KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| (2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 4: | Zeile 4: | ||
{{var | display | {{var | display | ||
| | | FAQ/Problembehandlung für VoIP | ||
| | | FAQ/Troubleshooting for VoIP }} | ||
{{var | head | {{var | head | ||
| | | FAQ/Problembehandlung für VoIP Verbindungen bei denen eine Securepoint UTM im Spiel ist | ||
| | | FAQ/Troubleshooting for VoIP connections involving a Securepoint UTM }} | ||
{{var | Paketfilter--Bild | {{var | Paketfilter--Bild | ||
| UTM v12.2.3 Portfilter VoIP-Regel.png | | UTM v12.2.3 Portfilter VoIP-Regel.png | ||
| Zeile 16: | Zeile 16: | ||
| Port filter rule for VoIP }} | | Port filter rule for VoIP }} | ||
{{var | voip--desc | {{var | voip--desc | ||
| Wenn zwischen VoIP-Endgeräten und einem VoIP-Server eine UTM steht, ist es notwendig, eine zusätzliche Paketfilter-Regel anzulegen, die VoIP mit NAT freischaltet.<br>Der Verbindungsaufbau erfolgt über SIP, das Gerät meldet sich mit seiner lokalen IP am VoIP-Server an. Die Sprachpakete selbst werden dann aber über rtp auf anderen Ports gesendet.<br>Um nun den VoIP-Client und gleichzeitig die bei Verbindungsaufbau übermittelten rtp-Ports im lokalen Netz von außen - in diesem Fall für den VoIP-Server erreichbar zu machen ist es notwendig eine Paketfilter-Regel dafür anzulegen. | | Wenn zwischen VoIP-Endgeräten und einem VoIP-Server eine UTM steht, ist es notwendig, eine zusätzliche Paketfilter-Regel anzulegen, die VoIP mit NAT freischaltet.<br>Der Verbindungsaufbau erfolgt über SIP, das Gerät meldet sich mit seiner lokalen IP am VoIP-Server an. Die Sprachpakete selbst werden dann aber über rtp auf anderen Ports gesendet.<br>Um nun den VoIP-Client und gleichzeitig die bei Verbindungsaufbau übermittelten rtp-Ports im lokalen Netz von außen - in diesem Fall für den VoIP-Server erreichbar zu machen ist es notwendig eine Paketfilter-Regel dafür anzulegen.<br>{{Alert}} Diese Regel muss vor anderen Regeln stehen, damit sie wirken kann. | ||
| If there is a UTM between VoIP end devices and a VoIP server, it is necessary to create an additional packet filter rule that enables VoIP with NAT.<br>The connection is established via SIP, the device logs on to the VoIP server with its local IP. The voice packets themselves are then sent via rtp on other ports.<br>In order to make the VoIP client and the rtp ports in the local network available from outside - in this case accessible for the VoIP server - it is necessary to create a packet filter rule for this. }} | | If there is a UTM between VoIP end devices and a VoIP server, it is necessary to create an additional packet filter rule that enables VoIP with NAT.<br>The connection is established via SIP, the device logs on to the VoIP server with its local IP. The voice packets themselves are then sent via rtp on other ports.<br>In order to make the VoIP client and the rtp ports in the local network available from outside - in this case accessible for the VoIP server - it is necessary to create a packet filter rule for this. <br>{{Alert}} This rule must be placed before other rules in order for it to be effective.}} | ||
{{var | Paketfilterrel erstellen--Bild | {{var | Paketfilterrel erstellen--Bild | ||
| UTM v12.6 FAQ-VoIP Paketfilterrel erstellen.png | | UTM v12.6 FAQ-VoIP Paketfilterrel erstellen.png | ||
| Zeile 86: | Zeile 86: | ||
{{var | kmod_desc--Hinweis | {{var | kmod_desc--Hinweis | ||
| In diesem Falle ist der Rechner, der die Verbindung initiiert in Verbindung mit der oben genannten Paketfilter Regel für Slipstreaming Angriffe verwundbar.<br>Das Netzwerkobjekt für das Ziel sollte hier auf die Telefonanlage begrenzt werden, um das Risiko zu reduzieren. | | In diesem Falle ist der Rechner, der die Verbindung initiiert in Verbindung mit der oben genannten Paketfilter Regel für Slipstreaming Angriffe verwundbar.<br>Das Netzwerkobjekt für das Ziel sollte hier auf die Telefonanlage begrenzt werden, um das Risiko zu reduzieren. | ||
