VoIP Best Practice

FAQs zur Fehlerbehandlung und z.B. anderen Protokoll Optionen (udp ohne SIP Helper, TCP mit SIP-Helpern) finden sich in einem eigenen Artikel.

• Der Router (z. B. Fritz!Box) benötigt eine Route für die zu erreichenden Netzwerke hinter der Firewall
  
  Note
  This section includes descriptions of third-party software and is based on the status at the time this page was created.
  Changes to the user interface on the part of the manufacturer are possible at any time and must be taken into account accordingly in the implementation.
  All information without warranty.

  
  

  • Szenario:
    • IP-Adresse der Fritz!Box im internen Netz: 192.168.178.1
    • IP-Adresse der UTM im Netz zur Fritz!Box (z.B. A0, Zone external): 192.168.178.2
    • Netz-IP des internen Netzes, in dem sich die VoIP-Clients befinden (z.B. A1, Zone internal-network): 192.168.175.0/24
      
      
  • Beispiel Fritzbox:
    • Menü Heimnetz → Netzwerk→ Tab Netzwerkeinstellungen → Option weitere Einstellungen → Abschnitt Tabelle für statische Routen → Schaltfläche IPv4-Routen
    • Schaltfläche Neue IPv4-Route
      • IPv4-Netzwerk: 192.168.175.0
      • Subnetzmaske: 255.255.255.0
      • Gateway: 192.168.178.1
      • Checkbox: IPv4-Route aktiv
    • Schaltfläche Übernehmen
  
  
  Note
  This section includes descriptions of third-party software and is based on the status at the time this page was created.
  Changes to the user interface on the part of the manufacturer are possible at any time and must be taken into account accordingly in the implementation.
  All information without warranty.

  
  

  • Szenario:
    • IP-Adresse des Speedport im internen Netz: 192.168.2.1
    • IP-Adresse der UTM im Netz zum Speedport (z.B. A0, Zone external): 192.168.2.2
    • Netz-IP des internen Netzes, in dem sich die VoIP-Clients befinden (z.B. A1, Zone internal-network): 192.168.175.0/24
      
      
  • Beispiel Speedport:
    • Menü Heimnetz → Netzwerkeinstellungen → Routing
      (Je nach Modell kann der Pfad leicht abweichen, z. B. "Erweiterte Einstellungen → Statische Routen")
    • Neue Route hinzufügen:
      • Zielnetz: 192.168.175.0
      • Subnetzmaske: 255.255.255.0
      • Gateway: 192.168.2.1
      • Schnittstelle:LAN
    • Schaltfläche Übernehmen
• Für den Router wird ein Netzwerkobjekt im Paketfilter angelegt
• Eine Regelgruppe wird erstellt, die möglichst oben im Regelwerk angelegt wird.
  Wenn vorhanden, auto generierte Regeln in einer anderen Gruppe nachbauen und diese dann deaktivieren

Netzwerkobjekt hinzufügen UTMuser@firewall.name.fqdnFirewallNetzwerkobjekte

Fig.1

• Netzwerkobjekt für den Router erstellen unter Firewall Network Objects  button Objekt hinzufügen

Regelgruppe hinzufügen UTMuser@firewall.name.fqdnFirewallPaketfilter

Fig.2

• Unter Firewall Packet Filter  button Regelgruppe hinzufügen sollte eine Regelgruppe für die Paktefilter Regeln erstellt werden.

Diese an oberste Position verschieben

Regel hinzufügen UTMuser@firewall.name.fqdnFirewallPaketfilter

Fig.3

• Ausgehende Paketfilterregel unter Firewall Packet Filter  button Regel hinzufügen erstellen.
• Regel der zuvor erstellten Gruppe zuweisen, damit sie vor anderen Regeln ausgeführt wird

Regel hinzufügen UTMuser@firewall.name.fqdnFirewallPaketfilter

Fig.4

• Eingehende Paketfilterregel unter Firewall Packet Filter  button Regel hinzufügen erstellen
• Regel der zuvor erstellten Gruppe zuweisen, damit sie vor anderen Regeln ausgeführt wird

