130854
Goto Top

SOPHOS UTM: VoIP mit Gigaset N510 IP PRO - Firewallregel

Hallo,

ich habe aktuell mein System ein wenig umgestellt und auch die Sophos UTM neu aufgesetzt. Allerdings komme ich nicht ganz mit der Telefonie klar...

Vorher hat der Speedport Hybrid die Internet Verbindung aufgebaut, da DSL zu langsam. Jetzt wurde ausgebaut und ich bekomme in 1 Woche 50.000 geschaltet. Ich habe mir jetzt bereits ein Zyxel VMG1312-B30A besorgt und das als Modem benutzt. Die UTM stellt die Internetverbindung via PPPoE her und das funktioniert wirklich super.

Ich habe folgende Regel konfiguriert:

2

Dann verwirft die UTM den Verkehr trotzdem noch:

1

Das ihr auch seht aus welchen Definitionen die Regel besteht:

4

3

Ich verstehe nicht ganz warum die UTM den Verkehr verwirft, wenn doch dieser Port-Range freigegeben ist.

Setze ich unter "Dienste" "Any" ein, dann funktioniert alles.

Bin für jeden Hinweis dankbar!

Grüße

Content-Key: 325683

Url: https://administrator.de/contentid/325683

Printed on: April 13, 2024 at 12:04 o'clock

Member: Looser27
Looser27 Jan 06, 2017 at 10:04:04 (UTC)
Goto Top
Moin,

du brauchst den Port UDP 5060 für SIP.
Zusätzlich musst du diesen Port von außen auf die Telefon Anlage weiterleiten, damit du angerufen werden kannst.
Ausgehend gibst Du alle UDP Ports frei, da je nach Provider die Ports sehr willkürlich genommen werden.

Gruß Looser

P.S.: Pack die Telefon Anlage in eine DMZ
Mitglied: 130854
130854 Jan 06, 2017 at 10:08:16 (UTC)
Goto Top
Danke für die schnelle Antwort, aber warum verwirft er UDP 49010, obwohl ich diesen Port doch freigegeben habe? Habe es aktuell auf Dienste "Any" und da funktioniert alles wunderbar...

Im N510 IP Pro habe ich eingestellt, dass das keine willkürlichen Ports genommen werden, sondern genau diese, die ich auch freigegeben habe.

Das mit der DMZ werde ich mir überlegen! Danke
Member: Looser27
Looser27 Jan 06, 2017 at 10:12:44 (UTC)
Goto Top
Die verwendeten Ports mußt Du beim Provider erfragen. Verbiegen ist nicht immer hilfreich.

Hier hast Du die Firewall Regeln basierend auf einer pfsense.

Link

Gruß

Looser
Member: Pjordorf
Solution Pjordorf Jan 06, 2017 at 12:11:21 (UTC)
Goto Top
Hallo,

Zitat von @130854:
Dann verwirft die UTM den Verkehr trotzdem noch:
Si.

Ich verstehe nicht ganz warum die UTM den Verkehr verwirft, wenn doch dieser Port-Range freigegeben ist.
Es gibt die Quell IP mit deren Quell Ports und es gibt die Ziel IP mit deren Ziel Ports. Schau dir deine Roten Zeilen mal genau an. Die Ziel Ports (die ja auch wieder variable sind) sind in deinen regeln nicht enthalten. Somit keine Treffer und daher Rot. Oder gibt es eine Regel bei dir welche die QuellIP 192.168.2.100 und deren Quell Port 49010 nach Ziel IP 217.0.0.193 und deren Ziel Port 3478 erlaubt? Eher ein Nein, daher Verworfen, daher ROT.

Setze ich unter "Dienste" "Any" ein, dann funktioniert alles.
Dienst Any bedeutet tatsächlich Any. Anders gesagt jeder Port ist möglich sowohl TCP als UDP und in jeglicher Kombination. Damit schaltest du Sophos eher auf Durchzug, und ausser Stromverbrauch hat die dann keinen wirklichen Sinn mehr.

Gruß,
Peter
Mitglied: 130854
130854 Jan 06, 2017 at 12:22:47 (UTC)
Goto Top
Super, danke für die Antwort!

Ich verstehe was du meinst, wie stelle ich das denn letzendlich ein, wenn die Zielports variabel sind....?
Mitglied: 130854
130854 Jan 07, 2017 at 19:40:37 (UTC)
Goto Top
Hey,

hab es jetzt hnbekommen und den UDP Range geöffnet, den die N510 verwendet. Eingehende Anrufe überhaupt kein Problem. Wenn ich jedoch raus rufen will klappt der anruf auch ohne Probleme, jedoch tutet das Telefon immer 2-6 Mal bevor es tatsächlich raus ruft... Irgendwelche Ideen?

