Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 9503 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Wilde Konstellation, kein VOIP Ton/Audio, Starface hiner Astaro (beides Hardware)

Huwiseg
Ich versuche gerade jemandem zu helfen der folgende Konstellation einsetzt.

Internet:
1x KabeLBW
1x Telekom DSL

Beides geht in eine Astaro Firewall (Hardwareeinheit, ASG320r5). An dieser Astaro hängt unter anderem eine Starface Telefonanlage (ebenfalls Hardwareeinheit, keine VM).

Nutzt jemand intern die Starface kann problemlos telefoniert werden, in alle Richtung.

Versucht nun jemand sich von aussen auf der Astaro anzumelden, zum Beispiel mit einem heimischen FritzBox oder Eumex Router und einem DECT Telefon daran, klappt auch die Anmeldung an der Starface problemlos. Man sieht in der Astaro Firewall die SIP Aushandlung über Port 5060, alles wunderbar.

Man kann nun ausgehende anrufe tätigen und erhält Anrufe. Nimmt man ab, steht auch eine Verbindung. Hier sieht man in der Astaro dann bei der Firewall je 2 Verbindungen auf 2 Ports innerhalb der Range 7070:7099 für das Ziel und 10000:20000 Quelle. Also auch soweit perfekt.

Problem: Man hört nichts. Die Verbindung steht einwandfrei. Egal ob ausgehender oder eingehender Anrufe, es kommen keine Sprachpakete durch.

Seitens der Astaro sind alle nötigen Ports freigeschaltet. Mittlerweile sogar soweit das VOIP Protokolle, also SIP, SIPSSL, RTP, RTPS, H323, XMPP1, XMPP2 von any nach any auf accept stehen.

Zusätzlich gibt es eine DNAT Regel welche "Any IPv4" mit VOIP Protokollen (siehe oben) und Ziel Telekom an das Starface Interface umleitet. Auch wenn diese Regel deaktiviert ist, hat dies keine Auswirkungen auf das Phänomen externer eingewählter Telefone. Verbindung steht, kein Audio.

Während dem sprechen, also während die Verbindung steht, tauchen in der Firewall keine weiteren Verbindungen auf, weder accept noch drop. In der Firewall Log werden alle oben genannte Protokolle aufgelistet. Die SIP Aushandlung (5060) und der Verbindungsaufbau (10000:20000 auf 7070:7099) tauchen in der Log z.B. auf.

Ich weiss nicht woran es noch haken kann :/ Ich hab gegoogelt wie verrückt, hab weitere SNAT/DNAT Regeln getestet und so weiter und so fort... ich bin am Ende.


This thread was automatically locked due to age.
  • 0
    Hi, check mal die SIP Provider IPs:

    Provider to UTM (wechseln diese? --> (round robbing)) dann muss man je nach Firewall konfig. dies in einer Domain Gruppe hinterlegen oder auf any incoming hinterlegen.

    Den VoIP Protection Mode aktiviert und auf strict geschaltet?
  • 0
    Hi der VOIP Protection Mode ist aus da damit bisher problemlos gearbeitet werden konnte. Nur externe Mitarbeiter hatten halt kein Audio. Die externen Mitarbeiter geben als SIP Registrar/Proxy ja die Starface zum Verbinden an, das läuft über den statischen Telekom Anschluss. Ich denke du meinst den eigentlichen VOIP Anbieter hinter der Starface?

    VOIP Protocols sind ja bereits in der Astaro auf any/any acceppt eingestellt in der Firewall, das sollte doch ausreichen.
  • 0
    Ja genau, wenn du aber auf any setzt sollte es schon gehen. Ich habe zu Sicherheit nur die Hosts vom Anbieter zugelassen. Kann man machen wenns mol läuft. :-)

    Hast du die Möglichkeit die Kiste ohne FW ans netz zu schliessen für einen ganz kurzen Test?
  • 0
    Leider gibt es nur dieses eine produktive System wo ich höchstens ausserhalb der Geschäftszeiten umstöpseln könnte. Das war auch schon ein Gedanke, die Starface vor die Astaro zu hängen. Ich fürchte fast das es ein NAT Problem seitens der Astaro ist, wobei dann aber zumindest die eingehenden Sprachpakete ankommen müssten, da für die VOIP Protkolle eine DNAT Regel besteht (was VOIP ist und per Telekom rein kommt wird direkt an die Starface geleitet). Ausgehendes NAT Problem wäre nachvollziehbar.

    Da in der Astaro die einzelnen Sprachpakete in der Firewall nicht auftauchen, werde ich mal bei der Starface schauen das dich den Debug Modus anbekomme und schaue was dort in den Paketen steht was Quelle, Ziel, Ports angeht.

    Was mich aber weiterhin stark verwundert ist, das in der Astaro im Firewalllog lediglich die SIP Aushandlung Port 5060 bei Anmeldung, sowie die Verbindungsaushandlung bei Verbindungsaufbau eines Gesprächs (Ports 10k-20k auf 7070-7099) auftaucht, aber ich keinerlei Sprachpakete sehe, weder deny noch accept.
  • 0 in reply to Huwiseg
    Was mich aber weiterhin stark verwundert ist, das in der Astaro im Firewalllog lediglich die SIP Aushandlung Port 5060 bei Anmeldung, sowie die Verbindungsaushandlung bei Verbindungsaufbau eines Gesprächs (Ports 10k-20k auf 7070-7099) auftaucht, aber ich keinerlei Sprachpakete sehe, weder deny noch accept.


    Hast Du unter "Network Protection / VoIP" den "SIP Protocol Support" eingeschaltet? Wenn ja, dann schalte den mal aus. Deswegen bekommst Du AFAIK im Firewall Log nix angezeigt, weil die Pakete schon vor der Firewall von dem VoIP Service bearbeitet werden und damit an der Firewall vorbei geschleust werden.

    Ich habe den Protocol Support bei mir komplett deaktivieren müssen, weil ich bei mir auch Audio-Probleme in einer Richtung hatte, die ich sich anders nicht lösen ließen. Du musst dann nur alle Regeln usw. manuell anlegen.

    Gruß,
    Dino
  • 0 in reply to ipzipzap
    Mit der SIP Unterstützung unter Network Protection => VOIP habe ich zwar Tests gefahren, allerdings klappt es weder mit noch ohne. Auch an der Firewall Ausgabe hat beides leider nichts geändert.

    Das die VOIP Protection nicht sonderlich gut ist habe ich schon mehrfach gelesen und daher damit auch nur einen Test gefahren.
  • 0
    Nachtrag, während eines aufgebauten Gesprächs durch einen externen Agenten auf der Astaro zeigen sich in einem TCPDump folgende UDP Pakete.

    Source: 192.168... (interner Port des Telekom DSL)
    Destination: 84... externe DSL IP des Agenten
    Protocol: UDP
    Source Port: 12262
    Destination Port: 7082



    Mir dämmert folgendes. Durch die DNAT Regel das ANY VoIP Protocols welche an der Telekom (interne Adresse) als Ziel ankommen an die Starface geleitet werden passiert folgendes. 

    Die Pakete die von der Starface kommen gehen ja den Weg Starface -> Telekom intern -> Telekom extern -> Internet. Kann es sein das die Pakete an dem Punkt Telekom intern durch die DNAT Regel wieder zurück an die Starface gehen und es deswegen "knallt"? Allerdings müssten dann doch zumindest eingehende Sprachpakete von extern ankommen oder?
Cookie Information Banner