Wie Voice-Pakete durchs VPN bekommen?
Hallo zusammen,
wir haben seit kurzem eine VPN-Telefonie im Einsatz von Swyx. Intern wird über eine Software auf dem Rechner miteinander kommuniziert, also Voice-over-IP. Wenn wir raustelefonieren läuft aber alles über ein physisches Gateway. Funktioniert auch alles soweit.
Nun soll es für Kollegen auch möglich sein, wenn Sie nicht im Büro sind damit zu telefonieren über VPN, aber hier scheitert es. Der Client der Software kann zwar eine Verbindung mit dem Voice-over-IP Server aufbauen und sogar jemanden anrufen, aber auf beiden Seiten hört man nichts, die Sprachpakete kommen nicht durch.
Die von Swyx konnten mir da nichts sagen, außer dass man die VPN-Einstellungen ändern müsste...
Für die VPN-Verbindung nutzen wir Windows Server 2003R2 64 Bit (Routing &RAS) mit folgenden Einstellungen:
PPTP
Allgemein:
Aktiviert als Router (LAN und bei Bedarf wählendes Routing
RAS-Server (aktiviert)
Sicherheit
Windows Authentifizierung
Authentifizierungsmethoden:
EAP
MS-CHAP v2
MS-CHAP
IP:
IP Routing (ist aktiviert)
IP-basierte RAS- und Verbindungen für Wählen bei Bedarf zulassen (ist aktiviert)
Broadcastnamensauflösung (ist aktiviert)
PPP:
Mehrfachverbindungen (aktiviert)
Dynamische Brandbreitensteuerung mit BAP oder BACP (ist aktiviert)
Link Control-Protokoll (LCP) Erweiterung (aktiviert)
Softwarekomprimierung (aktiviert)
Protokollierung:
Fehler und Warnungen
Jemand ne Idee was ich umstellen muss, damit die Voice Pakete durchkommen? Muss ich in der Firewall noch zusätzlich was freischalten??
wir haben seit kurzem eine VPN-Telefonie im Einsatz von Swyx. Intern wird über eine Software auf dem Rechner miteinander kommuniziert, also Voice-over-IP. Wenn wir raustelefonieren läuft aber alles über ein physisches Gateway. Funktioniert auch alles soweit.
Nun soll es für Kollegen auch möglich sein, wenn Sie nicht im Büro sind damit zu telefonieren über VPN, aber hier scheitert es. Der Client der Software kann zwar eine Verbindung mit dem Voice-over-IP Server aufbauen und sogar jemanden anrufen, aber auf beiden Seiten hört man nichts, die Sprachpakete kommen nicht durch.
Die von Swyx konnten mir da nichts sagen, außer dass man die VPN-Einstellungen ändern müsste...
Für die VPN-Verbindung nutzen wir Windows Server 2003R2 64 Bit (Routing &RAS) mit folgenden Einstellungen:
PPTP
Allgemein:
Aktiviert als Router (LAN und bei Bedarf wählendes Routing
RAS-Server (aktiviert)
Sicherheit
Windows Authentifizierung
Authentifizierungsmethoden:
EAP
MS-CHAP v2
MS-CHAP
IP:
IP Routing (ist aktiviert)
IP-basierte RAS- und Verbindungen für Wählen bei Bedarf zulassen (ist aktiviert)
Broadcastnamensauflösung (ist aktiviert)
PPP:
Mehrfachverbindungen (aktiviert)
Dynamische Brandbreitensteuerung mit BAP oder BACP (ist aktiviert)
Link Control-Protokoll (LCP) Erweiterung (aktiviert)
Softwarekomprimierung (aktiviert)
Protokollierung:
Fehler und Warnungen
Jemand ne Idee was ich umstellen muss, damit die Voice Pakete durchkommen? Muss ich in der Firewall noch zusätzlich was freischalten??
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 192524
Url: https://administrator.de/forum/wie-voice-pakete-durchs-vpn-bekommen-192524.html
Ausgedruckt am: 07.04.2025 um 10:04 Uhr
11 Kommentare
Neuester Kommentar
Hi Andreas,
An der Firewall kann es kaum liegen, da der VPN mit einem einzelnen Port durchkommt und die Firwall nicht in die PPTP-VPN Pakete schauen kann.
Aber du musst nachsehen, wo dein VPN endet:
Wenn er am Router endet, dann sollte es möglichst transparent laufen.
An einem Server ist nicht mehr gesichert, welchen Weg die Sprachpakete nehmen. Normalerweise gehen die bei der Swyx über den Swyx Server, der ja auch als Gateway dient.
Bei Swyx ist auch die gesammte Infrastruktur inkl. AD eingebunden.
Hier musst du mit Wireshark oder TCP-Dump sehen, ob neben dem Verbindungsaufbau von den bekannten IP-Adressen der VPN Teilnehemr auch weitere Pakete unverschlüsselt an der Swyx ankommen. Bei Standard-SIP kann man den Verbindungsaufbau lesen. Beim Swyx Protokoll ist der Verbindungsaufbau nochmals getunnelt und nicht weiter dokumentiert. Die VoIP UDP Pakete sind aber zu sehen.
Hilfreich ist bestimmt auch eine Aufzeichnung am VPN Endgerät (Außendienst-PC) ob der Swyx Client wirklich nur mit der Swyx spricht.
Gruß
Netman
An der Firewall kann es kaum liegen, da der VPN mit einem einzelnen Port durchkommt und die Firwall nicht in die PPTP-VPN Pakete schauen kann.
Aber du musst nachsehen, wo dein VPN endet:
Wenn er am Router endet, dann sollte es möglichst transparent laufen.
An einem Server ist nicht mehr gesichert, welchen Weg die Sprachpakete nehmen. Normalerweise gehen die bei der Swyx über den Swyx Server, der ja auch als Gateway dient.
Bei Swyx ist auch die gesammte Infrastruktur inkl. AD eingebunden.
Hier musst du mit Wireshark oder TCP-Dump sehen, ob neben dem Verbindungsaufbau von den bekannten IP-Adressen der VPN Teilnehemr auch weitere Pakete unverschlüsselt an der Swyx ankommen. Bei Standard-SIP kann man den Verbindungsaufbau lesen. Beim Swyx Protokoll ist der Verbindungsaufbau nochmals getunnelt und nicht weiter dokumentiert. Die VoIP UDP Pakete sind aber zu sehen.
Hilfreich ist bestimmt auch eine Aufzeichnung am VPN Endgerät (Außendienst-PC) ob der Swyx Client wirklich nur mit der Swyx spricht.
Gruß
Netman
RTP ist das Voice Paket. G711 ist das Standard ISDN Protokoll mit MOS4.2 und unkomprimiert.
Aber die Verbindung wird nicht über das RTP Paket aufgebaut.
Dafür sind ander Pakete zuständig.
Wo wurde aufgezeichnet?
Hat der VPN Client sich auch aus dem Netz raus gewählt und in das andere Netz rein? Er ist ja immer noch lokal. Ein VPN hat ein lokales Netz und geht dann in ein Transportnetz umd dann wieder in einem anderen lokalen Netz anzukommen.
Gruß
Netman
Aber die Verbindung wird nicht über das RTP Paket aufgebaut.
Dafür sind ander Pakete zuständig.
Wo wurde aufgezeichnet?
Hat der VPN Client sich auch aus dem Netz raus gewählt und in das andere Netz rein? Er ist ja immer noch lokal. Ein VPN hat ein lokales Netz und geht dann in ein Transportnetz umd dann wieder in einem anderen lokalen Netz anzukommen.
Gruß
Netman
Danke für die Infos! War auch neu für mich.
Hier noch ein Blog, der euch interessieren dürfte http://www.internetanschluss-ohne-telefon.net
Hier noch ein Blog, der euch interessieren dürfte http://www.internetanschluss-ohne-telefon.net
Der Verbindungsaufbau wird mit SIP gemacht und die Voice Daten werden mit RTP (was UDP benutzt) transportiert.
Generell kann RTP prtoblemlos über ein VPN übertragen werden, das ist kein Hinterungsgrund wie ein identisch funktionierendes Voice Netzwerk bei marinux oben ja eindeutig zeigt.
Dadurch das SIP funktioniert also der Verbindungsaufbau (Klingeln usw.) aber kein TON durchkommt kann es also nur am RTP Transport liegen.
Klassische Fehler bei RTP ist oft das das über NAT geschickt wird was RTP wegen seiner dynmaischen Port Aushandlung nicht supportet es sei denn der Voice Server supportet STUN (Simple Traverse of UDP via NAT).
Du solltest also tunlichst mal checken ob irgendwo im VPN NAT gemacht wird.
Ein 2ter Fehler ist die lokale Firewall die ggf. IPs aus Fremdnetzen blockt also hier auch mal genau die Firewall Einstellungen der lokalen FW checken !
Übrugens...
Was das Thema PPTP VPN anbetrift solltest du besser das hier mal genau lesen:
http://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...
Eigentlich viel schlimmer als das Voice Problem.
Um das zu fixen solltest du mal den sehr berechtigten Einwand vom Kollegen ArchStanton beachten.
Ein VPN gehört auf eine Firewall oder Router. Vielleicht eine Anregung sofern du das PPTP mal in IPsec oder SSL umwandelst.
Generell kann RTP prtoblemlos über ein VPN übertragen werden, das ist kein Hinterungsgrund wie ein identisch funktionierendes Voice Netzwerk bei marinux oben ja eindeutig zeigt.
Dadurch das SIP funktioniert also der Verbindungsaufbau (Klingeln usw.) aber kein TON durchkommt kann es also nur am RTP Transport liegen.
Klassische Fehler bei RTP ist oft das das über NAT geschickt wird was RTP wegen seiner dynmaischen Port Aushandlung nicht supportet es sei denn der Voice Server supportet STUN (Simple Traverse of UDP via NAT).
Du solltest also tunlichst mal checken ob irgendwo im VPN NAT gemacht wird.
Ein 2ter Fehler ist die lokale Firewall die ggf. IPs aus Fremdnetzen blockt also hier auch mal genau die Firewall Einstellungen der lokalen FW checken !
Übrugens...
Was das Thema PPTP VPN anbetrift solltest du besser das hier mal genau lesen:
http://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...
Eigentlich viel schlimmer als das Voice Problem.
Um das zu fixen solltest du mal den sehr berechtigten Einwand vom Kollegen ArchStanton beachten.
Ein VPN gehört auf eine Firewall oder Router. Vielleicht eine Anregung sofern du das PPTP mal in IPsec oder SSL umwandelst.