Das einzige was mir noch aufgefallen ist, dass folgendes blockiert wird (meiner Meinung nach immer nur wenn ich raus rufe, wenn ich angerufen werde blockiert die UTM nichts):

20:31:36 Standard-VERWERFEN RTP
217.0.4.196 : 28112

93.202.89.78 : 49006

len=200 ttl=56 tos=0x18
20:31:36 Standard-VERWERFEN RTP
217.0.4.196 : 28112

93.202.89.78 : 49006

len=200 ttl=56 tos=0x18
20:31:36 Standard-VERWERFEN RTP
217.0.4.196 : 28112
Member: Looser27
Looser27 Jan 08, 2017 at 07:57:32 (UTC)
Goto Top
Welche ausgehenden UDP Ports hast Du denn freigegeben? Wenn hier eine Einschränkung besteht, gibt es den Effekt, denn es muss erst ein Port ausgehandelt werden. Deswegen habe ich abgehend alle freigegeben.
Mitglied: 130854
130854 Jan 08, 2017 at 08:46:53 (UTC)
Goto Top
Habe das so gemacht:

img_0053
Member: affabanana
affabanana Jan 08, 2017 at 13:44:42 (UTC)
Goto Top
Ich nehme mal an:

Ist die IP deines Telefon-Anbieters : 217.0.4.196
Ist der RTP Port der das Gigaset benutzt : 28112

Also nochmal am Gigaset die RTP Ports nach Provider Vorgabe vergeben.

Gruass affabanana
Mitglied: 130854
130854 Jan 08, 2017 at 16:51:24 (UTC)
Goto Top
Danke für die Info!

Habe jetzt folgendes gemacht:

In der Gigaset Basis die Ports neu vergeben:
SIP-Port RTP Port Start RTP Port Ende
5160 5104 5120

Außerdem folgende Firewall Regel erstellt:

Quelle: IP PRO N510 Basis
Dienste: UDP Zielport: 1:65535, Quellport: 5160 & 5104:5120
Ziele: Internet

Funktioniert jetzt wunderbar! Allerdings verwirft die Firewall immer noch folgendes:

1

Merke zwar zumindest im Moment noch keine Auswirkung. Wäre es sinnvoll dafür auch noch eine Regel zu erstellen? Wie mache ich das denn?

Vielen vielen Dank für die bisher sehr hilfreichen Kommentare
Member: Pjordorf
Pjordorf Jan 08, 2017 at 17:23:32 (UTC)
Goto Top
Hallo,

Zitat von @130854:
Allerdings verwirft die Firewall immer noch folgendes:
Fragen:
Dein Internes LAN ist ein 192.168.2.0/24?
Dein Gateway dort ist deine Sophos UTM mit IPxxx.xxx.xxx.xxx?
Deine Siemes GiGaSet Basis hat die IP 217.0.4.96?
Wer ist dan 93.202.89.78?
Wer routet dein Privates und Öffentliches LAN?
Warum soll deine Sophos zwei Öffentliche IPs Routen? Auf welche Port bzw. Interface bzw. LAN Abschluß soll dies geschehen?
Was sagt ein IPConfig deiner Siemes Basis?
Firmware ist aktuell? Seite 120 im Handbuch.
Stromversorgung per POE oder Steckernetzteil?
Konfiguration Automatisch mit Täglicher Verbindung zum Gigaset Support Server oder doch Manuell nur in dein LAN?
VOIP Account(s) per Code oder Asisstent oder Manuel eingerichtet?

Wie mache ich das denn?
Sind denn beide genannten Netze bei dir Zuhause?

Gruß,
Peter
Mitglied: 130854
130854 Jan 08, 2017 at 17:43:21 (UTC)
Goto Top
Zitat von @Pjordorf:

Hallo,

Zitat von @130854:
Allerdings verwirft die Firewall immer noch folgendes:
Fragen:
Dein Internes LAN ist ein 192.168.2.0/24?
Genau so ist es.

Dein Gateway dort ist deine Sophos UTM mit IPxxx.xxx.xxx.xxx?
192.168.2.1

Deine Siemes GiGaSet Basis hat die IP 217.0.4.96?
Nein, 192.168.2.100

Wer ist dan 93.202.89.78?
Das wenn ich wüsste....

Wer routet dein Privates und Öffentliches LAN?
Die Sophos UTM baut die Internetverbindung via PPPoE auf und übernimmt auch DNS, DHCP, etc.

Warum soll deine Sophos zwei Öffentliche IPs Routen? Auf welche Port bzw. Interface bzw. LAN Abschluß soll dies geschehen?
Soll die UTM das?

