14
SPA112 hinter Sophos UTM kein VOIP
Hallo liebe Comunity,
ich steh vor ein Problem und weiß ehrlich gesagt nicht mehr was ich probieren könnte. Mein Problem: Wir mußten umstellen auf VOIP (Telekom hat allein den alten Anschluß gekündigt), es wurde ein Speedlink 5501 installiert, mit dem funktionierte Internet sowie VOIP. Es sind 2 analoge Modems in Betrieb wo ein Energieversorger die Daten ausliest. Nun wollten wir natürlich wieder eine Firewall haben, somit flog der Speedlink 5501 raus und wurde durch eine UMT SG210 ersetzt, Internet funktioniert wunderbar. Als VOIP Adapter habe ich mir den SPA112 von Cisco gekauft, wo ich nun krampfhaft versuche eine Verbindung herzustellen. Als Testzwecke habe ich eht5 in der UTM genommen, wo einzig und allein der SPA112 angeschlossen ist. Zum testen habe ich bei eth5 eine Firewallregel mit Any/Any/Any angelegt, sowie ein NAT vom WAN zum eth5 was alles mit SIP zu tun hat. Anhand der Logs (siehe Screenshot) ist erstmal nix erkennbares was geblockt wird. Somit denke ich, dass es nicht an der Firewall liegen könnte. Die Einstellungen für den SPA112 habe ich von SPAKONFIG genommen, einige Einstellungen habe ich nach erfolglosen versuchen schon probiert DNS=Yes, verschiedene Logins (Zugangsdaten DSL sowie E-Mail Login Web), leider ohne Erfolg. Anbei alle Screenshots von Cfg´s (rot markiert Einstellungen sind von Spakonfig), Logs sowie Infrastruktur. Ich hoffe das jemand eine Idee bzw. eine Lösung hat. Vielen Dank im Voraus
ich steh vor ein Problem und weiß ehrlich gesagt nicht mehr was ich probieren könnte. Mein Problem: Wir mußten umstellen auf VOIP (Telekom hat allein den alten Anschluß gekündigt), es wurde ein Speedlink 5501 installiert, mit dem funktionierte Internet sowie VOIP. Es sind 2 analoge Modems in Betrieb wo ein Energieversorger die Daten ausliest. Nun wollten wir natürlich wieder eine Firewall haben, somit flog der Speedlink 5501 raus und wurde durch eine UMT SG210 ersetzt, Internet funktioniert wunderbar. Als VOIP Adapter habe ich mir den SPA112 von Cisco gekauft, wo ich nun krampfhaft versuche eine Verbindung herzustellen. Als Testzwecke habe ich eht5 in der UTM genommen, wo einzig und allein der SPA112 angeschlossen ist. Zum testen habe ich bei eth5 eine Firewallregel mit Any/Any/Any angelegt, sowie ein NAT vom WAN zum eth5 was alles mit SIP zu tun hat. Anhand der Logs (siehe Screenshot) ist erstmal nix erkennbares was geblockt wird. Somit denke ich, dass es nicht an der Firewall liegen könnte. Die Einstellungen für den SPA112 habe ich von SPAKONFIG genommen, einige Einstellungen habe ich nach erfolglosen versuchen schon probiert DNS=Yes, verschiedene Logins (Zugangsdaten DSL sowie E-Mail Login Web), leider ohne Erfolg. Anbei alle Screenshots von Cfg´s (rot markiert Einstellungen sind von Spakonfig), Logs sowie Infrastruktur. Ich hoffe das jemand eine Idee bzw. eine Lösung hat. Vielen Dank im Voraus
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 306559
Url: https://administrator.de/contentid/306559
Ausgedruckt am: 22.11.2024 um 12:11 Uhr
14 Kommentare
Neuester Kommentar
N'Abend
Eine Lösung habe ich derzeit nicht für dich, aber vielleicht helfen dir die Einträge hier:
Sophos KB
Sophos Forum
wortkarge UTM Settings
"Telekom vs. UTM und Fritzbox"
Ich überlege derweil noch, ob Tlekom die VOIP-Geschichten, ähnlich wie bei dem T-Entain-kram über zusätzliche VLANS abfrühstücken könnte...
Gruß
em-pie
Eine Lösung habe ich derzeit nicht für dich, aber vielleicht helfen dir die Einträge hier:
Sophos KB
Sophos Forum
wortkarge UTM Settings
"Telekom vs. UTM und Fritzbox"
Ich überlege derweil noch, ob Tlekom die VOIP-Geschichten, ähnlich wie bei dem T-Entain-kram über zusätzliche VLANS abfrühstücken könnte...
