Wechseln zu:Navigation, Suche
Wiki

UTM/VoIP BestPractice.lang: Unterschied zwischen den Versionen

Aus Securepoint Wiki
← Zum vorherigen Versionsunterschied
KKeine Bearbeitungszusammenfassung
Markierung: Manuelle Zurücksetzung
KKeine Bearbeitungszusammenfassung
 
Zeile 5: Zeile 5:
{{var | display
{{var | display
| VoIP Best Practice
| VoIP Best Practice
| }}
| VoIP Best Practice }}


{{var | head
{{var | head
| Beispielszenarien zur VoIP Konfiguration mit der Securepoint UTM
| Beispielszenarien zur VoIP Konfiguration mit der Securepoint UTM
| }}
| Example scenarios for VoIP configuration with the Securepoint UTM }}


{{var | Vorbemerkung
{{var | Vorbemerkung
| Vorbemerkung
| Vorbemerkung
| }}
| Preliminary remark }}
{{var | Vorbemerkung--desc
{{var | Vorbemerkung--desc
| FAQs zur Fehlerbehandlung und z.B. anderen Protokoll Optionen (udp ohne SIP Helper, TCP mit SIP-Helpern) finden sich in einem [[UTM/FAQ-VoIP|eigenen Artikel]].
| FAQs zur Fehlerbehandlung und z.B. anderen Protokoll Optionen (udp ohne SIP Helper, TCP mit SIP-Helpern) finden sich in einem [[UTM/FAQ-VoIP|eigenen Artikel]].
| }}
| FAQs for troubleshooting and, for example, other protocol options (UDP without SIP Helper, TCP with SIP Helpers) can be found in a
[{{#var:host}}UTM/FAQ-VoIP separate article]. }}


{{var | Beispielszenario 1
{{var | Beispielszenario 1
| Beispielszenario 1
| Beispielszenario 1
| }}
| Example scenario 1 }}
{{var | Beispielszenario 1--Bild
| VoIP-Beispiel 1.png
| VoIP-Beispiel 1.png }}
{{var | Beispielszenario 1--cap
{{var | Beispielszenario 1--cap
| Router mit integrierter Telefonanlage
| Router mit integrierter Telefonanlage
| }}
| Router with integrated telephone system }}
{{var | Beispielszenario 1--Bild
| VoIP-Beispiel 1.png
}}
{{var | Routenerstellung auf Fritz!Box anzeigen
{{var | Routenerstellung auf Fritz!Box anzeigen
| Routenerstellung auf Fritz!Box anzeigen
| Routenerstellung auf Fritz!Box anzeigen
| }}
| Display route creation on Fritz!Box }}
{{var | 1=Beispielszenario 1--Routen auf Fritz!Box
{{var | 1=Beispielszenario 1--Routen auf Fritz!Box
| 2={{Disclaimer2|class=left mw100|Artikel=Abschnitt}}<br clear=all><!--
| 2={{Disclaimer2|class=left mw100|Artikel=Abschnitt}}<br clear=all><!--
Zeile 55: Zeile 56:
--> </ul><!--
--> </ul><!--
--></ul>
--></ul>
| 3= }}
| 3={{Disclaimer2|class=left mw100|Artikel=Section}}<br clear=all><!--
--><ul><!--
--> <li>Szenario:<!--
--> <ul><!--
--> <li>IP address of the Fritz!Box in the internal network: 192.168.178.1</li><!--
--> <li>IP address of the UTM in the network to the Fritz!Box (e.g., A0, Zone ''external''): 192.168.178.2</li><!--
--> <li>Network IP of the internal network where the VoIP clients are located (e.g., A1, Zone ''internal-network''): 192.168.175.0/24<br><br></li><!--
--> </ul><!--
--> </li><!--
--> <li>Example Fritz!Box:<!--
--> <ul><!--
--> <li>Menu {{Menu|Homenetwork|Network|Networksettings|Anw=AVM}} → Option {{c|1=Advanced Settings <i class="fas fa-caret-down"></i>|2=blau}} → Section {{B|Static Routes Table|Anw=AVM}} → Button {{Button|IPv4 Routes|Anw=AVM}}</li><!--
--> <li>Button {{Button|New IPv4 Route|Anw=AVM}}<!--
--> <ul><!--
--> <li>IPv4-Network: 192.168.175.0</li><!--
--> <li>Subnetmask: 255.255.255.0</li><!--
--> <li>Gateway: 192.168.178.1</li><!--
