: UTM zwischen VoIP -Client und VoIP-Server ab UTM 11.8}} | |||
'''Einstellungen in der UTM-Firewall für VoIP-Geräte, wenn der VoIP-Server <u>hinter</u> der UTM liegt.''' | '''Einstellungen in der UTM-Firewall für VoIP-Geräte, wenn der VoIP-Server <u>hinter</u> der UTM liegt.''' | ||
{{ pt3 | UTM_v11-8_Firewall_Portfilter_VoIP-Regel.png | Portfilter-Regel für VoIP }} | |||
<p>Wenn zwischen VoIP-Endgeräten und einem VoIP-Server eine UTM steht, ist es notwendig, eine zusätzliche Portfilter-Regel anzulegen, die VoIP mit NAT freischaltet.<br> | <p>Wenn zwischen VoIP-Endgeräten und einem VoIP-Server eine UTM steht, ist es notwendig, eine zusätzliche Portfilter-Regel anzulegen, die VoIP mit NAT freischaltet.<br> | ||
Der Verbindungsaufbau erfolgt über SIP, das Gerät meldet sich mit seiner lokalen IP am VoIP-Server an. Die Sprachpakete selbst werden dann aber über rtp auf anderen Ports gesendet. Um nun den VoIP-Client und gleichzeitig die bei Verbindungsaufbau übermittelten rtp-Ports im lokalen Netz von außen - in diesem Fall für den VoIP-Server erreichbar zu machen ist es notwendig eine Portfilter-Regel dafür anzulegen:</p> | Der Verbindungsaufbau erfolgt über SIP, das Gerät meldet sich mit seiner lokalen IP am VoIP-Server an. Die Sprachpakete selbst werden dann aber über rtp auf anderen Ports gesendet. Um nun den VoIP-Client und gleichzeitig die bei Verbindungsaufbau übermittelten rtp-Ports im lokalen Netz von außen - in diesem Fall für den VoIP-Server erreichbar zu machen ist es notwendig eine Portfilter-Regel dafür anzulegen:</p> | ||
{{ | {{ Menu | Firewall | Portfilter | Portfilter | Regel hinzufügen | +}} | ||
<br clear=all> | <br clear=all> | ||
{ | {| class="sptable pd5" | ||
{{ | |- | ||
| {{ Kasten | Aktion}} || {{ Button | Stateless | dr | lh=1.4 }} | |||
|- | |||
| {{ Kasten | Quelle}} || {{ic| voip-devices }} || Es sollte eine geeignete Gruppe definiert werden. Z.B.: ''Telefone und Workstations'' oder ''VoIP-devices''<br>{{Hinweis | ! }} ''Internal Network'' erlaubt ''allen'' Netzwerkgeräten VoIP ! <br>{{Hinweis | ! }} Aus Gründen der Netzwerk-Sicherheit sollte Geräten, die kein VoIP benötigen (z.B. Druckern oder IoT-Geräten) auch kein VoIP erlaubt werden. | |||
|- | |||
| {{ Kasten | Ziel }} || {{ic| Internet }} || | |||
|- | |||
| {{ Kasten | Dienst }} || {{ic| voip }} || Dienstgruppe VoIP: Schaltet folgende Ports frei: | |||
* SIP: UDP Port 5060 | * SIP: UDP Port 5060 | ||
* rtp: UDP Port 7070-7089 | w=100px }} | * rtp: UDP Port 7070-7089 | w=100px }} | ||
|- | |||
| rowspan="2" | {{ Kasten | NAT }} || {{ Kasten | TYP }} || {{ Button | HIDENAT | dr | w=130px | lh=1.4}} | |||
|- | |||
| {{ Kasten | Netzwerkobjekt }} || {{ Button | external-interface | dr | w=130px | lh=1.4}} || | |||
|} | |||
<br> | |||
Zusätzlich kann es notwendig sein folgende Befehle im CLI auszuführen: | Zusätzlich kann es notwendig sein folgende Befehle im CLI auszuführen: | ||
| Zeile 23: | Zeile 35: | ||
debug kmod load module nf_nat_h323 | debug kmod load module nf_nat_h323 | ||
debug kmod load module nf_conntrack_sip | debug kmod load module nf_conntrack_sip | ||
debug kmod load module nf_conntrack_h323 | debug kmod load module nf_conntrack_h323 | ||
Anschließend als root-user per ssh den Befehl | Anschließend als root-user per ssh den Befehl | ||
conntrack -F | conntrack -F | ||
mehrmals ausführen | mehrmals ausführen | ||
Version vom 23. Januar 2020, 09:15 Uhr
Einstellungen in der UTM-Firewall für VoIP-Geräte, wenn der VoIP-Server hinter der UTM liegt.
Wenn zwischen VoIP-Endgeräten und einem VoIP-Server eine UTM steht, ist es notwendig, eine zusätzliche Portfilter-Regel anzulegen, die VoIP mit NAT freischaltet.
Der Verbindungsaufbau erfolgt über SIP, das Gerät meldet sich mit seiner lokalen IP am VoIP-Server an. Die Sprachpakete selbst werden dann aber über rtp auf anderen Ports gesendet. Um nun den VoIP-Client und gleichzeitig die bei Verbindungsaufbau übermittelten rtp-Ports im lokalen Netz von außen - in diesem Fall für den VoIP-Server erreichbar zu machen ist es notwendig eine Portfilter-Regel dafür anzulegen:
Reiter Portfilter Schaltfläche
Aktion |
||
Quelle |
voip-devices | Es sollte eine geeignete Gruppe definiert werden. Z.B.: Telefone und Workstations oder VoIP-devices Internal Network erlaubt allen Netzwerkgeräten VoIP ! Aus Gründen der Netzwerk-Sicherheit sollte Geräten, die kein VoIP benötigen (z.B. Druckern oder IoT-Geräten) auch kein VoIP erlaubt werden. |
Ziel |
Internet | |
Dienst |
voip | Dienstgruppe VoIP: Schaltet folgende Ports frei:
|
NAT |
TYP |
|
Netzwerkobjekt |
Zusätzlich kann es notwendig sein folgende Befehle im CLI auszuführen:
debug kmod load module nf_nat_sip debug kmod load module nf_nat_h323 debug kmod load module nf_conntrack_sip debug kmod load module nf_conntrack_h323
Anschließend als root-user per ssh den Befehl
conntrack -F
mehrmals ausführen