Wechseln zu:Navigation, Suche
Wiki

FAQ/Problembehandlung für VoIP

Version vom 29. Mai 2024, 11:46 Uhr von Lauritzl (Diskussion | Beiträge) (Textersetzung - „sptable2 spezial“ durch „sptable2 Paketfilter“)
Aus Securepoint Wiki





























In dieser Seite werden die Variablen für unterschiedliche Sprachen definiert.
Diese Seite wird auf folgenden Seiten eingebunden




































































FAQ/Problembehandlung für VoIP Verbindungen bei denen eine Securepoint UTM im Spiel ist

Letzte Anpassung zur Version: 12.6.0

Neu:
  • Aktualisierung zum Redesign des Webinterfaces
notempty
Dieser Artikel bezieht sich auf eine Beta-Version

Ausgangslage

Wenn zwischen VoIP-Endgeräten und einem VoIP-Server eine UTM steht, ist es notwendig, eine zusätzliche Paketfilter-Regel anzulegen, die VoIP mit NAT freischaltet.
Der Verbindungsaufbau erfolgt über SIP, das Gerät meldet sich mit seiner lokalen IP am VoIP-Server an. Die Sprachpakete selbst werden dann aber über rtp auf anderen Ports gesendet.
Um nun den VoIP-Client und gleichzeitig die bei Verbindungsaufbau übermittelten rtp-Ports im lokalen Netz von außen - in diesem Fall für den VoIP-Server erreichbar zu machen ist es notwendig eine Paketfilter-Regel dafür anzulegen.
Diese Regel muss vor anderen Regeln stehen, damit sie wirken kann.

Paketfilter Regel

Firewall Paketfilter Schaltfläche Regel hinzufügen
Allgemein
Quelle: voip-clients Es sollte eine geeignete Gruppe definiert werden. Z.B.: Telefone und Workstations oder VoIP-clients
  • Internal Network erlaubt allen Netzwerkgeräten VoIP!
  • Aus Gründen der Netzwerk-Sicherheit sollte Geräten, die kein VoIP benötigen (z.B. Druckern oder IoT-Geräten) auch kein VoIP erlaubt werden.
    		•  Regel hinzufügen UTMbenutzer@firewall.name.fqdn Firewall Paketfilter
    Paketfilterregel hinzufügen
    Ziel: voip-server VoIP-Verbindungen mit entsprechend geöffneten Ports sollten ausschließlich zum VOIP-Server möglich sein.
    Dienst: voip Dienstgruppe VoIP: Schaltet folgende Ports frei:
    • SIP: UDP Port 5060 Protokolltyp sip
      Der Protokolltyp sip lädt die Application Layer Gateway Module (ALG)
    • rtp: UDP Port 7070-7089
    Aktion: Stateless
    [ - ] NAT
    TYP: HIDENAT
    Netzwerkobjekt: external-interface

    VoIP ohne SIP Helper

    Der vordefinierte Dienst sip (enthalten in der Paketfiltergruppe voip) hat den Protokolltyp sip, welcher die sip-Helper verwendet.

    Soll VoIP ohne die sip-Helper durchgeführt werden, muss ein neuer Dienst angelegt werden, der den Port 5060 UDP ohne den Protokolltyp sip verwendet.
    Firewall Dienste Schaltfläche Objekt hinzufügen

    Dienst anlegen

    Beschriftung Wert Beschreibung Dienst hinzufügen UTMbenutzer@firewall.name.fqdn Firewall Dienste
    Neuer Dienst
    Name: udp 5060 ohne Typ Aussagekräftiger Name
    Protokoll: udp
    Protokolltyp:
  • Frei lassen!
    • Zielport Typ: Einzelner PortPort-Bereich Nur ein Port wird benötigt
    Zielport: 5060 Zielport für sip über udp ist 5060
    Quellport Typ: AlleEinzelner Port Port-Bereich Die Clients können über verschiedene Ports die Verbindung aufbauen
    Speichern und schließen Anlegen des Dienstes

    Dienstgruppe anlegen

    Anschließend sollte unter  Dienstgruppen  mit Gruppe hinzufügen eine neue Gruppe angelegt werden:
    Beschriftung Wert Beschreibung
    Name: voip ohne ALG Aussagekräftiger Name
    Dienste  udp 5060 ohne Typ Zielports:5060
     rtp Zielports: 7070:7089    		 Der soeben neu angelegte Dienst für udp (Port 5060) und der Dienst rtp (ports 7070-7089) müssen enthalten sein

    Paketfilter Regel

    Zuletzt wird eine Paketfilter Regel wie oben erstellt, die als Dienst nun aber die neue Dienstgruppe enthält. # Quelle Ziel Dienst NAT Aktion Aktiv
    24 voip-clients voip-server voip ohne ALG HN Stateless Ein



  • Ein laden oder entladen der sip-Helper Module per CLI ist nicht mehr erforderlich

    • Abgerufen von „https://wiki.securepoint.de/index.php?title=UTM/FAQ-VoIP&oldid=91656