--> <li>Checkbox: IPv4 Route Active</li><!--
--> </ul><!--
--> </li><!--
--> <li>Button Apply</li><!--
--> </li><!--
--> </ul><!--
--></ul>
}}
{{var | 1=Beispielszenario 1--Routen auf Speedport
{{var | 1=Beispielszenario 1--Routen auf Speedport
| 2={{Disclaimer2|class=left mw100|Artikel=Abschnitt}}<br clear=all><!--
| 2={{Disclaimer2|class=left mw100|Artikel=Abschnitt}}<br clear=all><!--
Zeile 81: Zeile 106:
--> </ul><!--
--> </ul><!--
--></ul>
--></ul>
| 3= }}
| 3={{Disclaimer2|class=left mw100|Artikel=Abschnitt}}<br clear=all><!--
--><ul><!--
--> <li>Szenario:<!--
--> <ul><!--
--> <li>The internal network IP address of the Speedport is 192.168.2.1</li><!--
--> <li>UTM IP address in the Speedport network (e.g., A0, Zone "external"): 192.168.2.2</li><!--
--> <li>Network IP of the internal network where the VoIP clients are located (e.g., A1, Zone "internal-network"): 192.168.175.0/24<br><br></li><!--
--> </ul><!--
--> </li><!--
--> <li>Example for Speedport:<!--
--> <ul><!--
--> <li>Menu ''Home Network → Network Settings → Routing''<br>(The path may vary slightly depending on the model, e.g., "Advanced Settings → Static Routes")</li><!--
--> <li>Add a new route:<!--
--> <ul><!--
--> <li>Destination network: 192.168.175.0</li><!--
--> <li>Subnetmask: 255.255.255.0</li><!--
--> <li>Gateway: 192.168.2.1</li><!--
--> <li>Interface:LAN</li><!--
--> </ul><!--
--> </li><!--
--> <li>Button Apply</li><!--
--> </li><!--
--> </ul><!--
--></ul>}}
{{var | Beispielszenario 1--desc
{{var | Beispielszenario 1--desc
| <div>
| * Der Router (z. B. Fritz!Box) benötigt eine Route für die zu erreichenden Netzwerke hinter der Firewall <br>{{sp-einblenden| Routenerstellung auf Fritz!Box anzeigen | Beispiel Fritz!Box ausblenden | class=dezent tolltip | content={{#var:Beispielszenario 1--Routen auf Fritz!Box}}| }}<br>{{sp-einblenden| Routenerstellung auf Speedport anzeigen | Beispiel Speedport ausblenden | content={{#var:Beispielszenario 1--Routen auf Speedport}} | class=dezent tolltip }}
* Der Router (z. B. Fritz!Box) benötigt eine Route für die zu erreichenden Netzwerke hinter der Firewall <br>{{info| {{#var:Beispielszenario 1--Routen auf Fritz!Box}}| Routenerstellung auf Fritz!Box anzeigen }}<br>{{info| {{#var:Beispielszenario 1--Routen auf Speedport}}| Routenerstellung auf Speedport anzeigen }}
* Für den Router wird ein Netzwerkobjekt im Paketfilter angelegt
* Für den Router wird ein Netzwerkobjekt im Paketfilter angelegt
* Eine Regelgruppe wird erstellt, die möglichst oben im Regelwerk angelegt wird. <br>Wenn vorhanden, auto generierte Regeln in einer anderen Gruppe nachbauen und diese dann deaktivieren
* Eine Regelgruppe wird erstellt, die möglichst oben im Regelwerk angelegt wird. <br>Wenn vorhanden, auto generierte Regeln in einer anderen Gruppe nachbauen und diese dann deaktivieren
</div>
|  * The router (e.g., Fritz!Box) requires a route to the networks behind the firewall <br>{{sp-einblenden|Show route creation on the Fritz!Box| Hide Example |content={{#var:Beispielszenario 1--Routen auf Fritz!Box}} | class=dezent tolltip }}<br>{{sp-einblenden| Show route creation on the Speedport | Hide Example | content={{#var:Beispielszenario 1--Routen auf Speedport}} | | class=dezent tolltip }}
}}
* A network object for the router is created in the packet filter.
