VOIP Problem über IPSec
Hi zusammen
Wir haben in unserer Firma seit einer Weile einen zweiten Standort. Dieser zweite Standort ist mit IPSec zu unserem Hauptstandort verbunden. Bei unserem Hauptstandort haben wir eine FortiGate 60D und beim zweiten Standort einen Ubiquiti Edge Router Pro. Zwischen diesen läuft das IPSec eigentlich gut, jedoch haben wir mit der Telefonie Probleme. Wir verwenden Swyx(VOIP). Der Swyx Server befindet sich bei unserem Hauptstandort. Nun treten bei der Telefonie folgende Fehler auf:
- Die Telefonie zwischen dem Hauptstandort und dem zweiten Standort funktioniert sehr unzuverlässig. Meistens ist es so, dass das Telefon klingelt und auch abgenommen werden kann, jedoch hören sich die beiden Gesprächspartner nicht.
- externe Anrufe zum Hauptstandort funktionieren, sowie externe Anrufe zum zweiten Standort
Wir haben auf beiden Firewalls testweise alle Protokolle zwischen den IPSec Standorten erlaubt, doch das Problem wird dadurch nicht gelöst. In meinen Augen scheint das Problem nicht ein Protokoll zu sein, welches fälschlicherweise in der Firewall geblockt wird.
Das komische an der Sache ist auch, dass es manchmal funktioniert und dann wieder nicht. Leider ist es so, dass es häufiger nicht funktioniert und deshalb das Vertrauen in die Telefonie von den Benutzern verloren gegangen ist.
Und der Traffic über den IPSec Tunnel ist auch nicht so gross, dass wir ein Bandbreiten Problem haben. Beim zweiten Standort sind zwischen 2 - 5 Personen.
Habt ihr hier irgendwelche Erfahrungen und Tipps für mich?
Grüsse
Joel
Wir haben in unserer Firma seit einer Weile einen zweiten Standort. Dieser zweite Standort ist mit IPSec zu unserem Hauptstandort verbunden. Bei unserem Hauptstandort haben wir eine FortiGate 60D und beim zweiten Standort einen Ubiquiti Edge Router Pro. Zwischen diesen läuft das IPSec eigentlich gut, jedoch haben wir mit der Telefonie Probleme. Wir verwenden Swyx(VOIP). Der Swyx Server befindet sich bei unserem Hauptstandort. Nun treten bei der Telefonie folgende Fehler auf:
- Die Telefonie zwischen dem Hauptstandort und dem zweiten Standort funktioniert sehr unzuverlässig. Meistens ist es so, dass das Telefon klingelt und auch abgenommen werden kann, jedoch hören sich die beiden Gesprächspartner nicht.
- externe Anrufe zum Hauptstandort funktionieren, sowie externe Anrufe zum zweiten Standort
Wir haben auf beiden Firewalls testweise alle Protokolle zwischen den IPSec Standorten erlaubt, doch das Problem wird dadurch nicht gelöst. In meinen Augen scheint das Problem nicht ein Protokoll zu sein, welches fälschlicherweise in der Firewall geblockt wird.
Das komische an der Sache ist auch, dass es manchmal funktioniert und dann wieder nicht. Leider ist es so, dass es häufiger nicht funktioniert und deshalb das Vertrauen in die Telefonie von den Benutzern verloren gegangen ist.
Und der Traffic über den IPSec Tunnel ist auch nicht so gross, dass wir ein Bandbreiten Problem haben. Beim zweiten Standort sind zwischen 2 - 5 Personen.
Habt ihr hier irgendwelche Erfahrungen und Tipps für mich?
Grüsse
Joel
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 283486
Url: https://administrator.de/forum/voip-problem-ueber-ipsec-283486.html
Ausgedruckt am: 23.12.2024 um 03:12 Uhr
11 Kommentare
Neuester Kommentar
Hi,
die Verbindung würd über SIP aufgebaut, aber die Daten laufen dann über RTP.
Die SIP Pakete schaffen es wohl durch euer VPN, aber die RTP Daten nicht. Die RTP Daten laufen in der Außenstelle nicht über eure Hauptniederlassung, wenn ihr an der Außenstelle einen direkt Internetzugang habt.
ev. spielen IPS Regeln rein - UDP flood Detection zb. ev. gibt es mehrere Logfiles für die Firewall.
kann es sein, dass es einen Unterschied macht ob ihr die Externe oder interne Durchwahl/Nummer wählt?
Ev. ist die Internetanbindung in der Außenstelle gerade so an der Kippe und der zusätzliche VPN overhead, macht ein telefonieren dann unmöglich.
sg Dirm
die Verbindung würd über SIP aufgebaut, aber die Daten laufen dann über RTP.
Die SIP Pakete schaffen es wohl durch euer VPN, aber die RTP Daten nicht. Die RTP Daten laufen in der Außenstelle nicht über eure Hauptniederlassung, wenn ihr an der Außenstelle einen direkt Internetzugang habt.
ev. spielen IPS Regeln rein - UDP flood Detection zb. ev. gibt es mehrere Logfiles für die Firewall.
Das komische an der Sache ist auch, dass es manchmal funktioniert und dann wieder nicht. Leider ist es so, dass es häufiger nicht funktioniert und deshalb das Vertrauen in die Telefonie von den Benutzern verloren gegangen ist.
kann es sein, dass es einen Unterschied macht ob ihr die Externe oder interne Durchwahl/Nummer wählt?
Da VoIP und ISDN over IP sehr Zeitkritisch sind, sollte dieser Traffic allem anderen vorgezogen werden.
Wie Neomatic schon sagt, es geht um die Übertragungszeit/Qualität und nicht die Bandbreite. Du kannst 100 Mbit haben, aber wenn die Paketlauzeit extrem schwankt, dann hat VoIP Probleme da Pakete zu spät ankommen. Für normale Datenübertragungen ist das egal. Hier werden am Ende einfach alle Pakete sortiert.Ev. ist die Internetanbindung in der Außenstelle gerade so an der Kippe und der zusätzliche VPN overhead, macht ein telefonieren dann unmöglich.
sg Dirm
Die Kardinalsfrage ist ob im Tunnel selber NAT (IP Adress Translation) gemacht wird. In der Regel ist das vollkommen überflüssig, viele machen aber diesen grundlegenden Fehler bei der VPN Konfiguration und aktivieren NAT.
NAT ist der Todesstoß für RTP, da dort dynamische Portnummern verwendet werden die dann folglich an der NAT Firewall hängenbleiben.
Solche Dinge wie "sie hören sich nicht" oder "man hört nur eine Seite" sind typische Symptome dafür. Kollege Dirmhirn ist vermutlich auf der richtigen Fährte.
Du solltest also bei der korrekten VPN Konfig ansetzen.
Da du routest musst du die Priorisierung zwangsläufig über DSCP im Layer 3 machen. Vermutlich nutzen die Swyx Telefone schon eine Art von Priorisierung. Entweder L2 oder L3.
Leider kommt dazu von dir ja keinerlei Infos, was eine zielgerichtet Hilfe wieder erschwert.
In der Regel setzen die Telefone einen DSCP CoS Wert, denn du in der Firewall entsprechend Priorisieren musst in einer der Outgoing Queue.
Auch wenn du genügend Bandbreite hast zahlt sich die VoIP Priorisierung immer aus.
Nur um das nochmal klar zu machen: Die fehlende Priorisierung ist NICHT Ursache der Kommunikationsstörung. Das ist vermutlich ein fälschlich konfiguriertes NAT im VPN Tunnel. Aber auch das ist erstmal nur geraten aufgrund der fehlenden Konfig Infos
NAT ist der Todesstoß für RTP, da dort dynamische Portnummern verwendet werden die dann folglich an der NAT Firewall hängenbleiben.
Solche Dinge wie "sie hören sich nicht" oder "man hört nur eine Seite" sind typische Symptome dafür. Kollege Dirmhirn ist vermutlich auf der richtigen Fährte.
Du solltest also bei der korrekten VPN Konfig ansetzen.
Ich habe auf der FortiGate einmal Traffic Shaping(QOS) konfiguriert.
Das ist natürlich auch Blödsinn und lässt leider befürchten das du nicht wirklich weisst was du da machst. VoIP erfordert eine Priorisierung ! Niemals ein Traffic Shaping. Vergiss den Unsinn.Da du routest musst du die Priorisierung zwangsläufig über DSCP im Layer 3 machen. Vermutlich nutzen die Swyx Telefone schon eine Art von Priorisierung. Entweder L2 oder L3.
Leider kommt dazu von dir ja keinerlei Infos, was eine zielgerichtet Hilfe wieder erschwert.
In der Regel setzen die Telefone einen DSCP CoS Wert, denn du in der Firewall entsprechend Priorisieren musst in einer der Outgoing Queue.
Auch wenn du genügend Bandbreite hast zahlt sich die VoIP Priorisierung immer aus.
Nur um das nochmal klar zu machen: Die fehlende Priorisierung ist NICHT Ursache der Kommunikationsstörung. Das ist vermutlich ein fälschlich konfiguriertes NAT im VPN Tunnel. Aber auch das ist erstmal nur geraten aufgrund der fehlenden Konfig Infos
Fehlt irgendwie "set service "RTP" ???
RTP (Realtime tRansaction Protocol" transportiert die Sprachdaten !!! SIP stell nur die Verbindung her.
Ohne RTP keine Sprache ! Kein Wunder das es dann nicht geht !
Tip:
Installiere ein kostenloses Softphone wie "Phoner" http://www.phoner.de und zusätzlich den Wireshark.
Dann rufst du das Softphone an und lässt den Wireshark laufen.
Hebst ab und checkst die Kommunikation.
Hier kannst du dann sehen ob SIP UND auch RTP Daten eingehen !
Außerdem zeigt dir der Wireshark wie einfach du VoIP Gespräche mitschnüffeln kannst...das aber nur nebenbei.
RTP (Realtime tRansaction Protocol" transportiert die Sprachdaten !!! SIP stell nur die Verbindung her.
Ohne RTP keine Sprache ! Kein Wunder das es dann nicht geht !
Tip:
Installiere ein kostenloses Softphone wie "Phoner" http://www.phoner.de und zusätzlich den Wireshark.
Dann rufst du das Softphone an und lässt den Wireshark laufen.
Hebst ab und checkst die Kommunikation.
Hier kannst du dann sehen ob SIP UND auch RTP Daten eingehen !
Außerdem zeigt dir der Wireshark wie einfach du VoIP Gespräche mitschnüffeln kannst...das aber nur nebenbei.