130854
06.01.2017
7596
15
0
SOPHOS UTM: VoIP mit Gigaset N510 IP PRO - Firewallregel
Hallo,
ich habe aktuell mein System ein wenig umgestellt und auch die Sophos UTM neu aufgesetzt. Allerdings komme ich nicht ganz mit der Telefonie klar...
Vorher hat der Speedport Hybrid die Internet Verbindung aufgebaut, da DSL zu langsam. Jetzt wurde ausgebaut und ich bekomme in 1 Woche 50.000 geschaltet. Ich habe mir jetzt bereits ein Zyxel VMG1312-B30A besorgt und das als Modem benutzt. Die UTM stellt die Internetverbindung via PPPoE her und das funktioniert wirklich super.
Ich habe folgende Regel konfiguriert:
Dann verwirft die UTM den Verkehr trotzdem noch:
Das ihr auch seht aus welchen Definitionen die Regel besteht:
Ich verstehe nicht ganz warum die UTM den Verkehr verwirft, wenn doch dieser Port-Range freigegeben ist.
Setze ich unter "Dienste" "Any" ein, dann funktioniert alles.
Bin für jeden Hinweis dankbar!
Grüße
ich habe aktuell mein System ein wenig umgestellt und auch die Sophos UTM neu aufgesetzt. Allerdings komme ich nicht ganz mit der Telefonie klar...
Vorher hat der Speedport Hybrid die Internet Verbindung aufgebaut, da DSL zu langsam. Jetzt wurde ausgebaut und ich bekomme in 1 Woche 50.000 geschaltet. Ich habe mir jetzt bereits ein Zyxel VMG1312-B30A besorgt und das als Modem benutzt. Die UTM stellt die Internetverbindung via PPPoE her und das funktioniert wirklich super.
Ich habe folgende Regel konfiguriert:
Dann verwirft die UTM den Verkehr trotzdem noch:
Das ihr auch seht aus welchen Definitionen die Regel besteht:
Ich verstehe nicht ganz warum die UTM den Verkehr verwirft, wenn doch dieser Port-Range freigegeben ist.
Setze ich unter "Dienste" "Any" ein, dann funktioniert alles.
Bin für jeden Hinweis dankbar!
Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 325683
Url: https://administrator.de/contentid/325683
Ausgedruckt am: 22.11.2024 um 02:11 Uhr
15 Kommentare
Neuester Kommentar
Moin,
du brauchst den Port UDP 5060 für SIP.
Zusätzlich musst du diesen Port von außen auf die Telefon Anlage weiterleiten, damit du angerufen werden kannst.
Ausgehend gibst Du alle UDP Ports frei, da je nach Provider die Ports sehr willkürlich genommen werden.
Gruß Looser
P.S.: Pack die Telefon Anlage in eine DMZ
du brauchst den Port UDP 5060 für SIP.
Zusätzlich musst du diesen Port von außen auf die Telefon Anlage weiterleiten, damit du angerufen werden kannst.
Ausgehend gibst Du alle UDP Ports frei, da je nach Provider die Ports sehr willkürlich genommen werden.
Gruß Looser
P.S.: Pack die Telefon Anlage in eine DMZ
Danke für die schnelle Antwort, aber warum verwirft er UDP 49010, obwohl ich diesen Port doch freigegeben habe? Habe es aktuell auf Dienste "Any" und da funktioniert alles wunderbar...
Im N510 IP Pro habe ich eingestellt, dass das keine willkürlichen Ports genommen werden, sondern genau diese, die ich auch freigegeben habe.
Das mit der DMZ werde ich mir überlegen! Danke
Im N510 IP Pro habe ich eingestellt, dass das keine willkürlichen Ports genommen werden, sondern genau diese, die ich auch freigegeben habe.
Das mit der DMZ werde ich mir überlegen! Danke
Die verwendeten Ports mußt Du beim Provider erfragen. Verbiegen ist nicht immer hilfreich.
Hier hast Du die Firewall Regeln basierend auf einer pfsense.
Link
Gruß
Looser
Hier hast Du die Firewall Regeln basierend auf einer pfsense.
Link
Gruß
Looser
Hallo,
Gruß,
Peter
Zitat von @130854:
Dann verwirft die UTM den Verkehr trotzdem noch:
Si.Dann verwirft die UTM den Verkehr trotzdem noch:
Ich verstehe nicht ganz warum die UTM den Verkehr verwirft, wenn doch dieser Port-Range freigegeben ist.