* A rule group is created and placed as high as possible in the rule set. If available, recreate auto-generated rules in another group and then disable them.}}
{{var | Router Netzwerkobjekt--Bild
{{var | Router Netzwerkobjekt--Bild
| UTM v14.1.1 VoIP BestPractice Router Netzwerkobjekt.png
| UTM v14.1.1 VoIP BestPractice Router Netzwerkobjekt.png
Zeile 94: Zeile 142:
{{var | Router Netzwerkobjekt--cap
{{var | Router Netzwerkobjekt--cap
| * Netzwerkobjekt für den Router erstellen unter {{Menu-UTM|Firewall|Netzwerkobjekte||Objekt hinzufügen|+}}  
| * Netzwerkobjekt für den Router erstellen unter {{Menu-UTM|Firewall|Netzwerkobjekte||Objekt hinzufügen|+}}  
| }}
| * Create a network object for the router under {{Menu-UTM|Firewall|Network Objects||Add Object|+}} }}
{{var | Netzwerkobjekt hinzufügen
{{var | Netzwerkobjekt hinzufügen
| Netzwerkobjekt hinzufügen
| Netzwerkobjekt hinzufügen
| }}
| Add network object }}
{{var | Netzwerkobjekte
{{var | Netzwerkobjekte
| Netzwerkobjekte
| Netzwerkobjekte
| }}
| Network objects }}
{{var | Regelgruppe VoIP--Bild
{{var | Regelgruppe VoIP--Bild
| UTM v12.7.3 VoIP BestPractice Regelgruppe VoIP.png
| UTM v12.7.3 VoIP BestPractice Regelgruppe VoIP.png
Zeile 108: Zeile 156:
* Unter {{Menu-UTM|Firewall|Paketfilter||Regelgruppe hinzufügen|addfolder}} sollte eine Regelgruppe für die Paktefilter Regeln erstellt werden.
* Unter {{Menu-UTM|Firewall|Paketfilter||Regelgruppe hinzufügen|addfolder}} sollte eine Regelgruppe für die Paktefilter Regeln erstellt werden.
<li class="list--element__alert list--element__hint">Diese an oberste Position verschieben</li></ul>
<li class="list--element__alert list--element__hint">Diese an oberste Position verschieben</li></ul>
| 3= }}
| 3= A rule group for the packet filter rules should be created under {{Menu-UTM|Firewall|Packet Filter||Add Rule Group|addfolder}}.
<li class="list--element__alert list--element__hint">Move this group to the top position</li></ul> }}
{{var | Regelgruppe hinzufügen
{{var | Regelgruppe hinzufügen
| Regelgruppe hinzufügen
| Regelgruppe hinzufügen
| }}
| Add rule group }}
{{var | Paketfilter
{{var | Paketfilter
| Paketfilter
| Paketfilter
| }}
| Packet filter }}
{{var | Paketfilter internal-network router--Bild
{{var | Paketfilter internal-network router--Bild
| UTM v12.7.3 VoIP BestPractice Paketfilter internal-network router.png
| UTM v12.7.3 VoIP BestPractice Paketfilter internal-network router.png
Zeile 120: Zeile 169:
{{var | Paketfilter internal-network router--cap
{{var | Paketfilter internal-network router--cap
| * ''Ausgehende'' Paketfilterregel unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}} erstellen.
| * ''Ausgehende'' Paketfilterregel unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}} erstellen.
