KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| Zeile 4: | Zeile 4: | ||
{{var | display | {{var | display | ||
| | | FAQ/Problembehandlung für VoIP | ||
| | | }} | ||
{{var | head | {{var | head | ||
| | | FAQ/Problembehandlung für VoIP Verbindungen bei denen eine Securepoint UTM im Spiel ist | ||
| | | }} | ||
{{var | Paketfilter--Bild | {{var | Paketfilter--Bild | ||
| UTM v12.2.3 Portfilter VoIP-Regel.png | | UTM v12.2.3 Portfilter VoIP-Regel.png | ||
| Zeile 16: | Zeile 16: | ||
| Port filter rule for VoIP }} | | Port filter rule for VoIP }} | ||
{{var | voip--desc | {{var | voip--desc | ||
| Wenn zwischen VoIP-Endgeräten und einem VoIP-Server eine UTM steht, ist es notwendig, eine zusätzliche Paketfilter-Regel anzulegen, die VoIP mit NAT freischaltet.<br>Der Verbindungsaufbau erfolgt über SIP, das Gerät meldet sich mit seiner lokalen IP am VoIP-Server an. Die Sprachpakete selbst werden dann aber über rtp auf anderen Ports gesendet.<br>Um nun den VoIP-Client und gleichzeitig die bei Verbindungsaufbau übermittelten rtp-Ports im lokalen Netz von außen - in diesem Fall für den VoIP-Server erreichbar zu machen ist es notwendig eine Paketfilter-Regel dafür anzulegen. | | Wenn zwischen VoIP-Endgeräten und einem VoIP-Server eine UTM steht, ist es notwendig, eine zusätzliche Paketfilter-Regel anzulegen, die VoIP mit NAT freischaltet.<br>Der Verbindungsaufbau erfolgt über SIP, das Gerät meldet sich mit seiner lokalen IP am VoIP-Server an. Die Sprachpakete selbst werden dann aber über rtp auf anderen Ports gesendet.<br>Um nun den VoIP-Client und gleichzeitig die bei Verbindungsaufbau übermittelten rtp-Ports im lokalen Netz von außen - in diesem Fall für den VoIP-Server erreichbar zu machen ist es notwendig eine Paketfilter-Regel dafür anzulegen.<br>{{Alert}} Diese Regel muss vor anderen Regeln stehen, damit sie wirken kann. | ||
| If there is a UTM between VoIP end devices and a VoIP server, it is necessary to create an additional packet filter rule that enables VoIP with NAT.<br>The connection is established via SIP, the device logs on to the VoIP server with its local IP. The voice packets themselves are then sent via rtp on other ports.<br>In order to make the VoIP client and the rtp ports in the local network available from outside - in this case accessible for the VoIP server - it is necessary to create a packet filter rule for this. }} | | If there is a UTM between VoIP end devices and a VoIP server, it is necessary to create an additional packet filter rule that enables VoIP with NAT.<br>The connection is established via SIP, the device logs on to the VoIP server with its local IP. The voice packets themselves are then sent via rtp on other ports.<br>In order to make the VoIP client and the rtp ports in the local network available from outside - in this case accessible for the VoIP server - it is necessary to create a packet filter rule for this. <br>{{Alert}} This rule must be placed before other rules in order for it to be effective.}} | ||
{{var | Paketfilterrel erstellen--Bild | {{var | Paketfilterrel erstellen--Bild | ||
| UTM v12.6 FAQ-VoIP Paketfilterrel erstellen.png | | UTM v12.6 FAQ-VoIP Paketfilterrel erstellen.png | ||
| Zeile 91: | Zeile 91: | ||
| General }} | | General }} | ||
{{var | SIP-Port--Hinweis | {{var | SIP-Port--Hinweis | ||
| Der vordefinierte <u>Dienst</u> ''sip'' (enthalten in der Paketfiltergruppe ''voip'') hat den <u>Protokolltyp</u> ''sip'', welcher die | | Der vordefinierte <u>Dienst</u> ''sip'' (enthalten in der Paketfiltergruppe ''voip'') hat den <u>Protokolltyp</u> ''sip'', welcher die ''sip-Helper'' verwendet. | ||
