Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 3 subscribers
  • Views 3506 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DeutschlandLAN Abbrüche in der TK nach einbau von Sophos

Niklas Terhorst

Guten Mittag,

 

ein Kunde von uns hat zur Zeit eine Telefonanlage im Netzwerk, die mit einem DeutschlandLAN SIP Trunk verbunden ist.

Nachdem wir nun die Sophos Firewall verbaut haben können wir alle 30-60 Minuten ein Verbindungsabbruch in der Telefonanlage feststellen. Zu dieser Zeit sind dann ca. 5-10 Minuten keine Anrufe möglich. Das Problem trat bisher schon häufiger bei Sophos Firewalls auf.

 

Die SIP Ports werten direkt mittels DNAT auf die TK weitergeleitet. Die Proxy der FW, IPS etc sind deaktiviert. 

Soweit ich weiß, benutzt DeutschlandLAN TCP statt UDP für die SIP Registrierung. Sind hier irgendwelche Timeouts in der Sophos zu setzen?



This thread was automatically locked due to age.
  • 0

    Hallo Niklas,

     

    prüfe mal die IPS!

    Wir hatten auch die tollsten Sachen bis wir die TK Anlage von der IPS Prüfung ausgenommen haben...

     

    Beste Grüße

    Joerg

  • 0 in reply to effendi

    Hallo Niklas,

    sorry das mit dem IPS hattest Du ja schon erwähnt...

    Dann Tipp 2: es war bei uns kein DNAT nötig, sondern eher kontraproduktiv...

    Es scheint nämlich so zu sein, dass die Steuerleitung immer von innen die UDP Sprachübertragungsports dynamisch öffnet und diese werden auch nicht mehr aus den im Internet kursierenden Bereichen, sondern mehr oder minder zufällig ausgewählt.

     

    Beste Grüße

    Joerg

  • 0 in reply to effendi

    Wir haben jetzt zeitweise nur die VoIP "Proxy" von Sophos verwendet ohne extra Nat Regeln für den Port 5060. 

    Dadurch scheinen die Probleme wohl noch schlimmer geworden zu sein. Man kann teilweise wohl anrufen, sobald der Anruf allerdings angenommen wird findet keine Kommunikation statt.

     

    Ohne Nat Regel und mit der Regel TK > Any > Any tritt der Fehler ebenfalls auf.

    Bei anderen Kunden trat das Problem ebenfalls auf, wenn eine NAT Regel vorhanden war, das konnte ich bei dem Kunden allerdings noch nicht testen.

     

    Bisher konnte wir das Problem nur lösen indem wir die Telefonanlage selber vor die Firewall setzen, was natürlich keine wirkliche Lösung ist.

    Mir scheint es ein Problem mit irgendwelchen Timeouts zu sein da es ja nur sporadisch auftritt.

     

    Der Kunde hat zur Zeit im Intranet eine Swyx Telefonanlage, aus erfahrung tritt das Problem aber ebenfalls bei Agfeo TKs auf.

    Ohne die Firewall läuft alles wieder wie gewohnt.

     

    Ich hab hier leider keinen Lösungsansatz. Wir haben zum testen die Firewall extra "offen" gelassen und somit IPS und alles deaktiviert.

    NAT Regeln sind zur Zeit in der Firewall keine vorhanden und die Firewall Regel Internal (Network) > Any > Any ist für den ausgehenden Traffic geregelt.

    Vor der Firewall liegt ein Lancom Router über den vorher auch alles lief (Sophos bezieht sich WAN nun vom Lancom Router).

  • 0 in reply to effendi

    Es scheint für mich nicht an irgendwelchen NAT Regeln oder sonst was zu liegen.

     

    Ohne DNAT tritt das Problem auf

    Mit DNAT 5060 tritt das Problem auf

    Mit SIP "Proxy" tritt das Problem auf (schlimmer als vorher)

  • 0 in reply to Niklas Terhorst

    Hallo Niklas,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment.  )

    The SIP Proxy only works with a few VoIP manufacturers.  In most cases you have to manually create firewall rules.  You definitely will want to read and do #1 in Rulz (last updated 2019-04-17).

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hey there,

     

    we don't use the VoIP Handler from Sophos due to bugs.

    But we have D-NATTED every Port to the PBX for testing purposes and set the Firwall Rule Lan > Any > Any > Allow

    But we still get the timeouts.

  • 0 in reply to Niklas Terhorst

    Have you done #1 in Rulz?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML