K Textersetzung - „sptable2 spezial“ durch „sptable2 Paketfilter“ |
KKeine Bearbeitungszusammenfassung |
||
| (2 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
| Zeile 3: | Zeile 3: | ||
{{#vardefine:headerIcon|spicon-utm}} | {{#vardefine:headerIcon|spicon-utm}} | ||
{{:UTM/FAQ-VoIP.lang}} | {{:UTM/FAQ-VoIP.lang}} | ||
{{Rollout|VoIP}} | |||
</div><div class="new_design"></div>{{Select_lang}}{{TOC2|limit= | {{var | neu--Artikel aufgeteilt und überabreitet | ||
{{Header| | | Der Artikel wurde grundlegend überarbeitet und auf zwei Artikel aufgeteilt: [[UTM/VoIP_BestPractice|Beispielszenarien]] und FAQ/Problembehandlung (dieser Artikel) | ||
* {{#var:neu-- | | The article has been fundamentally revised and split into two articles: [{{#var:host}}UTM/VoIP_BestPractice Example Scenarios] and FAQ/Troubleshooting (this article) }} | ||
|[[UTM/FAQ-VoIP_07.2022 | 07.2022]] | |||
</div><div class="new_design"></div>{{Select_lang}}{{TOC2|limit=2}} | |||
{{Header|09.2025| | |||
* {{#var:neu--Artikel aufgeteilt und überabreitet}} | |||
|[[UTM/FAQ-VoIP_v12.6 | 12.6]] | |||
[[UTM/FAQ-VoIP_07.2022 | 07.2022]] | |||
[[UTM/FAQ-VoIP_v11.8 | 11.8]] | [[UTM/FAQ-VoIP_v11.8 | 11.8]] | ||
| | | | ||
| Zeile 13: | Zeile 19: | ||
---- | ---- | ||
=== {{#var:Ausgangslage}} === | <div class=FAQ> | ||
=== {{#var:Allgemein}} === | |||
<li class="list--element__bullet">{{h4|{{#var:Paketfilter Regel}} }}{{#var:Paketfilter Regel--Frage}}</li> | |||
<div class="Einrücken"> | |||
{{cl|{{Whitebox|{{#var:Antwort}} }}|{{#var:Paketfilter Regel--Antwort}}|w=7em|m=1em}}{{a|3}} | |||
<div style="padding-left: 112px"> | |||
{{Einblenden|{{#var:step-by-step}}|{{#var:hide}}|true|dezent}} | |||
{| class="sptable2 pd5 zh1" | |||
| class=noborder colspan=3 | {{#var:Paketfilter Regel--Lösung}} | |||
|- class=noborder | |||
| colspan=3 | {{Kasten|{{#var:Allgemein}} }} | |||
|- | |||
| {{ b | {{#var:source|Quelle}}: }} || {{ic| voip-clients|dr|icon=netgroup|class=mw13}} || {{#var:source--desc}} | |||
<li class="list--element__alert list--element__warning">{{#var:source-kein internal--Hinweis}}</li> | |||
<li class="list--element__alert list--element__warning">{{#var:source-Netzwerksicherheit--Hinweis}}</li> | |||
| class=Bild rowspan=8 | {{Bild|{{#var:Paketfilterrel erstellen--Bild}}|{{#var:Paketfilterregel hinzufügen}}||{{#var:Regel hinzufügen}}|Firewall|{{#var:Paketfilter}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}} | |||
|- | |||
| {{ b | {{#var:dest|Ziel}}: }} || {{ic| voip-server|dr|icon=host|class=mw13}} || {{#var:Ziel--desc}} | |||
|- | |||
| {{ b | {{#var:service|Dienst}}: }} || {{ic| voip|dr|icon=dienste|class=mw13 }} || {{#var:service--desc|Dienstgruppe VoIP: Schaltet folgende Ports frei: }} | |||
* SIP: UDP Port 5060 {{#var:SIP-Port--desc}} {{info|{{#var:SIP-Port--info}} }} | |||
* rtp: UDP Port 7070-7089 | |||
|- | |||
| {{ b | {{#var:action|Aktion}}: }} || {{ Button | Stateless | dr |class=mw13}} || | |||
