Weiterverbindungsprobleme mit Aastra Mitel 470 und Fortigate 60D
Moin zusammen
Ich habe wieder einmal ein Problem mit (vermutlich) unserer Firewall. Im Einsatz ist seit Anfang Jahr eine neue Fortigate 60D (Firmware 5.2.3 Build 670). Diese funktionierte bis anhin eigentlich recht zuverlässig und gut.
Nun haben wir vor etwa einem Monat eine neue Telefonanlage (Aastra Mitel 470) in Betrieb genommen. Diese ist an einem separaten internen Port mit eigenem Subnetz an der Firewall angeschlossen. Für die Telefonanlage haben wir einen separaten Internet Zugang (WAN2). Alle nötigen Konfigurationen (Policies, Routen, etc.) wurden auch entsprechend eingerichtet. Gleich vorneweg: empfohlene Einstellungen betr. deaktivieren von ALG, SIP-Session-helper, etc. wurden gemacht.
Konfiguration der Firewall:
Policy:
Internal6 >> WAN2: alles Offen (Source, Destination, Services)
Route:
Destination: XXX.XXX.XXX.XXX/23 (Server des Providers); Gateway: 192.168.1.1 (Router); Device: WAN2
Die Verbindung nach "draussen" klappt auch. Die Anlage kann sich an den Servern des Providers registrieren. "Einfache" ausgehende und eingehende Telefonate funktionieren auch problemlos.
Folgende zwei Szenarios funktionieren allerdings nicht:
Szenario 1:
Externer Anruf nach intern > wird (z.B. zentral) entgegengenommen > weiterleiten > "Empfänger" nimmt nicht ab > automatische Rumumleitung auf Mobile > Anruf wird entgegengenommen > weiterleitende Person sagt wer dran ist > Gespräch übergeben > Leitung tot
Szenario 2:
Interner Anruf nach Extern > Empfang nimmt ab > leitet weiter > Ansprechpartner nimmt ab > Er hört mich noch, ich ihn nicht mehr
Der Dienstleister meinte nun, es läge bestimmt an der Firewall (evtl. "Altlasten" o.ä.), sagte aber auch, dass die Konfiguration der Firewall in Ordnung sei. OK, Firewall platt gemacht, neueste Firmware (vorher v5.2.2) draufgepackt und die nötigen Einstellungen wieder vorgenommen. Leider hat dies nichts bewirkt. Der selbe Fehler tritt immer noch auf.
Hat jemand vielleicht schon ähnliche Erfahrungen gemacht? Oder habt ihr vielleicht Tipps, was ich noch unternehmen könnte?
Besten Dank schonmal und Gruss
Siglander
PS: sollte ich irgendwelche Angaben vergessen haben, fragt einfach nach.
Ich habe wieder einmal ein Problem mit (vermutlich) unserer Firewall. Im Einsatz ist seit Anfang Jahr eine neue Fortigate 60D (Firmware 5.2.3 Build 670). Diese funktionierte bis anhin eigentlich recht zuverlässig und gut.
Nun haben wir vor etwa einem Monat eine neue Telefonanlage (Aastra Mitel 470) in Betrieb genommen. Diese ist an einem separaten internen Port mit eigenem Subnetz an der Firewall angeschlossen. Für die Telefonanlage haben wir einen separaten Internet Zugang (WAN2). Alle nötigen Konfigurationen (Policies, Routen, etc.) wurden auch entsprechend eingerichtet. Gleich vorneweg: empfohlene Einstellungen betr. deaktivieren von ALG, SIP-Session-helper, etc. wurden gemacht.
Konfiguration der Firewall:
Policy:
Internal6 >> WAN2: alles Offen (Source, Destination, Services)
Route:
Destination: XXX.XXX.XXX.XXX/23 (Server des Providers); Gateway: 192.168.1.1 (Router); Device: WAN2
Die Verbindung nach "draussen" klappt auch. Die Anlage kann sich an den Servern des Providers registrieren. "Einfache" ausgehende und eingehende Telefonate funktionieren auch problemlos.
Folgende zwei Szenarios funktionieren allerdings nicht:
Szenario 1:
Externer Anruf nach intern > wird (z.B. zentral) entgegengenommen > weiterleiten > "Empfänger" nimmt nicht ab > automatische Rumumleitung auf Mobile > Anruf wird entgegengenommen > weiterleitende Person sagt wer dran ist > Gespräch übergeben > Leitung tot
Szenario 2:
Interner Anruf nach Extern > Empfang nimmt ab > leitet weiter > Ansprechpartner nimmt ab > Er hört mich noch, ich ihn nicht mehr
Der Dienstleister meinte nun, es läge bestimmt an der Firewall (evtl. "Altlasten" o.ä.), sagte aber auch, dass die Konfiguration der Firewall in Ordnung sei. OK, Firewall platt gemacht, neueste Firmware (vorher v5.2.2) draufgepackt und die nötigen Einstellungen wieder vorgenommen. Leider hat dies nichts bewirkt. Der selbe Fehler tritt immer noch auf.
