Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

XG Firewall NFON SIP Telefon Registrierung nicht möglich

Hallo zusammen

Irgendetwas wir noch von der Firewall blockiert. Da das Telefon direkt am Internet Router funktioniert.

Es gibt zum testen eine Firewallregel, die jetzt erstmal alles erlaubt.(Siehe Bild) Hilft aber auch nicht.:-(

Kann einer einer Tipps geben bzw. eine Checkliste was ich alles prüfen soll/kann?

Vor Monaten ging das Telefon, es muss sich etwas mit einem Update geändert haben. Ist da was bekannt?

Danke und Gruß

Martin



Edited TAGs
[edited by: Erick Jan at 7:23 AM (GMT -7) on 17 Apr 2024]
Parents Reply Children
  • Also das habe ich jetzt ausgeschaltet sip und h323:

    system system_modules sip unload

    und

    Audio and video calls are dropping or only work one way when H.323 helper module is loaded

    system system_modules h323 unload

    Leider immer noch keiner zuhören. Noch ne Idee? Oder etwas was ich ausschalten soll?

    Gruß

    Martin

  • Bitte die Ports 5060 (eingehend, UDP) und 5060–5061 (eingehend, TCP) für die SIP-Daten und die Ports 9000–10999 (eingehend, UDP) für die RTP-Kommunikation (eigentlicher Anruf).in der FW für das Telefon freigeben. Der RTP-Portbereich kann auch deutlich kleiner ausfallen --> probieren.

  • Hallo

    Siehe Beitrag mit Bild vom 17.04. Hier ist alles freigeschaltet. Es gibt keine Beschränkungen. Aber eingeht betritt das ja nicht. Das müsste ich dann noch tun.

  • Hallo nochmal

    Zum testen mal alles Freigeschaltet. Siehe Bild. geht leider immer noch nicht.

  • Hi, da darf kein Gerät drin stehen sondern ein Port und zwar der Port wo das Internet/WAN anliegt zum Beispiel  # Port8

    Dienste beliebig ist zum Testen ok, solltest du aber einschränken. Aber ich habe noch niemals nie bei einer Sophos eingehende Regeln für eine TK erstellt. Weder für Agfeo, Auerswald, Asterix was auch immer, egal ob 5 oder 100 Teilnehmer.

    Hast du in der TK einen STUN-Server angegeben?  Sowas gibt es extra wenn ein Gerät hinter einer Firewall ist. 

    Port 5060-5061 ist der Signalisierungs-Port klingeln tut es ja, also liegt der Fehler bei RTP/SRTP ausgehende HIGH Ports für die Sprache.

    Grüße

    Patrick

  • ok, verstanden. Bringt aber auch nix. Siehe Bild

    STUN Server gibt es wohl von nFon nicht. Somit ist auf dem Telefon auch nichts eingetragen.

    Alles sehr komisch. Kann ich nicht irgendwie genau sehen wie der Traffic läuft und was wo nicht durch geht?

  • Nim den STUN-Server von Sipgate, das kann man so machen "stun.sipgate.net"

    Hier mal Prinzipiell eine DNAT Regel ohne Linked NAT

    1 Firewall Regel

    2 DNAT Regel

    Wenn diese korrekt angepasst sind ist nicht mehr nötig für eine eingehende Regel. Ich glaube aber nicht das es die Lösung ist.

    Hast du mehr als einen WAN/Internetanschluss an der Sophos? Wenn ja, würde ich der Anlage über SD-WAN/SNAT die Leitung geben die ein und Ausgehend verwendet werden soll. Dann eine Ausgehende Regel zum testen wie folgt.

    Die SIP-Helper schalte ich generell aus kann gut gehen, muss aber nicht. Folgendes schieße ich los für TK-Anlagen

    system system_modules sip load

    set advanced-firewall udp-timeout-stream 150

    set ips sip_preproc disable

    Routing Rheinfolge anpassen

    system route_precedence set static vpn sdwan_policyroute

    Mehr mache ich nie bei Kunden in Sachen TK-Anlage und wie gesagt es ist egal ob da 5 Standorte via VPN mit dran hängen, sind es 5 oder 100 Teilnehmer. es läuft und läuft und läuft.

    Mein Wissen ist alles andere als der Heilige Gral, aber ich kann nur betonen, dass ich noch niemals nie eine DNAT Regel für eine TK-Anlage gebaut habe, das ist 15 Jahre her als sich die Home-Office Telefone OHNE VPN an der TK-Anlage melden sollten. Das war damals schon nicht gut und wäre heute ein no go. 

    Beste Grüße

    Patrick

     

  • ok, danke, muss ich nächste Woche mal testen. Gebe Rückmeldung.

  • Wenn es dann doch noch nicht funktionieren sollte, verwendet doch den DNAT-Wizzard. Das Ergebnis ist schlüssig.

    Man kann dann ja die Unterschiede zur eigenen Regel vergleichen.

    Im LogViewer sollten die Einträge die passende Firewall- & NAT-Rule anzeigen ... wenn die Definitionen passen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • verwendet doch den DNAT-Wizzard. Das Ergebnis ist schlüssig

    So habe ich das auch gemacht, allerdings nicht mit einem einzelnen Telefon, sondern mit einer 3CX - das Ergebnis ist aber gleich:

    An Diensten braucht die 3CX ein paar mehr (z.B. um eine Nebenstelle der TK per App auf ein Mobiltelefon zu binden) und unter Quellnetzwerke und Geräte ist bei mir die IP des VoIP-Anbieters eingetragen - das reduziert die Angriffsversuche. Übrigens - einen Stun-Server benötigt man nur bei einer dynamischen IP und dann funktioniert bei mir der von T-Online gut (stun.t-online.de)