Wechseln zu:Navigation, Suche
Wiki

UTM/FAQ-VoIP 07.2022: Unterschied zwischen den Versionen

Aus Securepoint Wiki
(Die Seite wurde neu angelegt: „{{Archivhinweis|UTM/FAQ-VoIP|pre=12.6.0}} {{Set_lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | UTM zwischen VoIP-Client und VoIP-Server | UTM between VoIP client and VoIP server }} {{var | head | Einstellungen in der UTM-Firewall für VoIP-Geräte, wenn die UTM zwischen dem VoIP-Server und den VoIP-Clients liegt. | Settings in the UTM firewall for VoIP devices when the UTM is located between the VoIP server and the VoIP clients.…“)
 
K (Textersetzung - „sptable2 spezial“ durch „sptable2 Paketfilter“)
 
Zeile 289: Zeile 289:
<div class="Einrücken">
<div class="Einrücken">


{| class="sptable2 spezial pd5 tr--bc__white zh1"<br>
{| class="sptable2 Paketfilter pd5 tr--bc__white zh1"<br>
|- class="bold small no1cell"
|- class="bold small no1cell"
| class="Leerzeile bc__default normal fs-initial" rowspan="3"|  {{#var:Portfilter Regel ohne sip Helper--desc}} ||  || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"|
| class="Leerzeile bc__default normal fs-initial" rowspan="3"|  {{#var:Portfilter Regel ohne sip Helper--desc}} ||  || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"|

Aktuelle Version vom 29. Mai 2024, 10:50 Uhr





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Der Artikel für die neueste Version steht hier

notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht






























































De.png
En.png
Fr.png








Einstellungen in der UTM-Firewall für VoIP-Geräte, wenn die UTM zwischen dem VoIP-Server und den VoIP-Clients liegt.
Letzte Anpassung: 07.2022
Neu:
  • Hinweis zur Vermeidung von Slipstreaming Angriffen
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

11.8


Ausgangslage

Portfilter-Regel für VoIP

Wenn zwischen VoIP-Endgeräten und einem VoIP-Server eine UTM steht, ist es notwendig, eine zusätzliche Portfilter-Regel anzulegen, die VoIP mit NAT freischaltet.
Der Verbindungsaufbau erfolgt über SIP, das Gerät meldet sich mit seiner lokalen IP am VoIP-Server an. Die Sprachpakete selbst werden dann aber über rtp auf anderen Ports gesendet. Um nun den VoIP-Client und gleichzeitig die bei Verbindungsaufbau übermittelten rtp-Ports im lokalen Netz von außen - in diesem Fall für den VoIP-Server erreichbar zu machen ist es notwendig eine Portfilter-Regel dafür anzulegen:

Portfilter Regel

→ Firewall →PortfilterReiter Portfilter Schaltfläche Regel hinzufügen


Allgemein
Quelle Node-group.svg voip-clients Es sollte eine geeignete Gruppe definiert werden. Z.B.: Telefone und Workstations oder VoIP-clients
  • Internal Network erlaubt allen Netzwerkgeräten VoIP!
  • Aus Gründen der Netzwerk-Sicherheit sollte Geräten, die kein VoIP benötigen (z.B. Druckern oder IoT-Geräten) auch kein VoIP erlaubt werden.
    • Ziel Host.svg voip-server VoIP-Verbindungen mit entsprechend geöffneten Ports sollten ausschließlich zum VOIP-Server möglich sein.
    Dienst Service-group.svg voip Dienstgruppe VoIP: Schaltet folgende Ports frei:
    • SIP: UDP Port 5060 Protokolltyp sip
      Der Protokolltyp sip lädt die Application Layer Gateway Module (ALG)
    • rtp: UDP Port 7070-7089
    Aktion Stateless
    NAT
    TYP HIDENAT
    Netzwerkobjekt Interface.svg external-interface


    VoIP ohne SIP Helper

    Der vordefinierte Dienst sip (enthalten in der Portfiltergruppe voip) hat den Protokolltyp sip, welcher die Application Layer Gateway (ALG) Module lädt.

    Soll VoIP ohne die sip-Helper und damit ohne ALG durchgeführt werden, muss eine neuer Dienst angelegt werden, der den Port 5060 UDP ohne den Protokolltyp sip verwendet.
    → Firewall →PortfilterReiter Dienste Schaltfläche Objekt hinzufügen

    Dienst anlegen

    Beschriftung Wert Beschreibung UTM v12.2.3 Portfilter VoIP-Dienst.png
    Neuer Dienst
    Name: udp 5060 ohne Typ Aussagekräftiger Name
    Protokoll: udp
    Protokolltyp: Frei lassen!
    Zielport Typ: Einzelner Port Nur ein Port wird benötigt
    Zielport: 5060Link= Zielport für sip über udp ist 5060
    Quellport Typ: Alle Die Clients können über verschiedene Ports die Verbindung aufbauen Nur für interne Prüfzwecke
    Speichern Anlegen des Dienstes

    Dienstgruppe anlegen

    Anschließend sollte unter  Dienstgruppen  mit Gruppe hinzufügen eine neue Gruppe angelegt werden:
    Beschriftung Wert Beschreibung
    Name: voip ohne ALG Aussagekräftiger Name
    Dienste: Udp.svg udp 5060 ohne Typ Zielports:5060
    Udp.svg rtp Zielports: 7070:7089    		 Der soeben neu angelegte Dienst für udp (Port 5060) und der Dienst rtp (ports 7070-7089) müssen enthalten sein

    Portfilter Regel

    Zuletzt wird eine Portfilter Regel wie oben erstellt, die als Dienst nun aber die neue Dienstgruppe enthält. # Quelle Ziel Dienst NAT Aktion Aktiv
    Dragndrop.png 24 Node-group.svg voip-clients Host.svg voip-server Service-group.svg voip ohne ALG HN Stateless Ein



    Ein laden oder entladen der sip-Helper Module per CLI ist nicht mehr erforderlich

    Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/FAQ-VoIP_07.2022&oldid=91717