@@ Zeile 4: / Zeile 4: @@
 {{var	| display
-		| UTM zwischen VoIP-Client und VoIP-Server
+		| FAQ/Problembehandlung für VoIP
-		| UTM between VoIP client and VoIP server }}
+		| FAQ/Troubleshooting for VoIP }}
 {{var	| head
-		| Einstellungen in der UTM-Firewall für VoIP-Geräte, wenn die UTM zwischen dem VoIP-Server und den VoIP-Clients liegt.
+		| FAQ/Problembehandlung für VoIP Verbindungen bei denen eine Securepoint UTM im Spiel ist
-		| Settings in the UTM firewall for VoIP devices when the UTM is located between the VoIP server and the VoIP clients. }}
+		| FAQ/Troubleshooting for VoIP connections involving a Securepoint UTM }}
-{{var	| Portfilter--Bild
+{{var	| Paketfilter--Bild
 		| UTM v12.2.3 Portfilter VoIP-Regel.png
 		| UTM v12.2.3 Portfilter VoIP-Regel-en.png }}
-{{var	| Portfilter--cap
+{{var	| Paketfilter--cap
-		| Portfilter-Regel für VoIP
+		| Paketfilter-Regel für VoIP
 		| Port filter rule for VoIP }}
 {{var	| voip--desc
-		| Wenn zwischen VoIP-Endgeräten und einem VoIP-Server eine UTM steht, ist es notwendig, eine zusätzliche Portfilter-Regel anzulegen, die VoIP mit NAT freischaltet.<br>Der Verbindungsaufbau erfolgt über SIP, das Gerät meldet sich mit seiner lokalen IP am VoIP-Server an. Die Sprachpakete selbst werden dann aber über rtp auf anderen Ports gesendet. Um nun den VoIP-Client und gleichzeitig die bei Verbindungsaufbau übermittelten rtp-Ports  im lokalen Netz von außen - in diesem Fall für den VoIP-Server erreichbar zu machen ist es notwendig eine Portfilter-Regel dafür anzulegen:
+		| Wenn zwischen VoIP-Endgeräten und einem VoIP-Server eine UTM steht, ist es notwendig, eine zusätzliche Paketfilter-Regel anzulegen, die VoIP mit NAT freischaltet.<br>Der Verbindungsaufbau erfolgt über SIP, das Gerät meldet sich mit seiner lokalen IP am VoIP-Server an. Die Sprachpakete selbst werden dann aber über rtp auf anderen Ports gesendet.<br>Um nun den VoIP-Client und gleichzeitig die bei Verbindungsaufbau übermittelten rtp-Ports  im lokalen Netz von außen - in diesem Fall für den VoIP-Server erreichbar zu machen ist es notwendig eine Paketfilter-Regel dafür anzulegen.<br>{{Alert}} Diese Regel muss vor anderen Regeln stehen, damit sie wirken kann.
-		| If there is a UTM between VoIP end devices and a VoIP server, it is necessary to create an additional port filter rule that enables VoIP with NAT.<br>The connection is established via SIP, the device logs on to the VoIP server with its local IP. The voice packets themselves are then sent via rtp on other ports. In order to make the VoIP client and the rtp ports in the local network available from outside - in this case accessible for the VoIP server - it is necessary to create a port filter rule for this: }}
+		| If there is a UTM between VoIP end devices and a VoIP server, it is necessary to create an additional packet filter rule that enables VoIP with NAT.<br>The connection is established via SIP, the device logs on to the VoIP server with its local IP. The voice packets themselves are then sent via rtp on other ports.<br>In order to make the VoIP client and the rtp ports in the local network available from outside - in this case accessible for the VoIP server - it is necessary to create a packet filter rule for this. <br>{{Alert}} This rule must be placed before other rules in order for it to be effective.}}
-{{var	| add_rule
+{{var	| Paketfilterrel erstellen--Bild
+		| UTM v12.6 FAQ-VoIP Paketfilterrel erstellen.png
+		| UTM v12.6 FAQ-VoIP Paketfilterrel erstellen-en.png }}
+{{var	| Paketfilterregel hinzufügen
+		| Paketfilterregel hinzufügen
+		| Adding packet filter rule }}
+{{var	| Regel hinzufügen
 		| Regel hinzufügen
 		| Add Rule }}
@@ Zeile 79: / Zeile 85: @@
 		| Note on avoiding slipstreaming attacks }}
 {{var	| kmod_desc--Hinweis
-		| In diesem Falle ist der Rechner, der die Verbindung initiiert in Verbindung mit der oben genannten Portfilter Regel für Slipstreaming Angriffe verwundbar.<br>Das Netzwerkobjekt für das Ziel sollte hier auf die Telefonanlage begrenzt werden, um das Risiko zu reduzieren.
