Wechseln zu:Navigation, Suche
Wiki

UTM/FAQ-VoIP: Unterschied zwischen den Versionen

Aus Securepoint Wiki
← Zum vorherigen Versionsunterschied
KKeine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
 
(Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt)
Zeile 7: Zeile 7:
{{var | neu--Artikel aufgeteilt und überabreitet
{{var | neu--Artikel aufgeteilt und überabreitet
| Der Artikel wurde grundlegend überarbeitet und auf zwei Artikel aufgeteilt: [[UTM/VoIP_BestPractice|Beispielszenarien]] und FAQ/Problembehandlung (dieser Artikel)
| Der Artikel wurde grundlegend überarbeitet und auf zwei Artikel aufgeteilt: [[UTM/VoIP_BestPractice|Beispielszenarien]] und FAQ/Problembehandlung (dieser Artikel)
| }}
| The article has been fundamentally revised and split into two articles: [{{#var:host}}UTM/VoIP_BestPractice Example Scenarios] and FAQ/Troubleshooting (this article) }}


</div><div class="new_design"></div>{{Select_lang}}{{TOC2|limit=2}}
</div><div class="new_design"></div>{{Select_lang}}{{TOC2|limit=2}}

Aktuelle Version vom 25. November 2025, 18:51 Uhr




























In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden





































































FAQ/Problembehandlung für VoIP Verbindungen bei denen eine Securepoint UTM im Spiel ist

Letzte Anpassung: 09.2025

Neu:
  • Der Artikel wurde grundlegend überarbeitet und auf zwei Artikel aufgeteilt: Beispielszenarien und FAQ/Problembehandlung (dieser Artikel)
notempty
Dieser Artikel bezieht sich auf eine Beta-Version

Allgemein

  • Paketfilter Regel

    Ist eine Paketfilter Regel notwendig?
    • Antwort

    Ja, denn wenn zwischen VoIP-Endgeräten und einem VoIP-Server eine UTM steht, ist es notwendig, eine zusätzliche Paketfilter-Regel anzulegen, die VoIP mit NAT freischaltet.
    Der Verbindungsaufbau erfolgt über SIP, das Gerät meldet sich mit seiner lokalen IP am VoIP-Server an. Die Sprachpakete selbst werden dann aber über rtp auf anderen Ports gesendet.
    Um nun den VoIP-Client und gleichzeitig die bei Verbindungsaufbau übermittelten rtp-Ports im lokalen Netz von außen - in diesem Fall für den VoIP-Server erreichbar zu machen ist es notwendig eine Paketfilter-Regel dafür anzulegen.

    Unter Firewall Paketfilter  Schaltfläche Regel hinzufügen wird folgende Regel hinzugefügt
    Allgemein
    Quelle: voip-clients Es sollte eine geeignete Gruppe definiert werden. Z.B.: Telefone und Workstations oder VoIP-clients
  • Internal Network erlaubt allen Netzwerkgeräten VoIP!
  • Aus Gründen der Netzwerk-Sicherheit sollte Geräten, die kein VoIP benötigen (z.B. Druckern oder IoT-Geräten) auch kein VoIP erlaubt werden.
    		•  Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter Paketfilterregel hinzufügen
    Ziel: voip-server VoIP-Verbindungen mit entsprechend geöffneten Ports sollten ausschließlich zum VOIP-Server möglich sein.
    Dienst: voip Dienstgruppe VoIP: Schaltet folgende Ports frei:
    • SIP: UDP Port 5060 Protokolltyp sip
      Der Protokolltyp sip lädt die Application Layer Gateway Module (ALG)
    • rtp: UDP Port 7070-7089
    Aktion: Stateless
    [ - ] NAT
    TYP: HIDENAT
    Netzwerkobjekt: external-interface

  • VoIP ohne SIP Helper

    Kann VoIP ohne SIP Helper konfiguriert werden?
    • Antwort

    Ja, der vordefinierte Dienst sip (enthalten in der Paketfiltergruppe voip) hat den Protokolltyp sip, welcher die Application Layer Gateway (ALG) Module lädt. Soll VoIP ohne die sip-Helper und damit ohne ALG durchgeführt werden, muss eine neuer Dienst angelegt werden, der den Port 5060 UDP ohne den Protokolltyp sip verwendet.

    Unter Firewall Paketfilter  Schaltfläche Regel hinzufügen wird zunächst der neue Dienst angelegt.

