Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 9 subscribers
  • Views 2435 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UDP Nat Timeout - RED20

Patrick Neumann

Hallo,

aufgrund massiver Probleme mit VOIP/Anmeldung Voip Geräte - habe ich mit diesem Befehl " set advanced-firewall udp-timeout-stream 180" den UDP Nat Timeout auf 180s gesetzt. Sophos XGS XGS116 (SFOS 19.5.1 MR-1-Build278)

Das Problem war damit in der Zentrale gelöst.


In der Nebenstelle Arbeitet eine RED20 Standard/Split. Hier besteht leider noch das Problem. Was muss ich machen, damit der angepasste Timeout auch für die Nebenstelle funktioniert?

Es bestehen 2 Regel

RED to Local LAN -> Any Any ohne Filter

Local Lan to RED -> Any Any ohne Filter



This thread was automatically locked due to age.
Parents
  • 0

    Für das RED sind mir solche Einstellungen nicht bekannt.

    Das betrifft ja eigentlich das Connection Tracking/Handling in der Firewall.

    Geht es um UDP/VoIP Verbindungen ins eigene LAN, oder gehen die Geräte hinter dem Split-RED mit der VOIP Verbindung/Traffic ins Internet?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Schönen guten Morgen Patrick,

    Ich würde den UPD-Time out nicht über 150 betreiben (Erfahrungswert), auch wenn er bis 300 geht, finde ich 180 schon recht viel! Ist der Timeout zu hoch kann es auch zu Problemen führen. Das wird aber nicht für dein Problem verantwortlich sein. Ich schreibe dir einfach mal wie ich es konfiguriert habe vielleicht hilft es die ja weiter. Wenn jemand mehr weiß über das Thema, freue mich auch dazu zu lernen.

    1 Putty -> Device Console

    Routen anpassen in welcher Rheinfolge diese abgearbeitet werden
    system route_precedence set static vpn sdwan_policyroute

    UDP Timeout anpassen
    set advanced-firewall udp-timeout-stream 150

    Sip-Helper deaktivieren!
    system system_modules sip unload

    IPS für Sip deaktivieren
    set ips sip_preproc disable

    PS: Prüfe bitte beim umstellen der Routen Rheinfolge innerhalb deiner Konfiguration ob etwas dagegen spricht.

    So habe ich das X-Fach am laufen mit Agfeo/Siemens oder Auerswald Telefonanlagen, ohne Probleme.

     

    Das ist eine recht offene Konfiguration, geht natürlich noch granularer.

     

    Viele Grüße

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • 0 in reply to Patrick81

    Guten morgen zusammen,

    Dirk:

    Die VOIP Telefone laufen an sich. Cloud TK Server. Daher müssten die VOIP Geräte in der Außenstelle direkt ins Internet gehen.
    Dann gibt es vor Ort noch "cisco phone adapter" das sind Analog Ip Wandler. Diese haben Probleme sich bei der TK Anlage zu registrieren.

    Das Problem bestand vorher auch in der Zentrale. Nachdem ich den "set advanced-firewall udp-timeout-stream" auf 180 (Empfehlung des Anbieters) gesetzt hatte, war das Problem sofort gelöst in der Zentrale, aber noch nicht in der Außenstelle.

    Daher dachte ich, muss das auf der RED auch eingestellt werden.

    Patrick:
    Hallo Namensfetter Slight smile

    Die besagten Einstellungen in der Console habe ich bereits gesetzt. Die Einstellungen schauen bei mir genauso aus. Nur bei der RED habe ich keine eigene sondern die LAN Zone ausgewählt.

    Firewall Regel wie oben geschrieben.

  • 0 in reply to Patrick Neumann

    Ok entschuldige, ich sollte auch richtig lesen, ich dachte hier geht es um eine onpremise TK-Anlage. Was passiert wenn du den Analog zum VoIP Wandler direkt mit dem Internet verbindest? Vor der RED20 gibt es sicherlich einen Router. Oder hast du mal zum testen den gesamten Internetverkehr durch die RED geschoben, was passiert dann? 

    Grüße

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

Reply
  • 0 in reply to Patrick Neumann

    Ok entschuldige, ich sollte auch richtig lesen, ich dachte hier geht es um eine onpremise TK-Anlage. Was passiert wenn du den Analog zum VoIP Wandler direkt mit dem Internet verbindest? Vor der RED20 gibt es sicherlich einen Router. Oder hast du mal zum testen den gesamten Internetverkehr durch die RED geschoben, was passiert dann? 

    Grüße

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

Children
  • 0 in reply to Patrick81

    Das ist eine berechtigte frage. Das werde ich mal testen wenn ich vor Ort bin. Generell müsste es in der Konstellation vor Ort so möglich sein. 
    Vorher hing ein anderer Router (Speedport als Modem)  mit einem anderen VPN Gateway (Meraki Z1 mit PPPOE Einwahl) dran, da hatte es funktioniert.

Unfiltered HTML