UTM/FAQ-VoIP v11.8: Unterschied zwischen den Versionen

Aktuelle Version vom 26. August 2022, 11:23 Uhr

notempty

Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty

Der Artikel für die neueste Version steht hier

notempty

Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht

Einstellungen in der UTM-Firewall für VoIP-Geräte, wenn der VoIP-Server hinter der UTM liegt.

Portfilter-Regel für VoIP

Wenn zwischen VoIP-Endgeräten und einem VoIP-Server eine UTM steht, ist es notwendig, eine zusätzliche Portfilter-Regel anzulegen, die VoIP mit NAT freischaltet.
Der Verbindungsaufbau erfolgt über SIP, das Gerät meldet sich mit seiner lokalen IP am VoIP-Server an. Die Sprachpakete selbst werden dann aber über rtp auf anderen Ports gesendet. Um nun den VoIP-Client und gleichzeitig die bei Verbindungsaufbau übermittelten rtp-Ports im lokalen Netz von außen - in diesem Fall für den VoIP-Server erreichbar zu machen ist es notwendig eine Portfilter-Regel dafür anzulegen:

→ Firewall →PortfilterReiter Portfilter Schaltfläche Regel hinzufügen

Aktion	Stateless
Quelle	voip-devices	Es sollte eine geeignete Gruppe definiert werden. Z.B.: Telefone und Workstations oder VoIP-devices Internal Network erlaubt allen Netzwerkgeräten VoIP ! Aus Gründen der Netzwerk-Sicherheit sollte Geräten, die kein VoIP benötigen (z.B. Druckern oder IoT-Geräten) auch kein VoIP erlaubt werden.
Ziel	Internet
Dienst	voip	Dienstgruppe VoIP: Schaltet folgende Ports frei: SIP: UDP Port 5060 rtp: UDP Port 7070-7089
NAT	TYP	HIDENAT
NAT	Netzwerkobjekt	external-interface

Zusätzlich kann es notwendig sein folgende Befehle im CLI auszuführen:

debug kmod load module nf_nat_sip
debug kmod load module nf_nat_h323
debug kmod load module nf_conntrack_sip
debug kmod load module nf_conntrack_h323

Anschließend als root-user per ssh den Befehl

conntrack -F

mehrmals ausführen

@@ Zeile 1: / Zeile 1: @@
+{{Archivhinweis|UTM/FAQ-VoIP}}
 {{Set_lang}}
@@ Zeile 14: / Zeile 15: @@
 		| If there is a UTM between VoIP end devices and a VoIP server, it is necessary to create an additional port filter rule that enables VoIP with NAT.<br>The connection is established via SIP, the device logs on to the VoIP server with its local IP. The voice packets themselves are then sent via rtp on other ports. In order to make the VoIP client and the rtp ports in the local network available from outside - in this case accessible for the VoIP server - it is necessary to create a port filter rule for this: }}
 {{var	| add_rule| Regel hinzufügen
-		| add rule }}
+		| Add Rule }}
 {{var	| action| Aktion
 		| Action }}
@@ Zeile 33: / Zeile 34: @@
 {{var	| netobject| Netzwerkobjekt
 		| Networkobject }}
-{{var	| kmod_desc| Zusätzlich kann es notwendig sein folgende Befehle im CLI auszuführen:
+{{var	| kmod_desc| Zusätzlich '''kann''' es notwendig sein folgende Befehle im CLI auszuführen:
   debug kmod load module nf_nat_sip
   debug kmod load module nf_nat_h323
@@ Zeile 42: / Zeile 43: @@
   conntrack -F
 mehrmals ausführen
-		| Additionally, it may be necessary to execute the following commands in the CLI:
+		| Additionally, it '''may be''' necessary to execute the following commands in the CLI:
   debug kmod load module nf_nat_sip
   debug kmod load module nf_nat_h323