Hat jemand vielleicht schon ähnliche Erfahrungen gemacht? Oder habt ihr vielleicht Tipps, was ich noch unternehmen könnte?
Besten Dank schonmal und Gruss
Siglander
PS: sollte ich irgendwelche Angaben vergessen haben, fragt einfach nach.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 276972
Url: https://administrator.de/forum/weiterverbindungsprobleme-mit-aastra-mitel-470-und-fortigate-60d-276972.html
Ausgedruckt am: 10.01.2025 um 15:01 Uhr
13 Kommentare
Neuester Kommentar
Destination: XXX.XXX.XXX.XXX/23 (Server des Providers); Gateway: 192.168.1.1 (Router); Device: WAN2
Mmmhhh...anhand der Router IP sieht das so aus als ob hier eine Router Kaskade an der FW betrieben wird.D.h. am WAN 2 Port der FW hängt nicht direkt das Internet dran (Modem) wie es sinnvoll wäre, sondern noch ein kaskadierter NAT Router.
Die RFC 1918 IP des Router zeigt das dieser NAT (IP Adress Translation) macht. Ist dem so ?
Macht die FW auch NAT zum Voice Subnetz also 2 mal NAT hintereinander ?
Das wäre generell erstmal gesehen ein recht unglückliches Design denn NAT ist in der Regel tödlich für VoIP sofern man es nicht richtig customized. 2mal NAT dann umso tödlicher, denn durch die Random Port Selection bei SIP und RDP bleiben solche Ports so gut wie immer in der NAT Firewall hängen. Dein Fehlerbild lässt darauf schliessen.
Ist an dem Kaskadierten Router in bezug auf SIP oder UDP Port Forwarding irgendwas konfiguriert worden ? Wenn ja was ?
Deine Fehlerszenarien zeigen deutlich das du hier ein NAT Problem hast. Es ist dafür typisch wenn eine Hälfte die andere nicht hört.
Zu 98% ist der Fehler in einem falsch oder gar nicht customizten NAT des kaskadierten Routers bedingt. Hier musst du also Hand anlegen.
Sehr hilfreich ist hier der Wireshark der dir das Blocking benötigter Voice Ports sofort zeigt.
Leider ist deine Beschreibung hier recht rudimentär und oberflächlich, deshalb ist es sinnvoller du schilderst das nochmal im Detail bevor wir hier ins Eingemachte gehen.
Was sagt denn der Mitel Support zu dem Thema ?? Wäre auch wichtig zu wissen ?!
Salü zusammen
Du bist nicht per Zufall aus der Schweiz und dein Provider ist die Swisscom??
Falls ja, melde Dich beider Firma Boll Engeneering
Die Vertreiben die Fortigate in der Schweiz.
Hast du die Einstellung des Udp Timeouts auch auf 180 Sekunden oder höher hochgestellt?
Kann Dir sonst am Montag noch die Einstellungen die Wir eintragen durchgeben
Gruass Affabanana
Du bist nicht per Zufall aus der Schweiz und dein Provider ist die Swisscom??
Falls ja, melde Dich beider Firma Boll Engeneering
Die Vertreiben die Fortigate in der Schweiz.
Hast du die Einstellung des Udp Timeouts auch auf 180 Sekunden oder höher hochgestellt?
Kann Dir sonst am Montag noch die Einstellungen die Wir eintragen durchgeben
Gruass Affabanana
Da aber der Dienstleister das so eingerichtet hat, habe ich nicht weiter drüber nachgedacht - "wird ja wohl richtig sein".
Ein sehr fataler Denkfehler !Solange nicht abnehmen oder bezahlen bis das nicht gefixt ist. Das ist mit 2-3 simplen Port Forwarding einträgen im kaskadierten NAT Router erledigt....wenn man denn weiss was man macht ?!
Auf der Fortigate sind (erstmal) alle Ports offen, bzw. kein Portforwarding eingerichtet.
Das besagt leider gar nicht. Essentiell wäre die Benatwortung der Frage ob die FW hier auch NAT (IP Adress Translation) am Port macht ??Leider sagst du dazu rein gar nichts... Wäre aber wichtig zu wissen weil dann auch hier der NAT Prozess diese Ports blockt und nicht nur die inbound Firewall Regeln.
Hier lauern also 2 (zwei) Filter ! Wireshark wäre hier dein Freund !
Was auf dem Zyxel Router konfiguriert ist, weiss ich nicht, da ich den nicht konfiguriert habe.
Ist natürlich auch nicht zielführend !Das System ist ebenso wichtig wie die FW. Dadurch das das für dich ein "schwarzes Loch" ist fehlt die Konfig einer wichtigen Komponente !
Damit konterkarierst du die Sinnhaftigkeit des gesamten Threads hier, denn wie willst du das zielführend Troubleshooten wenn du diese Router Konfig nicht kennst ?
