Netphone - Telefonie unter HO-Usern nicht möglich

Hallo,

vielleicht hatte jemand das gleiche Problem und könnte auf Anhieb helfen (bevor ich weiter suche...):

Unsere HO-User haben VPN-Vollzugriff (IPSec) auf das Firmennetz und alles funktioniert eigentlich bis auf die Telefonie zwischen den HO-Usern selbst.

- das Softphone ist Netphone (lokale Swyx)
- Telefonie HO <-> Firma kein Problem
- Telefonie HO <-> HO = Problem, es kommt eine Verbindung zustande, jedoch ist keine Sprachübertragung möglich (<->)
- Windows-Firewall erkennt das VPN-Netz korrekt als Domänennetz an (Pings zwischen den HO-Laptops ebenfalls möglich, Softphone in den Ausnahmen drin)
- Es funktioniert nur, wenn ich Netphone per Remoteconnector (Tunnel) mit der Swyx verbinde, hier läuft der Traffic dann komplett über die Swyx, was ich aber gerne vermeiden wollte, da man hier für jeden User ein Zertifikat erstellen müsste

Danke!

Content-Key: 753587311

Url: https://administrator.de/contentid/753587311

Ausgedruckt am: 27.07.2021 um 21:07 Uhr

Mitglied: PeterPanter
Lösung PeterPanter 21.06.2021 aktualisiert um 13:54:29 Uhr
Goto Top
Hallo,

Routing? Hatte mal einen ähnlichen Fall mit zentralem NetPhone-Server und Außenbüros. Der Rufaufbau geht über den Netphone-Server (zentral hinter der VPN). Die Sprachpakete zwischen den HO gehen aber direkten Weg (wollen sie zumindest). D.h. es muss Routing zwischend den unterschiedlichen VPN-Tunnel-Enden möglich sein.

/pp
Mitglied: PeterPanter
Lösung PeterPanter 21.06.2021 aktualisiert um 13:59:30 Uhr
Goto Top
Ups, nicht richtig gelesen "Pings zwischen den HO-Laptops ebenfalls möglich"...
Haben die HO u.U. identische lokale Netzbereiche?
Mitglied: grmg2010
Lösung grmg2010 21.06.2021 um 14:12:48 Uhr
Goto Top
Moin,

Zugriff auf die Anlage selbst scheint es ja zu gegen, sonst würde keine Verbindung aufgebaut werden können. Scheinbar wird die Sprache nicht weiter geroutet, nach der Vermittlung des Netphone-Servers ist dieser raus und verbindet beide Teilnehmer direkt. Stimmt das mitgegeben Gateway? Kann Traffic zwischen den Usern ermittelt werden? Hört niemand was oder kann eine Partei hören die ander aber nicht?

Gruss
Mitglied: aqui
Lösung aqui 21.06.2021 aktualisiert um 14:51:11 Uhr
Goto Top
jedoch ist keine Sprachübertragung möglich
Vermutlich ist da, wie leider sehr oft, fehlerhaft NAT im VPN Tunnel konfiguriert worden. Dann schlägt bei der RTP Verbindung die NAT Firewall zu da RTP als Träger der reinen Voicedaten dynamische UDP Ports verwendet die am NAT dann natürlich hängenbleiben.
Das Sprache nicht oder nur einseitig rüberkommt nach Verbindungsaufbau (was das SIP Protokoll macht) ist ein häufiger Konfigfehler beim VPN Setup. Ist aber nur geraten, denn bei den wenigen Informationen zur Infrastruktur bleibt da nur der freie Fall oder die Kristallkugel ! Der richtige Tip vom Kollegen @Dani unten, das klugerweise mal mit dem Wireshark anzugehen wird das sicher bestätigen.
Alternativ STUN aktivieren, das hilft ggf. auch.
Mitglied: Dani
Lösung Dani 21.06.2021 aktualisiert um 14:49:07 Uhr
Goto Top
Moin,
- Telefonie HO <-> HO = Problem, es kommt eine Verbindung zustande, jedoch ist keine Sprachübertragung möglich (<->)
- Windows-Firewall erkennt das VPN-Netz korrekt als Domänennetz an (Pings zwischen den HO-Laptops ebenfalls möglich, Softphone in den Ausnahmen drin)
An dieser Stelle würde ich auf beiden Endpunkten zum Versuch Wireshark mitlaufen lassen. Somit siehst neben den IP-Adressen auch die möglichen Ports. So dass du die Regeln der Windows Defender Firewall gegenprüfen kannst.

Ansonsten könnte NAT noch ein Problem sein. Aber das weißt du besser als wir, ob die Technik zwischen HO <-> HO zum Einsatz kommt.


Gruß,
Dani
Mitglied: Inf1d3l
Inf1d3l 21.06.2021 um 18:06:42 Uhr
Goto Top
Scusi. Die Sprachübertragung funktioniert in beide Richtungen nicht. Ich werde morgen Wireshark anschmeißen.
123
Mitglied: Inf1d3l
Inf1d3l 22.06.2021 um 10:43:56 Uhr
Goto Top
Gut, jetzt müsste man nur noch wissen, wonach man suchen muss.