+		| In diesem Falle ist der Rechner, der die Verbindung initiiert in Verbindung mit der oben genannten Paketfilter Regel für Slipstreaming Angriffe verwundbar.<br>Das Netzwerkobjekt für das Ziel sollte hier auf die Telefonanlage begrenzt werden, um das Risiko zu reduzieren.
-		| In this case, the device initiating the connection in conjunction with the port filter rule shown above is vulnerable to slipstreaming attacks.<br>The network object for the destination should be limited to the PBX here to avoid the risk. }}
+		| In this case, the device initiating the connection in conjunction with the packet filter rule shown above is vulnerable to slipstreaming attacks.<br>The network object for the destination should be limited to the telephone system here to avoid the risk. }}
 {{var	| Allgemein
 		| Allgemein
 		| General }}
 {{var	| SIP-Port--Hinweis
-		| Der vordefinierte <u>Dienst</u> ''sip'' (enthalten in der Portfiltergruppe ''voip'') hat den <u>Protokolltyp</u> ''sip'', welcher die Application Layer Gateway (ALG) Module lädt.
+		| Der vordefinierte <u>Dienst</u> ''sip'' (enthalten in der Paketfiltergruppe ''voip'') hat den <u>Protokolltyp</u> ''sip'', welcher die ''sip-Helper'' verwendet.
-		| The predefined <u>service</u> ''sip'' (contained in the port filter group ''voip'') has the <u>protocol type</u> ''sip'', which loads the Application Layer Gateway (ALG) modules. }}
+		| The predefined <u>service</u> ''sip'' (contained in the packet filter group ''voip'') has the <u>protocol type</u> ''sip'', which uses the ''sip-Helper''. }}
 {{var	| SIP-Port--desc
 		| Protokolltyp ''sip''
@@ Zeile 99: / Zeile 105: @@
 		| Ausgangslage
 		| Starting point }}
-{{var	| Portfilter Regel
+{{var	| Paketfilter Regel
-		| Portfilter Regel
+		| Paketfilter Regel
-		| Port filter rule }}
+		| Packetfilter rule }}
 {{var	| VoIP ohne SIP Helper
 		| VoIP ohne SIP Helper
 		| VoIP without SIP Helper }}
 {{var	| VoIP ohne SIP Helper--desc
-		| Soll VoIP ohne die sip-Helper und damit ohne ALG durchgeführt werden, muss eine neuer Dienst angelegt werden, der den Port 5060 UDP ohne den Protokolltyp ''sip'' verwendet.<br>{{Menu|Firewall|Portfilter|Dienste|Objekt hinzufügen|+}}
+		| Soll VoIP ohne die sip-Helper durchgeführt werden, muss ein neuer Dienst angelegt werden, der den Port 5060 UDP ohne den Protokolltyp ''sip'' verwendet.<br>{{Menu-UTM|Firewall|Dienste||Objekt hinzufügen|+}}
-		| If VoIP is to be performed without the sip helper and thus without ALG, a new service must be created that uses port 5060 UDP without the protocol type ''sip''.<br>{{Menu|Firewall|Portfilter|Services|Add object|+}} }}
+		| If VoIP is to be implemented without the sip helper, a new service must be created that uses port 5060 UDP without the protocol type ''sip''.<br>{{Menu-UTM|Firewall|Services||Add Object|+}} }}
 {{var	| Name
 		| Name:
@@ Zeile 129: / Zeile 135: @@
 		| Zielport Typ:
 		| Destination port type: }}
-{{var	| Zielport Typ--val
+{{var	| Einzelner Port
 		| Einzelner Port
 		| Single port }}
+{{var	| Port-Bereich
+		| Port-Bereich
+		| Port range }}
 {{var	| Zielport Typ--desc
 		| Nur ein Port wird benötigt
