(Lauritzl verschob die Seite UTM/FAQ-VoIP nach UTM/FAQ-VoIP v11.8) Markierung: Neue Weiterleitung |
K (Weiterleitung auf UTM/FAQ-VoIP v11.8 entfernt) Markierung: Weiterleitung entfernt |
||
Zeile 1: | Zeile 1: | ||
# | {{Set_lang}} | ||
{{#vardefine:headerIcon|spicon-utm}} | |||
{{:UTM/FAQ-VoIP.lang}} | |||
</div>{{Select_lang}}{{TOC2|limit=1}} | |||
{{Header| 07.2022 | | |||
* {{#var:neu--Slip-Stream-Hinweis}} | |||
|[[UTM/FAQ-VoIP_v11.8 | 11.8]] | |||
}} | |||
=== {{#var:Ausgangslage}} === | |||
{{ pt3 | {{#var:Portfilter--Bild}} | hochkant=3 | {{#var:Portfilter--cap}} }} | |||
<div class="Einrücken"> | |||
<p>{{#var:voip--desc|Wenn zwischen VoIP-Endgeräten und einem VoIP-Server eine UTM steht, ist es notwendig, eine zusätzliche Portfilter-Regel anzulegen, die VoIP mit NAT freischaltet.<br> | |||
Der Verbindungsaufbau erfolgt über SIP, das Gerät meldet sich mit seiner lokalen IP am VoIP-Server an. Die Sprachpakete selbst werden dann aber über rtp auf anderen Ports gesendet. Um nun den VoIP-Client und gleichzeitig die bei Verbindungsaufbau übermittelten rtp-Ports im lokalen Netz von außen - in diesem Fall für den VoIP-Server erreichbar zu machen ist es notwendig eine Portfilter-Regel dafür anzulegen:}}</p> | |||
</div> | |||
=== {{#var:Portfilter Regel}} === | |||
<div class="Einrücken">{{ Menu | Firewall | Portfilter | Portfilter | {{#var:add_rule|Regel hinzufügen}} | +}}</div> | |||
<br clear=all> | |||
{| class="sptable2 pd5 Einrücken" | |||
|- class="Leerzeile" | |||
| colspan="3" | {{Kasten|{{#var:Allgemein}} }} | |||
|- | |||
| {{ b | {{#var:source|Quelle}} }} || {{ic| voip-clients|dr|icon=netgroup|class=mw13}} || {{#var:source--desc}} | |||
<li class="list--element__alert list--element__warning">{{#var:source-kein internal--Hinweis}}</li> | |||
<li class="list--element__alert list--element__warning">{{#var:source-Netzwerksicherheit--Hinweis}}</li> | |||
|- | |||
| {{ b | {{#var:dest|Ziel}} }} || {{ic| voip-server|dr|icon=host|class=mw13}} || {{#var:Ziel--desc}} | |||
|- | |||
| {{ b | {{#var:service|Dienst}} }} || {{ic| voip|dr|icon=dienste|class=mw13 }} || {{#var:service--desc|Dienstgruppe VoIP: Schaltet folgende Ports frei: }} | |||
* SIP: UDP Port 5060 {{#var:SIP-Port--desc}} {{info|{{#var:SIP-Port--info}} }} | |||
* rtp: UDP Port 7070-7089 | |||
|- | |||
| {{ b | {{#var:action|Aktion}} }} || {{ Button | Stateless | dr |class=mw13}} || | |||
|- class="Leerzeile" | |||
| colspan="3" | {{ Kasten | {{#var:nat|NAT}} }} | |||
|- | |||
| {{ b | {{#var:type|TYP}} }} || {{ Button | HIDENAT |dr|class=mw13}} || | |||
|- | |||
| {{ b | {{#var:netobject|Netzwerkobjekt}} }} || {{ ic | external-interface | dr | icon=interface|class=mw13}} || | |||
|} | |||
<br> | |||
=== {{#var:VoIP ohne SIP Helper}} === | |||
<div class="Einrücken"> | |||
{{#var:SIP-Port--Hinweis}} | |||
{{#var:VoIP ohne SIP Helper--desc}} | |||
==== {{#var:Dienst anlegen}} ==== | |||
{| class="sptable2 pd5 zh1 Einrücken" | |||
|- | |||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | |||
| class="Bild" rowspan="8" | {{Bild | {{#var:Dienst anlegen--Bild}}|{{#var:Dienst anlegen--cap}} |class=width75}} | |||
|- | |||
| {{b|{{#var:Name}} }} || {{ic| {{#var:Name--val}}|class=mw13}} || {{#var:Name--desc}} | |||
|- | |||
| {{b|{{#var:Protokoll}} }} || {{Button|udp|dr|class=mw13}} || | |||
