Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Fritzbox Telefonanlage - VOIP Probleme

Hallo zusammen,

Ich habe eine FritzBox im Betrieb und dahinter eine Sophos XG125.

Die einzigen Funktionen, die die FritzBox abdecken muss ist das Bereitstellten der Internetverbindung und VOIP. Die Sophos ist in der Fritzbox als exposed Host konfiguriert und alle Netzwerkgeräte hängen im Netzwerk das die Sophos bereitstellt. Sollte auch funktionieren, zumindest VPN Verbindungen werden problemlos aufgebaut. Als NAT Regeln in der Sophos ist lediglich die default SNAT Regel hinterlegt. 


Das VOIP selbst an der Fritzbox funktioniert wenn man ein DECT Gerät benutzt. Benutze ich jedoch ein Smartphone oder einen PC, der im Netzwerk der Sophos hängt, gibt es Probleme. Die Verbindung wird aufgebaut und ausgehende Anrufe gehen raus. Man hört jedoch weder mich noch die Gegenstelle. Eingehende Anrufe kommen bei Geräten hinter der Sophos gar nicht an. 

Das Fehlerbild ist 1:1 wie hier: https://forum.opnsense.org/index.php?topic=22820.0

Ich hätte schon probiert das Ganze an der Sophos nachzubilden, aber entweder habe ich hier einen Fehler drin oder es funktioniert so schlicht und ergreifend nicht.


Hat jemand eine Idee wie man das Problem lösen kann ?

VG Hafenmeister



This thread was automatically locked due to age.
Parents
  • Der Log-Viewer sollte Informationen geben, wen etwas geblockt wird. (wenn logging in den Rules aktiviert ist/wird)

    Spannend wäre Folgendes:

    - wird für die Signalisierung SIP oder SIP-ssl verwendet (Port 5060 oder 5061)

    - welche Ziel-Adressen und Ports verwenden die RTP-Verbindungen (das sind dann die Sprech-/Hör-Verbindungen)

    Hintergrund: für SIP (ohne SSL) hat die Firewall einen SIP-Helper. Dieser erkennt und genehmigt die RTP-Verbindungen, welche dynamische High-Ports verwenden und in Regelwerken für Firewall & NAT schwer zu erfassen sind.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Reply
  • Der Log-Viewer sollte Informationen geben, wen etwas geblockt wird. (wenn logging in den Rules aktiviert ist/wird)

    Spannend wäre Folgendes:

    - wird für die Signalisierung SIP oder SIP-ssl verwendet (Port 5060 oder 5061)

    - welche Ziel-Adressen und Ports verwenden die RTP-Verbindungen (das sind dann die Sprech-/Hör-Verbindungen)

    Hintergrund: für SIP (ohne SSL) hat die Firewall einen SIP-Helper. Dieser erkennt und genehmigt die RTP-Verbindungen, welche dynamische High-Ports verwenden und in Regelwerken für Firewall & NAT schwer zu erfassen sind.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

Children
  • Hallo,

    Danke für die schnelle Antwort.
    Hab die Logs durchgesehen. Wenn ich einen Anruf vom Smartphone oder PC aufbaue über die FritzBox bekomme ich keinen Traffic geblockt. Da zeigt er nichts an. Ich sehe vereinzelt Traffic mit Destination Port 5060, der wird aber erlaubt. 

    Bei meinem Test eben zeigt er mir z.B. an dass sich das Smartphone mit IP 192.168.111.122 zur Fritzbox mit IP 192.168.11.1 verbinden will, SRC Port 54214, Dst Port 5060, blockiert wurde dabei nichts. 

    RTP-Verbindung läuft soweit ich weiß über Ports 7078-7110. Hier seh ich auch die entsprechenden Verbindungen in der Firewall vom PC zur Fritzbox. Wurden nicht blockiert. 

    1192.168.111.29 zu Fritzbox mit 192.168.11.1, SRC Port 4004/4006/4008/4010, Destination Port 7078

    Die Sophos blockiert nichts, die Fritzbox kann aufgrund der Maskierung nur nichts mit den Daten anfangen. 

    _______________________________________

    Das doppelte NAT ist das Problem.
    Wenn ich die SNAT Regel außen vor lasse und stattdessen eine statische Route an der FritzBox einrichte läufts. Hmmm, stellt mich auch nicht richtig zufrieden Smiley

  • Na du kannst ja das SNAT auch nur weglassen, wenn es zur FB geht und alles andere maskieren.

    Wäre doch OK, oder nicht? 


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.