Guest User!

You are not Sophos Staff.

Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 28 replies
  • Answers 1 answer
  • Subscribers 4 subscribers
  • Views 3349 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VoIP-Einrichtung Telekom

Tabaluga73

Hallo Zusammen,

auch ich beiße mir gerade die Zähne an der VoIP-Installation aus. Was ich bisher gemacht habe:

  • Fritzbox an UTM angehangen; Internet läuft
  • FB-internes Netz: 192.168.2.0/24; FB-GW: 192.168.2.1;
  • FB/UTM-Netz: 192.168.5.0; FB-Adresse hier: 192.168.5.254; UTM: 192.168.5.1
  • PAT von 192.168.2.0 => 192.168.2.5.1

Ich habe hier schon diverse Einstellung in der UTM versucht, mit eingeschaltetem SIP und ohne, mit Portfreigaben und ohne. Das Problem: Die Telefon werden nicht initiiert.

In der FB sind die Adressen für den Registrar (tel.t-online.de) und STUN (stun.t-online.de) hinterlegt. Die FB braucht Ihrer "eigenen" Aussage nach die Ports 5060 (TCP, IPv4, UDP) für Telefonie (SIP) sowie 7078-7097 (UDP, IPv4) für Telefonie (RTP).

Ich könnte mir vorstellen, dass es bei der Einrichtung von SIP schon schwierig wird, da i.d.R. ja IP-Adresse angegeben werden sollten. Mein Versuch war daher

Wobei der tel.t-online.de einmal als DNS-Host und einmal als DNS-Gruppe gepflegt wurde, aber ohne Erfolg. Fritzbox_GW_intern ist die 192.168.2.1 (oder muss ich hier auf die 192.168.5.254 zeigen lassen)?

In der Firewall habe ich dann verschiedenste Regeln probiert, z.B.:

Oder aber auch eine NAT-Regel:

Nichts hat bisher geholfen. Hat jemand einen guten Tipp?

Besten Dank,

Holger



This thread was automatically locked due to age.
Parents
  • 0

    Hallo Holger,

    du hast ein Routing-Problem. Woher soll die UTM wissen, dass hinter dem Gateway "Fritzbox 192.168.5.254" ein weiteres Netzwerk "192.168.2.0/24" liegt?

    Das muss in die statische Routing-Tabelle eingetragen werden. Und das PAT ist dann überflüssig. Allerdings muss ein DNAT auf die SIP-Ports der FB gelegt werden.

    Die UTM sollte dann als Einzige ein MASQ Richtung Internet machen.

    Die Firewall-Regeln üssen die Freischaltung für den Traffic enthalten, der ziwschen den Netzen für VOIP entsteht. Am einfachsten beobachtet man dazu das Live-Log, dass dir nach den oben genannten Änderungen auch ein paar Pakete mehr in Richtung SIP-Registrar zeigen sollte.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

Reply
  • 0

    Hallo Holger,

    du hast ein Routing-Problem. Woher soll die UTM wissen, dass hinter dem Gateway "Fritzbox 192.168.5.254" ein weiteres Netzwerk "192.168.2.0/24" liegt?

    Das muss in die statische Routing-Tabelle eingetragen werden. Und das PAT ist dann überflüssig. Allerdings muss ein DNAT auf die SIP-Ports der FB gelegt werden.

    Die UTM sollte dann als Einzige ein MASQ Richtung Internet machen.

    Die Firewall-Regeln üssen die Freischaltung für den Traffic enthalten, der ziwschen den Netzen für VOIP entsteht. Am einfachsten beobachtet man dazu das Live-Log, dass dir nach den oben genannten Änderungen auch ein paar Pakete mehr in Richtung SIP-Registrar zeigen sollte.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

Children
  • 0 in reply to jprusch

    Hallo Philipp Rusch.

    Wie erkennst man denn daran ein Routing-Problem:

    2022:02:12-11:05:00 tabaluga-sophos ulogd[4117]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="ppp0" srcmac="MAC-Fritzbox" dstmac="MAC-UTM-eth0" srcip="192.168.5.254" dstip="217.0.12.1" proto="17" length="56" tos="0x00" prec="0x00" ttl="63" srcport="5060" dstport="3478"

    Da sehe ich erst mal, dass die Fritz gar nicht ins Internet kommt. Die MASQ ist für die WAN-Adresse der Fritz erst mal relevant. Aber davon gehe ich ja aus. Sonst wäre ja gar kein Internetzugang möglich.

    Damit die Fritz sich bei der Telekom registriert, ist die interne IP erst mal irrelevant, da das dir Fritz mit der WAN-IP macht, also 192.168.5.254. Oder habe ich was übersehen?

    Das wird uns aber Holger bestimmt berichten.

    Sophos Gold Partner
    4TISO GmbH, Germany
    If a post solves your question click the 'Verify Answer' link.
  • 0 in reply to ThomW

    Hallo Thomas,

    ich gebe dir recht, ich hatte 192.168.5.1 gelesen. Die Fritzbox müsste also "raus" kommen.

    @Holger: können wir mal die Screenshots von den hier verwendeten Netzwerkobjekten sehen (Screenshost der "Edit"-Fenster) ?

