Allgemeine Frage zu Diensten und Regel Freigabe für Telekom pbx 2.0 Telefonie

Question

Hallo Zusammen, 
 ich besch&auml;ftige mich neu mit der XGS 107 und betreibe diese aktuell neu im eigenen Netzwerk. 
 Aufbau: Fritzbox --> XGS 107 --> Netzwerk 
 Jetzt komme ich schon zur ersten Herausforderung. Zus&auml;tzlich h&auml;tte ich noch allgemeine Fragen. 
 Die XGS ist soweit ganz neu. Standardregeln wurden im Zuge der Ersteinrichtung angelegt. 
 Soweit so gut, jetzt ist der Rechner meiner Frau (arbeitet im Homeoffice) ebenfalls eingebunden. Seit dem ich den Rechner &uuml;ber die XGS laufen lasse, verbindet sich der Webex Client (Telekom) nicht mehr mit dem Telefonie-Server. Sobald ich ihn direkt an die Fritzbox h&auml;nge, l&auml;uft dieser wieder. 
 Ok, hier muss ich eine Regel erstellen. Nach Pr&uuml;fung des Logs, sehe ich jedoch nicht, was hier geblockt wird. Ich sehe hier nur folgenden Eintrag, der zeitlich in die Anfrage passt. 
 messageid="02002" log_type="Firewall" log_component="Appliance Access" log_subtype="Denied" status="Deny" con_duration="0" fw_rule_id="N/A" fw_rule_name="" fw_rule_section="" nat_rule_id="0" nat_rule_name="" policy_type="0" sdwan_profile_id_request="0" sdwan_profile_name_request="" sdwan_profile_id_reply="0" sdwan_profile_name_reply="" gw_id_request="0" gw_name_request="" gw_id_reply="1" gw_name_reply="DHCP_Port2_GW" sdwan_route_id_request="0" sdwan_route_name_request="" sdwan_route_id_reply="0" sdwan_route_name_reply="" user="" user_group="" web_policy_id="0" ips_policy_id="0" appfilter_policy_id="0" app_name="" app_risk="0" app_technology="" app_category="" vlan_id="" ether_type="IPv4 (0x0800)" bridge_name="" bridge_display_name="" in_interface="Port2" in_display_interface="Port2" out_interface="" out_display_interface="" src_mac="4c:52:62:0e:5a:0a" dst_mac="" src_ip="192.168.1.11" src_country="R1" dst_ip="192.168.1.255" dst_country="R1" protocol="UDP" src_port="137" dst_port="137" packets_sent="0" packets_received="0" bytes_sent="0" bytes_received="0" src_trans_ip="" src_trans_port="0" dst_trans_ip="" dst_trans_port="0" src_zone_type="" src_zone="" dst_zone_type="" dst_zone="" con_direction="" con_id="" virt_con_id="" hb_status="No Heartbeat" message="" appresolvedby="Signature" app_is_cloud="0" log_occurrence="1" flags="0" 
 Port 137 auf die Broadcast Adresse. 
 Jetzt meine Frage. Wie bekomme ich raus, woran die Verbindung scheitert? 
 Wie behandelt die XGS Anfragen von Diensten die nicht definiert sind? 
 Aktuell ist die Default Network Policy: 
 LAN beliebiger Host --> beliebiger Dienst --> WAN beliebiger Host 
 ich hoffe meine Frage ist verst&auml;ndlich. 
 Freue mich f&uuml;r jegliche Hilfe. 
 Gru&szlig;

dirkkotte · Accepted Answer

Zum Gl&uuml;ck kann die Sophos Firewall mit SIP + RTP umgehen. F&uuml;r solche Protokolle gibt es verschiedene "Helper" (wie z.B. auch f&uuml;r FTP) "The firewall provides comprehensive traffic processing from layer 2 to layer 7" Wenn bei einem SIP-Telefonat RTP nicht verbunden wird, kann eine (oder beide) Seiten nichts h&ouml;ren. Die Grundaushandlung HTTPS/SIP/Anwendungsspezifische Ports funktioniert dann aber Normalerweise. WebEx ist (im Cisco-Umfeld) so etwas wie Skype/Telegram/MS-Teams. Da spielt RTP eine untergeordnete oder keine Rolle. Kann nat&uuml;rlich sein, dass die Telekom da was verbogen hat. Und wie gesagt, in meiner Umgebung (nahezu die Beschriebene) l&auml;uft WebEx problemlos. 
 Der einzige Unterschied ... keine Route in der FB meine FW mach SNAT nach "aussen". Sollte nach dem Wizzard aber auch so sein. Frage: wird die Route auf der FB deaktiviert, funktioniert der Internetzugriff weiterhin ... oder?

Sophos User5900 · Answer

Bei Deine Konstellation und wenn Webex-Telefonie nichts anderes als SIP ist, dann kann es zur Hauptsache zwei gr&uuml;nde geben, warum hinter der Sophos nichts funktionert (Zitat): 
 1.) &Uuml;ber SIP meldet sich das VoIP-Endger&auml;t beim SIP-Server an (REGISTER). Hierbei teilt es dem Server mit, unter welcher IP-Adresse und welchem Port es Anrufanfragen entgegennimmt. Hinter einer NAT-Firewall hat das allerdings eine private IP-Adresse, die von au&szlig;en nicht erreichbar ist. Die &ouml;ffentliche Adresse kennt das Endger&auml;t im Allgemeinen nicht. 
 2.) &Uuml;ber SIP/SDP wird ein Telefongespr&auml;ch ausgehandelt. Die eigentlichen Sprachdaten flie&szlig;en jedoch via RTP &uuml;ber komplett andere Ports. Welche Ports das genau sind, entscheidet das VoIP-Endger&auml;t und teilt sie der Gegenstelle beim Gespr&auml;chsaufbau mit. Also versucht die Gegenstelle, den RTP-Strom an den spezifizierten Port zu schicken. Dieser wird allerdings von der Sophos geschlossen, weil sie nichts von SIP und VoIP versteht (anders als die Fritte). 
 In beiden F&auml;llen kommt es zu Schwierigkeiten, da im Protokoll auf der Anwendungsebene IP- und Port-Informationen geschickt werden. Eine normale Layer-3-Firewall kennt aber nur die Protokollebene und die darin enthaltenen IP- und Port-Informationen. 
 Helfen k&ouml;nnte die Nutzung ei nes Stun-Servers (Simple Traversal of UDP Through NATs, RFC3489) mit einem solchen besteht die M&ouml;glichkeit, mit dem hinter einem NAT-Router sitzenden SIP-Client die Netzwerkkonfiguration herau szufinden. Hierbei sendet das Endger&auml;t eine Nachricht an einen au&szlig;erhalb des LAN befindlichen STUN-Server. Dieser schickt dann ein Paket zur&uuml;ck, das Absenderadresse und -port enth&auml;lt, also die tats&auml;chlichen Informationen, die vom NAT-Router dort eingetragen wurden. Durch die Verbindung zum STUN-Server ist automatisch ein Port im NAT ge&ouml;ffnet, der zum Endger&auml;t weitergeleitet wird. 
 Also schau einmal nach, ob bei Deinem Webexclient die M&ouml;glichkeit besteht, einen Stun-Server einzutragen. &Uuml;brigens - der von der Telekom (stun.t-online.de:3478) funktioniert ganz gut.

Allgemeine Frage zu Diensten und Regel Freigabe für Telekom pbx 2.0 Telefonie

Top Replies