VoIP-Einrichtung Telekom

Hallo Zusammen,

ich habe nun die folgende Einstellung probiert:

Firewall:

NAT:

SIP-Einstellungen:

Die Telefone werden einfach nicht registriert. DIe Regeln habe ich u.a. aus anderen Beiträgen zu dem Thema. In meiner Firewall-Protokollierung finde ich stets etwas in der Art:

2022:02:11-15:29:07 tabaluga-sophos ulogd[4179]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="ppp0" srcmac="xxx" dstmac="xxx" srcip="192.168.5.254" dstip="217.0.12.17" proto="17" length="56" tos="0x00" prec="0x00" ttl="63" srcport="5060" dstport="3478"

Hat hier keiner eine Idee, was ich falsch mache? 

Edit: Auch ein Any -> Any -> Any in der Firewall hilf hier nicht weiter..

Hallo Holger.

Also eine genaue Idee habe ich nicht, aber wir können uns ja mal rantasten.

Folgende Dinge würde ich erst mal probieren:

1. Eine Regel von Fritz ins Internet, die alles zulässt.
2. In der Fritz-Box die DNS-Server der Telekom eintragen. Das ist wichtig, damit diese die SRV records ordendlich bekommt)
3. Auf der Sophos den SIP-Helper deaktivieren
4. Auf der Sophos die Intrusion Preveintion deaktivieren

Dann mal die Einstellungen für die Telefonie bei der Fritzbox (inkl. erweiterte Optionen) posten.

Dann das SIP-Profil auf der Fritz aktivieren (erst mal nur eine Nummer). Dann bitte mal die Firewall-Logs zu dem Zeitraum hier posten.

Grüße,

T.

Hallo Thom(as?),

danke für die Heranleitung. Zu Deinen Punkten:

1) Hm, generell ist in der Fritzbox nichts gesperrt, außer NetBios-Filter, Teredo-Filter und WPAD-Filter, die aktiv sind. M.E. aber auch nicht relevant für VoIP. Ports sind keine offen, kann ich aber auch nicht für VoIP aktivieren, da hier nur am Netz angemeldete Geräte angezeigt werden.

2) Dies habe ich nun unter Internet->Zugangsdaten->DNS-Server vorgenommen. In den Verbindungseinstellungen zur UTM habe ich als DNS-Server die Adresse der eth0 stehen. Das führt aber dazu, dass er keine Webseite mehr findet. Ich habe diese Einstellung wieder entfernt und nur den Verweis auf die 192.168.5.1 stehen lassen und dann funktioniert es wieder.

3+4) Deaktiviert bzw. IPS ist noch nicht aktiv.

5) Hier einmal die Einstellungen für eine Rufnummer. Brauchst Du noch mehr?

6) SIP habe ich einmal wie folgt aktiviert, wobei die Telekomserver die IP-Adressen beinhalten, welche ich aus dem LOG-gezogen habe (mit 127.xxx) und der DNS-host die tel.t-online.de darstellt:

Etwas irritiert hat mich Dein Hinweis auf "erst einmal nur eine Nummer". Wie ist das gemeint?

Hier exemplarisch der LOG-Eintrag:

2022:02:12-11:05:00 tabaluga-sophos ulogd[4117]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="ppp0" srcmac="MAC-Fritzbox" dstmac="MAC-UTM-eth0" srcip="192.168.5.254" dstip="217.0.28.161" proto="6" length="60" tos="0x00" prec="0x00" ttl="63" srcport="45977" dstport="5060" tcpflags="SYN" 

2022:02:12-11:05:00 tabaluga-sophos ulogd[4117]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="ppp0" srcmac="MAC-Fritzbox" dstmac="MAC-UTM-eth0" srcip="192.168.5.254" dstip="217.0.28.163" proto="6" length="60" tos="0x00" prec="0x00" ttl="63" srcport="55395" dstport="5061" tcpflags="SYN" 

2022:02:12-11:05:00 tabaluga-sophos ulogd[4117]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="ppp0" srcmac="MAC-Fritzbox" dstmac="MAC-UTM-eth0" srcip="192.168.5.254" dstip="217.0.12.1" proto="17" length="56" tos="0x00" prec="0x00" ttl="63" srcport="5060" dstport="3478" 

VG Holger

UPDATE: Keine Ahnung ob es verwunderlich ist, aber sobald ich SIP ausschalte, kommen keine Anfragen mehr über die SIP-Protokolle rein. Ich hätte vermutet, dass die FB hier aktiv über das Gateway diese Anfragen rausschicken würde. Da hier auch ein Any->Any->Any nicht von erfolgt gekrönt ist, scheint die FB hier nicht an der Firewall zu scheitern, oder? Stimmt dann ggf. etwas mit dem Netzaufbau nicht? Internet funktioniert jedoch einwandfrei und ich hätte vermutet, dass die FB-Anfragen zur VoIP, die ja auch über Internetserver laufen, entsprechend dann durchkommen müssten...