    "60002" ist ein "default drop", d.h. keine der andere Regeln traf zu. Hast du dir das "Intrusion Prevention log" einmal angesehen?
    Hier sollte keine Anti-DOS Aktion zu sehen sein, am besten das IPS einmal ganz ausschalten.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to jprusch

    Hallo Philipp,

    wir hatten ja gemeinsam in meinem anderen Thread die Fritzbox in das Internet gebracht. Dafür hatte ich ein Masquerading von 192.168.2.0 auf 192.168.5.1 geschaltet, also quasi Fritzbox internes Netz auf eth0.

    Die Netzwerkobjekte der Fritzbox, die ich angelegt habe, sehen wie folgt aus:

    Die aktuellen Regeln in der Firewall sind die Standard-Regeln, welche während der Installation angelegt wurde:

    Die Fritzbox stellt das 192.168.2.0 selbst zur Verfügung und hängt über der Funktion "Internet über externen Router" mit der IP 192.168.5.254 an der UTM mit der eth0-IP 192.168.5.1.

    Ich hatte ja schon diverse Regeln versucht (s.o.), ohne Erfolg...

  • 0 in reply to Tabaluga73

    Ergänzung: IPS und ATP sind aus und leider funktioniert bei mir der Live-Log nicht...

  • 0 in reply to Tabaluga73

    Was heisst: "Das Live-Log geht nicht."? Vielleicht ist ein Pop-Up Blocker im Browser aktiv?

    Das dauert immer eine Weile, bis das Fenster sich mit Daten füllt, Geduld!

    Entscheidend ist das Live-Log unter "Network Protection/Firewall" , nicht irgendein "Live-Log" Button auf einem der ander Menüpunkte.

    Mit freundlichem Gruß, best regards from Germany,

    Philipp Rusch

    New Vision GmbH, Germany
    Sophos Silver-Partner

    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to jprusch

    Hm, ein Fenster geht auf, aber vielleicht war ich zu ungeduldig. Werde es morgen direkt einmal testen und berichten. Eventuell schon eine Idee, was ich ausprobieren könnte?

    Mein Verständnis war bisher eigentlich, dass die 192.168.5.254 quasi die WAN der Fritzbox wird und die Abfragen über die 5.254 -> eth0 -> eth1 (WAN UTM) rausgeschickt werden. Demnach müsste ich für die 5.254 die SIP-Protokolle freigeben an ANY oder an eth1? Wie sieht es mit den reinkommenden aus? WAN -> 5.254? Die gleichen Ports?

  • 0 in reply to Tabaluga73

    Hallo.

    Ich gehe mal davon aus, dass die Firzbox nur mit dem externen Port an der Sophos hängt.

    Vermutlich sind an der Fritzbox nur DECT-Telefone oder diese an S0 oder Fon-Ports. Oder sind hinter der Fritz im 192.168.2.x-Netz auch noch SIP-Telefone?

    Um die Fritz-Registrierung der SIP-Telefonie zu ermöglichen wäre es sinnvoll eine Firewall-Regel anzulegen, die 192.168.5.254 (Fritz-IP-Extern> -> ANY TCP/UDP -> InternetIPv4 zulässt. Damit kann man erst mal sehen, ob die SIP-Registrierung der Fritz-Box funktioniert. Auch Telefonie sollte dann eigentlich möglich sein.

    Wichtig:
    Damit können alle Geräte hinter der Fritz vollständig ins Internet. Für den Test wäre das aber sinnvoll.

    Grüße,

    Thomas

    Sophos Gold Partner
    4TISO GmbH, Germany
    If a post solves your question click the 'Verify Answer' link.
  • 0 in reply to ThomW

    Moin Thomas,

    ja, ich habe nur DECT-Telefone hinter der Fritzbox.

    @Philipp: Ich habe mir nun auch den Live-Log unter "Network Protection/Firewall" zugeschaltet und war geduldiger Wink Nun kam auch eine Menge roter Drops.

    Nach Aktivierung der von Thomas vorgeschlagenen Regel hat die Anzahl der Drops massiv nachgelassen. Es sind zwar immer noch ein paar da, aber deutlich weniger, als zuvor. Während es vorher primär ausgehende waren, sind es nun zunehmend eingehende (auch ein SSH connection attempt Thinking)

    Eine Registrierung der Telefone ist noch nicht erfolgt.

    UPDATE: Ich habe gerade einmal eine Regel erstellt, die da heißt: tel.t-online.de -> VoIP-Protokolle -> 192.168.5.254. Daraufhin bekomme ich nun neue DROPs für ICMP: 192.168.5.254 -> 204.79.197.200. Habe mal gegoogelt. Scheint eine Adresse von Microsoft zu sein?

  • 0 in reply to Tabaluga73

    UPDATE2:

    Ich habe die Regeln wieder etwas verschärft:

    und genau nun bekomme ich wieder die bekannten DROPs:

    Default DROP UDP  
    192.168.5.254 : 5060
    217.0.136.1 : 3478

    Eventuell kann hier der HOST tel.t-online.de nicht aufgelöst werden? Werde es einmal direkt mit den IPs probieren.

  • 0 in reply to Tabaluga73

    Hi Tabluga73.

    Bitte mach doch einfach mal die Regel, die ich vorgeschlagen habe. Lass die Fritzbox nach extern komplett nach draußen. Sonst wird es nichts mit der SIP-Registrierung der Telefone.

    Sophos Gold Partner
    4TISO GmbH, Germany
    If a post solves your question click the 'Verify Answer' link.
Unfiltered HTML