| }} | |||
{{var | SIP-Port--desc | {{var | SIP-Port--desc | ||
| Protokolltyp ''sip'' | | Protokolltyp ''sip'' | ||
| Zeile 112: | Zeile 112: | ||
| VoIP without SIP Helper }} | | VoIP without SIP Helper }} | ||
{{var | VoIP ohne SIP Helper--desc | {{var | VoIP ohne SIP Helper--desc | ||
| Soll VoIP ohne die sip-Helper | | Soll VoIP ohne die sip-Helper durchgeführt werden, muss ein neuer Dienst angelegt werden, der den Port 5060 UDP ohne den Protokolltyp ''sip'' verwendet.<br>{{Menu-UTM|Firewall|Dienste||Objekt hinzufügen|+}} | ||
| | | }} | ||
{{var | Name | {{var | Name | ||
| Name: | | Name: | ||
| Zeile 218: | Zeile 218: | ||
| | | | ||
| }} | | }} | ||
{{var | Allgemein | |||
| Allgemein | |||
| }} | |||
{{var | Antwort | |||
| Antwort | |||
| }} | |||
{{var | Lösung | |||
| Lösung | |||
| }} | |||
{{var | Paketfilter Regel | |||
| Paketfilter Regel | |||
| }} | |||
{{var | Paketfilter Regel--Frage | |||
| Ist eine Paketfilter Regel notwendig? | |||
| }} | |||
{{var | Paketfilter Regel--Antwort | |||
| Ja, denn wenn zwischen VoIP-Endgeräten und einem VoIP-Server eine UTM steht, ist es notwendig, eine zusätzliche Paketfilter-Regel anzulegen, die VoIP mit NAT freischaltet.<br>Der Verbindungsaufbau erfolgt über SIP, das Gerät meldet sich mit seiner lokalen IP am VoIP-Server an. Die Sprachpakete selbst werden dann aber über rtp auf anderen Ports gesendet.<br>Um nun den VoIP-Client und gleichzeitig die bei Verbindungsaufbau übermittelten rtp-Ports im lokalen Netz von außen - in diesem Fall für den VoIP-Server erreichbar zu machen ist es notwendig eine Paketfilter-Regel dafür anzulegen. | |||
| Yes, because when there is a UTM between VoIP end devices and a VoIP server, it is necessary to create an additional packet filter rule that enables VoIP with NAT.<br>The connection is established via SIP, the device logs on to the VoIP server with its local IP. The voice packets themselves are then sent via rtp on other ports.<br>In order to make the VoIP client and the rtp ports in the local network available from outside - in this case accessible for the VoIP server - it is necessary to create a packet filter rule for this. }} | |||
{{var | Paketfilter Regel--Lösung | |||
| Unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}} wird folgende Regel hinzugefügt | |||
| }} | |||
{{var | VoIP ohne SIP Helper | |||
| VoIP ohne SIP Helper | |||
| }} | |||
{{var | VoIP ohne SIP Helper--Frage | |||
| Kann VoIP ohne SIP Helper konfiguriert werden? | |||
| }} | |||
{{var | VoIP ohne SIP Helper--Antwort | |||
| Ja, der vordefinierte <u>Dienst</u> ''sip'' (enthalten in der Paketfiltergruppe ''voip'') hat den <u>Protokolltyp</u> ''sip'', welcher die Application Layer Gateway (ALG) Module lädt. Soll VoIP ohne die sip-Helper und damit ohne ALG durchgeführt werden, muss eine neuer Dienst angelegt werden, der den Port 5060 UDP ohne den Protokolltyp ''sip'' verwendet. | |||
| Yes, the predefined <u>service</u> ''sip'' (contained in the packet filter group ''voip'') has the <u>protocol type</u> ''sip'', which loads the Application Layer Gateway (ALG) modules. If VoIP is to be performed without the sip helper and thus without ALG, a new service must be created that uses port 5060 UDP without the protocol type ''sip''. }} | |||
{{var | VoIP ohne SIP Helper--Lösung | |||
| Unter {{Menu-UTM|Firewall|Paketfilter||Regel hinzufügen|+}} wird zunächst der neue Dienst angelegt. | |||
| }} | |||
{{var | UDP-Session Timeout | |||
| UDP-Session Timeout | |||
| }} | |||
{{var | UDP-Session Timeout--Frage | |||
| Kann der UDP-Session Timeout angepasst werden? | |||