Übersicht der Regeln

		#	Quelle	Target	Service	NAT	Logging	Action	Active
		1	internal-network	Router	any	HNE	3/Min	ACCEPT	On		(Fig.3)
		2	Router	internal-network	any		3/Min	ACCEPT	On		(Fig.4)

Telefonanlage und UTM im gleichen Netz an einem Router

notempty

Diese Konfiguration sollte unbedingt vermieden werden! Lassen sich keine Routen in der Telefonanlage hinterlegen kommt es mit hoher Wahrscheinlichkeit zu asynchronem Routing.
Die Telefonanlage sollte am besten in einem eigenen Netz hinter die Firewall gebaut werden. Dann gilt Beispielszenario 3.

Falls es möglich ist, in der Telefonanlage Routen zu hinterlegen, ist das vorgehen ähnlich zu Beispielszenario 1. Statt des Routers wird dann nur die TK-Anlage in den Paketfilterregeln verwendet.

Mit Regeln auf Telefonanlage

Netzwerkobjekt hinzufügen UTMuser@firewall.name.fqdnFirewallNetzwerkobjekte

Fig.1

• Es muss ein Netzwerkobjekt für die TK-Anlage unter Firewall Network Objects  button Objekt hinzufügen erstellt werden

Regelgruppe hinzufügen UTMuser@firewall.name.fqdnFirewallPaketfilter

Fig.2

• Unter Firewall Packet Filter  button Regelgruppe hinzufügen sollte eine Regelgruppe für die Paktefilter Regeln erstellt werden.

Diese an oberste Position verschieben

Regel hinzufügen UTMuser@firewall.name.fqdnFirewallPaketfilter

Fig.3

• Ausgehende Paketfilterregel unter Firewall Packet Filter  button Regel hinzufügen erstellen.
• Regel der zuvor erstellten Gruppe zuweisen, damit sie vor anderen Regeln ausgeführt wird

Regel hinzufügen UTMuser@firewall.name.fqdnFirewallPaketfilter

Fig.4

• Eingehende Paketfilterregel unter Firewall Packet Filter  button Regel hinzufügen erstellen.
• Regel der zuvor erstellten Gruppe zuweisen, damit sie vor anderen Regeln ausgeführt wird

Route auf Telefonanlage nicht vergessen!

Übersicht der Regeln

		#	Quelle	Target	Service	NAT	Logging	Action	Active
		2	internal-network	TK-Anlage	any	HNE	3/Min	ACCEPT	On		(Fig.3)
		4	TK-Anlage	internal-network	any		3/Min	ACCEPT	On		(Fig.4)

Ohne Regeln auf Telefonanlage

Wenn keine Regeln auf der Telefonanlage angelegt werden könne, müssen auf der UTM auch Regeln für die Kommunikation zum Router erstellt werden. Dazu ist die Erstellung eines Netzwerkobjektes für den Router sowie zwei Regeln nötig. Insgesamt müssen in diesem Szenario dann folgende Regeln erstellt werden:

		#	Quelle	Target	Service	NAT	Logging	Action	Active
		1	internal-network	Router	any	HNE	3/Min	ACCEPT	On		(Fig.3)
		2	internal-network	TK-Anlage	any	HNE	3/Min	ACCEPT	On		(Fig.3)
		3	Router	internal-network	any		3/Min	ACCEPT	On		(Fig.4)
		4	TK-Anlage	internal-network	any		3/Min	ACCEPT	On		(Fig.4)

Telefonanlage in einem eigenen Netz an der UTM mit Router

• Eine Regelgruppe wird erstellt, die möglichst oben im Regelwerk angelegt wird. Wenn vorhanden
• ggf. kann auf eine extra Regel für das SIP-Protokoll verzichtet werden, wenn SIP verschlüsselt übertragen wird. (Schreibt der Provider ggf. vor und muss dann auf der Telefonanlage eingerichtet werden.)
• auto generierte Regeln in einer anderen Gruppe nachbauen und diese dann deaktivieren
• Achtung: Hier findet doppeltes NAT statt: 1x durch die UTM und 1x durch den Router !

