Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SIP will nicht - ansitel hinter XG 18.5 am CompanyCnnect-Anschluss

Hallo Mitstreiter und Experten,

ich habe aktuell das Problem, dass wir eine ansitel SIP-Anlage im internen Netzwerk nicht zum Laufen bekommen. Nun ist es so, dass garantiert wieder der Fehler im Detail steckt, ich find ihn aber nicht - es ist zum Haare raufen.

Aufbau: Telekom CompanyConnect mit eingerichteten Nummern im BusinessPortal -> WAN-Port XG Firewall, SW18.5.3-> LAN 192.168.10.x -> LAN-Port Ansitel 192.168.10.240 

- Ansitel als Host mit deren festen IP 192.168.10.240 eingerichtet

- unter Services bereits alle notwendigen Ports für die Telekom angelegt 

Telekom SIP hinter Firewall

  • UDP (out): Ports 5060, 30000-31000, 40000-41000, 3478, 3479.
  • UDP (in): Ports 5070, 5080, 30000-31000, 40000-41000.
  • TCP (out): Port 80, 443 + Port 65002.

Dann den DNAT-Assistenten bemüht, dort die Ansitel als Host ausgewählt, den Port 4 (WAN) als externe Quelle festgelegt, zum Test mal alle Services zugelassen .

SIP-ALG/Helper der Sophos ist auch aus.

Was nun/woran kann es liegen?
Danke vorab für sachdienliche Hinweise!



This thread was automatically locked due to age.
Parents
  • Hallo Sebastian,
    weiter unten läuft eine ähnliche Diskussionen. Vielleicht löst es ja dein Problem? Ich lese öfter mal das DNAT Regeln für TK-Anlagen erstellt werden. Ich weiß nicht wie deine TK-Anlage arbeitet die du hast, ich baue nur Auerswald und Agfeo AS/ES Anlagen in einer Range von 5 - 100 Teilnehmern. Alle 3 Anlagen verwenden kein Dynamisches RTP, sondern symmetrisches RTP. Daher sind auch keine DNAT Regeln notwendig. Prüfe mal ob deine Anlage Dynamisches RTP oder symmetrisches RTP verwendet. bei allem anderen würde ich dich bitten die Post weiter untern zu lesen, ich möchte nicht immer alles neu schreiben.

    Mir ist dran gelegen anderen hier zu helfen, weil ich hier auch schon oft Hilfe bekommen habe. Falls dir die anderen Post nicht weiterhelfen, versuche ich gerne mit zu helfen dein Problem zu lösen.

     Telefonanlage hinter Sophos XGS 

    Beste Grüße

    Patrick

    Nachtrag:

    Ist diese Funktion an oder aus? Ich frage "Blöd" weil ich die TK-Anlage nicht wirklich kenne.

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • Hallo Patrick,

    danke für Deine schnelle Reaktion. Ich hab bisher alle Möglichkeiten durchgespielt. Der Witz ist, dass die „Leitung“ sauber registriert ist, egal wie man es einrichtet.

    Nehme ich sämtliches NATing raus und schalte die Direct Funktion ein, dann kommt der Ruf zumindest mal irgendwie ins Netz, wird aber ohne Signalisierung nach 1,5 Sekunden abgeworfen. Sprich an der Ansitel kommt er nicht an.

    NATing ein, Ansitel auf Direct und NAT angehakt - „Teilnehmer nicht erreichbar“.

    NATing ein, Direct aus und NAT angehakt - Ruf wird nach 1,5 Sekunden abgeworfen.

    Es sind nun schon sämtliche Firewallregeln durchgespielt worden, was Ports und Ziele angeht und (weggucken) auch bei Any-Any kein Erfolg!

    In den Webprotection-Regeln ist auch die companyflex.de - Domain in den Ausnahmen.
    Ich find einfach den Knackpunkt nicht.

    Hinter nem normalen Router (Fritte/Speedport) läuft die Anlage ohne Direct- und NAT-Auswahl sofort.

    Ähnliche Kopfstände hatten ich anfangs bei meinen ersten 3CX Anlagen auch durch, aber irgendwann weiß man wie.
    Das waren aber noch die alten SIP-Trunks und “einfachen IP-Geschäftsanschlüsse“.

    Ich bin ratlos und mittlerweile ein wenig verwirrt.
    Dennoch werde ich am WE mal noch ein anders geartetes Endgerät und nen Smart4 als Modem dranhängen. Vielleicht hilft das ja!

Reply
  • Hallo Patrick,

    danke für Deine schnelle Reaktion. Ich hab bisher alle Möglichkeiten durchgespielt. Der Witz ist, dass die „Leitung“ sauber registriert ist, egal wie man es einrichtet.

    Nehme ich sämtliches NATing raus und schalte die Direct Funktion ein, dann kommt der Ruf zumindest mal irgendwie ins Netz, wird aber ohne Signalisierung nach 1,5 Sekunden abgeworfen. Sprich an der Ansitel kommt er nicht an.

    NATing ein, Ansitel auf Direct und NAT angehakt - „Teilnehmer nicht erreichbar“.

    NATing ein, Direct aus und NAT angehakt - Ruf wird nach 1,5 Sekunden abgeworfen.

    Es sind nun schon sämtliche Firewallregeln durchgespielt worden, was Ports und Ziele angeht und (weggucken) auch bei Any-Any kein Erfolg!

    In den Webprotection-Regeln ist auch die companyflex.de - Domain in den Ausnahmen.
    Ich find einfach den Knackpunkt nicht.

    Hinter nem normalen Router (Fritte/Speedport) läuft die Anlage ohne Direct- und NAT-Auswahl sofort.

    Ähnliche Kopfstände hatten ich anfangs bei meinen ersten 3CX Anlagen auch durch, aber irgendwann weiß man wie.
    Das waren aber noch die alten SIP-Trunks und “einfachen IP-Geschäftsanschlüsse“.

    Ich bin ratlos und mittlerweile ein wenig verwirrt.
    Dennoch werde ich am WE mal noch ein anders geartetes Endgerät und nen Smart4 als Modem dranhängen. Vielleicht hilft das ja!

Children
  • Schönen guten Morgen Sebastian,

    das ist wirklich äußerst seltsam. Also bei nur einem Internet-Anschluss, mit einer default SNAT Regel, finde ich das Verhalten grade auch nicht so ganz nach vollziehbar. Ich weiß nicht wie komplex die Sophos von den Regeln her bei dir aufgesetzt ist.

    Falls es den Kunden nicht in seinem Betrieb stört. Kannst du mal eine Firewall Regel erstellen, die ganz oben steht? Diese dann wirklich auf any -> any stellen? Ich bin grade etwas vorsichtig mit meiner Aussage, weil ich es echt nicht kenne Eingehende DNAT Regeln für eine TK zu erstellen. Aber was passiert, wenn du zum testen die Any -> Any  Firewall-Regel erstellst und dann mal für ein paar Minuten 1:65535  UDP/TCP eingehend auf die TK frei gibst? Dass das sehr gefährlich ist muss ich nicht erwähnen, daher nur für ein paar Minuten.

    Hast du geschaut ob der Exposed Host auf die Sophos zeigt? DNS Server der Telekom verwendest du auch oder? Die sind da manchmal etwas empfindlich.

    Also wenn die Leitung sich sauber registriert ist schonmal 5060 TCP fast ok, da hängt es noch an der Signalisierung, so wie ich das gelesen habe. Verwendest du SRTP oder RTP? Wenn ja zum testen schonmal auf RTP umgestellt?

    Viele Grüße

    Patrick

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!