mario89
Goto Top

Voip verbindungen werden nach 15min geschlossen

Hallo Leute,

ich wollte euch an dieser Stelle nochmals um Rat bitten.

Aktuell habe ich folgendes Problem: Nach längerer Zeit und endlichen Portfreigaben habe ich es endlich geschafft, eine VOIP Anruf Verbindung über meine Fritzbox herzustellen. Jedoch funktioniert dies leider noch nicht so wie es soll.
=> Sobald ein Gespräch länger als 15 Minuten dauert, wird es bei Minute 15 einfach beendet und ich habe aktuell keine Idee mehr woran es liegen könnte.

Leider sind die LOG Dateien der Fritzbox nicht sonderlich aussagekräftig und hier werden bei den "Verbindungsabbrüchen" keinerlei Fehler erkannt. Auch die Log Dateien der Sophos zeigen keinen Blockierenden Traffic auf der IP Adresse für die Fritzbox.


Wie ist mein Netzwerkaufbau:
Internet (Telekom) --> Vigor 130 DSL Modem --> Sophos XG Firewall ---> Sg 300-28 --> Clients + APs + Fritz 7490 (als "TK Anlage")

=> Die XG stellt die Internetverbindung über PPOE her und der Vigor fügt das VLAN Flag für die Telekom hinzu

Hat jemand eine Idee woran dies liegen könnte?

Bin über jede Hilfe dankbar.

Gruß Mario

Content-Key: 371478

Url: https://administrator.de/contentid/371478

Printed on: July 20, 2024 at 06:07 o'clock

Member: LordGurke
LordGurke Apr 18, 2018 updated at 21:21:14 (UTC)
Goto Top
Das hängt mit den Session-Timers für SIP zusammen. Diese sind bei der Telekom auf 15 Minuten festgelegt. Das bedeutet, der Client muss alle 15 Minuten kurz einen Timer-Refresh schicken, damit die Telekom sieht, dass der Client noch da ist.

Befindet sich in dieser Batterie von Geräten eines (oder mehrere?), was SIP-ALG macht? Das könnte Schuld daran sein, dass die Refresh-Pakete entweder nicht vernünftig rein oder raus gehen...
Prüfe auch mal, ob Port 5060/UDP eingehend zumindest von den SIP-Servern der Telekom bis zur Fritzbox gelangt.
Member: mario89
mario89 Apr 18, 2018 at 21:32:24 (UTC)
Goto Top
Zitat von @LordGurke:

Das hängt mit den Session-Timers für SIP zusammen. Diese sind bei der Telekom auf 15 Minuten festgelegt. Das bedeutet, der Client muss alle 15 Minuten kurz einen Timer-Refresh schicken, damit die Telekom sieht, dass der Client noch da ist.

Befindet sich in dieser Batterie von Geräten eines (oder mehrere?), was SIP-ALG macht? Das könnte Schuld daran sein, dass die Refresh-Pakete entweder nicht vernünftig rein oder raus gehen...
Bitte entschuldige die vielleicht blöde Frage, aber wie meinst du das genau ? Die Telefone sind direkt an der Fritzbox angemeldet und in dieser sind die "Zugangsdaten" für die Telefonie eingetragen. Sonst befindet sich im Netzwerk kein weiteres Gerät, welches etwas mit der Telefonie zu tun hat.
Das einzige, was ich aktuell nicht einordnen kann ist im SG 300 die Option des Smartports und Telefonie OUI.

Prüfe auch mal, ob Port 5060/UDP eingehend zumindest von den SIP-Servern der Telekom bis zur Fritzbox gelangt.
Hier existiert eine Firewall Regel, welche diesen Port für den besagten Client (Fritzbox) zulässt.
Oder sollte ich an dieser Stelle besser mit einer direkten Portweiterleitung arbeiten?

Vielen Dank für die Unterstützung
Member: aqui
aqui Apr 19, 2018 updated at 07:39:15 (UTC)
Goto Top
welche diesen Port für den besagten Client (Fritzbox) zulässt.
Das ist Blödsinn, denn die FritzBox kommt mit ihrer internen IP Adresse ja niemals direkt ins Internet ! Logisch, das sind ja intern RFC 1918 IPs die im Internet nicht geroutet werden.
Es kann also rein logisch schon niemals eine Regel in der Firewall geben die sowas zulässt. Was auch immer du da als Regelwerk gefrickelt hast ?!
Die Telekom "sieht" als VoIP IP Adresse deiner Fritzbox (die ist ja PBX für die Telefone) also nur die Provider IP Adresse der Firewall.
Und das auch einzig nur wenn du den Vigor 130, wie es sein sollte, als reines Modem konfiguriert hast und NICHT als NAT Router ! (Im Default ist das auch ein Router !)
Andernfalls würdest du 2 mal NAT machen an Firewall und Vigor (NAT Router Kaskade) und müsstest auch 2 mal Port Forwarding konfigurieren.
Also was der Lord meint ist ganz einfach:
Auf der Firewall muss eine Port Forwarding Regel aktiv sein die WAN Port eingehend alles was UDP 5060 ist auf die interne IP Adresse der FritzBox forwardet.
So ist sichergestellt das SIP Keepalives auch dort ankommen.
Also zusammengefasst:
Das sollte das Problem sofort fixen.
Member: chgorges
chgorges Apr 19, 2018 at 07:42:37 (UTC)
Goto Top
Bei Fritten, die hinter anderen Routern hängen, gibt es diesbezüglich noch eine Einstellung, die man tätigen kann/muss https://teamhelp.sipgate.de/hc/de/articles/203565572-AVM-FRITZ-Box-Betri ...
Member: mario89
mario89 Apr 19, 2018 at 19:19:11 (UTC)
Goto Top
Zunächst bitte ich um Entschuldigung, dass ich mich an dieser Stelle vielleicht falsch ausgedrückt habe.
Mir persönlich war nur nicht direkt klar, worin der genaue Unterschied zwischen einer Portfreigabe und einer Weiterleitung war.

Also zusammengefasst:
Das Modem wurde nach den Video von Idomix eingerichtet und die PPOE zugangsdaten sind in der Sophos hinterlegt, welche die Verbindung zum Internet herstellt.
* Dann Port Forwarding auf der Firewall checken => Inbound UDP 5060 auf IP Adresse FB. Die FB sollte tunlichst deshalb eine feste, statische IP haben.
Fritzbox hat eine statische IP (192.168.2.4) und ist eingstellt mit der option "IP client" vorhanden Internetzugang mitbenutzen.
Das sollte das Problem sofort fixen.

Ich habe nun folgende Portweiterleitungen eingerichtet:
Rule1
**Source**
Source Zones : WAN
Allowed Client Networks : Any
Blocked Client Networks : 

**Destination**
Destination Host/Network : #Port2-WANIP

Services:
Sourceport: 1:65535
Destination Port: 5060
Protocol: UDP 

**Forward To**
Protected Server(s) : Fritz(192.168.2.4)
Protected Zone : LAN

Routing::;. Rewrite source adress (Masquerading)

Rule2
**Source**
Source Zones : WAN
Allowed Client Networks : Any
Blocked Client Networks : 

**Destination**
Destination Host/Network : #Port2-WANIP

Services:
Sourceport: 1:65535
Destination Port: 7080:7109
Protocol: UDP 

**Forward To**
Protected Server(s) : Fritz(192.168.2.4)
Protected Zone : LAN

Routing::;. Rewrite source adress (Masquerading)


=> Tatsächlich, kann ich nun raustelefonieren (die Gegenstelle Klingelt), leider aber ist das Telefon Stumm. Sprich ich höre kein Freizeichen.
Member: chgorges
chgorges Apr 19, 2018 at 21:44:38 (UTC)
Goto Top
Zitat von @chgorges:

Bei Fritten, die hinter anderen Routern hängen, gibt es diesbezüglich noch eine Einstellung, die man tätigen kann/muss https://teamhelp.sipgate.de/hc/de/articles/203565572-AVM-FRITZ-Box-Betri ...

Und häng die Fritte direkt an die Sophos und nicht an den gruseligen Cisco Switch.
Member: aqui
aqui Apr 20, 2018 updated at 07:08:25 (UTC)
Goto Top
Mir persönlich war nur nicht direkt klar, worin der genaue Unterschied zwischen einer Portfreigabe und einer Weiterleitung war.
Dafür gibts ja Dr. Google face-wink
Der Rest ist soweit richtig !
leider aber ist das Telefon Stumm
Das zeugt davon das du vergessen hast auch RTP Pakete durchzulassen !!
Die Voice Daten werden mit RTP transportiert und das musst du logischerweise auch zulassen auf die FB face-wink
https://de.wikipedia.org/wiki/Real-Time_Transport_Protocol

Das hiesige Firewall Tutorial (pfSense) hat in den weiterführenden Links eine Rubrik: VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall: die diese Einstellungen genau erklärt.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät

Sinnvoll wäre wenn die Sophos Gurke eine ALG Funktion für Voice hat diese ganz einfach zu aktivieren. Dann kannst du dir die ganze Port Frickelei sparen. Vermutlich kann die Weltfirma Sophos sowas aber wohl nicht... face-sad
Member: mario89
mario89 Apr 20, 2018 at 10:08:32 (UTC)
Goto Top
Hi,

bezüglich der ALG funktionen. Soviel ich weiß, gibt es diese nur bei der UTM Lösung von Sophos. Aber diese kommt bei mir leider nicht zum Einsatz.

Im Internet hatte ich schon einige Beiträge bezüglich der Konfiguration von VOIP hinter einer Pfsense gelsen.
=> Soweit hatte ich auch alles eingerichtet.
=> Es gibt lediglich ein Punkt, welcher ich nicht in die Sophos übertragen kann. Dieser nennt sich "Static Port mapping". Scheinbar soll es erst mit dieser Option richtig funktionieren.

Bezüglich des Punktes RTP Pakete vergessen durchzulassen.
- Ich habe testweise mal eine Firewallregel für die FB erstellt, welche alle Pakete in alle Netzte erlaubt. selbst hier habe ich keinen Ton.

Oder muss ich für Ausgehende Verbindungen auch eine Portweiterleitung erstellen?

Danke für die Hilfe.

Bezüglich der Pfsense muss ich mich wohl doch mal einlesen ;) Danke für die Links
Member: aqui
aqui Apr 20, 2018 updated at 12:08:01 (UTC)
Goto Top
welche alle Pakete in alle Netzte erlaubt. selbst hier habe ich keinen Ton.
Das nützt auch nichts, denn "erlauben" ist die vollkommen falsche Strategie...und auch fatal, da gefährlich.
Auch hier musst du ein Port Forwarding machen auf die FB wie schon bei SIP.
Die Fallen lauern hier allerdings bei der Port Range, denn RTP nutzt dynamische UDP Ports. Du musst also eine ganze UDP Port Range auf die FB Forwarden.
Eigentlich kann man diese sofort im Firewall Log sehen, denn die Firewall zeigt an WAS sie blockiert.
Vermutlich hast du aber noch keinen Blick ins Log riskiert, oder ?
Die Sophos Knowledge Base hat übrigens diverse Einträge zur Lösung dazu:
https://community.sophos.com/products/unified-threat-management/f/networ ...
https://community.sophos.com/kb/en-us/120284
https://community.sophos.com/products/unified-threat-management/f/german ...
usw. usw.
Einfach mal nach Sophos RTP suchen.
Member: mario89
mario89 Apr 20, 2018 at 14:09:03 (UTC)
Goto Top
Im Sophos Forum bezieht sich aber immer alles auf die UTM Lösung.

Bei mir ist aber die XG Firewall installiert, und dort habe ich die VOIP Unterpunkte einfach noch nicht finden können..
Member: aqui
aqui Apr 20, 2018 updated at 16:07:12 (UTC)
Goto Top
Da sist ja egal ob UTM oder sonstwas. Die Ports und Prozesse sind doch niemals vom Produkt abhängig sondern immer von der Anwendung bzw. dem verwendeten Protokoll.
Und das ist ja nun mal überall gleich. Wenns mit jeder popeligen Open Source Firewall fehlerlos klappt, dann sollte eine DeLuxe, Kommerzo Firewall von der Weltfirma Sophos es doch allemal auch können, oder ?!
Member: mario89
mario89 Apr 21, 2018 at 13:05:01 (UTC)
Goto Top
Zitat von @aqui:
Und das ist ja nun mal überall gleich. Wenns mit jeder popeligen Open Source Firewall fehlerlos klappt, dann sollte eine DeLuxe, Kommerzo Firewall von der Weltfirma Sophos es doch allemal auch können, oder ?!

Alles funktioniert irgendwie - haken an der Sache ist meistens nur wie.

Vielleicht nur kurz am Rande:
Mit nachfolgenden Einstellungen kann ich aktuell wieder telefonieren:

**Source** 
Source Zones : WAN 
Allowed Client Networks : Any 
Blocked Client Networks :  

**Destination** 
Destination Host/Network : #Port2-WANIP 

Services:
Sourceport: 5060:5061
Destination Port: 5060:5061

Protocol: UDP  

**Forward To** 
Protected Server(s) : Fritz(192.168.2.4) 
Protected Zone : LAN 
 
Routing: none



**Source** 
Source Zones : WAN 
Allowed Client Networks : Any 
Blocked Client Networks :  

**Destination** 
Destination Host/Network : #Port2-WANIP 

Services:
Sourceport: 10001:20000 UDP
Destination Port: 10001:20000 UDP

**Forward To** 
Protected Server(s) : Fritz(192.168.2.4) 
Protected Zone : LAN 
 
Routing: none

Firewall:
**Source** 
Source Zones : LAN
Allowed Client Networks : Any 
  

**Destination** 
Destinartion Zones : WAN
Allowed Client Networks : Any 

Services:
Sourceport: 10001:20000 (UDP)
Sourceport: 5060:5061 (UDP)

Routing: Masq


Aktuell schaue ich gerade noch wie die 15 Minuten ablaufen.

An dieser Stelle habe ich nochmal eine Frage, Benötige ich die Weiterleitung der Ports 10001-20000 auf die FB ? Hintergrund ist, dass in der Weiterleitungsregel "kein Traffic" angezeigt wird. Bei den anderen beiden Regeln wird der Traffic jedoch gezählt.

Danke schon einmal für eure Hilfe.

Kann ich an dieser Stelle vielleicht noch kurz fragen, was ihr an Firewalls einsetzt ?

Danke
Member: aqui
aqui Apr 21, 2018 at 16:26:26 (UTC)
Goto Top
pfSense !