| In this case, the device initiating the connection in conjunction with the packet filter rule shown above is vulnerable to slipstreaming attacks.<br>The network object for the destination should be limited to the | | In this case, the device initiating the connection in conjunction with the packet filter rule shown above is vulnerable to slipstreaming attacks.<br>The network object for the destination should be limited to the telephone system here to avoid the risk. }} | ||
{{var | Allgemein | {{var | Allgemein | ||
| Allgemein | | Allgemein | ||
| General }} | | General }} | ||
{{var | SIP-Port--Hinweis | {{var | SIP-Port--Hinweis | ||
| Der vordefinierte <u>Dienst</u> ''sip'' (enthalten in der Paketfiltergruppe ''voip'') hat den <u>Protokolltyp</u> ''sip'', welcher die | | Der vordefinierte <u>Dienst</u> ''sip'' (enthalten in der Paketfiltergruppe ''voip'') hat den <u>Protokolltyp</u> ''sip'', welcher die ''sip-Helper'' verwendet. | ||
| The predefined <u>service</u> ''sip'' (contained in the packet filter group ''voip'') has the <u>protocol type</u> ''sip'', which | | The predefined <u>service</u> ''sip'' (contained in the packet filter group ''voip'') has the <u>protocol type</u> ''sip'', which uses the ''sip-Helper''. }} | ||
{{var | SIP-Port--desc | {{var | SIP-Port--desc | ||
| Protokolltyp ''sip'' | | Protokolltyp ''sip'' | ||
| Zeile 112: | Zeile 112: | ||
| VoIP without SIP Helper }} | | VoIP without SIP Helper }} | ||
{{var | VoIP ohne SIP Helper--desc | {{var | VoIP ohne SIP Helper--desc | ||
| Soll VoIP ohne die sip-Helper | | Soll VoIP ohne die sip-Helper durchgeführt werden, muss ein neuer Dienst angelegt werden, der den Port 5060 UDP ohne den Protokolltyp ''sip'' verwendet.<br>{{Menu-UTM|Firewall|Dienste||Objekt hinzufügen|+}} | ||
| If VoIP is to be | | If VoIP is to be implemented without the sip helper, a new service must be created that uses port 5060 UDP without the protocol type ''sip''.<br>{{Menu-UTM|Firewall|Services||Add Object|+}} }} | ||
{{var | Name | {{var | Name | ||
| Name: | | Name: | ||
| Zeile 218: | Zeile 218: | ||
| | | | ||
| }} | | }} | ||
{{var | Allgemein | |||
| Allgemein | |||
| General }} | |||
{{var | Antwort | |||
| Antwort | |||
| Answer }} | |||
{{var | Lösung | |||
| Lösung | |||
| Solution }} | |||
{{var | Paketfilter Regel | |||
| Paketfilter Regel | |||
| Packet filter rule }} | |||
{{var | Paketfilter Regel--Frage | |||
| Ist eine Paketfilter Regel notwendig? | |||
| Is a packet filter rule necessary? }} | |||
{{var | Paketfilter Regel--Antwort | |||
| Ja, denn wenn zwischen VoIP-Endgeräten und einem VoIP-Server eine UTM steht, ist es notwendig, eine zusätzliche Paketfilter-Regel anzulegen, die VoIP mit NAT freischaltet.<br>Der Verbindungsaufbau erfolgt über SIP, das Gerät meldet sich mit seiner lokalen IP am VoIP-Server an. Die Sprachpakete selbst werden dann aber über rtp auf anderen Ports gesendet.<br>Um nun den VoIP-Client und gleichzeitig die bei Verbindungsaufbau übermittelten rtp-Ports im lokalen Netz von außen - in diesem Fall für den VoIP-Server erreichbar zu machen ist es notwendig eine Paketfilter-Regel dafür anzulegen. | |||
| Yes, because when there is a UTM between VoIP end devices and a VoIP server, it is necessary to create an additional packet filter rule that enables VoIP with NAT.<br>The connection is established via SIP, the device logs on to the VoIP server with its local IP. The voice packets themselves are then sent via rtp on other ports.<br>In order to make the VoIP client and the rtp ports in the local network available from outside - in this case accessible for the VoIP server - it is necessary to create a packet filter rule for this. }} | |||