| }}
| * Create an ''outgoing'' packet filter rule under {{Menu-UTM|Firewall|Packet Filter||Add Rule|+}}. }}
{{var | Regel hinzufügen
{{var | Regel hinzufügen
| Regel hinzufügen
| Regel hinzufügen
| }}
| Add rule }}
{{var | Paketfilter router internal-network--Bild
{{var | Paketfilter router internal-network--Bild
| UTM v12.7.3 VoIP BestPractice Paketfilter router internal-network.png
| UTM v12.7.3 VoIP BestPractice Paketfilter router internal-network.png
Zeile 129: Zeile 178:
{{var | Paketfilter router internal-network--cap
{{var | Paketfilter router internal-network--cap
| * ''Eingehende'' Paketfilterregel unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}} erstellen
| * ''Eingehende'' Paketfilterregel unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}} erstellen
| }}
| * Create an ''incoming'' packet filter rule under {{Menu-UTM|Firewall|Packet Filter||Add Rule|+}} }}
{{var | 1=Regel-Gruppen Hinweis
{{var | 1=Regel-Gruppen Hinweis
| 2=<li class="list--element__alert list--element__hint">Regel der zuvor erstellten Gruppe zuweisen, damit sie vor anderen Regeln ausgeführt wird</li>
| 2=<li class="list--element__alert list--element__hint">Regel der zuvor erstellten Gruppe zuweisen, damit sie vor anderen Regeln ausgeführt wird</li>
| 3= }}
| 3= <li class="list--element__alert list--element__hint">Assign the rule to the previously created group so that it is executed before other rules</li> }}
{{var | Übersicht der Regeln
{{var | Übersicht der Regeln
| Übersicht der Regeln
| Übersicht der Regeln
|  }}
| Overview of rules }}
{{var | Quelle | Quelle | Quelle }}
{{var | Quelle | Quelle | Source }}
{{var | Ziel | Ziel | Target }}
{{var | Ziel | Ziel | Target }}
{{var | Dienst | Dienst | Service }}
{{var | Dienst | Dienst | Service }}
Zeile 150: Zeile 199:
{{var | Beispielszenario 2
{{var | Beispielszenario 2
| Beispielszenario 2
| Beispielszenario 2
| }}
| Example scenario 2 }}
{{var | Beispielszenario 2--Bild
{{var | Beispielszenario 2--Bild
| VoIP-Beispiel 2.png
| VoIP-Beispiel 2.png
| }}
| VoIP-Beispiel 2.png }}
{{var | Beispielszenario 2--cap
{{var | Beispielszenario 2--cap
| Telefonanlage und UTM im gleichen Netz an einem Router
| Telefonanlage und UTM im gleichen Netz an einem Router
| }}
| Telephone system and UTM in the same network on a router }}
{{var | Beispielszenario 2--Hinweis1
{{var | Beispielszenario 2--Hinweis1
| Diese Konfiguration sollte unbedingt vermieden werden! Lassen sich keine Routen in der Telefonanlage hinterlegen kommt es mit hoher Wahrscheinlichkeit zu asynchronem Routing. <br>Die Telefonanlage sollte am besten in einem eigenen Netz hinter die Firewall gebaut werden. Dann gilt [[#Telefonanlage_in_einem_eigenen_Netz_an_der_UTM_mit_Router|Beispielszenario 3]].
| Diese Konfiguration sollte unbedingt vermieden werden! Lassen sich keine Routen in der Telefonanlage hinterlegen kommt es mit hoher Wahrscheinlichkeit zu asynchronem Routing. <br>Die Telefonanlage sollte am besten in einem eigenen Netz hinter die Firewall gebaut werden. Dann gilt [[#Telefonanlage_in_einem_eigenen_Netz_an_der_UTM_mit_Router|Beispielszenario 3]].
|  }}
| This configuration should be avoided if possible! If no routes can be stored in the telephone system, asynchronous routing is very likely to occur.<br>The telephone system should ideally be set up in its own network behind the firewall. Then [[#Telefonanlage_in_einem_eigenen_Netz_an_der_UTM_mit_Router|Example scenario 3]] applies. }}
{{var | Beispielszenario 2--Hinweis2
{{var | Beispielszenario 2--Hinweis2
| Falls es möglich ist, in der Telefonanlage Routen zu hinterlegen, ist das vorgehen ähnlich zu Beispielszenario 1. Statt des Routers wird dann nur die TK-Anlage in den Paketfilterregeln verwendet.
| Falls es möglich ist, in der Telefonanlage Routen zu hinterlegen, ist das vorgehen ähnlich zu Beispielszenario 1. Statt des Routers wird dann nur die TK-Anlage in den Paketfilterregeln verwendet.