Gruß
em-pie
Hi,
hast du auf der utm die Zusatzfunktionen wie Web Protection, Advanced Thread Protection, usw für die Schnittstelle auch Abgeschalten? Die können auch gerne mal reingrätschen und Ärger verursachen.
Ansonsten würde ich mal testweise den Cisco direkt ans Internet hängen ohne die Sophos und prüfen ob die konfig dort geht. Dann weißt du wenigstens wo du suchen musst.
Beste Grüße
hast du auf der utm die Zusatzfunktionen wie Web Protection, Advanced Thread Protection, usw für die Schnittstelle auch Abgeschalten? Die können auch gerne mal reingrätschen und Ärger verursachen.
Ansonsten würde ich mal testweise den Cisco direkt ans Internet hängen ohne die Sophos und prüfen ob die konfig dort geht. Dann weißt du wenigstens wo du suchen musst.
Beste Grüße
Beim SPA kann man eigentlich nicht viel falsch machen. Für SIPgate reichen folgende Settings die auch für andere SIP Accounts gelten sollten:
Als weitere Settings sollte man noch folgendes anpassen:
Der Eintrag lautet dann "425@-19;10(*/0/ 1+2)“.
Analog geht das bei den anderen Signaltönen.
Der Parameter hinter dem @ gibt den Pegel der jeweiligen Frequenz in dBm an.
Mehr ist am SPA generell erstmal nicht zu machen.
Als Quercheck kannst du einen Laptop mit identischer IP des SPAs anschliessen (SPA dann abstöpseln) und dort ein Softphone wie Phoner http://www.phoner.de installieren und mit deinen SIP Accounts zu versehen.
Damit dann parallel versuchen einen SIP Call zu initiieren. Hier hast du die Option auch parallel ohne Mehraufwand einen Wireshark Sniffer laufen zu lassen um mal genau zu sehen woran es scheitert.
Sehr gut möglich ist das doch etwas vom SIP in der FW hängen bleibt, denn SIP nutzt dynamische Ports beim verbindungsaufbau was für eine Firewall schon eine Herausforderung ist.
Doofe billige Firewall erfordern da oft etwas zusätzliche Handarbeit bei der Konfiguration.
Modernere, bessere haben ein SIP Application Gateway aktiv in der Regel was das Port Handling dann dynamisch regelt wie z.B. Die SPI Firewall auf einem Cisco 880er Router.
- User ID = SIP ID = bei SIPgate die Kundennummer
- SIP Passwort = Password
- SIP Proxy = sipgate.de
Als weitere Settings sollte man noch folgendes anpassen:
- CLIP = Bell- core/bell202 erkennt das Telefon das nicht dann ETSI DTMF oder ETSI FSK/v.23.
- US Dial-, Busy- und Ring-Back-Töne abschalten bzw. auf europäische umschalten unter Voice Regional = Der vorgegebene Wählton wird mit "350@-19,440@-19;10(*/0/1+2)" aus zwei Frequenzen zusammengesetzt (350 und 440 Hertz).
Der Eintrag lautet dann "425@-19;10(*/0/ 1+2)“.
Analog geht das bei den anderen Signaltönen.
Der Parameter hinter dem @ gibt den Pegel der jeweiligen Frequenz in dBm an.
- Voice/Regional“ unter „Ring and Call Waiting Tone Spec“ die Klingelfrequenz (Ring Frequency) von 20 auf 50 (Hertz) hochsetzen für dem Support älterer Telefone.
Mehr ist am SPA generell erstmal nicht zu machen.
Als Quercheck kannst du einen Laptop mit identischer IP des SPAs anschliessen (SPA dann abstöpseln) und dort ein Softphone wie Phoner http://www.phoner.de installieren und mit deinen SIP Accounts zu versehen.
Damit dann parallel versuchen einen SIP Call zu initiieren. Hier hast du die Option auch parallel ohne Mehraufwand einen Wireshark Sniffer laufen zu lassen um mal genau zu sehen woran es scheitert.
Sehr gut möglich ist das doch etwas vom SIP in der FW hängen bleibt, denn SIP nutzt dynamische Ports beim verbindungsaufbau was für eine Firewall schon eine Herausforderung ist.
Doofe billige Firewall erfordern da oft etwas zusätzliche Handarbeit bei der Konfiguration.
Modernere, bessere haben ein SIP Application Gateway aktiv in der Regel was das Port Handling dann dynamisch regelt wie z.B. Die SPI Firewall auf einem Cisco 880er Router.