Netzwerkobjekt hinzufügen UTMuser@firewall.name.fqdnFirewallNetzwerkobjekte

Fig.1

• Es muss ein Netzwerkobjekt für die TK-Anlage unter Firewall Network Objects  button Objekt hinzufügen erstellt werden

Regelgruppe hinzufügen UTMuser@firewall.name.fqdnFirewallPaketfilter

Fig.2

• Unter Firewall Packet Filter  button Regelgruppe hinzufügen sollte eine Regelgruppe für die Paktefilter Regeln erstellt werden.

Diese an oberste Position verschieben

Regel hinzufügen UTMuser@firewall.name.fqdnFirewallPaketfilter

Fig.3

• Es muss eine ausgehende Paketfilterregel mit dem Dienst any unter Firewall Packet Filter  button Regel hinzufügen erstellt werden
• Regel der zuvor erstellten Gruppe zuweisen, damit sie vor anderen Regeln ausgeführt wird

Regel hinzufügen UTMuser@firewall.name.fqdnFirewallPaketfilter

Fig.4

• Wenn SIP verschlüsselt arbeitet, ist diese Regel nicht notwendig.
• Es muss eine ausgehende Paketfilterregel mit dem Dienst sip unter Firewall Packet Filter  button Regel hinzufügen erstellt werden
• Regel der zuvor erstellten Gruppe zuweisen, damit sie vor anderen Regeln ausgeführt wird

Übersicht der Regeln

		#	Quelle	Target	Service	NAT	Logging	Action	Active
		2	TK-Anlage	internet	any	HN	3/Min	ACCEPT	On		(Fig.3)
		1	TK-Anlage	internet	sip	HN	3/Min	ACCEPT	On		(Fig.4)

Telefonanlage in einem eigenen Netz an der UTM / direkter Internetzugang

• Bei dieser Konfiguration sollten die Conntrack-Module nicht per Portfilterregel eingesetzt werden.
• Wichtig ist hier in den meisten Fällen, das in der Telefonanlage ein STUN-Server hinterlegt ist oder, wie bei Starface, die externe IP (kann unter Server → Netzwerk geprüft werden) anderweitig ermittelt wird.
  Meist muss die TK-Anlage aber noch dazu gebracht werden, diese IP in den SDP-Teil des SIP-Paketes zu setzen.
  Bei Starface klappt das im Verbindungsprofil. Dort gibt es eine NAT-Einstellung.
  
• Falls der Provider keinen STUN-Server anbietet klappt es meist ohne diesen. Man kann sich jedoch nicht darauf verlassen.

Netzwerkobjekt hinzufügen UTMuser@firewall.name.fqdnFirewallNetzwerkobjekte

Fig.1

• Es muss ein Netzwerkobjekt für die TK-Anlage unter Firewall Network Objects  button Objekt hinzufügen erstellt werden

Regelgruppe hinzufügen UTMuser@firewall.name.fqdnFirewallPaketfilter

Fig.2

• Unter Firewall Packet Filter  button Regelgruppe hinzufügen sollte eine Regelgruppe für die Paktefilter Regeln erstellt werden.

Diese an oberste Position verschieben

Regel hinzufügen UTMuser@firewall.name.fqdnFirewallPaketfilter

Fig.3

Wenn SIP verschlüsselt oder mit TCP arbeitet, ist die Regel nicht notwendig.

• Es muss eine ausgehende Paketfilterregel mit dem Dienst sip unter Firewall Packet Filter  button Regel hinzufügen erstellt werden
• Regel der zuvor erstellten Gruppe zuweisen, damit sie vor anderen Regeln ausgeführt wird

Regel hinzufügen UTMuser@firewall.name.fqdnFirewallPaketfilter

Fig.4

• Es muss eine ausgehende Paketfilterregel mit dem Dienst any unter Firewall Packet Filter  button Regel hinzufügen erstellt werden
• Regel der zuvor erstellten Gruppe zuweisen, damit sie vor anderen Regeln ausgeführt wird

Übersicht der Regeln

		#	Quelle	Target	Service	NAT	Logging	Action	Active
		1	TK-Anlage	internet	sip	HN	3/Min	ACCEPT	On		(Fig.3)
		2	TK-Anlage	internet	any	HN	3/Min	ACCEPT	On		(Fig.4)