Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

XG Firewall NFON SIP Telefon Registrierung nicht möglich

Hallo zusammen

Irgendetwas wir noch von der Firewall blockiert. Da das Telefon direkt am Internet Router funktioniert.

Es gibt zum testen eine Firewallregel, die jetzt erstmal alles erlaubt.(Siehe Bild) Hilft aber auch nicht.:-(

Kann einer einer Tipps geben bzw. eine Checkliste was ich alles prüfen soll/kann?

Vor Monaten ging das Telefon, es muss sich etwas mit einem Update geändert haben. Ist da was bekannt?

Danke und Gruß

Martin



This thread was automatically locked due to age.
Parents Reply
  • ok, verstanden. Bringt aber auch nix. Siehe Bild

    STUN Server gibt es wohl von nFon nicht. Somit ist auf dem Telefon auch nichts eingetragen.

    Alles sehr komisch. Kann ich nicht irgendwie genau sehen wie der Traffic läuft und was wo nicht durch geht?

Children
  • Nim den STUN-Server von Sipgate, das kann man so machen "stun.sipgate.net"

    Hier mal Prinzipiell eine DNAT Regel ohne Linked NAT

    1 Firewall Regel

    2 DNAT Regel

    Wenn diese korrekt angepasst sind ist nicht mehr nötig für eine eingehende Regel. Ich glaube aber nicht das es die Lösung ist.

    Hast du mehr als einen WAN/Internetanschluss an der Sophos? Wenn ja, würde ich der Anlage über SD-WAN/SNAT die Leitung geben die ein und Ausgehend verwendet werden soll. Dann eine Ausgehende Regel zum testen wie folgt.

    Die SIP-Helper schalte ich generell aus kann gut gehen, muss aber nicht. Folgendes schieße ich los für TK-Anlagen

    system system_modules sip load

    set advanced-firewall udp-timeout-stream 150

    set ips sip_preproc disable

    Routing Rheinfolge anpassen

    system route_precedence set static vpn sdwan_policyroute

    Mehr mache ich nie bei Kunden in Sachen TK-Anlage und wie gesagt es ist egal ob da 5 Standorte via VPN mit dran hängen, sind es 5 oder 100 Teilnehmer. es läuft und läuft und läuft.

    Mein Wissen ist alles andere als der Heilige Gral, aber ich kann nur betonen, dass ich noch niemals nie eine DNAT Regel für eine TK-Anlage gebaut habe, das ist 15 Jahre her als sich die Home-Office Telefone OHNE VPN an der TK-Anlage melden sollten. Das war damals schon nicht gut und wäre heute ein no go. 

    Beste Grüße

    Patrick

     

    --------------------------------------------------------------------------------------------------------------------------------------

    Wenn du dir sicher bist alles kontrolliert zu haben und es immer noch nicht klappt, prüfe alles nochmal!

  • ok, danke, muss ich nächste Woche mal testen. Gebe Rückmeldung.

  • Wenn es dann doch noch nicht funktionieren sollte, verwendet doch den DNAT-Wizzard. Das Ergebnis ist schlüssig.

    Man kann dann ja die Unterschiede zur eigenen Regel vergleichen.

    Im LogViewer sollten die Einträge die passende Firewall- & NAT-Rule anzeigen ... wenn die Definitionen passen.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • verwendet doch den DNAT-Wizzard. Das Ergebnis ist schlüssig

    So habe ich das auch gemacht, allerdings nicht mit einem einzelnen Telefon, sondern mit einer 3CX - das Ergebnis ist aber gleich:

    An Diensten braucht die 3CX ein paar mehr (z.B. um eine Nebenstelle der TK per App auf ein Mobiltelefon zu binden) und unter Quellnetzwerke und Geräte ist bei mir die IP des VoIP-Anbieters eingetragen - das reduziert die Angriffsversuche. Übrigens - einen Stun-Server benötigt man nur bei einer dynamischen IP und dann funktioniert bei mir der von T-Online gut (stun.t-online.de)

  • Wie sieht das Ganze im LogViewer aus?


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • Habe ich noch nicht gelogt, mache ich vielleicht mal nächste Woche, wenn tatsächlich ein paar Leute anrufen Slight smile

  • Also ich hatte erst jetzt wieder Zeit mir das Thema anzuschauen und scheinbar ist mit dem Update am 25.06.2024 auf die Version SFOS 20.0.1 MR-1-Build342 irgendetwas passiert. Da als ich nochmal getestet habe alles geht. Ich versteh es nicht, aber es ist so. Es läuft! Danke an allen für die Unterstützung, Hilfe und Ideen.