VoIP per FritzBox hinter ASG

Hallo,
sock-proxy und IPS geändert?
schau mal hier
https://community.sophos.com/products/unified-threat-management/astaroorg/f/68/t/59157

Gruß
Andreas

Servus,

also ich weiß nicht ob ich mich damit jetzt unbeliebt mache bei der SIP-Proxy-Fraktion oder ein riesen Scheunentor auf der Astaro aufgemacht hab, aber zumindest habe ich eine Lösung gefunden ...

Mein Schwager hat seine 7270 hinter der Astaro hängen und dort werden ihm die Ports 7070-7089 (schätzungsweise, da random im bestimmten Bereich) geblockt.
Hatte schon öfter einen DNAT gesehen, der aber nicht hilft und im Endeffekt auch sinnlos ist, wenn die Fritz!Box hinter der Astaro hängt.

Lange Rede kurzer Sinn:
Normalerweise sieht die Regel ja folgendermaßen aus:

Name:
Type of Definition:
Destination Port:
Source Port: 1:65535
Comment:

Problem hierbei ist aber, dass die geblockten 70XX Ports keine Destination Ports, sondern Source Ports sind.
Was habe ich also getan? 2 Regeln erstellt:

1.
Name: KDG VoIP
Type of Definition: UDP
Destination Port: 7070:7099
Source Port: 1:65535

2.
Name: KDG VoIP Reverse
Type of Definition: UDP
Destination Port: 1:65535
Source Port: 7070:7099

Et voilà ... es funktioniert tadellos und zwar ohne DNAT o.ä.
Es war klar, dass es kein NAT Problem, sondern nur ein PF Problem sein konnte, denn wie viele geschrieben haben geht es mit der "Internal -> Any -> Any" Regel ja wunderbar.

Also wenn keiner Sicherheitsbedenken hat, dann ist dies wohl die beste Lösung, wenn man keinen SIP-Proxy nutzen kann oder will.

Hoffe ich konnte helfen.
Gruß Corain

[Edit:]
Kann natürlich sein, dass Dein VoIP Anbieter andere Ports nutzt. Schau Dir einfach mal das LiveLog von der Firewall an wenn Du versuchst anzurufen und schau welche Ports auf der linken Seite geblockt werden.
Viel Spaß :-D

Servus,

also ich weiß nicht ob ich mich damit jetzt unbeliebt mache bei der SIP-Proxy-Fraktion oder ein riesen Scheunentor auf der Astaro aufgemacht hab, aber zumindest habe ich eine Lösung gefunden ...

Mein Schwager hat seine 7270 hinter der Astaro hängen und dort werden ihm die Ports 7070-7089 (schätzungsweise, da random im bestimmten Bereich) geblockt.
Hatte schon öfter einen DNAT gesehen, der aber nicht hilft und im Endeffekt auch sinnlos ist, wenn die Fritz!Box hinter der Astaro hängt.

Lange Rede kurzer Sinn:
Normalerweise sieht die Regel ja folgendermaßen aus:

Name:
Type of Definition:
Destination Port:
Source Port: 1:65535
Comment:

Problem hierbei ist aber, dass die geblockten 70XX Ports keine Destination Ports, sondern Source Ports sind.
Was habe ich also getan? 2 Regeln erstellt:

1.
Name: KDG VoIP
Type of Definition: UDP
Destination Port: 7070:7099
Source Port: 1:65535

2.
Name: KDG VoIP Reverse
Type of Definition: UDP
Destination Port: 1:65535
Source Port: 7070:7099

Et voilà ... es funktioniert tadellos und zwar ohne DNAT o.ä.
Es war klar, dass es kein NAT Problem, sondern nur ein PF Problem sein konnte, denn wie viele geschrieben haben geht es mit der "Internal -> Any -> Any" Regel ja wunderbar.

Also wenn keiner Sicherheitsbedenken hat, dann ist dies wohl die beste Lösung, wenn man keinen SIP-Proxy nutzen kann oder will.

Hoffe ich konnte helfen.
Gruß Corain

[Edit:]
Kann natürlich sein, dass Dein VoIP Anbieter andere Ports nutzt. Schau Dir einfach mal das LiveLog von der Firewall an wenn Du versuchst anzurufen und schau welche Ports auf der linken Seite geblockt werden.
Viel Spaß :-D