VoIP Best Practice

FAQs zur Fehlerbehandlung und z.B. anderen Protokoll Optionen (udp ohne SIP Helper, TCP mit SIP-Helpern) finden sich in einem eigenen Artikel.

• Der Router (z. B. Fritz!Box) benötigt eine Route für die zu erreichenden Netzwerke hinter der Firewall
  
  Hinweis
  Dieser Abschnitt beinhaltet Beschreibungen der Software von Drittanbietern und basiert auf dem Stand zum Zeitpunkt der Erstellung dieser Seite.
  Änderungen an der Benutzeroberfläche durch den Hersteller sind jederzeit möglich und müssen in der Durchführung entsprechend berücksichtigt werden.
  Alle Angaben ohne Gewähr.

  
  

  • Szenario:
    • IP-Adresse der Fritz!Box im internen Netz: 192.168.178.1
    • IP-Adresse der UTM im Netz zur Fritz!Box (z.B. A0, Zone external): 192.168.178.2
    • Netz-IP des internen Netzes, in dem sich die VoIP-Clients befinden (z.B. A1, Zone internal-network): 192.168.175.0/24
      
      
  • Beispiel Fritzbox:
    • Menü Heimnetz → Netzwerk→ Reiter Netzwerkeinstellungen → Option weitere Einstellungen → Abschnitt Tabelle für statische Routen → Schaltfläche IPv4-Routen
    • Schaltfläche Neue IPv4-Route
      • IPv4-Netzwerk: 192.168.175.0
      • Subnetzmaske: 255.255.255.0
      • Gateway: 192.168.178.1
      • Checkbox: IPv4-Route aktiv
    • Schaltfläche Übernehmen
  
  
  Hinweis
  Dieser Abschnitt beinhaltet Beschreibungen der Software von Drittanbietern und basiert auf dem Stand zum Zeitpunkt der Erstellung dieser Seite.
  Änderungen an der Benutzeroberfläche durch den Hersteller sind jederzeit möglich und müssen in der Durchführung entsprechend berücksichtigt werden.
  Alle Angaben ohne Gewähr.

  
  

  • Szenario:
    • IP-Adresse des Speedport im internen Netz: 192.168.2.1
    • IP-Adresse der UTM im Netz zum Speedport (z.B. A0, Zone external): 192.168.2.2
    • Netz-IP des internen Netzes, in dem sich die VoIP-Clients befinden (z.B. A1, Zone internal-network): 192.168.175.0/24
      
      
  • Beispiel Speedport:
    • Menü Heimnetz → Netzwerkeinstellungen → Routing
      (Je nach Modell kann der Pfad leicht abweichen, z. B. "Erweiterte Einstellungen → Statische Routen")
    • Neue Route hinzufügen:
      • Zielnetz: 192.168.175.0
      • Subnetzmaske: 255.255.255.0
      • Gateway: 192.168.2.1
      • Schnittstelle:LAN
    • Schaltfläche Übernehmen
• Für den Router wird ein Netzwerkobjekt im Paketfilter angelegt
• Eine Regelgruppe wird erstellt, die möglichst oben im Regelwerk angelegt wird.
  Wenn vorhanden, auto generierte Regeln in einer anderen Gruppe nachbauen und diese dann deaktivieren

Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte

Abb.1

• Netzwerkobjekt für den Router erstellen unter Firewall Netzwerkobjekte  Schaltfläche Objekt hinzufügen

Regelgruppe hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter

Abb.2

• Unter Firewall Paketfilter  Schaltfläche Regelgruppe hinzufügen sollte eine Regelgruppe für die Paktefilter Regeln erstellt werden.

