DENY_ALL und VOIP

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
jhilgers
Beiträge: 175
Registriert: 02 Mär 2005, 14:39
Wohnort: Aachen

DENY_ALL und VOIP

Beitrag von jhilgers »

Hallo zusammen,

ich habe seit gestern ein LANCOM 1521 :-). Jetzt versuche ich mein VOIP (SPA 3000) richtig ans laufen zu bekommen.
Ich arbeite mit einer DENY_ALL Regel.
Für mich ist jetzt aber nicht ganz klar, wo ich die Bandbreite garantieren muss und wo ich den PMTU wert einstellen muss.
Muss ich die in meinem VOIP-Regeln einstellen oder bei meiner Regel für ALLOW_INET?
Ich habe jetzt zwei Regeln für VOIP gemacht.
VOIP_EINGEHEND (Quell-Station die IP-Adresse des SPA) und VOIP_AUSGEHEND (Ziel-Station die Adresse des SPA). Als AKtion ist überall "übertragen" eingestellt. Habe dort bei QOS auch die beiden Sachen wegen Mindestbandbreite und PMTU eingestellt.
Ist das so richtig?

Muss ich eigentlich zusätzlich noch ein Portforwarding unter Maskierung machen?

Habe gestern fleissig Trailer abgespielt und dabei versucht mich anzurufen. Das Problem war, das oft die Verbindung abgerissen ist oder der SPA den STUN-Server nicht ansprechen konnte. War der Traffic vom Film weg, funktionierte es wunderbar.

Gruss
Jochen
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi jhilgers
ich habe seit gestern ein LANCOM 1521 . Jetzt versuche ich mein VOIP (SPA 3000) richtig ans laufen zu bekommen.
Ich arbeite mit einer DENY_ALL Regel.
Für mich ist jetzt aber nicht ganz klar, wo ich die Bandbreite garantieren muss und wo ich den PMTU wert einstellen muss.
Muss ich die in meinem VOIP-Regeln einstellen oder bei meiner Regel für ALLOW_INET?
Die Mindestbandbreite und auch die PMTU-Reduzierung mußt Du bei der VOIP-Regel einstellen
Ich habe jetzt zwei Regeln für VOIP gemacht.
VOIP_EINGEHEND (Quell-Station die IP-Adresse des SPA) und VOIP_AUSGEHEND (Ziel-Station die Adresse des SPA). Als AKtion ist überall "übertragen" eingestellt. Habe dort bei QOS auch die beiden Sachen wegen Mindestbandbreite und PMTU eingestellt.
Ist das so richtig?
das ist korrekt
Muss ich eigentlich zusätzlich noch ein Portforwarding unter Maskierung machen?
wenn Du angerufen werden willst, dann kommst Du darum nicht herum. wenn Du nur anrufen willst, dann ist es unnötig.
Habe gestern fleissig Trailer abgespielt und dabei versucht mich anzurufen. Das Problem war, das oft die Verbindung abgerissen ist oder der SPA den STUN-Server nicht ansprechen konnte. War der Traffic vom Film weg, funktionierte es wunderbar.
Das Problem beim Filme schauen ist, daß zur Übertragung der Filme wie beim VOIP UDP Pakete benutzt werden. Bei UDP funktioniert die empfangsseitige Bandbreitenbegrenzung (für die reservierten Mindestbandbreiten der VOIP-Session) nicht, da die UDP-Pakete nicht bestätigt werden müssen, sondern einfach mit maximaler Rate versendet werden. Also: Entweder telefonieren oder Filme schauen...

Während des Surfens oder einem FTP-Download funktioniert das Telefonieren hingegen problemlos, da TCP die Datenrate selbständig senkt, wenn die Bestätigungen verzögert werden...

Für den STUN-Server solltest Du übrigends auch eine Regel erstellen und eine Mindestbandbreite definieren, sonst hast Du das Kontakt-Problem auch bei "normalen" Downloads.

Gruß
Backslash
jhilgers
Beiträge: 175
Registriert: 02 Mär 2005, 14:39
Wohnort: Aachen

Beitrag von jhilgers »

Hallo Backslash,

danke für die ausführliche Antwort. In der Zwischenzeit habe ich mal einen bisschen mit der Firewall rumgespielt und so einiges rausgefunden.

Trotzdem ist mir eins noch nicht ganz klar.
Warum muss ich den PMTU Wert nur bei den VOIP-Regeln einstellen? Ich will doch damit, dass insbesondere der andere Traffic in kleineren Päckchen kommt? Oder habe ich da einen Denkfehler?

Wie lange wird eigentlich die Mindestbandbreite reserviert?

Ich habe jetzt alle Ports zum SPA und auch wieder von ihm weg aufgemacht. Wieso muss ich noch für den STUN-Server eine Regel machen. Decke ich Ihn damit nicht ab?