Es gibt die Quell IP mit deren Quell Ports und es gibt die Ziel IP mit deren Ziel Ports. Schau dir deine Roten Zeilen mal genau an. Die Ziel Ports (die ja auch wieder variable sind) sind in deinen regeln nicht enthalten. Somit keine Treffer und daher Rot. Oder gibt es eine Regel bei dir welche die QuellIP 192.168.2.100 und deren Quell Port 49010 nach Ziel IP 217.0.0.193 und deren Ziel Port 3478 erlaubt? Eher ein Nein, daher Verworfen, daher ROT.Setze ich unter "Dienste" "Any" ein, dann funktioniert alles.
Dienst Any bedeutet tatsächlich Any. Anders gesagt jeder Port ist möglich sowohl TCP als UDP und in jeglicher Kombination. Damit schaltest du Sophos eher auf Durchzug, und ausser Stromverbrauch hat die dann keinen wirklichen Sinn mehr.Gruß,
Peter
Super, danke für die Antwort!
Ich verstehe was du meinst, wie stelle ich das denn letzendlich ein, wenn die Zielports variabel sind....?
Ich verstehe was du meinst, wie stelle ich das denn letzendlich ein, wenn die Zielports variabel sind....?
Hey,
hab es jetzt hnbekommen und den UDP Range geöffnet, den die N510 verwendet. Eingehende Anrufe überhaupt kein Problem. Wenn ich jedoch raus rufen will klappt der anruf auch ohne Probleme, jedoch tutet das Telefon immer 2-6 Mal bevor es tatsächlich raus ruft... Irgendwelche Ideen?
Das einzige was mir noch aufgefallen ist, dass folgendes blockiert wird (meiner Meinung nach immer nur wenn ich raus rufe, wenn ich angerufen werde blockiert die UTM nichts):
20:31:36 Standard-VERWERFEN RTP
217.0.4.196 : 28112
→
93.202.89.78 : 49006
len=200 ttl=56 tos=0x18
20:31:36 Standard-VERWERFEN RTP
217.0.4.196 : 28112
→
93.202.89.78 : 49006
len=200 ttl=56 tos=0x18
20:31:36 Standard-VERWERFEN RTP
217.0.4.196 : 28112
→
hab es jetzt hnbekommen und den UDP Range geöffnet, den die N510 verwendet. Eingehende Anrufe überhaupt kein Problem. Wenn ich jedoch raus rufen will klappt der anruf auch ohne Probleme, jedoch tutet das Telefon immer 2-6 Mal bevor es tatsächlich raus ruft... Irgendwelche Ideen?
Das einzige was mir noch aufgefallen ist, dass folgendes blockiert wird (meiner Meinung nach immer nur wenn ich raus rufe, wenn ich angerufen werde blockiert die UTM nichts):
20:31:36 Standard-VERWERFEN RTP
217.0.4.196 : 28112
→
93.202.89.78 : 49006
len=200 ttl=56 tos=0x18
20:31:36 Standard-VERWERFEN RTP
217.0.4.196 : 28112
→
93.202.89.78 : 49006
len=200 ttl=56 tos=0x18
20:31:36 Standard-VERWERFEN RTP
217.0.4.196 : 28112
→
Welche ausgehenden UDP Ports hast Du denn freigegeben? Wenn hier eine Einschränkung besteht, gibt es den Effekt, denn es muss erst ein Port ausgehandelt werden. Deswegen habe ich abgehend alle freigegeben.
Habe das so gemacht:
Ich nehme mal an:
Ist die IP deines Telefon-Anbieters : 217.0.4.196
Ist der RTP Port der das Gigaset benutzt : 28112
Also nochmal am Gigaset die RTP Ports nach Provider Vorgabe vergeben.
Gruass affabanana
Ist die IP deines Telefon-Anbieters : 217.0.4.196
Ist der RTP Port der das Gigaset benutzt : 28112
Also nochmal am Gigaset die RTP Ports nach Provider Vorgabe vergeben.
Gruass affabanana
Danke für die Info!
Habe jetzt folgendes gemacht:
In der Gigaset Basis die Ports neu vergeben:
SIP-Port RTP Port Start RTP Port Ende
5160 5104 5120
Außerdem folgende Firewall Regel erstellt:
Quelle: IP PRO N510 Basis
Dienste: UDP Zielport: 1:65535, Quellport: 5160 & 5104:5120
Ziele: Internet
Funktioniert jetzt wunderbar! Allerdings verwirft die Firewall immer noch folgendes:
Merke zwar zumindest im Moment noch keine Auswirkung. Wäre es sinnvoll dafür auch noch eine Regel zu erstellen? Wie mache ich das denn?
