VoIP-Einrichtung Telekom

Hallo Holger,

du hast ein Routing-Problem. Woher soll die UTM wissen, dass hinter dem Gateway "Fritzbox 192.168.5.254" ein weiteres Netzwerk "192.168.2.0/24" liegt?

Das muss in die statische Routing-Tabelle eingetragen werden. Und das PAT ist dann überflüssig. Allerdings muss ein DNAT auf die SIP-Ports der FB gelegt werden.

Die UTM sollte dann als Einzige ein MASQ Richtung Internet machen.

Die Firewall-Regeln üssen die Freischaltung für den Traffic enthalten, der ziwschen den Netzen für VOIP entsteht. Am einfachsten beobachtet man dazu das Live-Log, dass dir nach den oben genannten Änderungen auch ein paar Pakete mehr in Richtung SIP-Registrar zeigen sollte.

Hallo Philipp Rusch.

Wie erkennst man denn daran ein Routing-Problem:

2022:02:12-11:05:00 tabaluga-sophos ulogd[4117]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="ppp0" srcmac="MAC-Fritzbox" dstmac="MAC-UTM-eth0" srcip="192.168.5.254" dstip="217.0.12.1" proto="17" length="56" tos="0x00" prec="0x00" ttl="63" srcport="5060" dstport="3478" 

Da sehe ich erst mal, dass die Fritz gar nicht ins Internet kommt. Die MASQ ist für die WAN-Adresse der Fritz erst mal relevant. Aber davon gehe ich ja aus. Sonst wäre ja gar kein Internetzugang möglich.

Damit die Fritz sich bei der Telekom registriert, ist die interne IP erst mal irrelevant, da das dir Fritz mit der WAN-IP macht, also 192.168.5.254. Oder habe ich was übersehen?

Das wird uns aber Holger bestimmt berichten.

Hallo Thomas,

ich gebe dir recht, ich hatte 192.168.5.1 gelesen. Die Fritzbox müsste also "raus" kommen.

@Holger: können wir mal die Screenshots von den hier verwendeten Netzwerkobjekten sehen (Screenshost der "Edit"-Fenster) ?

"60002" ist ein "default drop", d.h. keine der andere Regeln traf zu. Hast du dir das "Intrusion Prevention log" einmal angesehen?
Hier sollte keine Anti-DOS Aktion zu sehen sein, am besten das IPS einmal ganz ausschalten.

Hallo Philipp,

wir hatten ja gemeinsam in meinem anderen Thread die Fritzbox in das Internet gebracht. Dafür hatte ich ein Masquerading von 192.168.2.0 auf 192.168.5.1 geschaltet, also quasi Fritzbox internes Netz auf eth0.

Die Netzwerkobjekte der Fritzbox, die ich angelegt habe, sehen wie folgt aus:

Die aktuellen Regeln in der Firewall sind die Standard-Regeln, welche während der Installation angelegt wurde:

Die Fritzbox stellt das 192.168.2.0 selbst zur Verfügung und hängt über der Funktion "Internet über externen Router" mit der IP 192.168.5.254 an der UTM mit der eth0-IP 192.168.5.1.

Ich hatte ja schon diverse Regeln versucht (s.o.), ohne Erfolg...

Ergänzung: IPS und ATP sind aus und leider funktioniert bei mir der Live-Log nicht...

Ergänzung: IPS und ATP sind aus und leider funktioniert bei mir der Live-Log nicht...

Was heisst: "Das Live-Log geht nicht."? Vielleicht ist ein Pop-Up Blocker im Browser aktiv?

Das dauert immer eine Weile, bis das Fenster sich mit Daten füllt, Geduld!

Entscheidend ist das Live-Log unter "Network Protection/Firewall" , nicht irgendein "Live-Log" Button auf einem der ander Menüpunkte.

Hm, ein Fenster geht auf, aber vielleicht war ich zu ungeduldig. Werde es morgen direkt einmal testen und berichten. Eventuell schon eine Idee, was ich ausprobieren könnte?

Mein Verständnis war bisher eigentlich, dass die 192.168.5.254 quasi die WAN der Fritzbox wird und die Abfragen über die 5.254 -> eth0 -> eth1 (WAN UTM) rausgeschickt werden. Demnach müsste ich für die 5.254 die SIP-Protokolle freigeben an ANY oder an eth1? Wie sieht es mit den reinkommenden aus? WAN -> 5.254? Die gleichen Ports?