Guest User!

You are not Sophos Staff.

Thread Info
  • State Verified Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 14 replies
  • Subscribers 3 subscribers
  • Views 2290 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Fehler im FW-Log Packet Droped

Manfred Werner

Hallo Forum

im Log der Firewall finde ich folgende Fehlereinträge.

Ich gehe mal davon aus, dass ich eine Fehler gemacht oder etwas übersehen habe.

Die IP 10.168.178.10 ist die erste IP der Wan-Schnittstelle

Hier noch die Maskierungen

Die Schnittstellen

und die Regeln

Hat jemand eine Idee?

Manni



This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to Vivek Jagad

    Halol Vivek Jagad

    Danke für das Feedback,

    Ich versuche mal deinen Fragen zu beantworten.

    Hier erst mal ein Bild des Aufbaus:

    Am ETH 0 schließe ich nur ein Gerät an falls ich die UTM nicht mehr erreichen kann.

    Am ETH1 (IP 10.168.178.10 Name External (WAN)) hängt meine Fritzbox (10.168.178.1) welche die Einwahl beim ISP macht und das WLan berreit stellt.

    Auf der Fritzbox ist die 10.168.178.10 als expostet Host eingestellt

    Der Netzbereich 10.168.178.0/24  ist privat also nicht öffentlich

    Auf dem ETH1 ist eine zusätzliche Adresse eingerichtet. 10.10.10.1 (Name Fritz!Box WLan)  auf dieser läuft der DHCP welcher die IP's an die Clients welche sich über das WLan der Fritzbos anmelden verteilt.

    Für mich ist jetzt quasi der 10.10.10.1 (Fritz!Box WLan) das Private Subnetzt.

    Daher habe ich die Masḱierung wie oben gezeigt eingerichtet.

    Wanum die Regel für die Voip Dienste auf Any zeigt? Ich dachte das wäre so richtg

    Nein eine DNat Regel habe ich für die Voip Dienste noch nicht erstellt

    Wie müsst diese ausssehen wenn der VoipServer die filgenden IP's hat?

    185.40.118.10, 91.198.60.180, 78.142.142.139

  • 0 in reply to Manfred Werner

    Basierend auf der aktuellen Topologie haben wir also keinen lokalen VoIP-Server, richtig? Und der einzige Datenverkehr, den wir behandeln werden, ist einfach LAN zu WAN, richtig?

    Die Kommunikation wird zwischen den internen Client-IPs zu den genannten VoIP-Servern wie folgt hergestellt: 185.40.118.10, 91.198.60.180, 78.142.142.139

    rechts ?

    Thanks & Regards,
    _______________________________________________________________

    Vivek Jagad | Team Lead, Global Support & Services 


    Sophos Community | Product Documentation | Sophos Techvids | SMS
    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Vivek Jagad

    richtig, wir haben keinen lokalen Vopi server nur eine Voip client Software.
    richtig Der Datenverkehr ist Lan zu Wan

    Was meinst du mit dem letzen Satz ?  mit rechts?

  • 0 in reply to Manfred Werner

    Was ich im letzten Satz meinte, ist, dass die VoIP-Kommunikation zwischen der VoIP-Client-Software zu den folgenden IP-Adressen hergestellt wird - 185.40.118.10, 91.198.60.180, 78.142.142.139
    Hab ich recht ?

    Thanks & Regards,
    _______________________________________________________________

    Vivek Jagad | Team Lead, Global Support & Services 


    Sophos Community | Product Documentation | Sophos Techvids | SMS
    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Manfred Werner

    Und der Kommunikationsport für das VoIP ist UDP 5060 für die Zieldienste richtig?
    Haben Sie einen tcpdump auf Ziel-IPs/Port durchgeführt, um zu sehen, ob ein Handshake zwischen dem Softwareclient und dem Server hergestellt wird oder nicht.

    Es gibt auch einen Befehl, mit dem wir das UDP-Timeout für die VoIP-Dienste erhöhen können. Standardmäßig ist das UDP-Timeout auf 30 eingestellt. Wir können versuchen, es auf 300 als Standardanforderung für die VoIP-Dienste zu erhöhen.

    Thanks & Regards,
    _______________________________________________________________

    Vivek Jagad | Team Lead, Global Support & Services 


    Sophos Community | Product Documentation | Sophos Techvids | SMS
    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Vivek Jagad

    Ich habe noch keinen tcpdump durchgeführt.
    Die Voip telefonie funktuiniert auch, Ich kann ganz Ohne Probleme Telefonieren

    Mir sind nur die Einträge im FW-Log aufgefallen:

    Hier nochmal ein aktueller Auszug

    Das ist doch nicht alles Voip oder ?

  • 0 in reply to Manfred Werner

    Das ist richtig, das ist kein VoIP-Verkehr.

    Thanks & Regards,
    _______________________________________________________________

    Vivek Jagad | Team Lead, Global Support & Services 


    Sophos Community | Product Documentation | Sophos Techvids | SMS
    If a post solves your question please use the 'Verify Answer' button.

  • 0 in reply to Vivek Jagad

    Hast du eine Idee was die Fehler verursachen könnte.

    ein grundlegender Fehler von mir ist das sicher möglich

    Es ist meine erste Firewall config

    Thanks

    Manfred

  • 0 in reply to Manfred Werner

    Stellen Sie sicher, dass die Firewall-Regel mit der richtigen Quelle und den richtigen VoIP-Diensten oben ist, und behalten Sie das Ziel bei.

    Führen Sie im Backend/Shell-Zugriff den folgenden Befehl aus:

    cc get packetfilter timeouts ip_conntrack_udp_timeout

    Es gibt Ihnen eine Ausgabe für das aktuelle UDP-Timeout-Set.

    Um das aktuelle UDP-Timeout zu erhöhen, führen Sie den folgenden Befehl aus:

    cc set packetfilter timeouts ip_conntrack_udp_timeout 300 


    Thanks & Regards,
    _______________________________________________________________

    Vivek Jagad | Team Lead, Global Support & Services 


    Sophos Community | Product Documentation | Sophos Techvids | SMS
    If a post solves your question please use the 'Verify Answer' button.

Unfiltered HTML