@@ Zeile 148: / Zeile 157: @@
 		| All }}
 {{var	| Quellport Typ--desc
-		| Die Clients können über verschiedene Ports die Verbindung aufbauen {{f| Na, ob das so stimmt?}}
+		| Die Clients können über verschiedene Ports die Verbindung aufbauen
-		|  }}
+		| The clients can establish the connection via various ports }}
-{{var	| Speichern
+{{var	| Speichern und schließen
-		| Speichern
+		| Speichern und schließen
-		| Save }}
+		| Save and close }}
-{{var	| Speichern--desc
+{{var	| Speichern und schließen--desc
 		| Anlegen des Dienstes
 		| Create the service }}
@@ Zeile 160: / Zeile 169: @@
 		| Create service }}
 {{var	| Dienst anlegen--Bild
-		| UTM v12.2.3 Portfilter VoIP-Dienst.png
+		| UTM v12.6 FAQ-VoIP Dienst erstellen.png
-		| UTM v12.2.3 Portfilter VoIP-Dienst-en.png }}
+		| UTM v12.6 FAQ-VoIP Dienst erstellen-en.png }}
 {{var	| Dienst anlegen--cap
 		| Neuer Dienst
 		| New service }}
+{{var	| Dienst hinzufügen
+		| Dienst hinzufügen
+		| Add Service Object }}
 {{var	| Dienstgruppe anlegen
 		| Dienstgruppe anlegen
@@ Zeile 173: / Zeile 185: @@
 Gruppe (Name z.B.: voip ohne ALG) mit dem neu angelegten Dienst {{ic|udp 5060 ohne Typ|icon=udp|class=mw11}} und dem Dienst {{ic|rtp|icon=udp|class=mw11}} erstellt werden. -->
 		| Subsequently, a new group should be created under {{KastenGrau|Service groups}} with {{Button|Add group|Add folder}}: }}
-{{var	| Portfilter Regel ohne sip Helper--desc
+{{var	| Paketfilter Regel ohne sip Helper--desc
-		| Zuletzt wird eine Portfilter Regel wie oben erstellt, die als Dienst nun aber die neue Dienstgruppe enthält.
+		| Zuletzt wird eine Paketfilter Regel wie oben erstellt, die als Dienst nun aber die neue Dienstgruppe enthält.
-		| Finally, a port filter rule is created as described above, but now containing the new service group as the service. }}
+		| Finally, a packet filter rule is created as described above, but now containing the new service group as the service. }}
 {{var	| Dienste-Gruppe--val
 		| voip ohne ALG
@@ Zeile 200: / Zeile 212: @@
 		| Zielports:
 		| Destination ports: }}
+{{var	| Paketfilter
+		| Paketfilter
+		| Packetfilter }}
 {{var	|
 		|
 		|  }}
+{{var	| Allgemein
+		| Allgemein
+		| General }}
+{{var	| Antwort
+		| Antwort
+		| Answer }}
+{{var	| Lösung
+		| Lösung
+		| Solution }}
+{{var	| Paketfilter Regel
+		| Paketfilter Regel
+		| Packet filter rule }}
+{{var	| Paketfilter Regel--Frage
+		| Ist eine Paketfilter Regel notwendig?
+		| Is a packet filter rule necessary? }}
+{{var	| Paketfilter Regel--Antwort
+		| Ja, denn wenn zwischen VoIP-Endgeräten und einem VoIP-Server eine UTM steht, ist es notwendig, eine zusätzliche Paketfilter-Regel anzulegen, die VoIP mit NAT freischaltet.<br>Der Verbindungsaufbau erfolgt über SIP, das Gerät meldet sich mit seiner lokalen IP am VoIP-Server an. Die Sprachpakete selbst werden dann aber über rtp auf anderen Ports gesendet.<br>Um nun den VoIP-Client und gleichzeitig die bei Verbindungsaufbau übermittelten rtp-Ports  im lokalen Netz von außen - in diesem Fall für den VoIP-Server erreichbar zu machen ist es notwendig eine Paketfilter-Regel dafür anzulegen.
