Bandbreiten für SIP Telefonanlage reservieren. QoS

[Bluebird]

Wir haben eine SIP Telefonanlage hinter einem Lancom Router.
Dafür habe ich gemäß dieser Anleitung

https://knowledgebase.lancom-systems.de ... d=32982960

Bandbreiten reservieren wollen.

Dazu habe ich Verständnisprobleme und hoffe auf Hilfe:
Regel Nr. 2 akzeptiert, meiner Vermutung nach, sämtliche Pakete mit EF Flag, auch wenn sie nichts mit Telfonie zu tun haben. Ein Angreifer könnte damit die Firewall komplett umgehen, wenn seine Pakete mit EF Flag versieht, oder? Ich möchte deshalb mit dieser Regel nur die Kommunikation von und zu der Telefonanlage steuern. Recht es, wenn ich dafür bei "Stationen" die Adresse der Telefonanlage eintrage? Wird dann auch der Datenstrom vom Telefonanbieter erfasst oder muss als Quelle auch die Adresse des Telefonanbieters eingetragen werden?

Die beiden Regeln scheinen auch nicht zu funktionieren, zumindest wird bei beiden Regeln keine Bandbreite reserviert.
Ein Trace ergibt z.B. die folgenden Einträge:

Packet matched rule SIP-SIGN
DstIP: 10.1.1.90, SrcIP: xxx , Len: 460, DSCP/TOS: 0x68
Prot.: UDP (17), DstPort: 5064, SrcPort: 5060
channel's bandwidth unknown, Rx minimum of 1 kBit/s for INTERNET not reserved packet accepted

Wurde die Bandbreite nicht reserviert, weil die Bandbreite der Internetverbindung nicht bekannt ist?
Wo kann ich diese einstellen?

Vielen Dank!

[backslash]

Hi Bluebird

Regel Nr. 2 akzeptiert, meiner Vermutung nach, sämtliche Pakete mit EF Flag, auch wenn sie nichts mit Telfonie zu tun haben.

fast korrekt - die Regel matcht auf alle UDP-Pakete, dei mit EF getaggt sind

Ein Angreifer könnte damit die Firewall komplett umgehen, wenn seine Pakete mit EF Flag versieht, oder?

ja, aber dazu müßte er in deinem Netz sitzen - es sei denn du hättest eine "unmaskierte" Internetverbindung

Ich möchte deshalb mit dieser Regel nur die Kommunikation von und zu der Telefonanlage steuern. Recht es, wenn ich dafür bei "Stationen" die Adresse der Telefonanlage eintrage?

das würde nur funktionieren, wenn die Telefonanlage auch als Mediaproxy arbeitet. I.A. ist es aber so, daß die RTP-Datenströme zwischen den Telefonen direkt laufen und du somit doch wieder alle Adressen zulassen mußt. Du könntest höchstens als Quelle "alle Stationen im lokalen Netz" eintragen (das Ziel bleibt bei "alle Stationen") - dann kann zumindest niemand von "außen" Bandbreite reservieren...

Wird dann auch der Datenstrom vom Telefonanbieter erfasst oder muss als Quelle auch die Adresse des Telefonanbieters eingetragen werden?

da die RTP-Ströme "symmetrisch" (Adressen und Ports) sind ist damit auch die "Antwortrichtung" erfaßt (die Firewall ist eine Stateful-Inspection-Firewall und öffnet daher Sessions und nicht nur Ports)

Die beiden Regeln scheinen auch nicht zu funktionieren, zumindest wird bei beiden Regeln keine Bandbreite reserviert.

doch die Regeln funktioneren und der Trace sagt die auch genau, warum keine Bandbreite Reserviert wird:

channel's bandwidth unknown, Rx minimum of 1 kBit/s for INTERNET not reserved packet accepted

Damit das QoS funktioniert mußt du dem Router auch sagen, welche Bandbreite deine Internetverbindung hat - im LANconfig (in deinem Fall vermutlich) unter Schnittstellen -> WAN -> Interface-Einstellungen -> DSL1. Dort kannst du Up- und Downstreamrate einstellen

Gruß
Backslash

[Bluebird]

Hi Backslash!

Vielen lieben Dank für deine super Erklärung!
Vor allem die Einstellung in den der Bandbreite hätte ich nie gefunden.

Jetzt stolpere ich im Trace über den nächsten Punkt:

[Firewall] 2024/11/20 17:36:09,899 Devicetime: 2024/11/20 17:36:09,476
Packet matched rule SIP-SIGN
Add Rx minimum of 1 kBit/s to INTERNET (result 1 kBit/s) packet accepted

[Firewall] 2024/11/20 17:36:57,867 Devicetime: 2024/11/20 17:36:57,445
remove Rx minimum of 1 kBit/s from INTERNET (result 0 kBit/s)

Dieses Spiel geht ständig hin und her. Warum baut das Minimum ständig wieder ab?

Grüße
Jörg

[backslash]

Hi Bluebird,

Dieses Spiel geht ständig hin und her. Warum baut das Minimum ständig wieder ab?

weil die Bandbreitenreservierung einen Timeout hat, wenn über die anlegende Session keine Pakete übertragen werden. Der Timeout entspricht dem UDP-Timeout.

In deinem Fall heißt das, daß auch die Signalisierungssession abgebaut wurde (die hat auch den UDP-Timeout). Was am Ende darauf hinausläuft, daß deine TK-Anlage währebnd dieser Zeit von außen nicht angerufen werden kann... Du mußt den UDP-Timeout so einstellen, daß er größer ist, als das Registrierungsintervall deiner TK-Anlage (oder die TK-Anlage muß "Keep-Alive" Pakete schicken).

Irgendwann wurde der Default für den UDP-Timeout i.Ü. von 20 auf 120 Sekunden erhöht um solche Probleme zu umghehen - bei dir scheint aber ein kleinerer Wert (als 120 Sekunden) eingestellt zu sein.

Den Timeout findest du im LANconfig unter IP-Router -> Maskierung -> UDP-Aging (daß der Timeout dort liegt, hat "historische" Gründe)

Gruß
Backslash

[GrandDixence]

Weil das UDP-Aging zuschlägt und die SPI-Firewall diese UDP-Verbindung als "getrennt" erachtet (disconnected). Das UDP-Aging macht vorwiegend mit der Signalisierung von Telefongesprächen (SIP) über NAT-Komponenten Ärger:
fragen-zur-lancom-systems-routern-und-g ... ml#p110939

Hier geht es aber um die Sprachdaten (RTP). Die Signalisierung von Telefongesprächen (SIP) ist nicht zeitkritisch. Die Übermittlung der Sprachdaten (RTP) ist zeitkritisch. Alle Sprachdatenpakete sollten mit einem Priority-Kleber (EF) versehen werden. Für SIP-Telegramme ist der Priority-Kleber überflüssig. Die Sprachdaten benötigen rund 120 KBit/s. Somit sollte auch eine Minimalbandbreite von mindestens 120 KBit/s reserviert werden.

Für SIP ist der Serverport UDP 5060 reserviert. RTP verwendet andere Serverports.

Die SPI-Firwall kann bei ihrer Arbeit beobachtet werden:
fragen-zum-thema-firewall-f15/firewall- ... ml#p109378

[Bluebird]

Vielen Dank Euch Beiden!

Der UDP-Timeout war tatsächlich auf 20 Sekunden eingestellt,
lt. Beschreibung die ich im Netz gefunden habe sendet die Anlage alle 60 Sekundne ein Keep Alive.

Jetzt scheint alles zu funktioneren.
Nochmals vielen Dank, ihr seid super.

Grüße
Jörg