Voip verbindungen werden nach 15min geschlossen
Hallo Leute,
ich wollte euch an dieser Stelle nochmals um Rat bitten.
Aktuell habe ich folgendes Problem: Nach längerer Zeit und endlichen Portfreigaben habe ich es endlich geschafft, eine VOIP Anruf Verbindung über meine Fritzbox herzustellen. Jedoch funktioniert dies leider noch nicht so wie es soll.
=> Sobald ein Gespräch länger als 15 Minuten dauert, wird es bei Minute 15 einfach beendet und ich habe aktuell keine Idee mehr woran es liegen könnte.
Leider sind die LOG Dateien der Fritzbox nicht sonderlich aussagekräftig und hier werden bei den "Verbindungsabbrüchen" keinerlei Fehler erkannt. Auch die Log Dateien der Sophos zeigen keinen Blockierenden Traffic auf der IP Adresse für die Fritzbox.
Wie ist mein Netzwerkaufbau:
Internet (Telekom) --> Vigor 130 DSL Modem --> Sophos XG Firewall ---> Sg 300-28 --> Clients + APs + Fritz 7490 (als "TK Anlage")
=> Die XG stellt die Internetverbindung über PPOE her und der Vigor fügt das VLAN Flag für die Telekom hinzu
Hat jemand eine Idee woran dies liegen könnte?
Bin über jede Hilfe dankbar.
Gruß Mario
ich wollte euch an dieser Stelle nochmals um Rat bitten.
Aktuell habe ich folgendes Problem: Nach längerer Zeit und endlichen Portfreigaben habe ich es endlich geschafft, eine VOIP Anruf Verbindung über meine Fritzbox herzustellen. Jedoch funktioniert dies leider noch nicht so wie es soll.
=> Sobald ein Gespräch länger als 15 Minuten dauert, wird es bei Minute 15 einfach beendet und ich habe aktuell keine Idee mehr woran es liegen könnte.
Leider sind die LOG Dateien der Fritzbox nicht sonderlich aussagekräftig und hier werden bei den "Verbindungsabbrüchen" keinerlei Fehler erkannt. Auch die Log Dateien der Sophos zeigen keinen Blockierenden Traffic auf der IP Adresse für die Fritzbox.
Wie ist mein Netzwerkaufbau:
Internet (Telekom) --> Vigor 130 DSL Modem --> Sophos XG Firewall ---> Sg 300-28 --> Clients + APs + Fritz 7490 (als "TK Anlage")
=> Die XG stellt die Internetverbindung über PPOE her und der Vigor fügt das VLAN Flag für die Telekom hinzu
Hat jemand eine Idee woran dies liegen könnte?
Bin über jede Hilfe dankbar.
Gruß Mario
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 371478
Url: https://administrator.de/forum/voip-verbindungen-werden-nach-15min-geschlossen-371478.html
Ausgedruckt am: 26.12.2024 um 11:12 Uhr
13 Kommentare
Neuester Kommentar
Das hängt mit den Session-Timers für SIP zusammen. Diese sind bei der Telekom auf 15 Minuten festgelegt. Das bedeutet, der Client muss alle 15 Minuten kurz einen Timer-Refresh schicken, damit die Telekom sieht, dass der Client noch da ist.
Befindet sich in dieser Batterie von Geräten eines (oder mehrere?), was SIP-ALG macht? Das könnte Schuld daran sein, dass die Refresh-Pakete entweder nicht vernünftig rein oder raus gehen...
Prüfe auch mal, ob Port 5060/UDP eingehend zumindest von den SIP-Servern der Telekom bis zur Fritzbox gelangt.
Befindet sich in dieser Batterie von Geräten eines (oder mehrere?), was SIP-ALG macht? Das könnte Schuld daran sein, dass die Refresh-Pakete entweder nicht vernünftig rein oder raus gehen...
Prüfe auch mal, ob Port 5060/UDP eingehend zumindest von den SIP-Servern der Telekom bis zur Fritzbox gelangt.
welche diesen Port für den besagten Client (Fritzbox) zulässt.
Das ist Blödsinn, denn die FritzBox kommt mit ihrer internen IP Adresse ja niemals direkt ins Internet ! Logisch, das sind ja intern RFC 1918 IPs die im Internet nicht geroutet werden.Es kann also rein logisch schon niemals eine Regel in der Firewall geben die sowas zulässt. Was auch immer du da als Regelwerk gefrickelt hast ?!
Die Telekom "sieht" als VoIP IP Adresse deiner Fritzbox (die ist ja PBX für die Telefone) also nur die Provider IP Adresse der Firewall.
Und das auch einzig nur wenn du den Vigor 130, wie es sein sollte, als reines Modem konfiguriert hast und NICHT als NAT Router ! (Im Default ist das auch ein Router !)