    Dienst anlegen
    Beschriftung Wert Beschreibung Dienst hinzufügen UTMbenutzer@firewall.name.fqdnFirewallDienste Neuer Dienst
    Name: udp 5060 ohne Typ Aussagekräftiger Name
    Protokoll: udp
    Protokolltyp:
  • Frei lassen!
    • Zielport Typ: Einzelner PortPort-Bereich Nur ein Port wird benötigt
    Zielport: 5060 Zielport für sip über udp ist 5060
    Quellport Typ: AlleEinzelner Port Port-Bereich Die Clients können über verschiedene Ports die Verbindung aufbauen
    Speichern und schließen Anlegen des Dienstes
    Dienstgruppe anlegen
    Anschließend sollte unter  Dienstgruppen  mit Gruppe hinzufügen eine neue Gruppe angelegt werden:
    Beschriftung Wert Beschreibung
    Name: voip ohne ALG Aussagekräftiger Name
    Dienste  udp 5060 ohne Typ Zielports:5060
     rtp Zielports: 7070:7089    		 Der soeben neu angelegte Dienst für udp (Port 5060) und der Dienst rtp (ports 7070-7089) müssen enthalten sein
    Paketfilter Regel
    Zuletzt wird eine Paketfilter Regel wie oben erstellt, die als Dienst nun aber die neue Dienstgruppe enthält. # Quelle Ziel Dienst NAT Aktion Aktiv
    24 voip-clients voip-server voip ohne ALG HN Stateless Ein



  • Ein laden oder entladen der sip-Helper Module per CLI ist nicht mehr erforderlich

    •

  • UDP-Session Timeout

    Kann der UDP-Session Timeout angepasst werden?
    • Antwort

    Ja, der UDP-Session Timeout kann mithilfe von CLI-Befehlen angepasst werden.

    Lösung

    Folgende CLI-Befehle sind notwendig, damit der UDP-Session Timeout angepasst wird: (Im Beispiel auf 300 Sekunden)

    system sysctl new name net.netfilter.nf_conntrack_udp_timeout value 300 system update system system config save


  • SIP via TCP

    Kann SIP über TCP konfiguriert werden?
    • Antwort

    Ja, dazu muss ein neuer Dienst angelegt werden, mit dem Protokoll TCP, dem Protokolltyp SIP und den Zielports wie bei UDP.
    Dienst hinzufügen UTMbenutzer@firewall.name.fqdnFirewallDienste
    • Unter Firewall Dienste  Schaltfläche Objekt hinzufügen einen neuen Dienst anlegen

    Problembehandlung

  • Keine Tonübertragung

    Clients hinter RW-Verbindungen oder S2S-Verbindungen haben keine Tonübertragung?
    • Antwort

    Dies könnte an nicht ausreichenden Paketfilter Regeln liegen.

    Lösung

    Es sollte überprüft werden, dass die Paketfilter Regeln folgendes abdecken:
    1. Die Telefonanlage kann ohne NAT in das Tunnelnetz/ Remotenetz Pakete senden
    2. Die Clients können, ohne NAT mit der Telefonanlage kommunizieren
    3. Die Telefonanlage wird nicht über Rule-Routen auf ein Gateway gezwungen
    4. Falls Source-Routen für die TK-Anlage existieren, müssen auch welche für S2S-SSL-VPN Tunnel/ Wireguard vorhanden sein
    5. Es wird nicht der vordefinierte "sip" Dienst für Portfilterregeln über die Tunnel verwendet

    Ist das alles abgedeckt, sollte bei S2S-Verbindungen im Normalfall alles funktionieren.

    Weitere Fehlersuche sollte mit tcpdump (als root-User) vorgenommen werden.

    Bei Roadwarriorn fällt meist auf, dass der VoIP-Client nicht die eigene Tunneladresse als Ziel für die RTP-Pakete übermittelt, sondern die seines Standardgateways. In dem Fall wird die Telefonanlage nicht in der Lage sein, die RTP-Pakete an das korrekte Ziel zu senden. Hier ist der VoIP-Client das Problem!

  • Externes Verbinden

    Wieso können sich Clients nicht von Extern per VoIP des TK-Anlagenherstellers auf die TK-Anlage verbinden bzw. wieso kommen Gespräche nicht zustande?
    • Antwort

    Dies könnte daran liegen, dass beim Aufbau des Gesprächs keine Kommunikation mit RTP-Paketen aufgebaut wird bzw. die RTP-Pakete einseitig fließen. Das deutet darauf hin, das die TK-Anlage oder der VoIP-Client nicht die korrekten IP-Adressen als Ziel für die RTP-Pakete übermitteln. Dies kann man mithilfe von tcpdump gerausfinden.

    Lösung

    Da es viele verschiedene TK-Anlagen gibt und Securepoint auf die IT-Sicherheit spezialisiert ist, muss hier ein Techniker kontaktiert werden, der die TK-Anlage korrekt konfigurieren kann.



    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/FAQ-VoIP&oldid=99570