UTM zwischen VoIP-Client und VoIP-Server

notempty

Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty

Der Artikel für die neueste Version steht hier

notempty

Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht

Einstellungen in der UTM-Firewall für VoIP-Geräte, wenn die UTM zwischen dem VoIP-Server und den VoIP-Clients liegt.

Letzte Anpassung: 07.2022

Neu:

Hinweis zur Vermeidung von Slipstreaming Angriffen

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

11.8

Ausgangslage

Portfilter-Regel für VoIP

Wenn zwischen VoIP-Endgeräten und einem VoIP-Server eine UTM steht, ist es notwendig, eine zusätzliche Portfilter-Regel anzulegen, die VoIP mit NAT freischaltet.
Der Verbindungsaufbau erfolgt über SIP, das Gerät meldet sich mit seiner lokalen IP am VoIP-Server an. Die Sprachpakete selbst werden dann aber über rtp auf anderen Ports gesendet. Um nun den VoIP-Client und gleichzeitig die bei Verbindungsaufbau übermittelten rtp-Ports im lokalen Netz von außen - in diesem Fall für den VoIP-Server erreichbar zu machen ist es notwendig eine Portfilter-Regel dafür anzulegen:

Portfilter Regel

Reiter Portfilter Schaltfläche Regel hinzufügen

Allgemein
Quelle	voip-clients	Es sollte eine geeignete Gruppe definiert werden. Z.B.: Telefone und Workstations oder VoIP-clients Internal Network erlaubt allen Netzwerkgeräten VoIP! Aus Gründen der Netzwerk-Sicherheit sollte Geräten, die kein VoIP benötigen (z.B. Druckern oder IoT-Geräten) auch kein VoIP erlaubt werden.
Ziel	voip-server	VoIP-Verbindungen mit entsprechend geöffneten Ports sollten ausschließlich zum VOIP-Server möglich sein.
Dienst	voip	Dienstgruppe VoIP: Schaltet folgende Ports frei: SIP: UDP Port 5060 Protokolltyp sip Der Protokolltyp sip lädt die Application Layer Gateway Module (ALG) rtp: UDP Port 7070-7089
Aktion	Stateless
NAT
TYP	HIDENAT
Netzwerkobjekt	external-interface

VoIP ohne SIP Helper

Der vordefinierte Dienst sip (enthalten in der Portfiltergruppe voip) hat den Protokolltyp sip, welcher die Application Layer Gateway (ALG) Module lädt.

Soll VoIP ohne die sip-Helper und damit ohne ALG durchgeführt werden, muss eine neuer Dienst angelegt werden, der den Port 5060 UDP ohne den Protokolltyp sip verwendet.
→ Firewall →PortfilterReiter Dienste Schaltfläche Objekt hinzufügen

Dienst anlegen

Beschriftung	Wert	Beschreibung	Neuer Dienst
Name:	udp 5060 ohne Typ	Aussagekräftiger Name
Protokoll:	udp
Protokolltyp:		Frei lassen!
Zielport Typ:	Einzelner Port	Nur ein Port wird benötigt
Zielport:	5060	Zielport für sip über udp ist 5060
Quellport Typ:	Alle	Die Clients können über verschiedene Ports die Verbindung aufbauen Nur für interne Prüfzwecke
Speichern		Anlegen des Dienstes

Dienstgruppe anlegen

Anschließend sollte unter Dienstgruppen mit Gruppe hinzufügen eine neue Gruppe angelegt werden:

Beschriftung	Wert	Beschreibung
Name:	voip ohne ALG	Aussagekräftiger Name
Dienste:	udp 5060 ohne Typ Zielports:5060 rtp Zielports: 7070:7089	Der soeben neu angelegte Dienst für udp (Port 5060) und der Dienst rtp (ports 7070-7089) müssen enthalten sein

Portfilter Regel

Zuletzt wird eine Portfilter Regel wie oben erstellt, die als Dienst nun aber die neue Dienstgruppe enthält.	#	Quelle	Ziel	Dienst	NAT	Aktion	Aktiv
	24	voip-clients	voip-server	voip ohne ALG	HN	Stateless	Ein

Ein laden oder entladen der sip-Helper Module per CLI ist nicht mehr erforderlich