K (Weiterleitung auf UTM/FAQ-VoIP v11.8 entfernt) Markierung: Weiterleitung entfernt |
KKeine Bearbeitungszusammenfassung |
||
| Zeile 4: | Zeile 4: | ||
{{:UTM/FAQ-VoIP.lang}} | {{:UTM/FAQ-VoIP.lang}} | ||
</div>{{Select_lang}}{{TOC2|limit=1}} | </div><div class="new_design"></div>{{Select_lang}}{{TOC2|limit=1}} | ||
{{Header| | {{Header| 12.6.0 | | ||
* {{#var:neu-- | * {{#var:neu--rwi}} | ||
|[[UTM/FAQ-VoIP_v11.8 | 11.8]] | |[[UTM/FAQ-VoIP_07.2022 | 07.2022]] | ||
[[UTM/FAQ-VoIP_v11.8 | 11.8]] | |||
| | |||
}} | }} | ||
---- | |||
=== {{#var:Ausgangslage}} === | === {{#var:Ausgangslage}} === | ||
{{ pt3 | {{#var: | <!--{{ pt3 | {{#var:Paketfilter--Bild}} | hochkant=3 | {{#var:Paketfilter--cap}} }}--> | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
<p>{{#var:voip--desc | <p>{{#var:voip--desc}}</p> | ||
</div> | </div> | ||
---- | |||
=== {{#var: | === {{#var:Paketfilter Regel}} === | ||
{| class="sptable2 pd5 zh1 Einrücken" | |||
| class=noborder colspan=3 | {{Menu-UTM|Firewall|Paketfilter||{{#var:Regel hinzufügen}}|+}} | |||
|- class=noborder | |||
| colspan=3 | {{Kasten|{{#var:Allgemein}} }} | |||
|- class= | |||
| colspan= | |||
|- | |- | ||
| {{ b | {{#var:source|Quelle}} }} || {{ic| voip-clients|dr|icon=netgroup|class=mw13}} || {{#var:source--desc}} | | {{ b | {{#var:source|Quelle}}: }} || {{ic| voip-clients|dr|icon=netgroup|class=mw13}} || {{#var:source--desc}} | ||
<li class="list--element__alert list--element__warning">{{#var:source-kein internal--Hinweis}}</li> | <li class="list--element__alert list--element__warning">{{#var:source-kein internal--Hinweis}}</li> | ||
<li class="list--element__alert list--element__warning">{{#var:source-Netzwerksicherheit--Hinweis}}</li> | <li class="list--element__alert list--element__warning">{{#var:source-Netzwerksicherheit--Hinweis}}</li> | ||
| class=Bild rowspan=8 | {{Bild|{{#var:Paketfilterrel erstellen--Bild}}|{{#var:Paketfilterregel hinzufügen}}||{{#var:Regel hinzufügen}}|Firewall|{{#var:Paketfilter}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}} | |||
|- | |- | ||
| {{ b | {{#var:dest|Ziel}} }} || {{ic| voip-server|dr|icon=host|class=mw13}} || {{#var:Ziel--desc}} | | {{ b | {{#var:dest|Ziel}}: }} || {{ic| voip-server|dr|icon=host|class=mw13}} || {{#var:Ziel--desc}} | ||
|- | |- | ||
| {{ b | {{#var:service|Dienst}} }} || {{ic| voip|dr|icon=dienste|class=mw13 }} || {{#var:service--desc|Dienstgruppe VoIP: Schaltet folgende Ports frei: }} | | {{ b | {{#var:service|Dienst}}: }} || {{ic| voip|dr|icon=dienste|class=mw13 }} || {{#var:service--desc|Dienstgruppe VoIP: Schaltet folgende Ports frei: }} | ||
* SIP: UDP Port 5060 {{#var:SIP-Port--desc}} {{info|{{#var:SIP-Port--info}} }} | * SIP: UDP Port 5060 {{#var:SIP-Port--desc}} {{info|{{#var:SIP-Port--info}} }} | ||
* rtp: UDP Port 7070-7089 | * rtp: UDP Port 7070-7089 | ||
|- | |- | ||
| {{ b | {{#var:action|Aktion}} }} || {{ Button | Stateless | dr |class=mw13}} || | | {{ b | {{#var:action|Aktion}}: }} || {{ Button | Stateless | dr |class=mw13}} || | ||
|- class= | |- class=noborder | ||
| colspan="3" | {{ Kasten | | | colspan="3" | {{ Kasten | [ - ] NAT }} | ||
|- | |- | ||
| {{ b | {{#var:type|TYP}} }} || {{ Button | HIDENAT |dr|class=mw13}} || | | {{ b | {{#var:type|TYP}}: }} || {{ Button | HIDENAT |dr|class=mw13}} || | ||
|- | |- | ||