Noch ein Erfahrungswert am Rande: Bei den DNS-Servern solltest Du die von Deinem Provider nehmen (ja, auch für VOIP). Das Problem war bei mir, dass die Telekom nach einer Weile (nämlich immer zu den Stoßzeiten) die Erreichbarkeit des Google-DNS herabgesetzt hat, d.h. das nur etwa jeder 3. Ping durchkam. Nachdem ich aber die DNS-Server der Telekom eingetragen hatte, war alles schick.
Gruß
Looser
Gruß
Looser
Moin, also komischerweise ging es heut morgen bei Line 2.
Somit habe ich die gleiche Einstellung auch für Line 1 vorgenommen
Anbei die Cfg für das richtige Login für andere User mit dem selben Problem
Somit habe ich die gleiche Einstellung auch für Line 1 vorgenommen
Anbei die Cfg für das richtige Login für andere User mit dem selben Problem
die Erreichbarkeit des Google-DNS herabgesetzt hat,
Das wäre nun auch der allerletzte DNS Server den man verwenden sollte. Nur Schafe oder DAUs lassen sich freiwillig ausschnüffeln über ihre Internet Gewohnheiten... Oder warum sollte wohl Google solche Server kostenlos betreiben ??Man beazahlt immer mit seinen persönlichen Daten und seiner Privatsphäre ! Weiss aber heutzutage nun auch jeder Erstklässler.
Mal ganz davon abgesehen das es auch aus technischer bzw. IP Sicht höchst kontraproduktiv ist.
In so fern ist der Rat den lokalen DNS des ISP zu verwenden (den man so oder so immer automatisch per PPPoE oder DHCP bekommt) zu verwenden absolut richtig !
und du glaubst Telekom etc loggen nix mit? Ich hab da gearbeitet und rate mal wo die soviele Informationen wie E-Mail´s (die sich nie irgendwo bei der Telekom registriert haben) usw. her haben? :D Ich zieh mir auch die Hosen mit der Kneifzange an? Glaubst du das auch? :D sry aber das ist naives denken, jeder schnüffelt und macht damit Geld, nicht nur Google mein Freund
Das glaube ich natürlich nicht aber die Telekom ist an europäische Datenschutzgesetze gebunden was ein US Unternehmen de facto nicht ist...im Gegenteil sogar sind diese verpflichtet diese Daten zur Verfügung zu stellen.
Ein kleiner aber doch sehr feiner Unterschied beim Schnüffeln.
Wir sollten aber mal wieder sachlich werden und zum eigentlichen Thema zurückfinden !!
Ein kleiner aber doch sehr feiner Unterschied beim Schnüffeln.
Wir sollten aber mal wieder sachlich werden und zum eigentlichen Thema zurückfinden !!
Theoretisch das stimmt, gibt leider zu viele graue Zonen die Firmen ausnutzen um Geld zu machen.
Noch mal zum Thema, NAT etc. brauch man alles nicht machen, das einzige was ich in der UTM gemacht habe ist VOIP SIP-Client sowie Servernetzwerke konfiguriert.
Noch mal zum Thema, NAT etc. brauch man alles nicht machen, das einzige was ich in der UTM gemacht habe ist VOIP SIP-Client sowie Servernetzwerke konfiguriert.
NAT etc. brauch man alles nicht machen,
So so....was macht dich da so sicher ?? Und was ist denn mit RTP das die eigentliche Sprache transportiert ?
In der Sophos gibt es die Option VOIP, die regelt die dynamischen Ports etc. und es ist wie gehabt ein Modem wo nur ein paar Daten geholt werden.
Tests waren alle i.O. somit bin ich mir sicher, Thema ist jetzt auch durch, läuft alles, alles i.O.
Tests waren alle i.O. somit bin ich mir sicher, Thema ist jetzt auch durch, läuft alles, alles i.O.
und es ist wie gehabt ein Modem wo nur ein paar Daten geholt werden.
Was ist das Modem und wer holt hier Daten...?? Hier sprichst du in großen Rätseln...sorry.Thema ist jetzt auch durch, läuft alles, alles i.O.
Na denn... Case closed und Wochenende.Bleibt nur noch: Wie kann ich einen Beitrag als gelöst markieren?
Es sind 2 analoge Modems in Betrieb wo ein Energieversorger die Daten ausliest.
steht oben ;)
schönes WE
steht oben ;)
schönes WE
Aber keinen Daten aus den Modems sondern aus irgendwelchen Geräten im Netz, oder ??
Alles andere wäre ja auch Quatsch...was sollte ein Energieversorger auch mit Modemdaten...
Bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Alles andere wäre ja auch Quatsch...was sollte ein Energieversorger auch mit Modemdaten...
Bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