| }} | |||
{{var | UDP-Session Timeout--Antwort | |||
| Ja, der UDP-Session Timeout kann mithilfe von CLI-Befehlen angepasst werden. | |||
| }} | |||
{{var | UDP-Session Timeout--Lösung | |||
| Folgende CLI-Befehle sind notwendig, damit der UDP-Session Timeout angepasst wird: (Im Beispiel auf 300 Sekunden) | |||
| }} | |||
{{var | SIP via TCP | |||
| SIP via TCP | |||
| }} | |||
{{var | SIP via TCP--Frage | |||
| Kann SIP über TCP konfiguriert werden? | |||
| }} | |||
{{var | SIP via TCP--Antwort | |||
| Ja, dazu muss ein neuer Dienst angelegt werden, mit dem <u>Protokoll</u> ''TCP'', dem <u>Protokolltyp</u> ''SIP'' und den <u>Zielports</u> wie bei UDP. | |||
| }} | |||
{{var | Dienst SIPviaTCP--Bild | |||
| UTM v12.7.3 FAQ-VoIP Dienst SIPviaTCP.png | |||
| UTM v12.7.3 FAQ-VoIP Dienst SIPviaTCP-en.png }} | |||
{{var | Dienst SIPviaTCP--cap | |||
| * Unter {{Menu-UTM|Firewall|Dienste||Objekt hinzufügen|+}} einen neuen Dienst anlegen | |||
| }} | |||
{{var | Dienst hinzufügen | |||
| Dienst hinzufügen | |||
| }} | |||
{{var | Dienste | |||
| Dienste | |||
| }} | |||
{{var | Problembehandlung | |||
| Problembehandlung | |||
| }} | |||
{{var | Keine Tonübertragung | |||
| Keine Tonübertragung | |||
| }} | |||
{{var | Keine Tonübertragung--Frage | |||
| Clients hinter RW-Verbindungen oder S2S-Verbindungen haben keine Tonübertragung? | |||
| }} | |||
{{var | Keine Tonübertragung--Antwort | |||
| Dies könnte an nicht ausreichenden Paketfilter Regeln liegen. | |||
| }} | |||
{{var | Keine Tonübertragung--Lösung | |||
| Es sollte überprüft werden, dass die Paketfilter Regeln folgendes abdecken: | |||
# Die Telefonanlage kann ohne NAT in das Tunnelnetz/ Remotenetz Pakete senden | |||
# Die Clients können, ohne NAT mit der Telefonanlage kommunizieren | |||
# Die Telefonanlage wird nicht über Rule-Routen auf ein Gateway gezwungen | |||
# Falls Source-Routen für die TK-Anlage existieren, müssen auch welche für S2S-SSL-VPN Tunnel/ Wireguard vorhanden sein | |||
# Es wird nicht der vordefinierte "sip" Dienst für Portfilterregeln über die Tunnel verwendet | |||
Ist das alles abgedeckt, sollte bei S2S-Verbindungen im Normalfall alles funktionieren.<br> | |||
Weitere Fehlersuche sollte mit ''tcpdump'' (als root-User) vorgenommen werden.<br> | |||
Bei Roadwarriorn fällt meist auf, dass der VoIP-Client nicht die eigene Tunneladresse als Ziel für die RTP-Pakete übermittelt, sondern die seines Standardgateways. In dem Fall wird die Telefonanlage nicht in der Lage sein, die RTP-Pakete an das korrekte Ziel zu senden. Hier ist der VoIP-Client das Problem! | |||
| }} | |||
{{var | Externes Verbinden | |||
| Externes Verbinden | |||
| }} | |||
{{var | Externes Verbinden--Frage | |||
| Wieso können sich Clients nicht von Extern per VoIP des TK-Anlagenherstellers auf die TK-Anlage verbinden bzw. wieso kommen Gespräche nicht zustande? | |||
| }} | |||
{{var | Externes Verbinden--Antwort | |||
| Dies könnte daran liegen, dass beim Aufbau des Gesprächs keine Kommunikation mit RTP-Paketen aufgebaut wird bzw. die RTP-Pakete einseitig fließen. Das deutet darauf hin, das die TK-Anlage oder der VoIP-Client nicht die korrekten IP-Adressen als Ziel für die RTP-Pakete übermitteln. Dies kann man mithilfe von ''tcpdump'' gerausfinden. | |||
| }} | |||
{{var | Externes Verbinden--Lösung | |||
| Da es viele verschiedene TK-Anlagen gibt und Securepoint auf die IT-Sicherheit spezialisiert ist, muss hier ein Techniker kontaktiert werden, der die TK-Anlage korrekt konfigurieren kann. | |||
| }} | |||
---- | ---- | ||
UTM/FAQ-VoIP.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki