VoIP-Einrichtung Telekom

Hallo Holger,

du hast ein Routing-Problem. Woher soll die UTM wissen, dass hinter dem Gateway "Fritzbox 192.168.5.254" ein weiteres Netzwerk "192.168.2.0/24" liegt?

Das muss in die statische Routing-Tabelle eingetragen werden. Und das PAT ist dann überflüssig. Allerdings muss ein DNAT auf die SIP-Ports der FB gelegt werden.

Die UTM sollte dann als Einzige ein MASQ Richtung Internet machen.

Die Firewall-Regeln üssen die Freischaltung für den Traffic enthalten, der ziwschen den Netzen für VOIP entsteht. Am einfachsten beobachtet man dazu das Live-Log, dass dir nach den oben genannten Änderungen auch ein paar Pakete mehr in Richtung SIP-Registrar zeigen sollte.

Hallo Philipp Rusch.

Wie erkennst man denn daran ein Routing-Problem:

2022:02:12-11:05:00 tabaluga-sophos ulogd[4117]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="ppp0" srcmac="MAC-Fritzbox" dstmac="MAC-UTM-eth0" srcip="192.168.5.254" dstip="217.0.12.1" proto="17" length="56" tos="0x00" prec="0x00" ttl="63" srcport="5060" dstport="3478" 

Da sehe ich erst mal, dass die Fritz gar nicht ins Internet kommt. Die MASQ ist für die WAN-Adresse der Fritz erst mal relevant. Aber davon gehe ich ja aus. Sonst wäre ja gar kein Internetzugang möglich.

Damit die Fritz sich bei der Telekom registriert, ist die interne IP erst mal irrelevant, da das dir Fritz mit der WAN-IP macht, also 192.168.5.254. Oder habe ich was übersehen?

Das wird uns aber Holger bestimmt berichten.

Hallo Philipp,

wir hatten ja gemeinsam in meinem anderen Thread die Fritzbox in das Internet gebracht. Dafür hatte ich ein Masquerading von 192.168.2.0 auf 192.168.5.1 geschaltet, also quasi Fritzbox internes Netz auf eth0.

Die Netzwerkobjekte der Fritzbox, die ich angelegt habe, sehen wie folgt aus:

Die aktuellen Regeln in der Firewall sind die Standard-Regeln, welche während der Installation angelegt wurde:

Die Fritzbox stellt das 192.168.2.0 selbst zur Verfügung und hängt über der Funktion "Internet über externen Router" mit der IP 192.168.5.254 an der UTM mit der eth0-IP 192.168.5.1.

Ich hatte ja schon diverse Regeln versucht (s.o.), ohne Erfolg...

Ergänzung: IPS und ATP sind aus und leider funktioniert bei mir der Live-Log nicht...

Was heisst: "Das Live-Log geht nicht."? Vielleicht ist ein Pop-Up Blocker im Browser aktiv?

Das dauert immer eine Weile, bis das Fenster sich mit Daten füllt, Geduld!

Entscheidend ist das Live-Log unter "Network Protection/Firewall" , nicht irgendein "Live-Log" Button auf einem der ander Menüpunkte.

Hm, ein Fenster geht auf, aber vielleicht war ich zu ungeduldig. Werde es morgen direkt einmal testen und berichten. Eventuell schon eine Idee, was ich ausprobieren könnte?

Mein Verständnis war bisher eigentlich, dass die 192.168.5.254 quasi die WAN der Fritzbox wird und die Abfragen über die 5.254 -> eth0 -> eth1 (WAN UTM) rausgeschickt werden. Demnach müsste ich für die 5.254 die SIP-Protokolle freigeben an ANY oder an eth1? Wie sieht es mit den reinkommenden aus? WAN -> 5.254? Die gleichen Ports?

Hallo.

Ich gehe mal davon aus, dass die Firzbox nur mit dem externen Port an der Sophos hängt.

Vermutlich sind an der Fritzbox nur DECT-Telefone oder diese an S0 oder Fon-Ports. Oder sind hinter der Fritz im 192.168.2.x-Netz auch noch SIP-Telefone?

Um die Fritz-Registrierung der SIP-Telefonie zu ermöglichen wäre es sinnvoll eine Firewall-Regel anzulegen, die 192.168.5.254 (Fritz-IP-Extern> -> ANY TCP/UDP -> InternetIPv4 zulässt. Damit kann man erst mal sehen, ob die SIP-Registrierung der Fritz-Box funktioniert. Auch Telefonie sollte dann eigentlich möglich sein.

Wichtig:
Damit können alle Geräte hinter der Fritz vollständig ins Internet. Für den Test wäre das aber sinnvoll.

Grüße,

Thomas

Moin Thomas,

ja, ich habe nur DECT-Telefone hinter der Fritzbox.

@Philipp: Ich habe mir nun auch den Live-Log unter "Network Protection/Firewall" zugeschaltet und war geduldiger  Nun kam auch eine Menge roter Drops.

Nach Aktivierung der von Thomas vorgeschlagenen Regel hat die Anzahl der Drops massiv nachgelassen. Es sind zwar immer noch ein paar da, aber deutlich weniger, als zuvor. Während es vorher primär ausgehende waren, sind es nun zunehmend eingehende (auch ein SSH connection attempt )

Eine Registrierung der Telefone ist noch nicht erfolgt.