Dieser Router mit seinem nicht customizten NAT für VoIP ist vermutlich zu 98% die Wurzel all diesen Übels !!
Ja, die Fortigate macht ebenso NAT.
Das war zu vermuten und genau da im doppelten NAT in der Kaskade liegt auch dein Problem, denn SIP nutzt dynamische Port Ranges beim Sessionaufbau und ohne ein Port Forwarding auf dem kaskadierten NAT Router geht das dann nicht. ihm empfehlen, den Zyxel Router auf "durchzug" zu stellen.
Solltest du selber wissen das das einzig nur klappen kann wenn sich der Zyxel als reines NUR Modem konfigurieren lässt !! Siehe auch hier:Kopplung von 2 Routern am DSL Port
Lässt er das im Setup nicht zu, dann ist dieses Unterfangen technisch nicht möglich. Ohne NAT am Internet Router bräuchtest du dort ein weiteres öffentliches Subnetz was du niemals so bekommst vom Provider.
Sollte sich der Zyxel Router also NICHT als reines NUR Modem konfigurieren lassen, macht es dann mehr Sinn der Firewall das vollkommen überflüssige NAT abzugewöhnen und diese rein nur routen zu lassen OHNE das NAT.
Das wäre so oder so sinnvoller gleich von Anfang an gewesen in so einem technisch eher schlechtem Kaskade Design und eigentlich hätte es der Dienstleister auch wissen müssen, wäre er ein fachkundiger Dienstleister gewesen. Gerade im Hinblick auf VoIP ist NAT immer kritisch. Von doppeltem NAT mal gar nicht erst zu reden...
Dein Glück das das alles noch nicht abgenommen ist
Salü zusammen
Enter the following commands in FortiGate’s CLI:
reboot the device
Reopen CLI and enter the following commands – do not enter the text after //:
Hier ist meist 12 oder 13 als SIP zu suchen und zu Löschen.
Disable RTP processing as follows:
Das End ist das wichtigste bei den Befehlen
Somit sollte die Kommunikation zwischen Mittel 470 und der Swisscom ohne Probleme verlaufen.
Das Eigentliche Problem liegt bei der abartig missen Implementierung der Swisscom,
sowas mieses habe ich seit 8 Jahren bei keinem VoIP Provider mehr gesehen.
Sei Froh hast du eine Anständige PBX und keine Voicechannel Lösung mit SIP Telefonen.
Eigentlich Sollte man vom grössten Provider in der Schweiz ein wenig mehr erwarten.... (Schäm dich Swisscom)
PS: Wenn euer TelefonDienstleister alles richtig bestellt hat. Darfst Du auf dem DSL Business Internet Light gar kein PPPoE mehr haben.
Hier reicht IP Bridge. Auf der Fortjagte muss dann das WAN Interface nur noch auf DHCP eingestellt werden.
Was hier auch nicht geht: Fixe IP... geht einfach nicht. Dazu müsste man einen Business Internet Standard bestellen. Kostet halt wieder ein Vermögen.
So nebenher:
Habt ihr Digitale Telefone? oder schon IP Telefone?
EDITH Sagt: Bist du im Raum GR oder ST Galler Rheintal??
Enter the following commands in FortiGate’s CLI:
config system settings
set sip-helper disable
set sip-nat-trace disable
End
reboot the device
Reopen CLI and enter the following commands – do not enter the text after //:
Hier ist meist 12 oder 13 als SIP zu suchen und zu Löschen.
config system session-helper
show //locate the SIP entry, usually 12, but can vary.
delete 12 //or the number that you identified from the previous command.
End
Disable RTP processing as follows:
config voip profile
edit default
config sip
set rtp disable
End
Das End ist das wichtigste bei den Befehlen
Somit sollte die Kommunikation zwischen Mittel 470 und der Swisscom ohne Probleme verlaufen.
Das Eigentliche Problem liegt bei der abartig missen Implementierung der Swisscom,
sowas mieses habe ich seit 8 Jahren bei keinem VoIP Provider mehr gesehen.
Sei Froh hast du eine Anständige PBX und keine Voicechannel Lösung mit SIP Telefonen.
Eigentlich Sollte man vom grössten Provider in der Schweiz ein wenig mehr erwarten.... (Schäm dich Swisscom)
PS: Wenn euer TelefonDienstleister alles richtig bestellt hat. Darfst Du auf dem DSL Business Internet Light gar kein PPPoE mehr haben.
Hier reicht IP Bridge. Auf der Fortjagte muss dann das WAN Interface nur noch auf DHCP eingestellt werden.
Was hier auch nicht geht: Fixe IP... geht einfach nicht. Dazu müsste man einen Business Internet Standard bestellen. Kostet halt wieder ein Vermögen.
So nebenher:
Habt ihr Digitale Telefone? oder schon IP Telefone?
EDITH Sagt: Bist du im Raum GR oder ST Galler Rheintal??