| {{ b | {{#var:netobject|Netzwerkobjekt}} }} || {{ ic | external-interface | dr | icon=interface|class=mw13}} || | | {{ b | {{#var:netobject|Netzwerkobjekt}}: }} || {{ ic | external-interface | dr | icon=interface|class=mw13}} || | ||
|- class="Leerzeile" | |||
| | |||
|} | |} | ||
---- | |||
=== {{#var:VoIP ohne SIP Helper}} === | === {{#var:VoIP ohne SIP Helper}} === | ||
| Zeile 55: | Zeile 59: | ||
|- | |- | ||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | ||
| class="Bild" rowspan="8" | {{Bild | {{#var:Dienst anlegen--Bild}}|{{#var:Dienst anlegen--cap}} | | | class="Bild" rowspan="8" | {{Bild | {{#var:Dienst anlegen--Bild}}|{{#var:Dienst anlegen--cap}}||{{#var:Dienst hinzufügen}}|Firewall|{{#var:Dienste}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | ||
|- | |- | ||
| {{b|{{#var:Name}} }} || {{ic| {{#var:Name--val}}|class= | | {{b|{{#var:Name}} }} || {{ic| {{#var:Name--val}}|class=available}} || {{#var:Name--desc}} | ||
|- | |- | ||
| {{b|{{#var:Protokoll}} }} || {{Button|udp|dr|class= | | {{b|{{#var:Protokoll}} }} || {{Button|udp|dr|class=available}} || | ||
|- | |- | ||
| {{b|{{#var:Protokolltyp}} }} || {{ | | {{b|{{#var:Protokolltyp}} }} || {{Button| |dr|class=mw16}} || <li class="list--element__alert list--element__hint">{{#var:Protokolltyp--desc}}</li> | ||
|- | |- | ||
| {{b|{{#var:Zielport Typ}} }} || {{Button|{{#var: | | {{b|{{#var:Zielport Typ}} }} || {{Button|{{#var:Einzelner Port}}|class=aktiv}}{{Button|{{#var:Port-Bereich}} }} || {{#var:Zielport Typ--desc}} | ||
|- | |- | ||
| {{b|{{#var:Zielport}} }} || {{ic|5060|c|class= | | {{b|{{#var:Zielport}} }} || {{ic|5060|c|class=available}} || {{#var:Zielport--desc}} | ||
|- | |- | ||
| class=mw8 | {{b|{{#var:Quellport Typ}} }} || {{Button| {{#var:Quellport Typ--val}}| | | class=mw8 | {{b|{{#var:Quellport Typ}} }} || {{Button| {{#var:Quellport Typ--val}}|class=aktiv}}{{Button|{{#var:Einzelner Port}} }}{{Button|{{#var:Port-Bereich}} }} || {{#var:Quellport Typ--desc}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| colspan="2" | {{Button|{{#var:Speichern}} }} || {{#var:Speichern--desc}} | | colspan="2" | {{Button-dialog||fa-floppy-disk-circle-xmark|hover={{#var:Speichern und schließen}} }} || {{#var:Speichern und schließen--desc}} | ||
|} | |} | ||
| Zeile 84: | Zeile 88: | ||
</div> | </div> | ||
==== {{#var: | ==== {{#var:Paketfilter Regel}} ==== | ||
<div class="Einrücken"> | <div class="Einrücken"> | ||
{| class="sptable2 spezial pd5 tr--bc__white zh1"<br> | {| class="sptable2 spezial pd5 tr--bc__white zh1"<br> | ||
|- class="bold small no1cell" | |- class="bold small no1cell" | ||
| class="Leerzeile bc__default normal fs-initial" rowspan="3"| {{#var: | | class="Leerzeile bc__default normal fs-initial" rowspan="3"| {{#var:Paketfilter Regel ohne sip Helper--desc}} || || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | ||
|- | |- | ||
| Zeile 103: | Zeile 107: | ||
</div> | </div> | ||
{{#var:Kein laden per CLI}} | <div class="einrücken"> | ||
<li class="list--element__alert list--element__positiv">{{#var:Kein laden per CLI}}</li> | |||
<br clear=all></div> | |||
<!-- | <!-- | ||
{{#var:kmod}} | {{#var:kmod}} | ||
Version vom 30. Januar 2024, 06:26 Uhr
Einstellungen in der UTM-Firewall für VoIP-Geräte, wenn die UTM zwischen dem VoIP-Server und den VoIP-Clients liegt.
