Guest User!

You are not Sophos Staff.

Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 28 replies
  • Answers 1 answer
  • Subscribers 4 subscribers
  • Views 3361 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VoIP-Einrichtung Telekom

Tabaluga73

Hallo Zusammen,

auch ich beiße mir gerade die Zähne an der VoIP-Installation aus. Was ich bisher gemacht habe:

  • Fritzbox an UTM angehangen; Internet läuft
  • FB-internes Netz: 192.168.2.0/24; FB-GW: 192.168.2.1;
  • FB/UTM-Netz: 192.168.5.0; FB-Adresse hier: 192.168.5.254; UTM: 192.168.5.1
  • PAT von 192.168.2.0 => 192.168.2.5.1

Ich habe hier schon diverse Einstellung in der UTM versucht, mit eingeschaltetem SIP und ohne, mit Portfreigaben und ohne. Das Problem: Die Telefon werden nicht initiiert.

In der FB sind die Adressen für den Registrar (tel.t-online.de) und STUN (stun.t-online.de) hinterlegt. Die FB braucht Ihrer "eigenen" Aussage nach die Ports 5060 (TCP, IPv4, UDP) für Telefonie (SIP) sowie 7078-7097 (UDP, IPv4) für Telefonie (RTP).

Ich könnte mir vorstellen, dass es bei der Einrichtung von SIP schon schwierig wird, da i.d.R. ja IP-Adresse angegeben werden sollten. Mein Versuch war daher

Wobei der tel.t-online.de einmal als DNS-Host und einmal als DNS-Gruppe gepflegt wurde, aber ohne Erfolg. Fritzbox_GW_intern ist die 192.168.2.1 (oder muss ich hier auf die 192.168.5.254 zeigen lassen)?

In der Firewall habe ich dann verschiedenste Regeln probiert, z.B.:

Oder aber auch eine NAT-Regel:

Nichts hat bisher geholfen. Hat jemand einen guten Tipp?

Besten Dank,

Holger



This thread was automatically locked due to age.
Parents
  • 0

    Hallo Holger.

    Also eine genaue Idee habe ich nicht, aber wir können uns ja mal rantasten.

    Folgende Dinge würde ich erst mal probieren:

    1. Eine Regel von Fritz ins Internet, die alles zulässt.
    2. In der Fritz-Box die DNS-Server der Telekom eintragen. Das ist wichtig, damit diese die SRV records ordendlich bekommt)
    3. Auf der Sophos den SIP-Helper deaktivieren
    4. Auf der Sophos die Intrusion Preveintion deaktivieren

    Dann mal die Einstellungen für die Telefonie bei der Fritzbox (inkl. erweiterte Optionen) posten.

    Dann das SIP-Profil auf der Fritz aktivieren (erst mal nur eine Nummer). Dann bitte mal die Firewall-Logs zu dem Zeitraum hier posten.

    Grüße,

    T.

    Sophos Gold Partner
    4TISO GmbH, Germany
    If a post solves your question click the 'Verify Answer' link.
  • 0 in reply to ThomW

    Hallo Thom(as?),

    danke für die Heranleitung. Zu Deinen Punkten:

    1) Hm, generell ist in der Fritzbox nichts gesperrt, außer NetBios-Filter, Teredo-Filter und WPAD-Filter, die aktiv sind. M.E. aber auch nicht relevant für VoIP. Ports sind keine offen, kann ich aber auch nicht für VoIP aktivieren, da hier nur am Netz angemeldete Geräte angezeigt werden.

    2) Dies habe ich nun unter Internet->Zugangsdaten->DNS-Server vorgenommen. In den Verbindungseinstellungen zur UTM habe ich als DNS-Server die Adresse der eth0 stehen. Das führt aber dazu, dass er keine Webseite mehr findet. Ich habe diese Einstellung wieder entfernt und nur den Verweis auf die 192.168.5.1 stehen lassen und dann funktioniert es wieder.

    3+4) Deaktiviert bzw. IPS ist noch nicht aktiv.

    5) Hier einmal die Einstellungen für eine Rufnummer. Brauchst Du noch mehr?

    6) SIP habe ich einmal wie folgt aktiviert, wobei die Telekomserver die IP-Adressen beinhalten, welche ich aus dem LOG-gezogen habe (mit 127.xxx) und der DNS-host die tel.t-online.de darstellt:

    Etwas irritiert hat mich Dein Hinweis auf "erst einmal nur eine Nummer". Wie ist das gemeint?

    Hier exemplarisch der LOG-Eintrag:

    2022:02:12-11:05:00 tabaluga-sophos ulogd[4117]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="ppp0" srcmac="MAC-Fritzbox" dstmac="MAC-UTM-eth0" srcip="192.168.5.254" dstip="217.0.28.161" proto="6" length="60" tos="0x00" prec="0x00" ttl="63" srcport="45977" dstport="5060" tcpflags="SYN" 
    2022:02:12-11:05:00 tabaluga-sophos ulogd[4117]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="ppp0" srcmac="MAC-Fritzbox" dstmac="MAC-UTM-eth0" srcip="192.168.5.254" dstip="217.0.28.163" proto="6" length="60" tos="0x00" prec="0x00" ttl="63" srcport="55395" dstport="5061" tcpflags="SYN" 
    2022:02:12-11:05:00 tabaluga-sophos ulogd[4117]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="ppp0" srcmac="MAC-Fritzbox" dstmac="MAC-UTM-eth0" srcip="192.168.5.254" dstip="217.0.12.1" proto="17" length="56" tos="0x00" prec="0x00" ttl="63" srcport="5060" dstport="3478"

    VG Holger

    UPDATE: Keine Ahnung ob es verwunderlich ist, aber sobald ich SIP ausschalte, kommen keine Anfragen mehr über die SIP-Protokolle rein. Ich hätte vermutet, dass die FB hier aktiv über das Gateway diese Anfragen rausschicken würde. Da hier auch ein Any->Any->Any nicht von erfolgt gekrönt ist, scheint die FB hier nicht an der Firewall zu scheitern, oder? Stimmt dann ggf. etwas mit dem Netzaufbau nicht? Internet funktioniert jedoch einwandfrei und ich hätte vermutet, dass die FB-Anfragen zur VoIP, die ja auch über Internetserver laufen, entsprechend dann durchkommen müssten...

