inf1d3l
Goto Top

Netphone - Telefonie unter HO-Usern nicht möglich

Hallo,

vielleicht hatte jemand das gleiche Problem und könnte auf Anhieb helfen (bevor ich weiter suche...):

Unsere HO-User haben VPN-Vollzugriff (IPSec) auf das Firmennetz und alles funktioniert eigentlich bis auf die Telefonie zwischen den HO-Usern selbst.

- das Softphone ist Netphone (lokale Swyx)
- Telefonie HO <-> Firma kein Problem
- Telefonie HO <-> HO = Problem, es kommt eine Verbindung zustande, jedoch ist keine Sprachübertragung möglich (<->)
- Windows-Firewall erkennt das VPN-Netz korrekt als Domänennetz an (Pings zwischen den HO-Laptops ebenfalls möglich, Softphone in den Ausnahmen drin)
- Es funktioniert nur, wenn ich Netphone per Remoteconnector (Tunnel) mit der Swyx verbinde, hier läuft der Traffic dann komplett über die Swyx, was ich aber gerne vermeiden wollte, da man hier für jeden User ein Zertifikat erstellen müsste

Danke!

Content-Key: 753587311

Url: https://administrator.de/contentid/753587311

Ausgedruckt am: 19.03.2024 um 02:03 Uhr

Mitglied: PeterPanter
Lösung PeterPanter 21.06.2021 aktualisiert um 13:54:29 Uhr
Goto Top
Hallo,

Routing? Hatte mal einen ähnlichen Fall mit zentralem NetPhone-Server und Außenbüros. Der Rufaufbau geht über den Netphone-Server (zentral hinter der VPN). Die Sprachpakete zwischen den HO gehen aber direkten Weg (wollen sie zumindest). D.h. es muss Routing zwischend den unterschiedlichen VPN-Tunnel-Enden möglich sein.

/pp
Mitglied: PeterPanter
Lösung PeterPanter 21.06.2021 aktualisiert um 13:59:30 Uhr
Goto Top
Ups, nicht richtig gelesen "Pings zwischen den HO-Laptops ebenfalls möglich"...
Haben die HO u.U. identische lokale Netzbereiche?
Mitglied: grmg2010
Lösung grmg2010 21.06.2021 um 14:12:48 Uhr
Goto Top
Moin,

Zugriff auf die Anlage selbst scheint es ja zu gegen, sonst würde keine Verbindung aufgebaut werden können. Scheinbar wird die Sprache nicht weiter geroutet, nach der Vermittlung des Netphone-Servers ist dieser raus und verbindet beide Teilnehmer direkt. Stimmt das mitgegeben Gateway? Kann Traffic zwischen den Usern ermittelt werden? Hört niemand was oder kann eine Partei hören die ander aber nicht?

Gruss
Mitglied: aqui
Lösung aqui 21.06.2021 aktualisiert um 14:51:11 Uhr
Goto Top
jedoch ist keine Sprachübertragung möglich
Vermutlich ist da, wie leider sehr oft, fehlerhaft NAT im VPN Tunnel konfiguriert worden. Dann schlägt bei der RTP Verbindung die NAT Firewall zu da RTP als Träger der reinen Voicedaten dynamische UDP Ports verwendet die am NAT dann natürlich hängenbleiben.
Das Sprache nicht oder nur einseitig rüberkommt nach Verbindungsaufbau (was das SIP Protokoll macht) ist ein häufiger Konfigfehler beim VPN Setup. Ist aber nur geraten, denn bei den wenigen Informationen zur Infrastruktur bleibt da nur der freie Fall oder die Kristallkugel ! Der richtige Tip vom Kollegen @Dani unten, das klugerweise mal mit dem Wireshark anzugehen wird das sicher bestätigen.
Alternativ STUN aktivieren, das hilft ggf. auch.
Mitglied: Dani
Lösung Dani 21.06.2021 aktualisiert um 14:49:07 Uhr
Goto Top
Moin,
- Telefonie HO <-> HO = Problem, es kommt eine Verbindung zustande, jedoch ist keine Sprachübertragung möglich (<->)
- Windows-Firewall erkennt das VPN-Netz korrekt als Domänennetz an (Pings zwischen den HO-Laptops ebenfalls möglich, Softphone in den Ausnahmen drin)
An dieser Stelle würde ich auf beiden Endpunkten zum Versuch Wireshark mitlaufen lassen. Somit siehst neben den IP-Adressen auch die möglichen Ports. So dass du die Regeln der Windows Defender Firewall gegenprüfen kannst.

Ansonsten könnte NAT noch ein Problem sein. Aber das weißt du besser als wir, ob die Technik zwischen HO <-> HO zum Einsatz kommt.


Gruß,
Dani
Mitglied: Inf1d3l
Inf1d3l 21.06.2021 um 18:06:42 Uhr
Goto Top
Scusi. Die Sprachübertragung funktioniert in beide Richtungen nicht. Ich werde morgen Wireshark anschmeißen.
123
Mitglied: Inf1d3l
Inf1d3l 22.06.2021 um 10:43:56 Uhr
Goto Top
Gut, jetzt müsste man nur noch wissen, wonach man suchen muss.

Wireshark:

Invite (von der Swyx) an Teilnehmer1
Ringing
SIP/SDP Status 200 OK
ARP auf Teilnehmer2
jede Menge RTP-Traffic G.711 zwischen Teilnehmer1 und Teilnehmer2 (und komischerweise ab und zu auch mit der Firewall)
Mitglied: Dani
Lösung Dani 23.06.2021 um 20:06:44 Uhr
Goto Top
Moin,
können die Clients wirklich direkt miteinander kommunzieren oder handelt es sich wie von dir gezeichnet um ein Hub-and-Spoke Design. Sprich aller Traffic zur Firewall und von dort aus weiter? Kommt NAT innerhalb von VPN zum Einsatz?

Gruß,
Dani
Mitglied: Inf1d3l
Inf1d3l 23.06.2021 aktualisiert um 20:54:39 Uhr
Goto Top
Egal, hat sich eh erledigt. Habe gestern mit dem Support gesprochen. Eine R&S kann das nicht (anders als z.B. eine Fortinet). Man müsste hier auf Benutzer-Policies oder sowas gehen. Wer Security made in Germany einsetzt, muss halt leidensfähig sein face-smile

Trotzdem danke!
Mitglied: Dani
Dani 23.06.2021 um 21:16:57 Uhr
Goto Top
Moin,
Eine R&S kann das nicht (anders als z.B. eine Fortinet).
R&S?


Gruß,
Dani
Mitglied: Inf1d3l
Inf1d3l 24.06.2021 aktualisiert um 06:47:42 Uhr
Goto Top
https://www.rohde-schwarz.com/

Das sind die, die Lancom aufgekauft haben und ihre Firewalls jetzt als Lancom UF verkaufen, leider noch mit dem R&S Betriebssystem.

Das verstehen sie unter Policy-Tabellen: https://www.lancom-systems.de/images/products/RS_UF/screenshot-desktop-b ...

face-wink