XG Firewall NFON SIP Telefon Registrierung nicht möglich

Hallo Martin,

gib doch mal bitte deine SFOS Version durch.

Dann zu Fehlersuche:

Gibt es denn ausgehend ein Masquerading (NAT-Regel)?

Man könnte die SIP-Unterstützung auf der Firewall testweise abschalten. Siehe dazu hier:

https://docs.sophos.com/nsg/sophos-firewall/20.0/help/en-us/webhelp/onlinehelp/AdministratorHelp/RulesAndPolicies/FirewallRules/VoIPSIPModuleTurnOnOff/index.html

Man könnte die SIP-Unterstützung auf der Firewall testweise abschalten - getestet keine Verbesserung.:-(

Hier das Bild. Und muss mich korrigieren. Es war noch die 1. Regel aktiv. Habe nochmal SIP Modul (Unterstützung ) ausgeschaltet. Jetzt habe ich eine Registrierung. Man kann auch anrufen und angerufen werden. Leider wird man zwar gehört aber man hört den anderen nicht.

Sollte das SIP Modul aber nicht an sein? Wie kann ich das jetzt einstellen, dass es auch mit angeschalteten SIP Modul geht?

OK - wir sind einen Schritt weiter!

Siehe VOIP Troubleshooting:

https://docs.sophos.com/nsg/sophos-firewall/20.0/help/en-us/webhelp/onlinehelp/AdministratorHelp/RulesAndPolicies/FirewallRules/VoIPTroubleshooting/index.html

SIP Module können eingeschaltet sein, müssen es aber nicht.

Wenn es ohne geht, dann bitte so lassen.

Also das habe ich jetzt ausgeschaltet sip und h323:

system system_modules sip unload

und

Audio and video calls are dropping or only work one way when H.323 helper module is loaded

system system_modules h323 unload

Leider immer noch keiner zuhören. Noch ne Idee? Oder etwas was ich ausschalten soll?

Gruß

Martin

Bitte die Ports 5060 (eingehend, UDP) und 5060–5061 (eingehend, TCP) für die SIP-Daten und die Ports 9000–10999 (eingehend, UDP) für die RTP-Kommunikation (eigentlicher Anruf).in der FW für das Telefon freigeben. Der RTP-Portbereich kann auch deutlich kleiner ausfallen --> probieren.

Hallo

Siehe Beitrag mit Bild vom 17.04. Hier ist alles freigeschaltet. Es gibt keine Beschränkungen. Aber eingeht betritt das ja nicht. Das müsste ich dann noch tun.

Hallo nochmal

Zum testen mal alles Freigeschaltet. Siehe Bild. geht leider immer noch nicht.

Hi, da darf kein Gerät drin stehen sondern ein Port und zwar der Port wo das Internet/WAN anliegt zum Beispiel  # Port8

Dienste beliebig ist zum Testen ok, solltest du aber einschränken. Aber ich habe noch niemals nie bei einer Sophos eingehende Regeln für eine TK erstellt. Weder für Agfeo, Auerswald, Asterix was auch immer, egal ob 5 oder 100 Teilnehmer.

Hast du in der TK einen STUN-Server angegeben?  Sowas gibt es extra wenn ein Gerät hinter einer Firewall ist. 

Port 5060-5061 ist der Signalisierungs-Port klingeln tut es ja, also liegt der Fehler bei RTP/SRTP ausgehende HIGH Ports für die Sprache.

Grüße

Patrick

ok, verstanden. Bringt aber auch nix. Siehe Bild

STUN Server gibt es wohl von nFon nicht. Somit ist auf dem Telefon auch nichts eingetragen.

Alles sehr komisch. Kann ich nicht irgendwie genau sehen wie der Traffic läuft und was wo nicht durch geht?

Nim den STUN-Server von Sipgate, das kann man so machen "stun.sipgate.net". 

Hier mal Prinzipiell eine DNAT Regel ohne Linked NAT

1 Firewall Regel

2 DNAT Regel

Wenn diese korrekt angepasst sind ist nicht mehr nötig für eine eingehende Regel. Ich glaube aber nicht das es die Lösung ist.

