Probleme mit VOIP über SD-RED60

Hallo, 

ich muss mich mal an die Community wenden. Eventuell könnt ihr mir helfen. 

Wir verwenden in einer Firma die XG210 (SFOS 19.5.0 GA-Build197) Firewall und die externen Standorte sind über ein SD-RED60 angebunden. 
Die Client PCs basieren noch auf Windows 10 Pro, sind an einer Domäne und hängen direkt an der RED. Die RED vergibt die IP Adressen und alles ist gut erreichbar. 

Da wir die externen Standorte erst seit kurzem über die RED angebunden haben, haben vor alle PCs über eine VPN Einwahl teilgenommen (OpenVPN Client inkl. Konfig Datei von der Sophos). Dies funktionierte bzw. funktioniert sehr gut. 

Nun dachten wird, dass die RED eine gute erweiterung ist, zwecks Domändenanbindung etc. Gesagt getan und nun gibt es massive Probleme bei der Telefonie über VOIP. Der Server ist über eine interne IP (keine Cloud Telefonanlage) erreichbar. Die Software verbindet sich (3CX Phone) und die Leute können Telefonieren.

Zu verschiedenen Zeiten mitten am Tag bei der Arbeit passiert es, dass alle Clients die am Telefonieren sind gleichzeitig getrennt werden. Vermutlich nur nen kleiner Schluckauf oder sonstiges. Die Netzlaufwerke und die DCs sind weiterhin alle erreichbar. Die Telefonanlage bekommt die Trennung gar nicht mit und sperrt die Wiedereinwahl (Telefongespräch ist sowieso weg) für 5 Minuten, bis Sie merkt, dass der Client nicht mehr da ist. 

Im Log File ist nichts auffälliges (Trennung der Aussenstelle und Wiederaufbau, Änderung der Verschlüsselung oder sonstiges zu sehen). 
Mittels des OpenVPN Clienten der auch zur Sophos Connected, funktioniert dies den ganzen Tag ohne irgendwelche Probleme. 

Wir haben sowohl eine QOS Richtlinie, als auch die Priorisierung der VOIP ist in der Sophos aktiviert. 
Hat jemand schonmal so ein Phänomen gehabt und könnte mir sagen, wo man noch suchen kann. 

  • Hallo Markus.

    Wie sind die internen Firewall-Regeln konfiguriert? Gibt es eine extra Regel für die TK-Anlage die im internen oder in einem extra Telefonnetz steht? Ist die Firewall-Regel für die RED60 so konfiguriert das das es keine Kommunikationsprobleme zwischen TK-Anlage und RED60 gibt (siehe Protokoll).

    Steht die RED60 auf  Standard/Vereint, Standard/Geteilt oder Transparent/Geteilt ? Wird eine Tunnelkomprimierung verwendet? MTU steht auf 1440?

    Was mein Probleme in einem ähnlichen Szenario gelöst hat war -> Putty - >4. Device Console und folgende Befehle.

    1 Anpassung der Routen wie diese abgehandelt werden!

    system route_precedence set static vpn sdwan_policyroute

    2. IPS deaktivieren für SIP

    set ips sip_preproc disable

    3. SIP helper in der Sophos deaktivieren

    system system_modules sip unload

    4. UDP sip time out hochsetzen auf 150

    set advanced-firewall udp-timeout-stream 150 

    PS: mit der oberen Einstellung etwas vorsichtig sein, ich habe keine Probleme mit den SD-WAN Routen läuft wunderbar wenn die als letztes stehen. Könnte aber sein das die Konfiguration nicht zu deiner Sophos-Konfiguration passen.

    Viele liebe Grüße

    Patrick

  • Das liest sich, als wenn die bei der Initiierung eines ausgehenden Telefonats aufgemachten High-Ports wieder zu machen - damit wird natürlich jedes Telefont unterbrochen. Was sagt denn der Firewalltest der 3CX dazu?