Vielen vielen Dank für die bisher sehr hilfreichen Kommentare
Habe jetzt folgendes gemacht:
In der Gigaset Basis die Ports neu vergeben:
SIP-Port RTP Port Start RTP Port Ende
5160 5104 5120
Außerdem folgende Firewall Regel erstellt:
Quelle: IP PRO N510 Basis
Dienste: UDP Zielport: 1:65535, Quellport: 5160 & 5104:5120
Ziele: Internet
Funktioniert jetzt wunderbar! Allerdings verwirft die Firewall immer noch folgendes:
Merke zwar zumindest im Moment noch keine Auswirkung. Wäre es sinnvoll dafür auch noch eine Regel zu erstellen? Wie mache ich das denn?
Vielen vielen Dank für die bisher sehr hilfreichen Kommentare
Hallo,
Dein Internes LAN ist ein 192.168.2.0/24?
Dein Gateway dort ist deine Sophos UTM mit IPxxx.xxx.xxx.xxx?
Deine Siemes GiGaSet Basis hat die IP 217.0.4.96?
Wer ist dan 93.202.89.78?
Wer routet dein Privates und Öffentliches LAN?
Warum soll deine Sophos zwei Öffentliche IPs Routen? Auf welche Port bzw. Interface bzw. LAN Abschluß soll dies geschehen?
Was sagt ein IPConfig deiner Siemes Basis?
Firmware ist aktuell? Seite 120 im Handbuch.
Stromversorgung per POE oder Steckernetzteil?
Konfiguration Automatisch mit Täglicher Verbindung zum Gigaset Support Server oder doch Manuell nur in dein LAN?
VOIP Account(s) per Code oder Asisstent oder Manuel eingerichtet?
Gruß,
Peter
Zitat von @130854:
Allerdings verwirft die Firewall immer noch folgendes:
Fragen:Allerdings verwirft die Firewall immer noch folgendes:
Dein Internes LAN ist ein 192.168.2.0/24?
Dein Gateway dort ist deine Sophos UTM mit IPxxx.xxx.xxx.xxx?
Deine Siemes GiGaSet Basis hat die IP 217.0.4.96?
Wer ist dan 93.202.89.78?
Wer routet dein Privates und Öffentliches LAN?
Warum soll deine Sophos zwei Öffentliche IPs Routen? Auf welche Port bzw. Interface bzw. LAN Abschluß soll dies geschehen?
Was sagt ein IPConfig deiner Siemes Basis?
Firmware ist aktuell? Seite 120 im Handbuch.
Stromversorgung per POE oder Steckernetzteil?
Konfiguration Automatisch mit Täglicher Verbindung zum Gigaset Support Server oder doch Manuell nur in dein LAN?
VOIP Account(s) per Code oder Asisstent oder Manuel eingerichtet?
Wie mache ich das denn?
Sind denn beide genannten Netze bei dir Zuhause?Gruß,
Peter
Zitat von @Pjordorf:
Hallo,
Dein Internes LAN ist ein 192.168.2.0/24?
Genau so ist es.Hallo,
Zitat von @130854:
Allerdings verwirft die Firewall immer noch folgendes:
Fragen:Allerdings verwirft die Firewall immer noch folgendes:
Dein Internes LAN ist ein 192.168.2.0/24?
Dein Gateway dort ist deine Sophos UTM mit IPxxx.xxx.xxx.xxx?
192.168.2.1Deine Siemes GiGaSet Basis hat die IP 217.0.4.96?
Nein, 192.168.2.100Wer ist dan 93.202.89.78?
Das wenn ich wüsste....Wer routet dein Privates und Öffentliches LAN?
Die Sophos UTM baut die Internetverbindung via PPPoE auf und übernimmt auch DNS, DHCP, etc.Warum soll deine Sophos zwei Öffentliche IPs Routen? Auf welche Port bzw. Interface bzw. LAN Abschluß soll dies geschehen?
Soll die UTM das?Was sagt ein IPConfig deiner Siemes Basis?
Wo mache ich das? IP ist 192.168.2.100 und DNS Gateway zeigen auf Sophos UTMFirmware ist aktuell? Seite 120 im Handbuch.
Ja ist aktuellStromversorgung per POE oder Steckernetzteil?
Stromversorgung via NetzteilKonfiguration Automatisch mit Täglicher Verbindung zum Gigaset Support Server oder doch Manuell nur in dein LAN?
Das verstehe ich nicht...VOIP Account(s) per Code oder Asisstent oder Manuel eingerichtet?
Manuell eingerichtet
Hallo,
217.0.4.96 Deutsche telekom. Deine zugeteilte Dymamische IP deines ISP?
93.202.89.78 Ebenfalls Deutsche Telekom.
Also hat das weder mit einen noch der andere Telekom IP etwas zu tun?
https://www.robtex.com/advisory/ip/93/202/89/78/
https://www.robtex.com/ip-lookup/217.0.4.96
Beides sind Dynamische IPs der Telekom als ISP, http://postmaster.t-online.de/#t7.2
Warum will deine Sophos diese beiden IPs verbinden?