|- | |||
| {{b|{{#var:Protokolltyp}} }} || {{button| |dr|class=mw13}} || {{#var:Protokolltyp--desc}} | |||
|- | |||
| {{b|{{#var:Zielport Typ}} }} || {{Button|{{#var:Zielport Typ--val}}|blau}} || {{#var:Zielport Typ--desc}} | |||
|- | |||
| {{b|{{#var:Zielport}} }} || {{ic|5060|c|class=mw13}} || {{#var:Zielport--desc}} | |||
|- | |||
| class=mw8 | {{b|{{#var:Quellport Typ}} }} || {{Button| {{#var:Quellport Typ--val}}|blau }} || {{#var:Quellport Typ--desc}} | |||
|- class="Leerzeile" | |||
| colspan="2" | {{Button|{{#var:Speichern}} }} || {{#var:Speichern--desc}} | |||
|} | |||
==== {{#var:Dienstgruppe anlegen}} ==== | |||
<div class="Einrücken">{{#var:Dienstgruppe anlegen--desc}}<br> | |||
{| class="sptable2 pd5" | |||
! {{#var:cap}} !! {{#var:val}} !! {{#var:desc}} | |||
|- | |||
| {{b|{{#var:Name}} }} || {{ic| {{#var:Name-Dienstgruppe--val}} }} || {{#var:Name--desc}} | |||
|- | |||
| {{b|{{#var:Dienste}} }} || {{ic| {{cb|{{spc|udp|o|{{#var:Name--val}} {{#var:Zielports}}5060}}|-|class=max-content}}<br> {{cb|{{spc|udp|o|rtp {{#var:Zielports}} 7070:7089}}|-}}|cb|class=max-content}} || {{#var:Dienste--desc}} | |||
|} | |||
</div> | |||
==== {{#var:Portfilter Regel}} ==== | |||
<div class="Einrücken"> | |||
{| class="sptable2 spezial pd5 tr--bc__white zh1"<br> | |||
|- class="bold small no1cell" | |||
| class="Leerzeile bc__default normal fs-initial" rowspan="3"| {{#var:Portfilter Regel ohne sip Helper--desc}} || || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | |||
|- | |||
| {{spc|drag|o|-}} || 24 || {{spc|netgroup|o|-}} voip-clients || {{spc|host|o|-}} voip-server || {{spc|dienste|o|-}} {{#var:Dienste-Gruppe--val}} || {{Kasten|HN|blau}} || {{Kasten|Stateless|grau|icon=info}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | |||
|- class="Leerzeile" | |||
| class=bc__default | | |||
|} | |||
<br><br> | |||
</div> | |||
</div> | |||
{{#var:Kein laden per CLI}} | |||
<!-- | |||
{{#var:kmod}} | |||
<div class="Einrücken"> | |||
{{#var:kmod_desc}} | |||
{{Hinweis| !! {{#var:kmod_desc--Hinweis}} }} | |||
</div> | |||
--> |
Version vom 26. August 2022, 11:20 Uhr
- Hinweis zur Vermeidung von Slipstreaming Angriffen
Ausgangslage
[[Datei: |hochkant=3|mini| ]]
Wenn zwischen VoIP-Endgeräten und einem VoIP-Server eine UTM steht, ist es notwendig, eine zusätzliche Paketfilter-Regel anzulegen, die VoIP mit NAT freischaltet.
Der Verbindungsaufbau erfolgt über SIP, das Gerät meldet sich mit seiner lokalen IP am VoIP-Server an. Die Sprachpakete selbst werden dann aber über rtp auf anderen Ports gesendet.
Um nun den VoIP-Client und gleichzeitig die bei Verbindungsaufbau übermittelten rtp-Ports im lokalen Netz von außen - in diesem Fall für den VoIP-Server erreichbar zu machen ist es notwendig eine Paketfilter-Regel dafür anzulegen.
VoIP ohne SIP Helper
Der vordefinierte Dienst sip (enthalten in der Paketfiltergruppe voip) hat den Protokolltyp sip, welcher die Application Layer Gateway (ALG) Module lädt.
Soll VoIP ohne die sip-Helper und damit ohne ALG durchgeführt werden, muss eine neuer Dienst angelegt werden, der den Port 5060 UDP ohne den Protokolltyp sip verwendet.
Schaltfläche
Dienst anlegen
Dienstgruppe anlegen
Ein laden oder entladen der sip-Helper Module per CLI ist nicht mehr erforderlich