Hast du mehr als einen WAN/Internetanschluss an der Sophos? Wenn ja, würde ich der Anlage über SD-WAN/SNAT die Leitung geben die ein und Ausgehend verwendet werden soll. Dann eine Ausgehende Regel zum testen wie folgt.

Die SIP-Helper schalte ich generell aus kann gut gehen, muss aber nicht. Folgendes schieße ich los für TK-Anlagen

system system_modules sip load

set advanced-firewall udp-timeout-stream 150

set ips sip_preproc disable

Routing Rheinfolge anpassen

system route_precedence set static vpn sdwan_policyroute

Mehr mache ich nie bei Kunden in Sachen TK-Anlage und wie gesagt es ist egal ob da 5 Standorte via VPN mit dran hängen, sind es 5 oder 100 Teilnehmer. es läuft und läuft und läuft.

Mein Wissen ist alles andere als der Heilige Gral, aber ich kann nur betonen, dass ich noch niemals nie eine DNAT Regel für eine TK-Anlage gebaut habe, das ist 15 Jahre her als sich die Home-Office Telefone OHNE VPN an der TK-Anlage melden sollten. Das war damals schon nicht gut und wäre heute ein no go. 

Beste Grüße

Patrick

Nim den STUN-Server von Sipgate, das kann man so machen "stun.sipgate.net". 

Hier mal Prinzipiell eine DNAT Regel ohne Linked NAT

1 Firewall Regel

2 DNAT Regel

Wenn diese korrekt angepasst sind ist nicht mehr nötig für eine eingehende Regel. Ich glaube aber nicht das es die Lösung ist.

Hast du mehr als einen WAN/Internetanschluss an der Sophos? Wenn ja, würde ich der Anlage über SD-WAN/SNAT die Leitung geben die ein und Ausgehend verwendet werden soll. Dann eine Ausgehende Regel zum testen wie folgt.

Die SIP-Helper schalte ich generell aus kann gut gehen, muss aber nicht. Folgendes schieße ich los für TK-Anlagen

system system_modules sip load

set advanced-firewall udp-timeout-stream 150

set ips sip_preproc disable

Routing Rheinfolge anpassen

system route_precedence set static vpn sdwan_policyroute

Mehr mache ich nie bei Kunden in Sachen TK-Anlage und wie gesagt es ist egal ob da 5 Standorte via VPN mit dran hängen, sind es 5 oder 100 Teilnehmer. es läuft und läuft und läuft.

Mein Wissen ist alles andere als der Heilige Gral, aber ich kann nur betonen, dass ich noch niemals nie eine DNAT Regel für eine TK-Anlage gebaut habe, das ist 15 Jahre her als sich die Home-Office Telefone OHNE VPN an der TK-Anlage melden sollten. Das war damals schon nicht gut und wäre heute ein no go. 

Beste Grüße

Patrick

ok, danke, muss ich nächste Woche mal testen. Gebe Rückmeldung.

Wenn es dann doch noch nicht funktionieren sollte, verwendet doch den DNAT-Wizzard. Das Ergebnis ist schlüssig.

Man kann dann ja die Unterschiede zur eigenen Regel vergleichen.

Im LogViewer sollten die Einträge die passende Firewall- & NAT-Rule anzeigen ... wenn die Definitionen passen.

dirkkotte said:

verwendet doch den DNAT-Wizzard. Das Ergebnis ist schlüssig

So habe ich das auch gemacht, allerdings nicht mit einem einzelnen Telefon, sondern mit einer 3CX - das Ergebnis ist aber gleich:

An Diensten braucht die 3CX ein paar mehr (z.B. um eine Nebenstelle der TK per App auf ein Mobiltelefon zu binden) und unter Quellnetzwerke und Geräte ist bei mir die IP des VoIP-Anbieters eingetragen - das reduziert die Angriffsversuche. Übrigens - einen Stun-Server benötigt man nur bei einer dynamischen IP und dann funktioniert bei mir der von T-Online gut (stun.t-online.de)

Wie sieht das Ganze im LogViewer aus?

Habe ich noch nicht gelogt, mache ich vielleicht mal nächste Woche, wenn tatsächlich ein paar Leute anrufen