Gruß,
Peter
Zitat von @130854:
Also wenn von dein Netzwerk aus niemand oder irgendein Gerät dort hin will, ist doch gut. Man muss nicht alle IPs dieser Welt kennen. Aber dein Bild zeigt ja das eben von 217.0.4.96 jemand nach 93.202.89.78 will und irgendwie ist deine Sophos daran beteiligt.Wer ist dan 93.202.89.78?
Das wenn ich wüsste....217.0.4.96 Deutsche telekom. Deine zugeteilte Dymamische IP deines ISP?
93.202.89.78 Ebenfalls Deutsche Telekom.
Soll die UTM das?
Nein, natürlich nicht. Aber überleg dir was in den Logs aller Router los wäre wenn jeder Private Router auch noch as Internet Routen sollte. Allein diese Anfrage zeigt das entweder dein ISP eine massiver Fehlkonfiguration hat oder eben deine Sophos UTM. Siehe oben wo deine Sophos 2 Telekom IPs verbinden sollen tut und dein Log sagt "Ist nicht".Konfiguration Automatisch mit Täglicher Verbindung zum Gigaset Support Server oder doch Manuell nur in dein LAN?
Das verstehe ich nicht...Manuell eingerichtet
Und als Ziel einer der beiden Telekom IPs?https://www.robtex.com/advisory/ip/93/202/89/78/
https://www.robtex.com/ip-lookup/217.0.4.96
Beides sind Dynamische IPs der Telekom als ISP, http://postmaster.t-online.de/#t7.2
Warum will deine Sophos diese beiden IPs verbinden?
Gruß,
Peter
Zitat von @Pjordorf:
Hallo,
217.0.4.96 Deutsche telekom. Deine zugeteilte Dymamische IP deines ISP?
93.202.89.78 Ebenfalls Deutsche Telekom.
Also hat das weder mit einen noch der andere Telekom IP etwas zu tun?
https://www.robtex.com/advisory/ip/93/202/89/78/
https://www.robtex.com/ip-lookup/217.0.4.96
Beides sind Dynamische IPs der Telekom als ISP, http://postmaster.t-online.de/#t7.2
Warum will deine Sophos diese beiden IPs verbinden?
Gruß,
Peter
Hallo,
Zitat von @130854:
Also wenn von dein Netzwerk aus niemand oder irgendein Gerät dort hin will, ist doch gut. Man muss nicht alle IPs dieser Welt kennen. Aber dein Bild zeigt ja das eben von 217.0.4.96 jemand nach 93.202.89.78 will und irgendwie ist deine Sophos daran beteiligt.Wer ist dan 93.202.89.78?
Das wenn ich wüsste....217.0.4.96 Deutsche telekom. Deine zugeteilte Dymamische IP deines ISP?
93.202.89.78 Ebenfalls Deutsche Telekom.
Soll die UTM das?
Nein, natürlich nicht. Aber überleg dir was in den Logs aller Router los wäre wenn jeder Private Router auch noch as Internet Routen sollte. Allein diese Anfrage zeigt das entweder dein ISP eine massiver Fehlkonfiguration hat oder eben deine Sophos UTM. Siehe oben wo deine Sophos 2 Telekom IPs verbinden sollen tut und dein Log sagt "Ist nicht".Konfiguration Automatisch mit Täglicher Verbindung zum Gigaset Support Server oder doch Manuell nur in dein LAN?
Das verstehe ich nicht...Manuell eingerichtet
Und als Ziel einer der beiden Telekom IPs?https://www.robtex.com/advisory/ip/93/202/89/78/
https://www.robtex.com/ip-lookup/217.0.4.96
Beides sind Dynamische IPs der Telekom als ISP, http://postmaster.t-online.de/#t7.2
Warum will deine Sophos diese beiden IPs verbinden?
Gruß,
Peter
Okay danke für die ausführliche Antwort.
Was sollte ich jetzt deiner Meinung nach tun? Da steig ich nämlich absolut aus, weil ich nicht weiß woran das liegen könnte...
Leider muss ich mich doch nochmal melden...
Das mehrfach schnelle tuten, sobald man vom Festnetz jemanden anrufen will ist doch wieder da...
Ich habe doch jetzt für die Gigaset Basis alle UDP Ports geöffnet... Woran kann das denn noch liegen?
Das mehrfach schnelle tuten, sobald man vom Festnetz jemanden anrufen will ist doch wieder da...
Ich habe doch jetzt für die Gigaset Basis alle UDP Ports geöffnet... Woran kann das denn noch liegen?