Andernfalls würdest du 2 mal NAT machen an Firewall und Vigor (NAT Router Kaskade) und müsstest auch 2 mal Port Forwarding konfigurieren.
Also was der Lord meint ist ganz einfach:
Auf der Firewall muss eine Port Forwarding Regel aktiv sein die WAN Port eingehend alles was UDP 5060 ist auf die interne IP Adresse der FritzBox forwardet.
So ist sichergestellt das SIP Keepalives auch dort ankommen.
Also zusammengefasst:
- Klären ob Vigor als reines Modem konfiguriert ist. Siehe dazu hier: https://www.bjoerns-techblog.de/2017/07/draytek-vigor-130-als-modem-konf ... oder https://idomix.de/draytek-vigor-130-als-vdsl-modem-einrichten Ein klares Indiz dafür das es als Modem eingerichtet ist, ist die Tatsache das die PPPoE User Daten einzig nur auf der Firewall am WAN Port eingerichtet sind und dieser Port im PPPoE Modus arbeitet. Der Vigor darf NICHT in einer NAT Router Kaskade mit der Firewall arbeiten mit doppeltem NAT ! Stelle das sicher.
- Dann Port Forwarding auf der Firewall checken => Inbound UDP 5060 auf IP Adresse FB. Die FB sollte tunlichst deshalb eine feste, statische IP haben.
Bei Fritten, die hinter anderen Routern hängen, gibt es diesbezüglich noch eine Einstellung, die man tätigen kann/muss https://teamhelp.sipgate.de/hc/de/articles/203565572-AVM-FRITZ-Box-Betri ...
Zitat von @chgorges:
Bei Fritten, die hinter anderen Routern hängen, gibt es diesbezüglich noch eine Einstellung, die man tätigen kann/muss https://teamhelp.sipgate.de/hc/de/articles/203565572-AVM-FRITZ-Box-Betri ...
Bei Fritten, die hinter anderen Routern hängen, gibt es diesbezüglich noch eine Einstellung, die man tätigen kann/muss https://teamhelp.sipgate.de/hc/de/articles/203565572-AVM-FRITZ-Box-Betri ...
Und häng die Fritte direkt an die Sophos und nicht an den gruseligen Cisco Switch.
Mir persönlich war nur nicht direkt klar, worin der genaue Unterschied zwischen einer Portfreigabe und einer Weiterleitung war.
Dafür gibts ja Dr. Google Der Rest ist soweit richtig !
leider aber ist das Telefon Stumm
Das zeugt davon das du vergessen hast auch RTP Pakete durchzulassen !!Die Voice Daten werden mit RTP transportiert und das musst du logischerweise auch zulassen auf die FB
https://de.wikipedia.org/wiki/Real-Time_Transport_Protocol
Das hiesige Firewall Tutorial (pfSense) hat in den weiterführenden Links eine Rubrik: VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall: die diese Einstellungen genau erklärt.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Sinnvoll wäre wenn die Sophos Gurke eine ALG Funktion für Voice hat diese ganz einfach zu aktivieren. Dann kannst du dir die ganze Port Frickelei sparen. Vermutlich kann die Weltfirma Sophos sowas aber wohl nicht...
welche alle Pakete in alle Netzte erlaubt. selbst hier habe ich keinen Ton.
Das nützt auch nichts, denn "erlauben" ist die vollkommen falsche Strategie...und auch fatal, da gefährlich.Auch hier musst du ein Port Forwarding machen auf die FB wie schon bei SIP.
Die Fallen lauern hier allerdings bei der Port Range, denn RTP nutzt dynamische UDP Ports. Du musst also eine ganze UDP Port Range auf die FB Forwarden.
Eigentlich kann man diese sofort im Firewall Log sehen, denn die Firewall zeigt an WAS sie blockiert.
Vermutlich hast du aber noch keinen Blick ins Log riskiert, oder ?
Die Sophos Knowledge Base hat übrigens diverse Einträge zur Lösung dazu:
https://community.sophos.com/products/unified-threat-management/f/networ ...
https://community.sophos.com/kb/en-us/120284
https://community.sophos.com/products/unified-threat-management/f/german ...
usw. usw.
Einfach mal nach Sophos RTP suchen.
Da sist ja egal ob UTM oder sonstwas. Die Ports und Prozesse sind doch niemals vom Produkt abhängig sondern immer von der Anwendung bzw. dem verwendeten Protokoll.
Und das ist ja nun mal überall gleich. Wenns mit jeder popeligen Open Source Firewall fehlerlos klappt, dann sollte eine DeLuxe, Kommerzo Firewall von der Weltfirma Sophos es doch allemal auch können, oder ?!
Und das ist ja nun mal überall gleich. Wenns mit jeder popeligen Open Source Firewall fehlerlos klappt, dann sollte eine DeLuxe, Kommerzo Firewall von der Weltfirma Sophos es doch allemal auch können, oder ?!