+		| Yes, because when there is a UTM between VoIP end devices and a VoIP server, it is necessary to create an additional packet filter rule that enables VoIP with NAT.<br>The connection is established via SIP, the device logs on to the VoIP server with its local IP. The voice packets themselves are then sent via rtp on other ports.<br>In order to make the VoIP client and the rtp ports in the local network available from outside - in this case accessible for the VoIP server - it is necessary to create a packet filter rule for this. }}
+{{var	| Paketfilter Regel--Lösung
+		| Unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}} wird folgende Regel hinzugefügt
+		| Under {{Menu-UTM|Firewall|Packet filter||Add Rule|+}} the following rule is added }}
+{{var	| VoIP ohne SIP Helper
+		| VoIP ohne SIP Helper
+		| VoIP without SIP Helper }}
+{{var	| VoIP ohne SIP Helper--Frage
+		| Kann VoIP ohne SIP Helper konfiguriert werden?
+		| Can VoIP be configured without SIP Helper? }}
+{{var	| VoIP ohne SIP Helper--Antwort
+		| Ja, der vordefinierte <u>Dienst</u> ''sip'' (enthalten in der Paketfiltergruppe ''voip'') hat den <u>Protokolltyp</u> ''sip'', welcher die Application Layer Gateway (ALG) Module lädt. Soll VoIP ohne die sip-Helper und damit ohne ALG durchgeführt werden, muss eine neuer Dienst angelegt werden, der den Port 5060 UDP ohne den Protokolltyp ''sip'' verwendet.
+		| Yes, the predefined <u>service</u> ''sip'' (contained in the packet filter group ''voip'') has the <u>protocol type</u> ''sip'', which loads the Application Layer Gateway (ALG) modules. If VoIP is to be performed without the sip helper and thus without ALG, a new service must be created that uses port 5060 UDP without the protocol type ''sip''. }}
+{{var	| VoIP ohne SIP Helper--Lösung
+		| Unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}} wird zunächst der neue Dienst angelegt.
+		| First, the new service is created under {{Menu-UTM|Firewall|Packet Filter||Add Rule|+}}. }}
+{{var	| UDP-Session Timeout
+		| UDP-Session Timeout
+		| UDP-Session Timeout }}
+{{var	| UDP-Session Timeout--Frage
+		| Kann der UDP-Session Timeout angepasst werden?
+		| Can the UDP session timeout be adjusted? }}
+{{var	| UDP-Session Timeout--Antwort
+		| Ja, der UDP-Session Timeout kann mithilfe von CLI-Befehlen angepasst werden.
+		| Yes, the UDP session timeout can be adjusted using CLI commands. }}
+{{var	| UDP-Session Timeout--Lösung
+		| Folgende CLI-Befehle sind notwendig, damit der UDP-Session Timeout angepasst wird: (Im Beispiel auf 300 Sekunden)
+		| The following CLI commands are necessary to adjust the UDP session timeout: (In the example to 300 seconds) }}
+{{var	| SIP via TCP
+		| SIP via TCP
+		| SIP via TCP }}
+{{var	| SIP via TCP--Frage
+		| Kann SIP über TCP konfiguriert werden?
+		| Can SIP be configured over TCP? }}
+{{var	| SIP via TCP--Antwort
+		| Ja, dazu muss ein neuer Dienst angelegt werden, mit dem <u>Protokoll</u> ''TCP'', dem <u>Protokolltyp</u> ''SIP'' und den <u>Zielports</u> wie bei UDP.
+		| Yes, to do this, a new service must be created with the <u>protocol</u> ''TCP'', the <u>protocol type</u> ''SIP'' and the <u>destination ports</u> as for UDP. }}
+{{var	| Dienst SIPviaTCP--Bild
+		| UTM v12.7.3 FAQ-VoIP Dienst SIPviaTCP.png
+		| UTM v12.7.3 FAQ-VoIP Dienst SIPviaTCP-en.png }}
+{{var	| Dienst SIPviaTCP--cap
+		| * Unter {{Menu-UTM|Firewall|Dienste||Objekt hinzufügen|+}} einen neuen Dienst anlegen
+		| * Create a new service under {{Menu-UTM|Firewall|Services||Add Object|+}} }}
+{{var	| Dienst hinzufügen
+		| Dienst hinzufügen
+		| Add service }}
+{{var	| Dienste
+		| Dienste
+		| Services }}
+{{var	| Problembehandlung
+		| Problembehandlung
+		| Troubleshootin }}
+{{var	| Keine Tonübertragung
+		| Keine Tonübertragung
+		| No sound transmission }}
+{{var	| Keine Tonübertragung--Frage
+		| Clients hinter RW-Verbindungen oder S2S-Verbindungen haben keine Tonübertragung?