{{var | Paketfilter Regel--Lösung | |||
| Unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}} wird folgende Regel hinzugefügt | |||
| Under {{Menu-UTM|Firewall|Packet filter||Add Rule|+}} the following rule is added }} | |||
{{var | VoIP ohne SIP Helper | |||
| VoIP ohne SIP Helper | |||
| VoIP without SIP Helper }} | |||
{{var | VoIP ohne SIP Helper--Frage | |||
| Kann VoIP ohne SIP Helper konfiguriert werden? | |||
| Can VoIP be configured without SIP Helper? }} | |||
{{var | VoIP ohne SIP Helper--Antwort | |||
| Ja, der vordefinierte <u>Dienst</u> ''sip'' (enthalten in der Paketfiltergruppe ''voip'') hat den <u>Protokolltyp</u> ''sip'', welcher die Application Layer Gateway (ALG) Module lädt. Soll VoIP ohne die sip-Helper und damit ohne ALG durchgeführt werden, muss eine neuer Dienst angelegt werden, der den Port 5060 UDP ohne den Protokolltyp ''sip'' verwendet. | |||
| Yes, the predefined <u>service</u> ''sip'' (contained in the packet filter group ''voip'') has the <u>protocol type</u> ''sip'', which loads the Application Layer Gateway (ALG) modules. If VoIP is to be performed without the sip helper and thus without ALG, a new service must be created that uses port 5060 UDP without the protocol type ''sip''. }} | |||
{{var | VoIP ohne SIP Helper--Lösung | |||
| Unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}} wird zunächst der neue Dienst angelegt. | |||
| First, the new service is created under {{Menu-UTM|Firewall|Packet Filter||Add Rule|+}}. }} | |||
{{var | UDP-Session Timeout | |||
| UDP-Session Timeout | |||
| UDP-Session Timeout }} | |||
{{var | UDP-Session Timeout--Frage | |||
| Kann der UDP-Session Timeout angepasst werden? | |||
| Can the UDP session timeout be adjusted? }} | |||
{{var | UDP-Session Timeout--Antwort | |||
| Ja, der UDP-Session Timeout kann mithilfe von CLI-Befehlen angepasst werden. | |||
| Yes, the UDP session timeout can be adjusted using CLI commands. }} | |||
{{var | UDP-Session Timeout--Lösung | |||
| Folgende CLI-Befehle sind notwendig, damit der UDP-Session Timeout angepasst wird: (Im Beispiel auf 300 Sekunden) | |||
| The following CLI commands are necessary to adjust the UDP session timeout: (In the example to 300 seconds) }} | |||
{{var | SIP via TCP | |||
| SIP via TCP | |||
| SIP via TCP }} | |||
{{var | SIP via TCP--Frage | |||
| Kann SIP über TCP konfiguriert werden? | |||
| Can SIP be configured over TCP? }} | |||
{{var | SIP via TCP--Antwort | |||
| Ja, dazu muss ein neuer Dienst angelegt werden, mit dem <u>Protokoll</u> ''TCP'', dem <u>Protokolltyp</u> ''SIP'' und den <u>Zielports</u> wie bei UDP. | |||
| Yes, to do this, a new service must be created with the <u>protocol</u> ''TCP'', the <u>protocol type</u> ''SIP'' and the <u>destination ports</u> as for UDP. }} | |||
{{var | Dienst SIPviaTCP--Bild | |||
| UTM v12.7.3 FAQ-VoIP Dienst SIPviaTCP.png | |||
| UTM v12.7.3 FAQ-VoIP Dienst SIPviaTCP-en.png }} | |||
{{var | Dienst SIPviaTCP--cap | |||
| * Unter {{Menu-UTM|Firewall|Dienste||Objekt hinzufügen|+}} einen neuen Dienst anlegen | |||
| * Create a new service under {{Menu-UTM|Firewall|Services||Add Object|+}} }} | |||
{{var | Dienst hinzufügen | |||
| Dienst hinzufügen | |||
| Add service }} | |||
{{var | Dienste | |||
| Dienste | |||
| Services }} | |||
{{var | Problembehandlung | |||
| Problembehandlung | |||
| Troubleshootin }} | |||
{{var | Keine Tonübertragung | |||
| Keine Tonübertragung | |||
| No sound transmission }} | |||
{{var | Keine Tonübertragung--Frage | |||
| Clients hinter RW-Verbindungen oder S2S-Verbindungen haben keine Tonübertragung? | |||
| Clients behind RW connections or S2S connections have no audio transmission? }} | |||
{{var | Keine Tonübertragung--Antwort | |||
| Dies könnte an nicht ausreichenden Paketfilter Regeln liegen. | |||