Wireshark:

Invite (von der Swyx) an Teilnehmer1
Ringing
SIP/SDP Status 200 OK
ARP auf Teilnehmer2
jede Menge RTP-Traffic G.711 zwischen Teilnehmer1 und Teilnehmer2 (und komischerweise ab und zu auch mit der Firewall)
Mitglied: Dani
Lösung Dani 23.06.2021 um 20:06:44 Uhr
Goto Top
Moin,
können die Clients wirklich direkt miteinander kommunzieren oder handelt es sich wie von dir gezeichnet um ein Hub-and-Spoke Design. Sprich aller Traffic zur Firewall und von dort aus weiter? Kommt NAT innerhalb von VPN zum Einsatz?

Gruß,
Dani
Mitglied: Inf1d3l
Inf1d3l 23.06.2021 aktualisiert um 20:54:39 Uhr
Goto Top
Egal, hat sich eh erledigt. Habe gestern mit dem Support gesprochen. Eine R&S kann das nicht (anders als z.B. eine Fortinet). Man müsste hier auf Benutzer-Policies oder sowas gehen. Wer Security made in Germany einsetzt, muss halt leidensfähig sein :-) face-smile

Trotzdem danke!
Mitglied: Dani
Dani 23.06.2021 um 21:16:57 Uhr
Goto Top
Moin,
Eine R&S kann das nicht (anders als z.B. eine Fortinet).
R&S?


Gruß,
Dani
Mitglied: Inf1d3l
Inf1d3l 24.06.2021 aktualisiert um 06:47:42 Uhr
Goto Top
https://www.rohde-schwarz.com/

Das sind die, die Lancom aufgekauft haben und ihre Firewalls jetzt als Lancom UF verkaufen, leider noch mit dem R&S Betriebssystem.

Das verstehen sie unter Policy-Tabellen: https://www.lancom-systems.de/images/products/RS_UF/screenshot-desktop-b ...

;-) face-wink
Heiß diskutierte Beiträge
question
Zentrale Lösung für Antivirus, Patchmanagement, Monitoring in einem?Andre82msVor 1 TagFrageSicherheits-Tools24 Kommentare

Hallo Zusammen, ich suche schon seit längerem eine gute Lösung, welche ein gut funktionierendes Patchmanagement, Anti-Virenscanner mit EDR sowie ein Monitoring in einem Dashboard beinhaltet ...

question
Signatur-Programm gesuchtArchanVor 1 TagFrageOutlook & Mail20 Kommentare

Hi zusammen, vorab als Info: Wir haben eine Mischung aus Office365 und 2016, sowie einen Exchange 2016 Server. Ich bin nun auf der Suche nach ...

question
Mitarbeiter ab gewisser Uhrzeit am arbeiten hindern gelöst passy951Vor 15 StundenFrageWindows Netzwerk19 Kommentare

Guten Morgen zusammen, ich wurde gestern von unseren Betriebsrat gefragt ob es möglich ist ab z.B. 20 Uhr die Mitarbeiter daran zu hindern zu arbeiten. ...

question
Mikrotik vs. Unify - Warum mögt Ihr Unify nicht? gelöst tagol.deVor 1 TagFragePeripheriegeräte10 Kommentare

Hallo immer wieder lese ich, das hier auf Administrator.de Mikrotik bevorzugt wird. Aktuell habe ich zuhause 2 AP von Unify + Controller auf einem Rasberry ...

question
Wie lange kann ein PC in der Domain ohne Kontakt zur Domain betrieben werden?DaxAtDS9Vor 15 StundenFrageNetzwerkmanagement15 Kommentare

Hallo, bis vor einer Woche habe ich einen SBS2011 Server inkl. AD etc. in Betrieb gehabt. Nun habe ich ihn abgeschaltet und nutze einer der ...

question
Domänencontroller von Windows Server 2016 auf Windows Server 2019 migrierenEstefaniaVor 8 StundenFrageWindows Server24 Kommentare

Hi. Kann mir ein Admin bei folgendem Problem weiterhelfen !? Wir haben insgesamt 5 Domänencontroller, die auf einem Windows Server 2016 laufen. Nun ist es ...

question
Home-Office Laptop kann DNS nicht auflösenLubosNovyVor 1 TagFrageWindows Netzwerk15 Kommentare

Hallo zusammen, Situation: Manche Kolleginnen arbeiten im Home-Office und sind über Sophos SSL Client verbunden. Die Notebooks sind von mir vorbereitet, in die Domänen aufgenommen ...

report
Positive Erfahrung mit VodafoneitebobVor 1 TagErfahrungsberichtFlatrates3 Kommentare

Hallo zusammen, vieles, was ich im Beitrag Erfahrungsbericht Vodafone - Die endlose Vertragsänderung und in Kommentaren lese, deckt sich mit meinen persönlichen Erfahrungen mit Vodafone. ...