Was sagt ein IPConfig deiner Siemes Basis?
Wo mache ich das? IP ist 192.168.2.100 und DNS Gateway zeigen auf Sophos UTM

Firmware ist aktuell? Seite 120 im Handbuch.
Ja ist aktuell

Stromversorgung per POE oder Steckernetzteil?
Stromversorgung via Netzteil

Konfiguration Automatisch mit Täglicher Verbindung zum Gigaset Support Server oder doch Manuell nur in dein LAN?
Das verstehe ich nicht...

VOIP Account(s) per Code oder Asisstent oder Manuel eingerichtet?
Manuell eingerichtet
Member: Pjordorf
Pjordorf Jan 08, 2017 at 18:26:20 (UTC)
Goto Top
Hallo,

Zitat von @130854:
Wer ist dan 93.202.89.78?
Das wenn ich wüsste....
Also wenn von dein Netzwerk aus niemand oder irgendein Gerät dort hin will, ist doch gut. Man muss nicht alle IPs dieser Welt kennen. Aber dein Bild zeigt ja das eben von 217.0.4.96 jemand nach 93.202.89.78 will und irgendwie ist deine Sophos daran beteiligt.
217.0.4.96 Deutsche telekom. Deine zugeteilte Dymamische IP deines ISP?
93.202.89.78 Ebenfalls Deutsche Telekom.

Soll die UTM das?
Nein, natürlich nicht. Aber überleg dir was in den Logs aller Router los wäre wenn jeder Private Router auch noch as Internet Routen sollte. Allein diese Anfrage zeigt das entweder dein ISP eine massiver Fehlkonfiguration hat oder eben deine Sophos UTM. Siehe oben wo deine Sophos 2 Telekom IPs verbinden sollen tut und dein Log sagt "Ist nicht".

Konfiguration Automatisch mit Täglicher Verbindung zum Gigaset Support Server oder doch Manuell nur in dein LAN?
Das verstehe ich nicht...
Also hat das weder mit einen noch der andere Telekom IP etwas zu tun?

Manuell eingerichtet
Und als Ziel einer der beiden Telekom IPs?
https://www.robtex.com/advisory/ip/93/202/89/78/
https://www.robtex.com/ip-lookup/217.0.4.96

Beides sind Dynamische IPs der Telekom als ISP, http://postmaster.t-online.de/#t7.2
Warum will deine Sophos diese beiden IPs verbinden?

Gruß,
Peter
Mitglied: 130854
130854 Jan 08, 2017 at 18:30:13 (UTC)
Goto Top
Zitat von @Pjordorf:

Hallo,

Zitat von @130854:
Wer ist dan 93.202.89.78?
Das wenn ich wüsste....
Also wenn von dein Netzwerk aus niemand oder irgendein Gerät dort hin will, ist doch gut. Man muss nicht alle IPs dieser Welt kennen. Aber dein Bild zeigt ja das eben von 217.0.4.96 jemand nach 93.202.89.78 will und irgendwie ist deine Sophos daran beteiligt.
217.0.4.96 Deutsche telekom. Deine zugeteilte Dymamische IP deines ISP?
93.202.89.78 Ebenfalls Deutsche Telekom.

Soll die UTM das?
Nein, natürlich nicht. Aber überleg dir was in den Logs aller Router los wäre wenn jeder Private Router auch noch as Internet Routen sollte. Allein diese Anfrage zeigt das entweder dein ISP eine massiver Fehlkonfiguration hat oder eben deine Sophos UTM. Siehe oben wo deine Sophos 2 Telekom IPs verbinden sollen tut und dein Log sagt "Ist nicht".

Konfiguration Automatisch mit Täglicher Verbindung zum Gigaset Support Server oder doch Manuell nur in dein LAN?
Das verstehe ich nicht...
Also hat das weder mit einen noch der andere Telekom IP etwas zu tun?

Manuell eingerichtet
Und als Ziel einer der beiden Telekom IPs?
https://www.robtex.com/advisory/ip/93/202/89/78/
https://www.robtex.com/ip-lookup/217.0.4.96

Beides sind Dynamische IPs der Telekom als ISP, http://postmaster.t-online.de/#t7.2
Warum will deine Sophos diese beiden IPs verbinden?

Gruß,
Peter


Okay danke für die ausführliche Antwort.

Was sollte ich jetzt deiner Meinung nach tun? Da steig ich nämlich absolut aus, weil ich nicht weiß woran das liegen könnte...
Mitglied: 130854
130854 Jan 09, 2017 at 10:18:10 (UTC)
Goto Top
Leider muss ich mich doch nochmal melden...

Das mehrfach schnelle tuten, sobald man vom Festnetz jemanden anrufen will ist doch wieder da...

Ich habe doch jetzt für die Gigaset Basis alle UDP Ports geöffnet... Woran kann das denn noch liegen?