| }}
| If it is possible to store routes in the telephone system, the procedure is similar to Example scenario 1. Instead of the router, the telephone system is used in the packet filter rules. }}
{{var | Beispielszenario 2a-cap
{{var | Beispielszenario 2a-cap
| Mit Regeln auf Telefonanlage
| Mit Regeln auf Telefonanlage
| }}
| With rules on the telephone system }}
{{var | Beispielszenario 2b-cap
{{var | Beispielszenario 2b-cap
| Ohne Regeln auf Telefonanlage
| Ohne Regeln auf Telefonanlage
| }}
| Without rules on the telephone system }}
{{var | TK-Anlage Netzwerkobjekt external--Bild
{{var | TK-Anlage Netzwerkobjekt external--Bild
| UTM v14.0.0 VoIP BestPractice TK-Anlage Netzwerkobjekt external.png
| UTM v14.0.0 VoIP BestPractice TK-Anlage Netzwerkobjekt external.png
Zeile 174: Zeile 223:
{{var | TK-Anlage Netzwerkobjekt--cap
{{var | TK-Anlage Netzwerkobjekt--cap
| * Netzwerkobjekt für die TK Anlage erstellen unter {{Menu-UTM|Firewall|Netzwerkobjekte||Objekt hinzufügen|+}}  
| * Netzwerkobjekt für die TK Anlage erstellen unter {{Menu-UTM|Firewall|Netzwerkobjekte||Objekt hinzufügen|+}}  
| }}
| * Create a network object for the telephone system under {{Menu-UTM|Firewall|Network Objects||Add Object|+}} }}
{{var | Paketfilter internal-network TK-Anlage--Bild
{{var | Paketfilter internal-network TK-Anlage--Bild
| UTM v14.0.0 VoIP BestPractice Paketfilter internal-network tk-anlage.png
| UTM v14.0.0 VoIP BestPractice Paketfilter internal-network tk-anlage.png
Zeile 180: Zeile 229:
{{var | Paketfilter internal-network TK-Anlage--cap
{{var | Paketfilter internal-network TK-Anlage--cap
| * ''Ausgehende'' Paketfilterregel unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}} erstellen.
| * ''Ausgehende'' Paketfilterregel unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}} erstellen.
| }}
| * Create an ''outgoing'' packet filter rule under {{Menu-UTM|Firewall|Packet Filter||Add Rule|+}}. }}
{{var | Paketfilter TK-Anlage internal-network--Bild
{{var | Paketfilter TK-Anlage internal-network--Bild
| UTM v14.0.0 VoIP BestPractice Paketfilter tk-anlage internal-network.png
| UTM v14.0.0 VoIP BestPractice Paketfilter tk-anlage internal-network.png
Zeile 186: Zeile 235:
{{var | Paketfilter TK-Anlage internal-network--cap
{{var | Paketfilter TK-Anlage internal-network--cap
| * ''Eingehende'' Paketfilterregel unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}} erstellen.
| * ''Eingehende'' Paketfilterregel unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}} erstellen.
| }}
| * Create an ''incoming'' packet filter rule under {{Menu-UTM|Firewall|Packet Filter||Add Rule|+}}. }}
{{var | Route auf Telefonanlage--Hinweis
{{var | Route auf Telefonanlage--Hinweis
| Route auf Telefonanlage nicht vergessen!  
| Route auf Telefonanlage nicht vergessen!  
| }}
| Do not forget the route on the telephone system! }}
{{var | Beispielszenario 2b--desc
{{var | Beispielszenario 2b--desc
| Wenn keine Regeln auf der Telefonanlage angelegt werden könne, müssen auf der UTM auch Regeln für die Kommunikation zum Router erstellt werden. Dazu ist die Erstellung eines Netzwerkobjektes für den Router sowie zwei Regeln nötig. Insgesamt müssen in diesem Szenario dann folgende Regeln erstellt werden:
| Wenn keine Regeln auf der Telefonanlage angelegt werden könne, müssen auf der UTM auch Regeln für die Kommunikation zum Router erstellt werden. Dazu ist die Erstellung eines Netzwerkobjektes für den Router sowie zwei Regeln nötig. Insgesamt müssen in diesem Szenario dann folgende Regeln erstellt werden:
| }}
| If no rules can be created on the telephone system, rules for communication with the router must also be created on the UTM. This requires creating a network object for the router and two rules. In total, the following rules must be created in this scenario: }}


{{var | Beispielszenario 3
{{var | Beispielszenario 3
| Beispielszenario 3
| Beispielszenario 3
| }}
| Example scenario 3 }}
{{var | Beispielszenario 3--Bild
{{var | Beispielszenario 3--Bild
| VoIP-Beispiel 3.png
| VoIP-Beispiel 3.png
Zeile 202: Zeile 251:
{{var | Beispielszenario 3--cap
{{var | Beispielszenario 3--cap
| Telefonanlage in einem eigenen Netz an der UTM mit Router
| Telefonanlage in einem eigenen Netz an der UTM mit Router
| }}
| Telephone system in its own network on the UTM with router }}
{{var | Beispielszenario 3--desc
{{var | Beispielszenario 3--desc
| * Eine Regelgruppe wird erstellt, die möglichst oben im Regelwerk angelegt wird. Wenn vorhanden
| * Eine Regelgruppe wird erstellt, die möglichst oben im Regelwerk angelegt wird. Wenn vorhanden
Zeile 208: Zeile 257:
* auto generierte Regeln in einer anderen Gruppe nachbauen und diese dann deaktivieren
* auto generierte Regeln in einer anderen Gruppe nachbauen und diese dann deaktivieren
* Achtung: Hier findet doppeltes NAT statt: 1x durch die UTM und 1x durch den Router !
