This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPSec Verbindung zweier Standorte Probleme IP Telefonie

Hallo zusammen,

Ich habe Probleme bzgl der Voip Telefonie in unserer Zweigstelle.

Folgender Aufbau:

Standort A  (Sophos XG310 SFOS 17.5.12 MR-12.HF062020.1) mit TK-Anlage ist per IPSec VPN mit Standort B ((XG135 (SFOS 18.0.5 MR-5-Build586)) verbunden.

An Standort B sind IP-Telefone installiert und erfolgreich verbunden.

Es werden am Display der Telefone ganz normal die Standardinformationen wie Uhrzeit, Rufnummer, Datum etc angezeigt.

Auch Telefonate können ein- und ausgehend geführt werden.

Regelmäßig jedoch haben wir das Problem, dass Gespräche einfach abbrechen, die Leitung ist quasi "tot".

Während des Ausfalls jedoch ist der VPN Tunnel weiterhin aufgebaut.

Um das Gespräch erneut aufzubauen muss eine Wartezeit von ein paar Sekunden in Kauf genommen werden.

Merkwürdig ist, dass diese Abbrüche nicht nachstellbar sind, mal können minutenlange Telefonate geführt werden, mal brechen sie nach einigen Sekunden ab.

Deshalb wäre meine Frage, ob man Optimierungen an den Sophos Firewalls an beiden Standorten vornehmen kann/muss um den Fehler eventuell eingrenzen oder im idealen Fall beheben zu können.

Nach Rücksprache mit dem TK Vertreiber sieht er kein Fehler in der Anlage oder an den Telefonen.

Auch ein weiterer Standort C hat keine Probleme, dort ist jedoch der Tunnel über eine RED realisiert (Dies war bei Standort B auch mal der Fall, dort gab es ebenfalls keine Fehler).

 

Ich bedanke mich schonmal für die Unterstützung



Added TAGs
[edited by: Erick Jan at 7:36 AM (GMT -7) on 29 May 2023]
Parents
  • Prüfe mal, ob auf TCP o. UDP Flood Protection ein Counter hoch zählt.

    Fliegen in dem Fall alle Telefonate weg, oder funktionieren einige weiterhin?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Hallo dirkkotte,

    Danke für die Antwort.

    Der Counter zählt nicht hoch. 

    Ob in dem Moment alle Telefonate die aktiv sind wegbrechen ist schwer zu sagen. Wir sind ein relativ kleiner Standort, Parallelgespräche finden also sehr selten mal statt. Ich tendiere aber eher in die Richtung nein.

    Ich selber habe in der Console testweise mal alle Helper deaktiviert. Bei deaktiviertem SiP und H323 wird keine Sprache mehr übertragen und empfangen, diese also wieder aktiviert. Zusätzlich habe ich den Timeout UDP höher gesetzt und beobachte nun mal weiter.

  • Ich setzte immer diese beiden Werte:

    set advanced-firewall udp-timeout-stream 150
    set ips sip_preproc disable

    Das ist hier dokumentiert:
    Resolve common VoIP issues (sophos.com)

    Damit habe ich auf XGs mit 18/18.5 keine Probleme bei VoIP.

    If a post solves your question please use the 'Verify Answer' button.

  • Hallo Ben,

    Danke für die Info, ich werde es umsetzen und beobachten.

    Edit: Leider hat die Einstellung nicht geholfen. Soeben wieder mehrere Abbrüche innerhalb kurzer Zeit

  • Edit: Leider hat die Einstellung nicht geholfen. Soeben wieder mehrere Abbrüche innerhalb kurzer Zeit

  • Hallo,

    bitte prüfe die MTU-Größen an deinen Anschlüssen.

    Sollte es damit nicht zusammenhängen, würde ich aber auch in Richtung IPS suchen.

    Die Firewallregeln sind korrekt und auch QoS ist eingerichtet?

    DSCP Markierung ist hinterlegt?

    Warum hat die FW A eine so alte Firmware?