UPDATE2: Korrektur, auch ohne aktiviertem SIP kommen vergleichbare Einträge in das Log der Firewall. Nur deutlich weniger...

UPDATE3: Ein Zugriff auf die SMTP-Server scheint auch nicht zu funktionieren. "Die Verbindung zum Server kann nicht hergestellt werden." Vielleicht ist das auch der Grund, warum VoIP nicht funktioniert. Scheinbar funktioniert hier irgendetwas gar nicht (eventuell der Rückkanal?). Reines Surfen klappt nach wie vor....

Hi.

SIP auf der Sophos mal deaktiviert lassen. Die ersten Fehlermeldungen sagen (fwrule="60002"), dass die Sophos den Traffic von der Fritzbox ins Internet blockt.

Bitte mal folgende Regeln anlegen (auf der UTM):

1. Fritzbox (SrcIP 192.168.5.254 !?)-> TCP/UDP any --> Internet IPv4/IPv6  (also alles von der Fritzbox ins Internet zulassen).

Erst müssen die Fehlermeldungen hier weg.

Hallo Holger,

du hast ein Routing-Problem. Woher soll die UTM wissen, dass hinter dem Gateway "Fritzbox 192.168.5.254" ein weiteres Netzwerk "192.168.2.0/24" liegt?

Das muss in die statische Routing-Tabelle eingetragen werden. Und das PAT ist dann überflüssig. Allerdings muss ein DNAT auf die SIP-Ports der FB gelegt werden.

Die UTM sollte dann als Einzige ein MASQ Richtung Internet machen.

Die Firewall-Regeln üssen die Freischaltung für den Traffic enthalten, der ziwschen den Netzen für VOIP entsteht. Am einfachsten beobachtet man dazu das Live-Log, dass dir nach den oben genannten Änderungen auch ein paar Pakete mehr in Richtung SIP-Registrar zeigen sollte.

Hallo Philipp Rusch.

Wie erkennst man denn daran ein Routing-Problem:

2022:02:12-11:05:00 tabaluga-sophos ulogd[4117]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="ppp0" srcmac="MAC-Fritzbox" dstmac="MAC-UTM-eth0" srcip="192.168.5.254" dstip="217.0.12.1" proto="17" length="56" tos="0x00" prec="0x00" ttl="63" srcport="5060" dstport="3478" 

Da sehe ich erst mal, dass die Fritz gar nicht ins Internet kommt. Die MASQ ist für die WAN-Adresse der Fritz erst mal relevant. Aber davon gehe ich ja aus. Sonst wäre ja gar kein Internetzugang möglich.

Damit die Fritz sich bei der Telekom registriert, ist die interne IP erst mal irrelevant, da das dir Fritz mit der WAN-IP macht, also 192.168.5.254. Oder habe ich was übersehen?

Das wird uns aber Holger bestimmt berichten.

Hallo Thomas,

ich gebe dir recht, ich hatte 192.168.5.1 gelesen. Die Fritzbox müsste also "raus" kommen.

@Holger: können wir mal die Screenshots von den hier verwendeten Netzwerkobjekten sehen (Screenshost der "Edit"-Fenster) ?

"60002" ist ein "default drop", d.h. keine der andere Regeln traf zu. Hast du dir das "Intrusion Prevention log" einmal angesehen?
Hier sollte keine Anti-DOS Aktion zu sehen sein, am besten das IPS einmal ganz ausschalten.

Hallo Philipp,

wir hatten ja gemeinsam in meinem anderen Thread die Fritzbox in das Internet gebracht. Dafür hatte ich ein Masquerading von 192.168.2.0 auf 192.168.5.1 geschaltet, also quasi Fritzbox internes Netz auf eth0.

Die Netzwerkobjekte der Fritzbox, die ich angelegt habe, sehen wie folgt aus:

Die aktuellen Regeln in der Firewall sind die Standard-Regeln, welche während der Installation angelegt wurde:

Die Fritzbox stellt das 192.168.2.0 selbst zur Verfügung und hängt über der Funktion "Internet über externen Router" mit der IP 192.168.5.254 an der UTM mit der eth0-IP 192.168.5.1.

Ich hatte ja schon diverse Regeln versucht (s.o.), ohne Erfolg...

Ergänzung: IPS und ATP sind aus und leider funktioniert bei mir der Live-Log nicht...

Was heisst: "Das Live-Log geht nicht."? Vielleicht ist ein Pop-Up Blocker im Browser aktiv?

Das dauert immer eine Weile, bis das Fenster sich mit Daten füllt, Geduld!

Entscheidend ist das Live-Log unter "Network Protection/Firewall" , nicht irgendein "Live-Log" Button auf einem der ander Menüpunkte.