* Achtung: Hier findet doppeltes NAT statt: 1x durch die UTM und 1x durch den Router !
| }}
| * A rule group is created and placed as high as possible in the rule set. If available
* if necessary, a separate rule for the SIP protocol can be omitted if SIP is transmitted encrypted (this may be required by the provider and must then be set up on the telephone system)
* Recreate auto-generated rules in another group and then disable them
* Note: Double NAT occurs here: once through the UTM and once through the router! }}
{{var | TK-Anlage Netzwerkobjekt--Bild
{{var | TK-Anlage Netzwerkobjekt--Bild
| UTM v12.7.3 VoIP BestPractice TK-Anlage Netzwerkobjekt.png
| UTM v12.7.3 VoIP BestPractice TK-Anlage Netzwerkobjekt.png
Zeile 214: Zeile 266:
{{var | TK-Anlage Netzwerkobjekt--cap
{{var | TK-Anlage Netzwerkobjekt--cap
| * Es muss ein Netzwerkobjekt für die TK-Anlage unter {{Menu-UTM|Firewall|Netzwerkobjekte||Objekt hinzufügen|+}} erstellt werden
| * Es muss ein Netzwerkobjekt für die TK-Anlage unter {{Menu-UTM|Firewall|Netzwerkobjekte||Objekt hinzufügen|+}} erstellt werden
| }}
| * A network object for the telephone system must be created under {{Menu-UTM|Firewall|Netzwerkobjekte||Add object|+}} }}
{{var | Paketfilter Tk-Anlage Internet sip--Bild
{{var | Paketfilter Tk-Anlage Internet sip--Bild
| UTM v12.7.3 VoIP BestPractice Paketfilter Tk-Anlage Internet sip.png
| UTM v12.7.3 VoIP BestPractice Paketfilter Tk-Anlage Internet sip.png
Zeile 220: Zeile 272:
{{var | Paketfilter Tk-Anlage Internet sip--cap
{{var | Paketfilter Tk-Anlage Internet sip--cap
| * Es muss eine ausgehende Paketfilterregel mit dem Dienst {{ic|{{spc|udp|o|-}} sip|dr}} unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}} erstellt werden
| * Es muss eine ausgehende Paketfilterregel mit dem Dienst {{ic|{{spc|udp|o|-}} sip|dr}} unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}} erstellt werden
| }}
| * An outgoing packet filter rule with the service {{ic|{{spc|udp|o|-}} sip|dr}} must be created under {{Menu-UTM|Firewall|Packet Filter||Add Rule|+}} }}
{{var | 1=Beispielszenario 3-Paketfilter sip--Hinweis
{{var | 1=Beispielszenario 3-Paketfilter sip--Hinweis
| 2=<li class="list--element__alert list--element__hint">Wenn SIP verschlüsselt arbeitet, ist diese Regel nicht notwendig.</li>
| 2=<li class="list--element__alert list--element__hint">Wenn SIP verschlüsselt arbeitet, ist diese Regel nicht notwendig.</li>
Zeile 229: Zeile 281:
{{var | Paketfilter Internet Tk-Anlage any--cap
{{var | Paketfilter Internet Tk-Anlage any--cap
| * Es muss eine ausgehende Paketfilterregel mit dem Dienst {{ic|{{spc|other|o|-}} any|dr}} unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}} erstellt werden
| * Es muss eine ausgehende Paketfilterregel mit dem Dienst {{ic|{{spc|other|o|-}} any|dr}} unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}} erstellt werden
| }}
| An outgoing packet filter rule with the service {{ic|{{spc|other|o|-}} any|dr}} must be created under {{Menu-UTM|Firewall|Packet Filter||Add Rule|+}}. }}


{{var | Beispielszenario 4
{{var | Beispielszenario 4
| Beispielszenario 4
| Beispielszenario 4
| }}
| Example scenario 4 }}
