11
Netphone - Telefonie unter HO-Usern nicht möglich
Hallo,
vielleicht hatte jemand das gleiche Problem und könnte auf Anhieb helfen (bevor ich weiter suche...):
Unsere HO-User haben VPN-Vollzugriff (IPSec) auf das Firmennetz und alles funktioniert eigentlich bis auf die Telefonie zwischen den HO-Usern selbst.
- das Softphone ist Netphone (lokale Swyx)
- Telefonie HO <-> Firma kein Problem
- Telefonie HO <-> HO = Problem, es kommt eine Verbindung zustande, jedoch ist keine Sprachübertragung möglich (<->)
- Windows-Firewall erkennt das VPN-Netz korrekt als Domänennetz an (Pings zwischen den HO-Laptops ebenfalls möglich, Softphone in den Ausnahmen drin)
- Es funktioniert nur, wenn ich Netphone per Remoteconnector (Tunnel) mit der Swyx verbinde, hier läuft der Traffic dann komplett über die Swyx, was ich aber gerne vermeiden wollte, da man hier für jeden User ein Zertifikat erstellen müsste
Danke!
vielleicht hatte jemand das gleiche Problem und könnte auf Anhieb helfen (bevor ich weiter suche...):
Unsere HO-User haben VPN-Vollzugriff (IPSec) auf das Firmennetz und alles funktioniert eigentlich bis auf die Telefonie zwischen den HO-Usern selbst.
- das Softphone ist Netphone (lokale Swyx)
- Telefonie HO <-> Firma kein Problem
- Telefonie HO <-> HO = Problem, es kommt eine Verbindung zustande, jedoch ist keine Sprachübertragung möglich (<->)
- Windows-Firewall erkennt das VPN-Netz korrekt als Domänennetz an (Pings zwischen den HO-Laptops ebenfalls möglich, Softphone in den Ausnahmen drin)
- Es funktioniert nur, wenn ich Netphone per Remoteconnector (Tunnel) mit der Swyx verbinde, hier läuft der Traffic dann komplett über die Swyx, was ich aber gerne vermeiden wollte, da man hier für jeden User ein Zertifikat erstellen müsste
Danke!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 753587311
Url: https://administrator.de/contentid/753587311
Printed on: May 7, 2024 at 18:05 o'clock
11 Comments
Latest comment
Hallo,
Routing? Hatte mal einen ähnlichen Fall mit zentralem NetPhone-Server und Außenbüros. Der Rufaufbau geht über den Netphone-Server (zentral hinter der VPN). Die Sprachpakete zwischen den HO gehen aber direkten Weg (wollen sie zumindest). D.h. es muss Routing zwischend den unterschiedlichen VPN-Tunnel-Enden möglich sein.
/pp
Routing? Hatte mal einen ähnlichen Fall mit zentralem NetPhone-Server und Außenbüros. Der Rufaufbau geht über den Netphone-Server (zentral hinter der VPN). Die Sprachpakete zwischen den HO gehen aber direkten Weg (wollen sie zumindest). D.h. es muss Routing zwischend den unterschiedlichen VPN-Tunnel-Enden möglich sein.
/pp
Ups, nicht richtig gelesen "Pings zwischen den HO-Laptops ebenfalls möglich"...
Haben die HO u.U. identische lokale Netzbereiche?
Haben die HO u.U. identische lokale Netzbereiche?
Moin,
Zugriff auf die Anlage selbst scheint es ja zu gegen, sonst würde keine Verbindung aufgebaut werden können. Scheinbar wird die Sprache nicht weiter geroutet, nach der Vermittlung des Netphone-Servers ist dieser raus und verbindet beide Teilnehmer direkt. Stimmt das mitgegeben Gateway? Kann Traffic zwischen den Usern ermittelt werden? Hört niemand was oder kann eine Partei hören die ander aber nicht?
Gruss
Zugriff auf die Anlage selbst scheint es ja zu gegen, sonst würde keine Verbindung aufgebaut werden können. Scheinbar wird die Sprache nicht weiter geroutet, nach der Vermittlung des Netphone-Servers ist dieser raus und verbindet beide Teilnehmer direkt. Stimmt das mitgegeben Gateway? Kann Traffic zwischen den Usern ermittelt werden? Hört niemand was oder kann eine Partei hören die ander aber nicht?