  • Guten Morgen TechSmile,

    Ich habe jeweils auf beiden Firewalls eine eigene Regel für VOIP eingerichtet:

    Netz Standort B zu Netz Standort A--> TK Anlage --> alle Dienste mit VoiP Garantie und umgekehrt.

    An der Firewall in Standort A entsprechend umgekehrt:

    TK-Anlage --> Standort B --> Alle Dienste mit VoIP Garantie--> Quelladrasse umschreiben Maskierung mit Standard IP MASQ

    IPS ist nicht akiviert.

    Bzgl des Firmwarestandes:

    Das stimmt, das sollte auch zeitnah angehoben werden, hatte jedoch bei einem anderen Standort Probleme beim Upgrade, deshalb erst einmal verschoben.

    Überlege auch testweise bei einem Kollegen eine im Hause separat eine RED zu schalten um das ganze nochmal eingrenzen zu können.

Reply
  • Guten Morgen TechSmile,

    Ich habe jeweils auf beiden Firewalls eine eigene Regel für VOIP eingerichtet:

    Netz Standort B zu Netz Standort A--> TK Anlage --> alle Dienste mit VoiP Garantie und umgekehrt.

    An der Firewall in Standort A entsprechend umgekehrt:

    TK-Anlage --> Standort B --> Alle Dienste mit VoIP Garantie--> Quelladrasse umschreiben Maskierung mit Standard IP MASQ

    IPS ist nicht akiviert.

    Bzgl des Firmwarestandes:

    Das stimmt, das sollte auch zeitnah angehoben werden, hatte jedoch bei einem anderen Standort Probleme beim Upgrade, deshalb erst einmal verschoben.

    Überlege auch testweise bei einem Kollegen eine im Hause separat eine RED zu schalten um das ganze nochmal eingrenzen zu können.

Children
  • Probiere mal: set vpn conn-remove-tunnel-up disable

    Danach überprüfe die DOS Protection, ob es zu UDP Drops gibt. 

    __________________________________________________________________________________________________________________

  • Hallo,

    kann ein Problem mit der MTU-Größe ausgeschlossen werden?
    Sieht für mich zumindest stark danach aus.

    Wie sieht es testweise mit einer Any-Any Regel aus? Wurde entsprechend nach Vorgabe eures TK-Anbieters konfiguriert?

    Auch hier wird was die DSCP-Markierung betrifft variiert.

  • Guten Morgen,

    entschuldige für die etwas späte Rückmeldung.

    Die TK Anlage in Standort A darf ohne Einschränkungen ins WAN kommunizieren.

    Die MTU steht auf der Sophos an Standort B auf dem Standardwert 1500.

    Ich musste heute notgedrungen die VPN Leitung auf die alte, langsame 16Mbit Leitung aufgrund von Störungen wechseln.

    Dort sind genau die selben Fehler zu beobachten. Also wird es nicht am Provider/Anschluss liegen?

    An der 2. Leitung ist auch eine MTU von 1500 eingetragen (Standardwert)

  • Guten Morgen, habe den Befehl umgesetzt... Leider weiterhin Abbrüche

  • Sollte es ein DSL Anschluss sein, ist die MTU-Größe 1492 aufgrund von PPoE.

  • Guten Morgen,

    So ich habe glaube das Problem gefunden. Weiterhin läuft die IPSec Verbindung über den langsamen 16MBit Anschluss (Ja ist DSL) anstatt dem Glasfaser. Dort wurde gestern ein neues Glasfasermodem installiert und der Router ist nun per LAN Kabel anstatt Glasfaserkabel (über ein SFP Modul) mit diesem verbunden. Sollten die Abstürze dieser Leitung nun behoben sein werde ich wieder switchen, beobachte dies noch etwas.

    An Standort A habe ich die Maskierung der Regel ausgeschalten:

    VPN--> Alle--> LAN--> TK-Anlage --> Alle Dienste erlauben--> Maskierung aus.

    Dies scheint zu fruchten. Seit 3 Tagen konnte ich keine Abstürze feststellen.

    Bzgl des MTUS. Welchen Wert sollte ich dann bei der Glasfaserverbindung einstellen? Dort sind ja auch die 1500 als Standard.