Diese an oberste Position verschieben

Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter

Abb.3

• Ausgehende Paketfilterregel unter Firewall Paketfilter  Schaltfläche Regel hinzufügen erstellen.
• Regel der zuvor erstellten Gruppe zuweisen, damit sie vor anderen Regeln ausgeführt wird

Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter

Abb.4

• Eingehende Paketfilterregel unter Firewall Paketfilter  Schaltfläche Regel hinzufügen erstellen
• Regel der zuvor erstellten Gruppe zuweisen, damit sie vor anderen Regeln ausgeführt wird

Übersicht der Regeln

		#	Quelle	Ziel	Dienst	NAT	Logging	Aktion	Aktiv
		1	internal-network	Router	any	HNE	3/Min	ACCEPT	Ein		(Abb.3)
		2	Router	internal-network	any		3/Min	ACCEPT	Ein		(Abb.4)

Telefonanlage und UTM im gleichen Netz an einem Router

notempty

Diese Konfiguration sollte unbedingt vermieden werden! Lassen sich keine Routen in der Telefonanlage hinterlegen kommt es mit hoher Wahrscheinlichkeit zu asynchronem Routing.
Die Telefonanlage sollte am besten in einem eigenen Netz hinter die Firewall gebaut werden. Dann gilt Beispielszenario 3.

Falls es möglich ist, in der Telefonanlage Routen zu hinterlegen, ist das vorgehen ähnlich zu Beispielszenario 1. Statt des Routers wird dann nur die TK-Anlage in den Paketfilterregeln verwendet.

Mit Regeln auf Telefonanlage

Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte

Abb.1

• Es muss ein Netzwerkobjekt für die TK-Anlage unter Firewall Netzwerkobjekte  Schaltfläche Objekt hinzufügen erstellt werden

Regelgruppe hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter

Abb.2

• Unter Firewall Paketfilter  Schaltfläche Regelgruppe hinzufügen sollte eine Regelgruppe für die Paktefilter Regeln erstellt werden.

Diese an oberste Position verschieben

Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter

Abb.3

• Ausgehende Paketfilterregel unter Firewall Paketfilter  Schaltfläche Regel hinzufügen erstellen.
• Regel der zuvor erstellten Gruppe zuweisen, damit sie vor anderen Regeln ausgeführt wird

Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter

Abb.4

• Eingehende Paketfilterregel unter Firewall Paketfilter  Schaltfläche Regel hinzufügen erstellen.
• Regel der zuvor erstellten Gruppe zuweisen, damit sie vor anderen Regeln ausgeführt wird

Route auf Telefonanlage nicht vergessen!

Übersicht der Regeln

		#	Quelle	Ziel	Dienst	NAT	Logging	Aktion	Aktiv
		2	internal-network	TK-Anlage	any	HNE	3/Min	ACCEPT	Ein		(Abb.3)
		4	TK-Anlage	internal-network	any		3/Min	ACCEPT	Ein		(Abb.4)

Ohne Regeln auf Telefonanlage

Wenn keine Regeln auf der Telefonanlage angelegt werden könne, müssen auf der UTM auch Regeln für die Kommunikation zum Router erstellt werden. Dazu ist die Erstellung eines Netzwerkobjektes für den Router sowie zwei Regeln nötig. Insgesamt müssen in diesem Szenario dann folgende Regeln erstellt werden:

		#	Quelle	Ziel	Dienst	NAT	Logging	Aktion	Aktiv
		1	internal-network	Router	any	HNE	3/Min	ACCEPT	Ein		(Abb.3)
		2	internal-network	TK-Anlage	any	HNE	3/Min	ACCEPT	Ein		(Abb.3)
		3	Router	internal-network	any		3/Min	ACCEPT	Ein		(Abb.4)
		4	TK-Anlage	internal-network	any		3/Min	ACCEPT	Ein		(Abb.4)

Telefonanlage in einem eigenen Netz an der UTM mit Router

• Eine Regelgruppe wird erstellt, die möglichst oben im Regelwerk angelegt wird. Wenn vorhanden
• ggf. kann auf eine extra Regel für das SIP-Protokoll verzichtet werden, wenn SIP verschlüsselt übertragen wird. (Schreibt der Provider ggf. vor und muss dann auf der Telefonanlage eingerichtet werden.)
• auto generierte Regeln in einer anderen Gruppe nachbauen und diese dann deaktivieren
• Achtung: Hier findet doppeltes NAT statt: 1x durch die UTM und 1x durch den Router !

Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte

Abb.1

• Es muss ein Netzwerkobjekt für die TK-Anlage unter Firewall Netzwerkobjekte  Schaltfläche Objekt hinzufügen erstellt werden

Regelgruppe hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter

Abb.2

• Unter Firewall Paketfilter  Schaltfläche Regelgruppe hinzufügen sollte eine Regelgruppe für die Paktefilter Regeln erstellt werden.

Diese an oberste Position verschieben

Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter

Abb.3

• Es muss eine ausgehende Paketfilterregel mit dem Dienst any unter Firewall Paketfilter  Schaltfläche Regel hinzufügen erstellt werden
• Regel der zuvor erstellten Gruppe zuweisen, damit sie vor anderen Regeln ausgeführt wird

Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter

Abb.4

• Wenn SIP verschlüsselt arbeitet, ist diese Regel nicht notwendig.
• Es muss eine ausgehende Paketfilterregel mit dem Dienst sip unter Firewall Paketfilter  Schaltfläche Regel hinzufügen erstellt werden
• Regel der zuvor erstellten Gruppe zuweisen, damit sie vor anderen Regeln ausgeführt wird

Übersicht der Regeln

		#	Quelle	Ziel	Dienst	NAT	Logging	Aktion	Aktiv
		2	TK-Anlage	internet	any	HN	3/Min	ACCEPT	Ein		(Abb.3)
		1	TK-Anlage	internet	sip	HN	3/Min	ACCEPT	Ein		(Abb.4)

Telefonanlage in einem eigenen Netz an der UTM / direkter Internetzugang

• Bei dieser Konfiguration sollten die Conntrack-Module nicht per Portfilterregel eingesetzt werden.
• Wichtig ist hier in den meisten Fällen, das in der Telefonanlage ein STUN-Server hinterlegt ist oder, wie bei Starface, die externe IP (kann unter Server → Netzwerk geprüft werden) anderweitig ermittelt wird.
  Meist muss die TK-Anlage aber noch dazu gebracht werden, diese IP in den SDP-Teil des SIP-Paketes zu setzen.
  Bei Starface klappt das im Verbindungsprofil. Dort gibt es eine NAT-Einstellung.
  
• Falls der Provider keinen STUN-Server anbietet klappt es meist ohne diesen. Man kann sich jedoch nicht darauf verlassen.

Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte

Abb.1

• Es muss ein Netzwerkobjekt für die TK-Anlage unter Firewall Netzwerkobjekte  Schaltfläche Objekt hinzufügen erstellt werden

Regelgruppe hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter

Abb.2

• Unter Firewall Paketfilter  Schaltfläche Regelgruppe hinzufügen sollte eine Regelgruppe für die Paktefilter Regeln erstellt werden.

Diese an oberste Position verschieben

Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter

Abb.3

Wenn SIP verschlüsselt oder mit TCP arbeitet, ist die Regel nicht notwendig.

• Es muss eine ausgehende Paketfilterregel mit dem Dienst sip unter Firewall Paketfilter  Schaltfläche Regel hinzufügen erstellt werden
• Regel der zuvor erstellten Gruppe zuweisen, damit sie vor anderen Regeln ausgeführt wird

Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter

Abb.4

• Es muss eine ausgehende Paketfilterregel mit dem Dienst any unter Firewall Paketfilter  Schaltfläche Regel hinzufügen erstellt werden
• Regel der zuvor erstellten Gruppe zuweisen, damit sie vor anderen Regeln ausgeführt wird

Übersicht der Regeln

		#	Quelle	Ziel	Dienst	NAT	Logging	Aktion	Aktiv
		1	TK-Anlage	internet	sip	HN	3/Min	ACCEPT	Ein		(Abb.3)
		2	TK-Anlage	internet	any	HN	3/Min	ACCEPT	Ein		(Abb.4)