Das Angerufen werden funktioniert zur Zeit recht gut auch ohne Maskierung. Naja, ich will eigentlich hauptsächlich angerufen werden.... . Sollte ich denn besser die Maskierung reinnehmen?

Gruss
Jochen
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi jhilgers
Trotzdem ist mir eins noch nicht ganz klar.
Warum muss ich den PMTU Wert nur bei den VOIP-Regeln einstellen? Ich will doch damit, dass insbesondere der andere Traffic in kleineren Päckchen kommt? Oder habe ich da einen Denkfehler?
Die PMTU-Reduzierung wird durch einen Match der VOIP-Regel aktiviert und betrifft alle Pakete, die *NICHT* auf die VOIP-Regel matchen, aber über das selbe Interface versendet werden. Daher bekommt (wie gewünscht) der "andere" Traffic die kleinen Pakete
Wie lange wird eigentlich die Mindestbandbreite reserviert?
so lange der auslösende Eintrag in der Verbindungsliste der Firewall steht.
Ich habe jetzt alle Ports zum SPA und auch wieder von ihm weg aufgemacht. Wieso muss ich noch für den STUN-Server eine Regel machen. Decke ich Ihn damit nicht ab?
Du hast doch eine Regel erstellt, die explizit die Adresse des SPA enthält. Der STUN-Server hat i.A. eine andere Adresse, weshalb du für ihn auch eine Regel benötigst...
Das Angerufen werden funktioniert zur Zeit recht gut auch ohne Maskierung. Naja, ich will eigentlich hauptsächlich angerufen werden.... . Sollte ich denn besser die Maskierung reinnehmen?
Das geht so lange gut, so lange du bei einem SIP-Gateway angemeldet bist. Wenn es nur über das Gateway funktionieren soll, dann brauchst Du kein Portforwarding. Wenn dich allerdings jemand "direkt" anrufen können soll (d.h. ohne SIP-Gateway), dann schon...

Gruß
Backslash
jhilgers
Beiträge: 175
Registriert: 02 Mär 2005, 14:39
Wohnort: Aachen

Beitrag von jhilgers »

Hi backslash,

Ah, danke, jetzt wird mir schon einiges klarer :-)

mit dem STUN-Server habe ich aber noch ein kleines Problem. Ich habe zwei Regeln gemacht.
- VOIP_IN, übetragen, PMTU 256 byte TX und die 64kbit Bandbreite bei DSCF=EF, Quellstation: von allen, Zielstation: 10.0.1.10 (SPA, alle Dienste
- VOIP_OUT, übetragen, PMTU 256 byte TX und die 64kbit Bandbreite bei DSCF=EF, Quellstation: 10.0.1.10 (SPA) Zielstation: alle, alle Dienste.

Hiermit habe ich doch den STUN-Server auch mit erschlagen? Da ich doch alle Pakete von allen Stationen auf den SPA und auch weggehend weiterleite?
Oder wie muss ich das machen ?

Gruss
Jochen
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Beitrag von backslash »

Hi jhilgers
Hiermit habe ich doch den STUN-Server auch mit erschlagen? Da ich doch alle Pakete von allen Stationen auf den SPA und auch weggehend weiterleite?
Nun ja, was das erlauben angeht: ja - aber was die Mindestbandbreite angeht: nein.

Die Abfrage an den STUN-Server wird wohl kaum mit DSCP EF gesendet werden. Daher brauchst Du noch eine Regel, die als Quell-Adresse den SPA und als Ziel-Adresse den STUN-Server hat. Da solltest Du dann eine Mindestbandbreite von 1 bis 2 Kbit einstellen, damit die gelegentliche Anfrage an den STUN-Server auch wirklich durchkommt.

Gruß
Backslash
Carli
Beiträge: 33
Registriert: 26 Feb 2005, 21:52
Kontaktdaten:

Beitrag von Carli »

Hallo zusammen,

ist vielleicht schon verjährt, aber ich habe jüngst auch viel mit den QoS-Einstellungen des Lancom in Kombination mit meinem Sipura SPA herum experimentiert.
Dem SPA kann man unter den Line-Settings auch genau sagen, welche TOS/DiffServ Werte die SIP- und die RTP-Pakete bekommen sollen (SIP sollten wohl "0xa" und RTP "0x2e" bekommen). Dann kann man entweder genau danach triggern, oder standardmäßig durch Aktivierung von "Diffserv-Feld beachten" die Pakete entsprechend priorisiert weiterleiten lassen.

Sollte ich mich damit irren, lasst es mich bitte wissen.

Viele Grüße
Christoph
Lancom DSL/I-10+, LCOS 8, QDSL 2.560 & 16.000
Antworten