{{var | Beispielszenario 4--Bild
{{var | Beispielszenario 4--Bild
| VoIP-Beispiel 4.png
| VoIP-Beispiel 4.png
Zeile 239: Zeile 291:
{{var | Beispielszenario 4--cap
{{var | Beispielszenario 4--cap
| Telefonanlage in einem eigenen Netz an der UTM / direkter Internetzugang
| Telefonanlage in einem eigenen Netz an der UTM / direkter Internetzugang
| }}
| Telephone system in its own network on the UTM / direct internet access }}
{{var | Beispielszenario 4--desc
{{var | Beispielszenario 4--desc
| * Bei dieser Konfiguration sollten die Conntrack-Module nicht per Portfilterregel eingesetzt werden.  
| * Bei dieser Konfiguration sollten die Conntrack-Module nicht per Portfilterregel eingesetzt werden.  
* Wichtig ist hier in den meisten Fällen, das in der Telefonanlage ein STUN-Server hinterlegt ist oder, wie bei ''Starface'', die externe IP (kann unter Server → Netzwerk geprüft werden) anderweitig ermittelt wird. <br>Meist muss die TK-Anlage aber noch dazu gebracht werden, diese IP in den SDP-Teil des SIP-Paketes zu setzen. <br>Bei Starface klappt das im Verbindungsprofil. Dort gibt es eine NAT-Einstellung.<br>
* Wichtig ist hier in den meisten Fällen, das in der Telefonanlage ein STUN-Server hinterlegt ist oder, wie bei ''Starface'', die externe IP (kann unter Server → Netzwerk geprüft werden) anderweitig ermittelt wird. <br>Meist muss die TK-Anlage aber noch dazu gebracht werden, diese IP in den SDP-Teil des SIP-Paketes zu setzen. <br>Bei Starface klappt das im Verbindungsprofil. Dort gibt es eine NAT-Einstellung.<br>
* Falls der Provider keinen STUN-Server anbietet klappt es meist ohne diesen. Man kann sich jedoch nicht darauf verlassen.
* Falls der Provider keinen STUN-Server anbietet klappt es meist ohne diesen. Man kann sich jedoch nicht darauf verlassen.
|  }}
| * In this configuration, the Conntrack modules should not be used via port filter rules.
* In most cases, it is important that a STUN server is configured in the telephone system, or, as with ''Starface'', the external IP (can be checked under Server → Network) is determined in another way. Usually, the telephone system must also be made to set this IP in the SDP part of the SIP packet. <br>With ''Starface'', this works in the connection profile. There is a NAT setting there.<br>
* If the provider does not offer a STUN server, it usually works without one. However, this cannot be relied upon.
  }}
{{var | 1=Beispielszenario 4-Paketfilter sip--Hinweis
{{var | 1=Beispielszenario 4-Paketfilter sip--Hinweis
| 2=<li class="list--element__alert list--element__hint">Wenn SIP verschlüsselt oder mit TCP arbeitet, ist die Regel nicht notwendig.</li>
| 2=<li class="list--element__alert list--element__hint">Wenn SIP verschlüsselt oder mit TCP arbeitet, ist die Regel nicht notwendig.</li>
| 3= }}
| 3= <li class="list--element__alert list--element__hint">If SIP operates encrypted or via TCP, this rule is not necessary.</li> }}




Aktuelle Version vom 9. April 2026, 15:29 Uhr

In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden







































Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/VoIP_BestPractice.lang&oldid=102532