| This could be due to insufficient packet filter rules. }} | |||
{{var | Keine Tonübertragung--Lösung | |||
| Es sollte überprüft werden, dass die Paketfilter Regeln folgendes abdecken: | |||
# Die Telefonanlage kann ohne NAT in das Tunnelnetz/ Remotenetz Pakete senden | |||
# Die Clients können, ohne NAT mit der Telefonanlage kommunizieren | |||
# Die Telefonanlage wird nicht über Rule-Routen auf ein Gateway gezwungen | |||
# Falls Source-Routen für die TK-Anlage existieren, müssen auch welche für S2S-SSL-VPN Tunnel/ Wireguard vorhanden sein | |||
# Es wird nicht der vordefinierte "sip" Dienst für Portfilterregeln über die Tunnel verwendet | |||
Ist das alles abgedeckt, sollte bei S2S-Verbindungen im Normalfall alles funktionieren.<br> | |||
Weitere Fehlersuche sollte mit ''tcpdump'' (als root-User) vorgenommen werden.<br> | |||
Bei Roadwarriorn fällt meist auf, dass der VoIP-Client nicht die eigene Tunneladresse als Ziel für die RTP-Pakete übermittelt, sondern die seines Standardgateways. In dem Fall wird die Telefonanlage nicht in der Lage sein, die RTP-Pakete an das korrekte Ziel zu senden. Hier ist der VoIP-Client das Problem! | |||
| It should be verified that the packet filter rules covers the following: | |||
# The telephone system can send packets to the tunnel network/remote network without NAT | |||
# Clients can communicate with the telephone system without NAT | |||
# The telephone system is not forced to a gateway via rule routes | |||
# If source routes exist for the telephone system, they must also exist for the S2S SSL VPN tunnel/Wireguard | |||
# The predefined "sip" service is not used for port filter rules via the tunnels | |||
If all of this is covered, everything should normally work for S2S connections.<br> | |||
Further troubleshooting should be done with ''tcpdump'' (as root user).<br> | |||
Road warriors often notice that the VoIP client isn't transmitting its own tunnel address as the destination for RTP packets, but rather that of its default gateway. In this case, the telephone system won't be able to send the RTP packets to the correct destination. The VoIP client is the problem here! }} | |||
{{var | Externes Verbinden | |||
| Externes Verbinden | |||
| Connect externally }} | |||
{{var | Externes Verbinden--Frage | |||
| Wieso können sich Clients nicht von Extern per VoIP des TK-Anlagenherstellers auf die TK-Anlage verbinden bzw. wieso kommen Gespräche nicht zustande? | |||
| Why can't clients connect to the telephone system from outside using the telephone system manufacturer's VoIP, or why can't calls be established? }} | |||
{{var | Externes Verbinden--Antwort | |||
| Dies könnte daran liegen, dass beim Aufbau des Gesprächs keine Kommunikation mit RTP-Paketen aufgebaut wird bzw. die RTP-Pakete einseitig fließen. Das deutet darauf hin, das die TK-Anlage oder der VoIP-Client nicht die korrekten IP-Adressen als Ziel für die RTP-Pakete übermitteln. Dies kann man mithilfe von ''tcpdump'' gerausfinden. | |||
| This could be due to no communication using RTP packets being established during the call, or because the RTP packets are flowing one-way. This indicates that the telephone system or VoIP client is not transmitting the correct IP addresses as the destination for the RTP packets. This can be determined using ''tcpdump''. }} | |||
{{var | Externes Verbinden--Lösung | |||
| Da es viele verschiedene TK-Anlagen gibt und Securepoint auf die IT-Sicherheit spezialisiert ist, muss hier ein Techniker kontaktiert werden, der die TK-Anlage korrekt konfigurieren kann. | |||
| Since there are many different telephone systems and Securepoint specializes in IT security, you will need to contact a technician who can correctly configure the system. }} | |||
---- | ---- | ||
UTM/FAQ-VoIP.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki