13
Voip verbindungen werden nach 15min geschlossen
Hallo Leute,
ich wollte euch an dieser Stelle nochmals um Rat bitten.
Aktuell habe ich folgendes Problem: Nach längerer Zeit und endlichen Portfreigaben habe ich es endlich geschafft, eine VOIP Anruf Verbindung über meine Fritzbox herzustellen. Jedoch funktioniert dies leider noch nicht so wie es soll.
=> Sobald ein Gespräch länger als 15 Minuten dauert, wird es bei Minute 15 einfach beendet und ich habe aktuell keine Idee mehr woran es liegen könnte.
Leider sind die LOG Dateien der Fritzbox nicht sonderlich aussagekräftig und hier werden bei den "Verbindungsabbrüchen" keinerlei Fehler erkannt. Auch die Log Dateien der Sophos zeigen keinen Blockierenden Traffic auf der IP Adresse für die Fritzbox.
Wie ist mein Netzwerkaufbau:
Internet (Telekom) --> Vigor 130 DSL Modem --> Sophos XG Firewall ---> Sg 300-28 --> Clients + APs + Fritz 7490 (als "TK Anlage")
=> Die XG stellt die Internetverbindung über PPOE her und der Vigor fügt das VLAN Flag für die Telekom hinzu
Hat jemand eine Idee woran dies liegen könnte?
Bin über jede Hilfe dankbar.
Gruß Mario
ich wollte euch an dieser Stelle nochmals um Rat bitten.
Aktuell habe ich folgendes Problem: Nach längerer Zeit und endlichen Portfreigaben habe ich es endlich geschafft, eine VOIP Anruf Verbindung über meine Fritzbox herzustellen. Jedoch funktioniert dies leider noch nicht so wie es soll.
=> Sobald ein Gespräch länger als 15 Minuten dauert, wird es bei Minute 15 einfach beendet und ich habe aktuell keine Idee mehr woran es liegen könnte.
Leider sind die LOG Dateien der Fritzbox nicht sonderlich aussagekräftig und hier werden bei den "Verbindungsabbrüchen" keinerlei Fehler erkannt. Auch die Log Dateien der Sophos zeigen keinen Blockierenden Traffic auf der IP Adresse für die Fritzbox.
Wie ist mein Netzwerkaufbau:
Internet (Telekom) --> Vigor 130 DSL Modem --> Sophos XG Firewall ---> Sg 300-28 --> Clients + APs + Fritz 7490 (als "TK Anlage")
=> Die XG stellt die Internetverbindung über PPOE her und der Vigor fügt das VLAN Flag für die Telekom hinzu
Hat jemand eine Idee woran dies liegen könnte?
Bin über jede Hilfe dankbar.
Gruß Mario
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 371478
Url: https://administrator.de/contentid/371478
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
13 Kommentare
Neuester Kommentar
Das hängt mit den Session-Timers für SIP zusammen. Diese sind bei der Telekom auf 15 Minuten festgelegt. Das bedeutet, der Client muss alle 15 Minuten kurz einen Timer-Refresh schicken, damit die Telekom sieht, dass der Client noch da ist.
Befindet sich in dieser Batterie von Geräten eines (oder mehrere?), was SIP-ALG macht? Das könnte Schuld daran sein, dass die Refresh-Pakete entweder nicht vernünftig rein oder raus gehen...
Prüfe auch mal, ob Port 5060/UDP eingehend zumindest von den SIP-Servern der Telekom bis zur Fritzbox gelangt.
Befindet sich in dieser Batterie von Geräten eines (oder mehrere?), was SIP-ALG macht? Das könnte Schuld daran sein, dass die Refresh-Pakete entweder nicht vernünftig rein oder raus gehen...
Prüfe auch mal, ob Port 5060/UDP eingehend zumindest von den SIP-Servern der Telekom bis zur Fritzbox gelangt.
Zitat von @LordGurke:
Das hängt mit den Session-Timers für SIP zusammen. Diese sind bei der Telekom auf 15 Minuten festgelegt. Das bedeutet, der Client muss alle 15 Minuten kurz einen Timer-Refresh schicken, damit die Telekom sieht, dass der Client noch da ist.
Befindet sich in dieser Batterie von Geräten eines (oder mehrere?), was SIP-ALG macht? Das könnte Schuld daran sein, dass die Refresh-Pakete entweder nicht vernünftig rein oder raus gehen...
Bitte entschuldige die vielleicht blöde Frage, aber wie meinst du das genau ? Die Telefone sind direkt an der Fritzbox angemeldet und in dieser sind die "Zugangsdaten" für die Telefonie eingetragen. Sonst befindet sich im Netzwerk kein weiteres Gerät, welches etwas mit der Telefonie zu tun hat.Das hängt mit den Session-Timers für SIP zusammen. Diese sind bei der Telekom auf 15 Minuten festgelegt. Das bedeutet, der Client muss alle 15 Minuten kurz einen Timer-Refresh schicken, damit die Telekom sieht, dass der Client noch da ist.
Befindet sich in dieser Batterie von Geräten eines (oder mehrere?), was SIP-ALG macht? Das könnte Schuld daran sein, dass die Refresh-Pakete entweder nicht vernünftig rein oder raus gehen...
Das einzige, was ich aktuell nicht einordnen kann ist im SG 300 die Option des Smartports und Telefonie OUI.
Prüfe auch mal, ob Port 5060/UDP eingehend zumindest von den SIP-Servern der Telekom bis zur Fritzbox gelangt.
Hier existiert eine Firewall Regel, welche diesen Port für den besagten Client (Fritzbox) zulässt.Oder sollte ich an dieser Stelle besser mit einer direkten Portweiterleitung arbeiten?
Vielen Dank für die Unterstützung
welche diesen Port für den besagten Client (Fritzbox) zulässt.
Das ist Blödsinn, denn die FritzBox kommt mit ihrer internen IP Adresse ja niemals direkt ins Internet ! Logisch, das sind ja intern RFC 1918 IPs die im Internet nicht geroutet werden.Es kann also rein logisch schon niemals eine Regel in der Firewall geben die sowas zulässt. Was auch immer du da als Regelwerk gefrickelt hast ?!
Die Telekom "sieht" als VoIP IP Adresse deiner Fritzbox (die ist ja PBX für die Telefone) also nur die Provider IP Adresse der Firewall.
Und das auch einzig nur wenn du den Vigor 130, wie es sein sollte, als reines Modem konfiguriert hast und NICHT als NAT Router ! (Im Default ist das auch ein Router !)
Andernfalls würdest du 2 mal NAT machen an Firewall und Vigor (NAT Router Kaskade) und müsstest auch 2 mal Port Forwarding konfigurieren.
Also was der Lord meint ist ganz einfach:
Auf der Firewall muss eine Port Forwarding Regel aktiv sein die WAN Port eingehend alles was UDP 5060 ist auf die interne IP Adresse der FritzBox forwardet.
So ist sichergestellt das SIP Keepalives auch dort ankommen.
Also zusammengefasst:
- Klären ob Vigor als reines Modem konfiguriert ist. Siehe dazu hier: https://www.bjoerns-techblog.de/2017/07/draytek-vigor-130-als-modem-konf ... oder https://idomix.de/draytek-vigor-130-als-vdsl-modem-einrichten Ein klares Indiz dafür das es als Modem eingerichtet ist, ist die Tatsache das die PPPoE User Daten einzig nur auf der Firewall am WAN Port eingerichtet sind und dieser Port im PPPoE Modus arbeitet. Der Vigor darf NICHT in einer NAT Router Kaskade mit der Firewall arbeiten mit doppeltem NAT ! Stelle das sicher.
- Dann Port Forwarding auf der Firewall checken => Inbound UDP 5060 auf IP Adresse FB. Die FB sollte tunlichst deshalb eine feste, statische IP haben.
Bei Fritten, die hinter anderen Routern hängen, gibt es diesbezüglich noch eine Einstellung, die man tätigen kann/muss https://teamhelp.sipgate.de/hc/de/articles/203565572-AVM-FRITZ-Box-Betri ...
Zunächst bitte ich um Entschuldigung, dass ich mich an dieser Stelle vielleicht falsch ausgedrückt habe.
Mir persönlich war nur nicht direkt klar, worin der genaue Unterschied zwischen einer Portfreigabe und einer Weiterleitung war.
Ich habe nun folgende Portweiterleitungen eingerichtet:
Rule1
Rule2
=> Tatsächlich, kann ich nun raustelefonieren (die Gegenstelle Klingelt), leider aber ist das Telefon Stumm. Sprich ich höre kein Freizeichen.
Mir persönlich war nur nicht direkt klar, worin der genaue Unterschied zwischen einer Portfreigabe und einer Weiterleitung war.
Also zusammengefasst:
Das Modem wurde nach den Video von Idomix eingerichtet und die PPOE zugangsdaten sind in der Sophos hinterlegt, welche die Verbindung zum Internet herstellt.- Klären ob Vigor als reines Modem konfiguriert ist. Siehe dazu hier: https://www.bjoerns-techblog.de/2017/07/draytek-vigor-130-als-modem-konf ... oder https://idomix.de/draytek-vigor-130-als-vdsl-modem-einrichten Ein klares Indiz dafür das es als Modem eingerichtet ist, ist die Tatsache das die PPPoE User Daten einzig nur auf der Firewall am WAN Port eingerichtet sind und dieser Port im PPPoE Modus arbeitet. Der Vigor darf NICHT in einer NAT Router Kaskade mit der Firewall arbeiten mit doppeltem NAT ! Stelle das sicher.
* Dann Port Forwarding auf der Firewall checken => Inbound UDP 5060 auf IP Adresse FB. Die FB sollte tunlichst deshalb eine feste, statische IP haben.
Fritzbox hat eine statische IP (192.168.2.4) und ist eingstellt mit der option "IP client" vorhanden Internetzugang mitbenutzen.Das sollte das Problem sofort fixen.
Ich habe nun folgende Portweiterleitungen eingerichtet:
Rule1
**Source**
Source Zones : WAN
Allowed Client Networks : Any
Blocked Client Networks :
**Destination**
Destination Host/Network : #Port2-WANIP
Services:
Sourceport: 1:65535
Destination Port: 5060
Protocol: UDP
**Forward To**
Protected Server(s) : Fritz(192.168.2.4)
Protected Zone : LAN
Routing::;. Rewrite source adress (Masquerading)Rule2
**Source**
Source Zones : WAN
Allowed Client Networks : Any
Blocked Client Networks :
**Destination**
Destination Host/Network : #Port2-WANIP
Services:
Sourceport: 1:65535
Destination Port: 7080:7109
Protocol: UDP
**Forward To**
Protected Server(s) : Fritz(192.168.2.4)
Protected Zone : LAN
Routing::;. Rewrite source adress (Masquerading)=> Tatsächlich, kann ich nun raustelefonieren (die Gegenstelle Klingelt), leider aber ist das Telefon Stumm. Sprich ich höre kein Freizeichen.
Zitat von @chgorges:
Bei Fritten, die hinter anderen Routern hängen, gibt es diesbezüglich noch eine Einstellung, die man tätigen kann/muss https://teamhelp.sipgate.de/hc/de/articles/203565572-AVM-FRITZ-Box-Betri ...
Bei Fritten, die hinter anderen Routern hängen, gibt es diesbezüglich noch eine Einstellung, die man tätigen kann/muss https://teamhelp.sipgate.de/hc/de/articles/203565572-AVM-FRITZ-Box-Betri ...
Und häng die Fritte direkt an die Sophos und nicht an den gruseligen Cisco Switch.
Mir persönlich war nur nicht direkt klar, worin der genaue Unterschied zwischen einer Portfreigabe und einer Weiterleitung war.
Dafür gibts ja Dr. Google 
Der Rest ist soweit richtig !
leider aber ist das Telefon Stumm
Das zeugt davon das du vergessen hast auch RTP Pakete durchzulassen !!Die Voice Daten werden mit RTP transportiert und das musst du logischerweise auch zulassen auf die FB
https://de.wikipedia.org/wiki/Real-Time_Transport_Protocol
Das hiesige Firewall Tutorial (pfSense) hat in den weiterführenden Links eine Rubrik: VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall: die diese Einstellungen genau erklärt.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Sinnvoll wäre wenn die Sophos Gurke eine ALG Funktion für Voice hat diese ganz einfach zu aktivieren. Dann kannst du dir die ganze Port Frickelei sparen. Vermutlich kann die Weltfirma Sophos sowas aber wohl nicht...
Hi,
bezüglich der ALG funktionen. Soviel ich weiß, gibt es diese nur bei der UTM Lösung von Sophos. Aber diese kommt bei mir leider nicht zum Einsatz.
Im Internet hatte ich schon einige Beiträge bezüglich der Konfiguration von VOIP hinter einer Pfsense gelsen.
=> Soweit hatte ich auch alles eingerichtet.
=> Es gibt lediglich ein Punkt, welcher ich nicht in die Sophos übertragen kann. Dieser nennt sich "Static Port mapping". Scheinbar soll es erst mit dieser Option richtig funktionieren.
Bezüglich des Punktes RTP Pakete vergessen durchzulassen.
- Ich habe testweise mal eine Firewallregel für die FB erstellt, welche alle Pakete in alle Netzte erlaubt. selbst hier habe ich keinen Ton.
Oder muss ich für Ausgehende Verbindungen auch eine Portweiterleitung erstellen?
Danke für die Hilfe.
Bezüglich der Pfsense muss ich mich wohl doch mal einlesen ;) Danke für die Links
bezüglich der ALG funktionen. Soviel ich weiß, gibt es diese nur bei der UTM Lösung von Sophos. Aber diese kommt bei mir leider nicht zum Einsatz.
Im Internet hatte ich schon einige Beiträge bezüglich der Konfiguration von VOIP hinter einer Pfsense gelsen.
=> Soweit hatte ich auch alles eingerichtet.
=> Es gibt lediglich ein Punkt, welcher ich nicht in die Sophos übertragen kann. Dieser nennt sich "Static Port mapping". Scheinbar soll es erst mit dieser Option richtig funktionieren.
Bezüglich des Punktes RTP Pakete vergessen durchzulassen.
- Ich habe testweise mal eine Firewallregel für die FB erstellt, welche alle Pakete in alle Netzte erlaubt. selbst hier habe ich keinen Ton.
Oder muss ich für Ausgehende Verbindungen auch eine Portweiterleitung erstellen?
Danke für die Hilfe.
Bezüglich der Pfsense muss ich mich wohl doch mal einlesen ;) Danke für die Links
welche alle Pakete in alle Netzte erlaubt. selbst hier habe ich keinen Ton.
Das nützt auch nichts, denn "erlauben" ist die vollkommen falsche Strategie...und auch fatal, da gefährlich.Auch hier musst du ein Port Forwarding machen auf die FB wie schon bei SIP.
Die Fallen lauern hier allerdings bei der Port Range, denn RTP nutzt dynamische UDP Ports. Du musst also eine ganze UDP Port Range auf die FB Forwarden.
Eigentlich kann man diese sofort im Firewall Log sehen, denn die Firewall zeigt an WAS sie blockiert.
Vermutlich hast du aber noch keinen Blick ins Log riskiert, oder ?
Die Sophos Knowledge Base hat übrigens diverse Einträge zur Lösung dazu:
https://community.sophos.com/products/unified-threat-management/f/networ ...
https://community.sophos.com/kb/en-us/120284
https://community.sophos.com/products/unified-threat-management/f/german ...
usw. usw.
Einfach mal nach Sophos RTP suchen.
Im Sophos Forum bezieht sich aber immer alles auf die UTM Lösung.
Bei mir ist aber die XG Firewall installiert, und dort habe ich die VOIP Unterpunkte einfach noch nicht finden können..
Bei mir ist aber die XG Firewall installiert, und dort habe ich die VOIP Unterpunkte einfach noch nicht finden können..
Da sist ja egal ob UTM oder sonstwas. Die Ports und Prozesse sind doch niemals vom Produkt abhängig sondern immer von der Anwendung bzw. dem verwendeten Protokoll.
Und das ist ja nun mal überall gleich. Wenns mit jeder popeligen Open Source Firewall fehlerlos klappt, dann sollte eine DeLuxe, Kommerzo Firewall von der Weltfirma Sophos es doch allemal auch können, oder ?!
Und das ist ja nun mal überall gleich. Wenns mit jeder popeligen Open Source Firewall fehlerlos klappt, dann sollte eine DeLuxe, Kommerzo Firewall von der Weltfirma Sophos es doch allemal auch können, oder ?!
Zitat von @aqui:
Und das ist ja nun mal überall gleich. Wenns mit jeder popeligen Open Source Firewall fehlerlos klappt, dann sollte eine DeLuxe, Kommerzo Firewall von der Weltfirma Sophos es doch allemal auch können, oder ?!
Und das ist ja nun mal überall gleich. Wenns mit jeder popeligen Open Source Firewall fehlerlos klappt, dann sollte eine DeLuxe, Kommerzo Firewall von der Weltfirma Sophos es doch allemal auch können, oder ?!
Alles funktioniert irgendwie - haken an der Sache ist meistens nur wie.
Vielleicht nur kurz am Rande:
Mit nachfolgenden Einstellungen kann ich aktuell wieder telefonieren:
**Source**
Source Zones : WAN
Allowed Client Networks : Any
Blocked Client Networks :
**Destination**
Destination Host/Network : #Port2-WANIP
Services:
Sourceport: 5060:5061
Destination Port: 5060:5061
Protocol: UDP
**Forward To**
Protected Server(s) : Fritz(192.168.2.4)
Protected Zone : LAN
Routing: none**Source**
Source Zones : WAN
Allowed Client Networks : Any
Blocked Client Networks :
**Destination**
Destination Host/Network : #Port2-WANIP
Services:
Sourceport: 10001:20000 UDP
Destination Port: 10001:20000 UDP
**Forward To**
Protected Server(s) : Fritz(192.168.2.4)
Protected Zone : LAN
Routing: noneFirewall:
**Source**
Source Zones : LAN
Allowed Client Networks : Any
**Destination**
Destinartion Zones : WAN
Allowed Client Networks : Any
Services:
Sourceport: 10001:20000 (UDP)
Sourceport: 5060:5061 (UDP)
Routing: MasqAktuell schaue ich gerade noch wie die 15 Minuten ablaufen.
An dieser Stelle habe ich nochmal eine Frage, Benötige ich die Weiterleitung der Ports 10001-20000 auf die FB ? Hintergrund ist, dass in der Weiterleitungsregel "kein Traffic" angezeigt wird. Bei den anderen beiden Regeln wird der Traffic jedoch gezählt.
Danke schon einmal für eure Hilfe.
Kann ich an dieser Stelle vielleicht noch kurz fragen, was ihr an Firewalls einsetzt ?
Danke
pfSense !
