VoIP-Einrichtung Telekom

Hallo Holger,

du hast ein Routing-Problem. Woher soll die UTM wissen, dass hinter dem Gateway "Fritzbox 192.168.5.254" ein weiteres Netzwerk "192.168.2.0/24" liegt?

Das muss in die statische Routing-Tabelle eingetragen werden. Und das PAT ist dann überflüssig. Allerdings muss ein DNAT auf die SIP-Ports der FB gelegt werden.

Die UTM sollte dann als Einzige ein MASQ Richtung Internet machen.

Die Firewall-Regeln üssen die Freischaltung für den Traffic enthalten, der ziwschen den Netzen für VOIP entsteht. Am einfachsten beobachtet man dazu das Live-Log, dass dir nach den oben genannten Änderungen auch ein paar Pakete mehr in Richtung SIP-Registrar zeigen sollte.

Hallo Philipp Rusch.

Wie erkennst man denn daran ein Routing-Problem:

2022:02:12-11:05:00 tabaluga-sophos ulogd[4117]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth0" outitf="ppp0" srcmac="MAC-Fritzbox" dstmac="MAC-UTM-eth0" srcip="192.168.5.254" dstip="217.0.12.1" proto="17" length="56" tos="0x00" prec="0x00" ttl="63" srcport="5060" dstport="3478" 

Da sehe ich erst mal, dass die Fritz gar nicht ins Internet kommt. Die MASQ ist für die WAN-Adresse der Fritz erst mal relevant. Aber davon gehe ich ja aus. Sonst wäre ja gar kein Internetzugang möglich.

Damit die Fritz sich bei der Telekom registriert, ist die interne IP erst mal irrelevant, da das dir Fritz mit der WAN-IP macht, also 192.168.5.254. Oder habe ich was übersehen?

Das wird uns aber Holger bestimmt berichten.

Ja, das weiss ich, aber der Zugriff, den er aus dem Protokoll gezeigt hat, ist 5060 auf 3478, seit wann läuft das so?

Dsas eine ist SIP auf Port 5060, das andere ist STUN auf 3478, das sind doch zwei Paar Schuhe, oder?

Hm, weiß jetzt leider nicht mehr, was das ausgelöst hat, aber eine Portweiterleitung war nie aktiv.

Ich habe nun wieder die Regel

aktiv und dann wird das natürlich nicht mehr geblockt. Es sind nun primär externe DROPs da, welche sich an diverse Ports der eth1 richten. Ich hätte nun zumindest gedacht, dass von den Telekom-Servern ein "Feedback" kommt, also den 217.0.x.x Aber nix, oder mache ich einen Denkfehler?

Geht nun die Telefonie?

Es wäre übrigens ratsam nicht "Any IPv4" sondern "Internet IPv4" zu verwenden, sonst kann die Fritz und das dahinter liegende Netz alle internen Netze erreichen.

Das mit dem DNS-Objekt "tel.t-online.de" wird nicht funktionieren, da die Telekom auf SRV-Records umgestellt hat um die SIP-Telefonie zu realisieren und die Sophos diese nicht auswertet.

Also, sobald ich obige Regel abschalte, kommen wieder die Drops in Log. Regelmäßig wird hier von 5.254:5060 die 217.0.11.241:2478 angepingt.

Ich habe gerade die MASQ abgeschaltet, ohne Auswirkung.

Soooooo, bin dem jetzt ein ganzes Stück näher gekommen:

Ich habe nun die Regel wie folgt etabliert:

Und letztlich habe ich die MASQ angepasst:

So funktioniert es nun! Frage: Ist diese Masquierung kritisch?

Was heisst "kritisch"?

Wie Thomas schon erwähnt hat, können alle Geräte hinter der Fritzbox damit ins Internet, ohne einen Proxy auf der UTM zu nutzen.

Das muss man dann aber mit einer Firewallregel einschränken, das hat nichts mit dem MASQ/ NAT zu tun..

Ok, die Geräte hinter der FB dürfen in das Internet. Da ich hier noch ein Newbee bin, vielleicht diese dumme Frage. Bisher sind die Geräte an der FB ja auch ins Internet gegangen. Ich möchte hier jedoch mit der UTM einen zusätzlichen Sicherheitsfaktor einbauen, so dass die Geräte aus dem Internet nicht direkt angeschossen werden, sondern erst einmal in der UTM landen und dort über die ein oder anderen IPS-Regel laufen.

Hallo Holger,

wir sind alle hier, um zu lernen. Den zusätzlichen Schutz für deine Clients erhälst du auf der UTM mit dem "Webfilter", das IPS schützt

im Wesentlichen die UTM selbst und evtl. dahinter laufende Server (-dienste).

Die "Webfilter" gemannt Komponente der UTM ist ein klassicher Web-Proxy mit ein "paar" Erweiterungen.

Also normalerweise macht man für das Netz, das aus Sicht der UTM intern ist ein Masquerading ins Internet. Also bei Dir 192.168.5.0/24->WAN

Nur so können interne Geräte im WAN überhaupt arbeiten. Wenn man den Wizard beim UTM-Setup durchläuft wird diese Regel automatisch angepasst.

Eine Variante das ganze einzuschränken mit Regeln wäre die Fritz-Box im Routing-Modus zu betreiben (suche mal bei AVM nach "FRITZ!Box als kaskadierten Router einrichten". Dann sollte auf der Sophos auch wieder das interne Fritz-Netz zu sehen sein und Du in der Lage für die Geräte auf der Sophos gesonderte Regeln zu erstellen. Die SIP-Verbindung seitens der Fritz-Box bleibt an der externen IP der Fritz.

Hallo Thomas,

ThomW said:

FRITZ!Box als kaskadierten Router einrichten

das ist exakt so, wie ich meine Fritzbox eingerichtet habe.

Vielen Dank Dir Thomas und Dir Philipp für die Unterstützung

Mal gucken, was als nächstes als Herausforderung wartet...

Hallo Thomas,

ThomW said:

FRITZ!Box als kaskadierten Router einrichten

das ist exakt so, wie ich meine Fritzbox eingerichtet habe.

Vielen Dank Dir Thomas und Dir Philipp für die Unterstützung

Mal gucken, was als nächstes als Herausforderung wartet...