|- class=noborder | |||
| colspan="3" | {{ Kasten | [ - ] NAT }} | |||
|- | |||
| {{ b | {{#var:type|TYP}}: }} || {{ Button | HIDENAT |dr|class=mw13}} || | |||
|- | |||
| {{ b | {{#var:netobject|Netzwerkobjekt}}: }} || {{ ic | external-interface | dr | icon=interface|class=mw13}} || | |||
|- class="Leerzeile" | |||
| | |||
|} | |||
</div></div></span> | |||
</div> | |||
</div> | |||
<li class="list--element__bullet">{{h4|{{#var:VoIP ohne SIP Helper}} }}{{#var:VoIP ohne SIP Helper--Frage}}</li> | |||
<div class="Einrücken"> | |||
{{cl|{{Whitebox|{{#var:Antwort}} }}|{{#var:VoIP ohne SIP Helper--Antwort}}|w=7em|m=1em}}{{a|3}} | |||
<div style="padding-left: 112px"> | |||
{{Einblenden|{{#var:step-by-step}}|{{#var:hide}}|true|dezent}} | |||
{{#var:VoIP ohne SIP Helper--Lösung}} | |||
===== {{#var:Dienst anlegen}} ===== | |||
{| class="sptable2 pd5 zh1 Einrücken" | |||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | |||
| class="Bild" rowspan="9" | {{Bild | {{#var:Dienst anlegen--Bild}}|{{#var:Dienst anlegen--cap}}||{{#var:Dienst hinzufügen}}|Firewall|{{#var:Dienste}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | |||
|- | |||
| {{b|{{#var:Name}} }} || {{ic| {{#var:Name--val}}|class=available}} || {{#var:Name--desc}} | |||
|- | |||
| {{b|{{#var:Protokoll}} }} || {{Button|udp|dr|class=available}} || | |||
|- | |||
| {{b|{{#var:Protokolltyp}} }} || {{Button| |dr|class=mw16}} || <li class="list--element__alert list--element__hint">{{#var:Protokolltyp--desc}}</li> | |||
|- | |||
| {{b|{{#var:Zielport Typ}} }} || {{Button|{{#var:Einzelner Port}}|class=aktiv}}{{Button|{{#var:Port-Bereich}} }} || {{#var:Zielport Typ--desc}} | |||
|- | |||
| {{b|{{#var:Zielport}} }} || {{ic|5060|c|class=available}} || {{#var:Zielport--desc}} | |||
|- | |||
| class=mw8 | {{b|{{#var:Quellport Typ}} }} || {{Button| {{#var:Quellport Typ--val}}|class=aktiv}}{{Button|{{#var:Einzelner Port}} }}{{Button|{{#var:Port-Bereich}} }} || {{#var:Quellport Typ--desc}} | |||
|- class="noborder" | |||
| colspan="2" | {{Button-dialog||fa-floppy-disk-circle-xmark|hover={{#var:Speichern und schließen}} }} || {{#var:Speichern und schließen--desc}} | |||
|- class="Leerzeile" | |||
| | |||
|} | |||
===== {{#var:Dienstgruppe anlegen}} ===== | |||
<div class="Einrücken">{{#var:Dienstgruppe anlegen--desc}}<br> | |||
{| class="sptable2 pd5" | |||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | |||
|- | |||
| {{b|{{#var:Name}} }} || {{ic| {{#var:Name-Dienstgruppe--val}} }} || {{#var:Name--desc}} | |||
|- | |||
| {{b|{{#var:Dienste}} }} || {{ic| {{cb|{{spc|udp|o|{{#var:Name--val}} {{#var:Zielports}}5060}}|-|class=max-content}}<br> {{cb|{{spc|udp|o|rtp {{#var:Zielports}} 7070:7089}}|-}}|cb|class=max-content}} || {{#var:Dienste--desc}} | |||
|} | |||
</div> | |||
===== {{#var:Paketfilter Regel}} ===== | |||
<div class="Einrücken"> | |||
{| class="sptable2 Paketfilter pd5 tr--bc__white zh1"<br> | |||
|- class="bold small no1cell" | |||