Letzte Anpassung zur Version: 12.6.0
Neu:
- Aktualisierung zum Redesign des Webinterfaces
Ausgangslage
Wenn zwischen VoIP-Endgeräten und einem VoIP-Server eine UTM steht, ist es notwendig, eine zusätzliche Paketfilter-Regel anzulegen, die VoIP mit NAT freischaltet.
Der Verbindungsaufbau erfolgt über SIP, das Gerät meldet sich mit seiner lokalen IP am VoIP-Server an. Die Sprachpakete selbst werden dann aber über rtp auf anderen Ports gesendet.
Um nun den VoIP-Client und gleichzeitig die bei Verbindungsaufbau übermittelten rtp-Ports im lokalen Netz von außen - in diesem Fall für den VoIP-Server erreichbar zu machen ist es notwendig eine Paketfilter-Regel dafür anzulegen.
Paketfilter Regel
| Schaltfläche | |||
Allgemein
| |||
| Quelle: |  voip-clients |
Es sollte eine geeignete Gruppe definiert werden. Z.B.: Telefone und Workstations oder VoIP-clients
|
UTMbenutzer@firewall.name.fqdnFirewallPaketfilter  Paketfilterregel hinzufügen
|
| Ziel: |  voip-server |
VoIP-Verbindungen mit entsprechend geöffneten Ports sollten ausschließlich zum VOIP-Server möglich sein. | |
| Dienst: |  voip |
Dienstgruppe VoIP: Schaltet folgende Ports frei:
| |
| Aktion: | |||
[ - ] NAT
| |||
| TYP: | |||
| Netzwerkobjekt: |  external-interface |
||
VoIP ohne SIP Helper
Der vordefinierte Dienst sip (enthalten in der Paketfiltergruppe voip) hat den Protokolltyp sip, welcher die Application Layer Gateway (ALG) Module lädt.
Soll VoIP ohne die sip-Helper und damit ohne ALG durchgeführt werden, muss eine neuer Dienst angelegt werden, der den Port 5060 UDP ohne den Protokolltyp sip verwendet.
Schaltfläche
Dienst anlegen
| Beschriftung | Wert | Beschreibung | UTMbenutzer@firewall.name.fqdnFirewallDienste:  Neuer Dienst
|
|---|---|---|---|
| Name: | udp 5060 ohne Typ | Aussagekräftiger Name | |
| Protokoll: | |||
| Protokolltyp: | |||
| Zielport Typ: | Nur ein Port wird benötigt | ||
| Zielport: | 5060 |
Zielport für sip über udp ist 5060 | |
| Quellport Typ: | Die Clients können über verschiedene Ports die Verbindung aufbauen | ||
Speichern und schließen |
Anlegen des Dienstes | ||
Dienstgruppe anlegen
Anschließend sollte unter Dienstgruppen mit eine neue Gruppe angelegt werden:
| Beschriftung | Wert | Beschreibung |
|---|---|---|
| Name: | voip ohne ALG | Aussagekräftiger Name |
| Dienste: |  udp 5060 ohne Typ Zielports:5060 rtp Zielports: 7070:7089 |
Der soeben neu angelegte Dienst für udp (Port 5060) und der Dienst rtp (ports 7070-7089) müssen enthalten sein |
Paketfilter Regel
| Zuletzt wird eine Paketfilter Regel wie oben erstellt, die als Dienst nun aber die neue Dienstgruppe enthält. | # | Quelle | Ziel | Dienst | NAT | Aktion | Aktiv | ||
 |
24 | voip-clients |
voip-server |
voip ohne ALG |
HN | Stateless | Ein | ||