KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
Zeile 15: | Zeile 15: | ||
{| class="sptable pd5" | {| class="sptable pd5" | ||
|- | |- | ||
| {{ Kasten | Aktion}} || {{ Button | Stateless | dr | lh=1.4 }} | | {{ Kasten | Aktion}} || {{ Button | Stateless | dr | lh=1.4 }} || | ||
|- | |- | ||
| {{ Kasten | Quelle}} || {{ic| voip-devices }} || Es sollte eine geeignete Gruppe definiert werden. Z.B.: ''Telefone und Workstations'' oder ''VoIP-devices''<br>{{Hinweis | ! }} ''Internal Network'' erlaubt ''allen'' Netzwerkgeräten VoIP ! <br>{{Hinweis | ! }} Aus Gründen der Netzwerk-Sicherheit sollte Geräten, die kein VoIP benötigen (z.B. Druckern oder IoT-Geräten) auch kein VoIP erlaubt werden. | | {{ Kasten | Quelle}} || {{ic| voip-devices }} || Es sollte eine geeignete Gruppe definiert werden. Z.B.: ''Telefone und Workstations'' oder ''VoIP-devices''<br>{{Hinweis | ! }} ''Internal Network'' erlaubt ''allen'' Netzwerkgeräten VoIP ! <br>{{Hinweis | ! }} Aus Gründen der Netzwerk-Sicherheit sollte Geräten, die kein VoIP benötigen (z.B. Druckern oder IoT-Geräten) auch kein VoIP erlaubt werden. | ||
Zeile 27: | Zeile 27: | ||
| rowspan="2" | {{ Kasten | NAT }} || {{ Kasten | TYP }} || {{ Button | HIDENAT | dr | w=130px | lh=1.4}} | | rowspan="2" | {{ Kasten | NAT }} || {{ Kasten | TYP }} || {{ Button | HIDENAT | dr | w=130px | lh=1.4}} | ||
|- | |- | ||
| {{ Kasten | Netzwerkobjekt }} || {{ Button | external-interface | dr | w=130px | lh=1.4}} || | | style="min-width: 150px;" | {{ Kasten | Netzwerkobjekt }} || {{ Button | external-interface | dr | w=130px | lh=1.4}} || | ||
|} | |} | ||
<br> | <br> |
Version vom 23. Januar 2020, 09:16 Uhr
Einstellungen in der UTM-Firewall für VoIP-Geräte, wenn der VoIP-Server hinter der UTM liegt.
Wenn zwischen VoIP-Endgeräten und einem VoIP-Server eine UTM steht, ist es notwendig, eine zusätzliche Portfilter-Regel anzulegen, die VoIP mit NAT freischaltet.
Der Verbindungsaufbau erfolgt über SIP, das Gerät meldet sich mit seiner lokalen IP am VoIP-Server an. Die Sprachpakete selbst werden dann aber über rtp auf anderen Ports gesendet. Um nun den VoIP-Client und gleichzeitig die bei Verbindungsaufbau übermittelten rtp-Ports im lokalen Netz von außen - in diesem Fall für den VoIP-Server erreichbar zu machen ist es notwendig eine Portfilter-Regel dafür anzulegen:
Portfilter Schaltfläche
Reiter
Aktion |
||
Quelle |
voip-devices | Es sollte eine geeignete Gruppe definiert werden. Z.B.: Telefone und Workstations oder VoIP-devices Internal Network erlaubt allen Netzwerkgeräten VoIP ! Aus Gründen der Netzwerk-Sicherheit sollte Geräten, die kein VoIP benötigen (z.B. Druckern oder IoT-Geräten) auch kein VoIP erlaubt werden. |
Ziel |
Internet | |
Dienst |
voip | Dienstgruppe VoIP: Schaltet folgende Ports frei:
|
NAT |
TYP |
|
Netzwerkobjekt |
Zusätzlich kann es notwendig sein folgende Befehle im CLI auszuführen:
debug kmod load module nf_nat_sip debug kmod load module nf_nat_h323 debug kmod load module nf_conntrack_sip debug kmod load module nf_conntrack_h323
Anschließend als root-user per ssh den Befehl
conntrack -F
mehrmals ausführen