| class="Leerzeile bc__default normal fs-initial" rowspan="3"| {{#var:Paketfilter Regel ohne sip Helper--desc}} || || <nowiki>#</nowiki> || class=mw10 | {{#var:Quelle}} || class=mw10 | {{#var:Ziel}} || class=mw12 | {{#var:Dienst}} || class=mw6 | NAT || class=mw10 | {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | |||
|- | |||
| {{spc|drag|o|-}} || 24 || {{spc|netgroup|o|-}} voip-clients || {{spc|host|o|-}} voip-server || {{spc|dienste|o|-}} {{#var:Dienste-Gruppe--val}} || {{Kasten|HN|blau}} || {{Kasten|Stateless|grau|icon=info}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | |||
|- class="Leerzeile" | |||
| class=bc__default | | |||
|} | |||
<br><br> | |||
<li class="list--element__alert list--element__positiv">{{#var:Kein laden per CLI}}</li> | |||
<br clear=all></div> | |||
</div></div></span> | |||
</div> | |||
</div> | |||
<li class="list--element__bullet">{{h4|{{#var:UDP-Session Timeout}} }}{{#var:UDP-Session Timeout--Frage}}</li> | |||
<div class="Einrücken"> | |||
{{cl|{{Whitebox|{{#var:Antwort}} }}|{{#var:UDP-Session Timeout--Antwort}}|w=7em|m=1em}}{{a|3}} | |||
{{cl|{{Whitebox|{{#var:Lösung}} }}|{{#var:UDP-Session Timeout--Lösung}}<br> | |||
{{code|system sysctl new name net.netfilter.nf_conntrack_udp_timeout value 300 | |||
system update system | |||
system config save | |||
}}|w=7em|m=1em}} | |||
</div> | |||
<li class="list--element__bullet">{{h4|{{#var:SIP via TCP}} }}{{#var:SIP via TCP--Frage}}</li> | |||
<div class="Einrücken"> | |||
{{cl|{{Whitebox|{{#var:Antwort}} }}|{{#var:SIP via TCP--Antwort}}|w=7em|m=1em}} | |||
<div style="padding-left: 112px"> | |||
{{Einblenden|{{#var:step-by-step}}|{{#var:hide}}|true|dezent}} | |||
{{Gallery3 | |||
|{{#var:Dienst SIPviaTCP--Bild}}|{{#var:Dienst SIPviaTCP--cap}}|Abb1-header={{Dialog-header|{{#var:Dienst hinzufügen}}|Firewall|{{#var:Dienste}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | |||
|i=2}} | |||
</div></div></span> | |||
</div> | |||
</div> | |||
---- | |||
=== {{#var:Problembehandlung}} === | |||
<li class="list--element__bullet">{{h4|{{#var:Keine Tonübertragung}} }}{{#var:Keine Tonübertragung--Frage}}</li> | |||
<div class="Einrücken"> | |||
{{cl|{{Whitebox|{{#var:Antwort}} }}|{{#var:Keine Tonübertragung--Antwort}}|w=7em|m=1em}}{{a|3}} | |||
{{cl|{{Whitebox|{{#var:Lösung}} }}|{{#var:Keine Tonübertragung--Lösung}}|w=7em|m=1em}} | |||
</div> | |||
<li class="list--element__bullet">{{h4|{{#var:Externes Verbinden}} }}{{#var:Externes Verbinden--Frage}}</li> | |||
<div class="Einrücken"> | |||
{{cl|{{Whitebox|{{#var:Antwort}} }}|{{#var:Externes Verbinden--Antwort}}|w=7em|m=1em}}{{a|3}} | |||
{{cl|{{Whitebox|{{#var:Lösung}} }}|{{#var:Externes Verbinden--Lösung}}|w=7em|m=1em}} | |||
</div> | |||
</div> <!-- FAQ beenden --> | |||
<!-- | |||
=== {{#var:Ausgangslage}} ===--> | |||
<!--{{ pt3 | {{#var:Paketfilter--Bild}} | hochkant=3 | {{#var:Paketfilter--cap}} }}--> | <!--{{ pt3 | {{#var:Paketfilter--Bild}} | hochkant=3 | {{#var:Paketfilter--cap}} }}--> | ||
