Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 38 subscribers
  • Views 3826 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Voip Server Lastverteilung/Voip Server Load Balancing

chru
Hi, 

nachdem ich jetzt ca. 1,5 tage die Foren suche bemüht habe und doch leider nichts gefunden habe was mir weiter hilft habe ich mich heute einmal hier registriert um direkt zu fragen.

Wir haben hier seit Anfang der Woche zwei ASG120 bzw. wie sie jetzt heißen UTM120. Diese sollen die nächsten Tage ins Rechenzentrum geschafft werden und dort zwei alte Firewalls eines anderen Herstellers ersetzen. Dort (im RZ) haben wir drei Voip Server stehen von denen (mangels Lastverteilung in den bisherigen Firewalls) aktuell nur einer genutzt wird und die anderen quasi als Hotstandby dienen. 

Wir würden jetzt gerne (da die ASGs ja Lastverteilung unterstützen) diese auch für Voip nutzen.

Grundsätzliche Frage dazu: Ist das überhaupt möglich? bisher habe ich im Forum und in der Knowledgebase immer nur was von Webservern gelesen und bin daher ewas verunsichert da man in der Oberfläche frei definieren kann welcher Dienst(port) verwendet werden soll fürs Load Balancing.

Das Setup schaut etwa so aus: 

            /----- ISP ----\ 

           /                \

          /                  \

   ASG120-1 --- HA-Link --- ASG120-2

          \                  /

          /---------+--------\

         /          |         \

        /           |          \

     VoipSrv1    VoipSrv2    VoipSrv3


Die Server bekommen von einem externen Dienstleister die eingehenden Anrufe aus dem Telefonnetz also nicht von einer Telefonanlage/Telefon. Die IP(s) des Dienstleisters sind auch immer die selben wir hätten aber gerne das alle drei Server gleichermaßen mit Anrufen "belagert" werden. Ich vermute aus meinen bisherigen Recherchen dass ich dafür nur im Scheduler edit das Häckchen bei "Bindung" rausnehmen muss. Liege ich damit richtig?

Ich würde jetzt unsere externe IP als Virtuellen Server eintragen. Die drei Internen Voip Server als Reale Server und die für Voip genutzten Ports als Dienst(port).

Muss ich sonst noch was beachten bei der Einrichtung?

Im falle eines Ausfalls der ASG120-1 würde die ASG120-2 wie gewohnt durch die HA Einstellungen auch das Load Balancing übernehmen?

Viele Grüße
Christoph


This thread was automatically locked due to age.
  • 0
    Hm weis keiner was dazu?

    Viele Grüße
    Christoph
  • 0
    Hallo Christoph,

    UTM 120 (2GB) oder ASG 120 (1GB) ?  Version - 8.305 oder 9.002 ?

    Versuche zuerst mit 'Network Protection >> VoIP' : trage die drei Server in 'SIP-Client-Netzwerke' und die IP(s) des Dienstleisters in 'SIP-Servernetzwerke" ein.

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob,

    danke für Deine Antwort.

    laut Webinterface ASG120 Aufgedruckt auf den Geräten UTM120 laut Webinterfache 2GB RAM also würde ich behaupten UTM120. 
    Firmwareversion 8.305

    Ich bin gerade dabei mir mit ein paar Freeswitch VMs ein Testnetzwerk aufzubauen damit ich auch schön evaluieren kann ob das so klappt wie wir uns das hier vorstellen. Kann also sein das ich noch ein bisschen brauche bis ich das von Dir vorgeschlagene ausprobieren kann.

    macht die Network Protection >> VoIP schon loadbalancing? 
    Die Server sollen nur auf einer Externen IP per VoIP erreichbar sein. Muss ich dazu was besonderes außer den bisher bestehenden FW regeln und Portforwarding Regeln einrichten?

    Viele Grüße
    Christoph
  • 0 in reply to chru
    Hi Bob,

    also einen der simulierten Server habe ich jetzt zum laufen gebracht.

    1. Dnat Regel für Port 5060 von Ext IP auf interne Server IP
    2. Firewall Regel zum erlauben für Traffic von externer IP auf Server IP
    3. Netzwerk Sicherheit -> Voip aktiviert und als Server Netzwerk die Absender IP und als Client Netzwerk die IP vom internen Server rein.

    (ohne Voip Support ging zwar die Anruf Signalisierung aber es kamen keine Sprach Daten durch)

    Als nächstes werde ich versuchen ob und wie ich das mit dem Server Loadbalancing vereinbart bekommen. 
    Hast Du Schon vorab irgendwelche Tips für mich?

    viele grüße
    Christoph
  • 0 in reply to chru
    Hi,

    ich hab jetzt das Server Loadbalancing aktiviert und dort die externe IP sowie die internen (echten) Server konfiguriert. Dazu habe ich meine bestehenden DNAT Regeln deaktiviert und zusätzliche Firewall Regeln für SIP-Controll-Pakete von  auf  eingerichtet (ohne diese Regeln ging garnichts). 
    Prinzipell funktioniert alles nur bei egal welchem Gewichtungseinstellung (auch 0) wird immer der erste konfigurierte interne Voip Server angesprochen. Erst wenn ich diesen aus der Lastverteilung herausnehme kommt ein anderer (der neue erste) dran.

    Mache ich hier was verkehrt?

    Auch ein zweiter Anruf während einer bestehenden Voip Verbindung landet auf Server 1.

    Viele Grüße
    Christoph
  • 0
    Christof,

    Ich meine dass es mit Server Loadbalancing nicht gehen kann.  Hast Du es nur mit 3 (ohne 1 & 2) versucht?

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob,

    wenn ich im LoadBalancing die Server 1 & 2 rausschmeiße kriege ich beim Speichern folgende Meldung "At least two real servers are required.".

    Prinzipell läuft das LoadBalancing ja nur auf Port 5060 also den eingehenden Anruf Announce. Der Rest sollte dann via VoIP Handling funktionieren und tut das auch (Zumindest stelle ich mir das so vor das es so funktionieren müsste :-D).

    Nur macht das Balancing halt nix. Alle Anrufe landen immer direkt auf dem ersten konfigurierten Server.

    Viele Grüße
    Christoph
  • 0
    Ich wollte sagen nur #3 - ohne DNAT und Firewallregel.  Und ohne Server Loadbalancing.
    3. Netzwerk Sicherheit -> Voip aktiviert und als Server Netzwerk die Absender IP und als Client Netzwerk die IP vom internen Server rein.


    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi,

    jup dann geht garnix (Firewall dicht) soweit ich weis macht das VoIP Support im Router ja auch nur die Ports für die eigentlichen Audiodaten auf nicht die fürs ankündigen von SIP anrufen. Dafür war dann das DNAT und die Firewall Regel die ich eingerichtet hatte.

    viele Grüße
    Christoph

    p.s. grad nochmal nen Test Call gemacht und bin auf dem zweiten konfigurierten Server rausgekommen ... ich befürchte das LoadBalancing jagt die gleiche Absender IP innerhalb eines gewissen Zeitraums immer wieder auf den gleichen Server. kann man das verhalten irgendwie deaktivieren?

    -- edit --

    was mir grade aufgefallen ist was vielleicht nicht so rübergekommen ist. der externe server baut die sip verbindung zu unseren 3 servern auf daher musste ich auch (was ich noch nicht erwähnt hatte) unsere server als server und nicht als clients eintragen und wiederum den externen dienstleister server als client eintragen.
Unfiltered HTML