+		| Clients behind RW connections or S2S connections have no audio transmission?  }}
+{{var	| Keine Tonübertragung--Antwort
+		| Dies könnte an nicht ausreichenden Paketfilter Regeln liegen.
+		| This could be due to insufficient packet filter rules. }}
+{{var	| Keine Tonübertragung--Lösung
+		| Es sollte überprüft werden, dass die Paketfilter Regeln folgendes abdecken:
+# Die Telefonanlage kann ohne NAT in das Tunnelnetz/ Remotenetz Pakete senden
+# Die Clients können, ohne NAT mit der Telefonanlage kommunizieren
+# Die Telefonanlage wird nicht über Rule-Routen auf ein Gateway gezwungen
+# Falls Source-Routen für die TK-Anlage existieren, müssen auch welche für S2S-SSL-VPN Tunnel/ Wireguard vorhanden sein
+# Es wird nicht der vordefinierte "sip" Dienst für Portfilterregeln über die Tunnel verwendet
+Ist das alles abgedeckt, sollte bei S2S-Verbindungen im Normalfall alles funktionieren.<br>
+Weitere Fehlersuche sollte mit ''tcpdump'' (als root-User) vorgenommen werden.<br>
+Bei Roadwarriorn fällt meist auf, dass der VoIP-Client nicht die eigene Tunneladresse als Ziel für die RTP-Pakete übermittelt, sondern die seines Standardgateways. In dem Fall wird die Telefonanlage nicht in der Lage sein, die RTP-Pakete an das korrekte Ziel zu senden. Hier ist der VoIP-Client das Problem!
+		| It should be verified that the packet filter rules covers the following:
+# The telephone system can send packets to the tunnel network/remote network without NAT
+# Clients can communicate with the telephone system without NAT
+# The telephone system is not forced to a gateway via rule routes
+# If source routes exist for the telephone system, they must also exist for the S2S SSL VPN tunnel/Wireguard
+# The predefined "sip" service is not used for port filter rules via the tunnels
+If all of this is covered, everything should normally work for S2S connections.<br>
+Further troubleshooting should be done with ''tcpdump'' (as root user).<br>
+Road warriors often notice that the VoIP client isn't transmitting its own tunnel address as the destination for RTP packets, but rather that of its default gateway. In this case, the telephone system won't be able to send the RTP packets to the correct destination. The VoIP client is the problem here!  }}
+{{var	| Externes Verbinden
+		| Externes Verbinden
+		| Connect externally }}
+{{var	| Externes Verbinden--Frage
+		| Wieso können sich Clients nicht von Extern per VoIP des TK-Anlagenherstellers auf die TK-Anlage verbinden bzw. wieso kommen Gespräche nicht zustande?
+		| Why can't clients connect to the telephone system from outside using the telephone system manufacturer's VoIP, or why can't calls be established? }}
+{{var	| Externes Verbinden--Antwort
+		| Dies könnte daran liegen, dass beim Aufbau des Gesprächs keine Kommunikation mit RTP-Paketen aufgebaut wird bzw. die RTP-Pakete einseitig fließen. Das deutet darauf hin, das die TK-Anlage oder der VoIP-Client nicht die korrekten IP-Adressen als Ziel für die RTP-Pakete übermitteln. Dies kann man mithilfe von ''tcpdump'' gerausfinden.
+		| This could be due to no communication using RTP packets being established during the call, or because the RTP packets are flowing one-way. This indicates that the telephone system or VoIP client is not transmitting the correct IP addresses as the destination for the RTP packets. This can be determined using ''tcpdump''. }}
+{{var	| Externes Verbinden--Lösung
+		| Da es viele verschiedene TK-Anlagen gibt und Securepoint auf die IT-Sicherheit spezialisiert ist, muss hier ein Techniker kontaktiert werden, der die TK-Anlage korrekt konfigurieren kann.
+		| Since there are many different telephone systems and Securepoint specializes in IT security, you will need to contact a technician who can correctly configure the system. }}
 ----

Aktuelle Version vom 25. November 2025, 18:51 Uhr