UPDATE: Ich habe gerade einmal eine Regel erstellt, die da heißt: tel.t-online.de -> VoIP-Protokolle -> 192.168.5.254. Daraufhin bekomme ich nun neue DROPs für ICMP: 192.168.5.254 -> 204.79.197.200. Habe mal gegoogelt. Scheint eine Adresse von Microsoft zu sein?

UPDATE2:

Ich habe die Regeln wieder etwas verschärft:

und genau nun bekomme ich wieder die bekannten DROPs:

Eventuell kann hier der HOST tel.t-online.de nicht aufgelöst werden? Werde es einmal direkt mit den IPs probieren.

Hi Tabluga73.

Bitte mach doch einfach mal die Regel, die ich vorgeschlagen habe. Lass die Fritzbox nach extern komplett nach draußen. Sonst wird es nichts mit der SIP-Registrierung der Telefone.

Wieso geht denn der interne Port 5060 auf den externen Port 3478 ???

Da ist doch eine Port-Translation aktiv.

Noch eine Anmerkung: Ich würde die UTM das MASQuerading Richtung Internet machen lassen und auf allen dahinterliegenden Geräten  MASQ ausschalten. Also sollte die Fritzbox das Netzwerk 192.168.2.0 /24 nicht hinter der 192.168.5.254 verstecken.

3478 ist der STUN-Port für die SIP-Telefonie.

3478 ist der STUN-Port für die SIP-Telefonie.

Ja, das weiss ich, aber der Zugriff, den er aus dem Protokoll gezeigt hat, ist 5060 auf 3478, seit wann läuft das so?

Dsas eine ist SIP auf Port 5060, das andere ist STUN auf 3478, das sind doch zwei Paar Schuhe, oder?

Hm, weiß jetzt leider nicht mehr, was das ausgelöst hat, aber eine Portweiterleitung war nie aktiv.

Ich habe nun wieder die Regel

aktiv und dann wird das natürlich nicht mehr geblockt. Es sind nun primär externe DROPs da, welche sich an diverse Ports der eth1 richten. Ich hätte nun zumindest gedacht, dass von den Telekom-Servern ein "Feedback" kommt, also den 217.0.x.x Aber nix, oder mache ich einen Denkfehler?

Geht nun die Telefonie?

Es wäre übrigens ratsam nicht "Any IPv4" sondern "Internet IPv4" zu verwenden, sonst kann die Fritz und das dahinter liegende Netz alle internen Netze erreichen.

Das mit dem DNS-Objekt "tel.t-online.de" wird nicht funktionieren, da die Telekom auf SRV-Records umgestellt hat um die SIP-Telefonie zu realisieren und die Sophos diese nicht auswertet.

Also, sobald ich obige Regel abschalte, kommen wieder die Drops in Log. Regelmäßig wird hier von 5.254:5060 die 217.0.11.241:2478 angepingt.

Ich habe gerade die MASQ abgeschaltet, ohne Auswirkung.

Soooooo, bin dem jetzt ein ganzes Stück näher gekommen:

Ich habe nun die Regel wie folgt etabliert:

Und letztlich habe ich die MASQ angepasst:

So funktioniert es nun! Frage: Ist diese Masquierung kritisch?

Was heisst "kritisch"?

Wie Thomas schon erwähnt hat, können alle Geräte hinter der Fritzbox damit ins Internet, ohne einen Proxy auf der UTM zu nutzen.

Das muss man dann aber mit einer Firewallregel einschränken, das hat nichts mit dem MASQ/ NAT zu tun..

Ok, die Geräte hinter der FB dürfen in das Internet. Da ich hier noch ein Newbee bin, vielleicht diese dumme Frage. Bisher sind die Geräte an der FB ja auch ins Internet gegangen. Ich möchte hier jedoch mit der UTM einen zusätzlichen Sicherheitsfaktor einbauen, so dass die Geräte aus dem Internet nicht direkt angeschossen werden, sondern erst einmal in der UTM landen und dort über die ein oder anderen IPS-Regel laufen.

Hallo Holger,

wir sind alle hier, um zu lernen. Den zusätzlichen Schutz für deine Clients erhälst du auf der UTM mit dem "Webfilter", das IPS schützt

im Wesentlichen die UTM selbst und evtl. dahinter laufende Server (-dienste).

Die "Webfilter" gemannt Komponente der UTM ist ein klassicher Web-Proxy mit ein "paar" Erweiterungen.

Also normalerweise macht man für das Netz, das aus Sicht der UTM intern ist ein Masquerading ins Internet. Also bei Dir 192.168.5.0/24->WAN

Nur so können interne Geräte im WAN überhaupt arbeiten. Wenn man den Wizard beim UTM-Setup durchläuft wird diese Regel automatisch angepasst.

Eine Variante das ganze einzuschränken mit Regeln wäre die Fritz-Box im Routing-Modus zu betreiben (suche mal bei AVM nach "FRITZ!Box als kaskadierten Router einrichten". Dann sollte auf der Sophos auch wieder das interne Fritz-Netz zu sehen sein und Du in der Lage für die Geräte auf der Sophos gesonderte Regeln zu erstellen. Die SIP-Verbindung seitens der Fritz-Box bleibt an der externen IP der Fritz.

Hallo Thomas,

ThomW said:

FRITZ!Box als kaskadierten Router einrichten

das ist exakt so, wie ich meine Fritzbox eingerichtet habe.

Vielen Dank Dir Thomas und Dir Philipp für die Unterstützung

Mal gucken, was als nächstes als Herausforderung wartet...