Gruss
jedoch ist keine Sprachübertragung möglich
Vermutlich ist da, wie leider sehr oft, fehlerhaft NAT im VPN Tunnel konfiguriert worden. Dann schlägt bei der RTP Verbindung die NAT Firewall zu da RTP als Träger der reinen Voicedaten dynamische UDP Ports verwendet die am NAT dann natürlich hängenbleiben.Das Sprache nicht oder nur einseitig rüberkommt nach Verbindungsaufbau (was das SIP Protokoll macht) ist ein häufiger Konfigfehler beim VPN Setup. Ist aber nur geraten, denn bei den wenigen Informationen zur Infrastruktur bleibt da nur der freie Fall oder die Kristallkugel ! Der richtige Tip vom Kollegen @Dani unten, das klugerweise mal mit dem Wireshark anzugehen wird das sicher bestätigen.
Alternativ STUN aktivieren, das hilft ggf. auch.
Moin,
Ansonsten könnte NAT noch ein Problem sein. Aber das weißt du besser als wir, ob die Technik zwischen HO <-> HO zum Einsatz kommt.
Gruß,
Dani
- Telefonie HO <-> HO = Problem, es kommt eine Verbindung zustande, jedoch ist keine Sprachübertragung möglich (<->)
- Windows-Firewall erkennt das VPN-Netz korrekt als Domänennetz an (Pings zwischen den HO-Laptops ebenfalls möglich, Softphone in den Ausnahmen drin)
An dieser Stelle würde ich auf beiden Endpunkten zum Versuch Wireshark mitlaufen lassen. Somit siehst neben den IP-Adressen auch die möglichen Ports. So dass du die Regeln der Windows Defender Firewall gegenprüfen kannst.- Windows-Firewall erkennt das VPN-Netz korrekt als Domänennetz an (Pings zwischen den HO-Laptops ebenfalls möglich, Softphone in den Ausnahmen drin)
Ansonsten könnte NAT noch ein Problem sein. Aber das weißt du besser als wir, ob die Technik zwischen HO <-> HO zum Einsatz kommt.
Gruß,
Dani
Scusi. Die Sprachübertragung funktioniert in beide Richtungen nicht. Ich werde morgen Wireshark anschmeißen.
Gut, jetzt müsste man nur noch wissen, wonach man suchen muss.
Wireshark:
Invite (von der Swyx) an Teilnehmer1
Ringing
SIP/SDP Status 200 OK
ARP auf Teilnehmer2
jede Menge RTP-Traffic G.711 zwischen Teilnehmer1 und Teilnehmer2 (und komischerweise ab und zu auch mit der Firewall)
Wireshark:
Invite (von der Swyx) an Teilnehmer1
Ringing
SIP/SDP Status 200 OK
ARP auf Teilnehmer2
jede Menge RTP-Traffic G.711 zwischen Teilnehmer1 und Teilnehmer2 (und komischerweise ab und zu auch mit der Firewall)
Moin,
können die Clients wirklich direkt miteinander kommunzieren oder handelt es sich wie von dir gezeichnet um ein Hub-and-Spoke Design. Sprich aller Traffic zur Firewall und von dort aus weiter? Kommt NAT innerhalb von VPN zum Einsatz?
Gruß,
Dani
können die Clients wirklich direkt miteinander kommunzieren oder handelt es sich wie von dir gezeichnet um ein Hub-and-Spoke Design. Sprich aller Traffic zur Firewall und von dort aus weiter? Kommt NAT innerhalb von VPN zum Einsatz?
Gruß,
Dani
Egal, hat sich eh erledigt. Habe gestern mit dem Support gesprochen. Eine R&S kann das nicht (anders als z.B. eine Fortinet). Man müsste hier auf Benutzer-Policies oder sowas gehen. Wer Security made in Germany einsetzt, muss halt leidensfähig sein 
Trotzdem danke!
Trotzdem danke!
Moin,
Gruß,
Dani
Eine R&S kann das nicht (anders als z.B. eine Fortinet).
R&S?Gruß,
Dani
https://www.rohde-schwarz.com/
Das sind die, die Lancom aufgekauft haben und ihre Firewalls jetzt als Lancom UF verkaufen, leider noch mit dem R&S Betriebssystem.
Das verstehen sie unter Policy-Tabellen: https://www.lancom-systems.de/images/products/RS_UF/screenshot-desktop-b ...
Das sind die, die Lancom aufgekauft haben und ihre Firewalls jetzt als Lancom UF verkaufen, leider noch mit dem R&S Betriebssystem.
Das verstehen sie unter Policy-Tabellen: https://www.lancom-systems.de/images/products/RS_UF/screenshot-desktop-b ...