    UPDATE2: Korrektur, auch ohne aktiviertem SIP kommen vergleichbare Einträge in das Log der Firewall. Nur deutlich weniger...

    UPDATE3: Ein Zugriff auf die SMTP-Server scheint auch nicht zu funktionieren. "Die Verbindung zum Server kann nicht hergestellt werden." Vielleicht ist das auch der Grund, warum VoIP nicht funktioniert. Scheinbar funktioniert hier irgendetwas gar nicht (eventuell der Rückkanal?). Reines Surfen klappt nach wie vor....

Reply
  • 0 in reply to ThomW

    Hallo Thom(as?),

    danke für die Heranleitung. Zu Deinen Punkten:

    1) Hm, generell ist in der Fritzbox nichts gesperrt, außer NetBios-Filter, Teredo-Filter und WPAD-Filter, die aktiv sind. M.E. aber auch nicht relevant für VoIP. Ports sind keine offen, kann ich aber auch nicht für VoIP aktivieren, da hier nur am Netz angemeldete Geräte angezeigt werden.

    2) Dies habe ich nun unter Internet->Zugangsdaten->DNS-Server vorgenommen. In den Verbindungseinstellungen zur UTM habe ich als DNS-Server die Adresse der eth0 stehen. Das führt aber dazu, dass er keine Webseite mehr findet. Ich habe diese Einstellung wieder entfernt und nur den Verweis auf die 192.168.5.1 stehen lassen und dann funktioniert es wieder.

    3+4) Deaktiviert bzw. IPS ist noch nicht aktiv.

    5) Hier einmal die Einstellungen für eine Rufnummer. Brauchst Du noch mehr?

    6) SIP habe ich einmal wie folgt aktiviert, wobei die Telekomserver die IP-Adressen beinhalten, welche ich aus dem LOG-gezogen habe (mit 127.xxx) und der DNS-host die tel.t-online.de darstellt:

    Etwas irritiert hat mich Dein Hinweis auf "erst einmal nur eine Nummer". Wie ist das gemeint?

    Hier exemplarisch der LOG-Eintrag:

    2022:02:12-11:05:00 tabaluga-sophos ulogd[4117]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="ppp0" srcmac="MAC-Fritzbox" dstmac="MAC-UTM-eth0" srcip="192.168.5.254" dstip="217.0.28.161" proto="6" length="60" tos="0x00" prec="0x00" ttl="63" srcport="45977" dstport="5060" tcpflags="SYN" 
    2022:02:12-11:05:00 tabaluga-sophos ulogd[4117]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="ppp0" srcmac="MAC-Fritzbox" dstmac="MAC-UTM-eth0" srcip="192.168.5.254" dstip="217.0.28.163" proto="6" length="60" tos="0x00" prec="0x00" ttl="63" srcport="55395" dstport="5061" tcpflags="SYN" 
    2022:02:12-11:05:00 tabaluga-sophos ulogd[4117]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="ppp0" srcmac="MAC-Fritzbox" dstmac="MAC-UTM-eth0" srcip="192.168.5.254" dstip="217.0.12.1" proto="17" length="56" tos="0x00" prec="0x00" ttl="63" srcport="5060" dstport="3478"

    VG Holger

    UPDATE: Keine Ahnung ob es verwunderlich ist, aber sobald ich SIP ausschalte, kommen keine Anfragen mehr über die SIP-Protokolle rein. Ich hätte vermutet, dass die FB hier aktiv über das Gateway diese Anfragen rausschicken würde. Da hier auch ein Any->Any->Any nicht von erfolgt gekrönt ist, scheint die FB hier nicht an der Firewall zu scheitern, oder? Stimmt dann ggf. etwas mit dem Netzaufbau nicht? Internet funktioniert jedoch einwandfrei und ich hätte vermutet, dass die FB-Anfragen zur VoIP, die ja auch über Internetserver laufen, entsprechend dann durchkommen müssten...

    UPDATE2: Korrektur, auch ohne aktiviertem SIP kommen vergleichbare Einträge in das Log der Firewall. Nur deutlich weniger...

    UPDATE3: Ein Zugriff auf die SMTP-Server scheint auch nicht zu funktionieren. "Die Verbindung zum Server kann nicht hergestellt werden." Vielleicht ist das auch der Grund, warum VoIP nicht funktioniert. Scheinbar funktioniert hier irgendetwas gar nicht (eventuell der Rückkanal?). Reines Surfen klappt nach wie vor....

Children
  • 0 in reply to Tabaluga73

    Hi.

    SIP auf der Sophos mal deaktiviert lassen. Die ersten Fehlermeldungen sagen (fwrule="60002"), dass die Sophos den Traffic von der Fritzbox ins Internet blockt.

    Bitte mal folgende Regeln anlegen (auf der UTM):

    1. Fritzbox (SrcIP 192.168.5.254 !?)-> TCP/UDP any --> Internet IPv4/IPv6  (also alles von der Fritzbox ins Internet zulassen).

    Erst müssen die Fehlermeldungen hier weg.

    Sophos Gold Partner
    4TISO GmbH, Germany
    If a post solves your question click the 'Verify Answer' link.
Unfiltered HTML