<!-- | |||
<div class="Einrücken"> | <div class="Einrücken"> | ||
<p>{{#var:voip--desc}}</p> | <p>{{#var:voip--desc}}</p> | ||
| Zeile 110: | Zeile 272: | ||
<li class="list--element__alert list--element__positiv">{{#var:Kein laden per CLI}}</li> | <li class="list--element__alert list--element__positiv">{{#var:Kein laden per CLI}}</li> | ||
<br clear=all></div> | <br clear=all></div> | ||
--> | |||
<!-- | <!-- | ||
{{#var:kmod}} | {{#var:kmod}} | ||
Aktuelle Version vom 25. November 2025, 18:51 Uhr
FAQ/Problembehandlung für VoIP Verbindungen bei denen eine Securepoint UTM im Spiel ist
Letzte Anpassung: 09.2025
Neu:
- Der Artikel wurde grundlegend überarbeitet und auf zwei Artikel aufgeteilt: Beispielszenarien und FAQ/Problembehandlung (dieser Artikel)
Dieser Artikel bezieht sich auf eine Beta-Version
Allgemein
Paketfilter Regel
Ist eine Paketfilter Regel notwendig?- Antwort
Ja, denn wenn zwischen VoIP-Endgeräten und einem VoIP-Server eine UTM steht, ist es notwendig, eine zusätzliche Paketfilter-Regel anzulegen, die VoIP mit NAT freischaltet.
Der Verbindungsaufbau erfolgt über SIP, das Gerät meldet sich mit seiner lokalen IP am VoIP-Server an. Die Sprachpakete selbst werden dann aber über rtp auf anderen Ports gesendet.
Um nun den VoIP-Client und gleichzeitig die bei Verbindungsaufbau übermittelten rtp-Ports im lokalen Netz von außen - in diesem Fall für den VoIP-Server erreichbar zu machen ist es notwendig eine Paketfilter-Regel dafür anzulegen.
Der Verbindungsaufbau erfolgt über SIP, das Gerät meldet sich mit seiner lokalen IP am VoIP-Server an. Die Sprachpakete selbst werden dann aber über rtp auf anderen Ports gesendet.
Um nun den VoIP-Client und gleichzeitig die bei Verbindungsaufbau übermittelten rtp-Ports im lokalen Netz von außen - in diesem Fall für den VoIP-Server erreichbar zu machen ist es notwendig eine Paketfilter-Regel dafür anzulegen.
| Unter Schaltfläche wird folgende Regel hinzugefügt | |||
Allgemein
| |||
| Quelle: |  voip-clients |
Es sollte eine geeignete Gruppe definiert werden. Z.B.: Telefone und Workstations oder VoIP-clients
|
UTMbenutzer@firewall.name.fqdnFirewallPaketfilter  Paketfilterregel hinzufügen
|
| Ziel: |  voip-server |
VoIP-Verbindungen mit entsprechend geöffneten Ports sollten ausschließlich zum VOIP-Server möglich sein. | |
| Dienst: |  voip |
Dienstgruppe VoIP: Schaltet folgende Ports frei:
| |
| Aktion: | |||
[ - ] NAT
| |||
| TYP: | |||
| Netzwerkobjekt: |  external-interface |
||
VoIP ohne SIP Helper
Kann VoIP ohne SIP Helper konfiguriert werden?- Antwort
Ja, der vordefinierte Dienst sip (enthalten in der Paketfiltergruppe voip) hat den Protokolltyp sip, welcher die Application Layer Gateway (ALG) Module lädt. Soll VoIP ohne die sip-Helper und damit ohne ALG durchgeführt werden, muss eine neuer Dienst angelegt werden, der den Port 5060 UDP ohne den Protokolltyp sip verwendet.
Unter Schaltfläche wird zunächst der neue Dienst angelegt.
Dienst anlegen
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnFirewallDienste  Neuer Dienst
|
|---|---|---|---|
| Name: | udp 5060 ohne Typ | Aussagekräftiger Name | |
| Protokoll: | |||
| Protokolltyp: | |||
| Zielport Typ: | Nur ein Port wird benötigt | ||
| Zielport: | 5060 | Zielport für sip über udp ist 5060 | |
| Quellport Typ: | Die Clients können über verschiedene Ports die Verbindung aufbauen | ||
| Speichern und schließen | Anlegen des Dienstes | ||
Dienstgruppe anlegen
Anschließend sollte unter Dienstgruppen mit eine neue Gruppe angelegt werden:
| Beschriftung | Wert | Beschreibung |
|---|---|---|
| Name: | voip ohne ALG | Aussagekräftiger Name |
| Dienste |  udp 5060 ohne Typ Zielports:5060 rtp Zielports: 7070:7089 |
Der soeben neu angelegte Dienst für udp (Port 5060) und der Dienst rtp (ports 7070-7089) müssen enthalten sein |
Paketfilter Regel
| Zuletzt wird eine Paketfilter Regel wie oben erstellt, die als Dienst nun aber die neue Dienstgruppe enthält. | # | Quelle | Ziel | Dienst | NAT | Aktion | Aktiv | ||
 |
24 | voip-clients |
voip-server |
voip ohne ALG |
HN | Stateless | Ein | ||
UDP-Session Timeout
Kann der UDP-Session Timeout angepasst werden?- Antwort
Ja, der UDP-Session Timeout kann mithilfe von CLI-Befehlen angepasst werden.
- Lösung
Folgende CLI-Befehle sind notwendig, damit der UDP-Session Timeout angepasst wird: (Im Beispiel auf 300 Sekunden)
system sysctl new name net.netfilter.nf_conntrack_udp_timeout value 300 system update system system config save
SIP via TCP
Kann SIP über TCP konfiguriert werden?- Antwort
Ja, dazu muss ein neuer Dienst angelegt werden, mit dem Protokoll TCP, dem Protokolltyp SIP und den Zielports wie bei UDP.
UTMbenutzer@firewall.name.fqdnFirewallDienste 
- Unter Schaltfläche einen neuen Dienst anlegen
Problembehandlung
Keine Tonübertragung
Clients hinter RW-Verbindungen oder S2S-Verbindungen haben keine Tonübertragung?- Antwort
Dies könnte an nicht ausreichenden Paketfilter Regeln liegen.
- Lösung
- Die Telefonanlage kann ohne NAT in das Tunnelnetz/ Remotenetz Pakete senden
- Die Clients können, ohne NAT mit der Telefonanlage kommunizieren
- Die Telefonanlage wird nicht über Rule-Routen auf ein Gateway gezwungen
- Falls Source-Routen für die TK-Anlage existieren, müssen auch welche für S2S-SSL-VPN Tunnel/ Wireguard vorhanden sein
- Es wird nicht der vordefinierte "sip" Dienst für Portfilterregeln über die Tunnel verwendet
Es sollte überprüft werden, dass die Paketfilter Regeln folgendes abdecken:
Ist das alles abgedeckt, sollte bei S2S-Verbindungen im Normalfall alles funktionieren.
Weitere Fehlersuche sollte mit tcpdump (als root-User) vorgenommen werden.
Externes Verbinden
Wieso können sich Clients nicht von Extern per VoIP des TK-Anlagenherstellers auf die TK-Anlage verbinden bzw. wieso kommen Gespräche nicht zustande?- Antwort
Dies könnte daran liegen, dass beim Aufbau des Gesprächs keine Kommunikation mit RTP-Paketen aufgebaut wird bzw. die RTP-Pakete einseitig fließen. Das deutet darauf hin, das die TK-Anlage oder der VoIP-Client nicht die korrekten IP-Adressen als Ziel für die RTP-Pakete übermitteln. Dies kann man mithilfe von tcpdump gerausfinden.
- Lösung
Da es viele verschiedene TK-Anlagen gibt und Securepoint auf die IT-Sicherheit spezialisiert ist, muss hier ein Techniker kontaktiert werden, der die TK-Anlage korrekt konfigurieren kann.