Lancom Firewall? Ist VoIP mit Lancom unbrauchbar?

[Hobbyfahrer]

Hallo,

meine Lust weicht langsam dem Frust.

Was ist an meinen Entstellungen falsch denn ich bekomme ständig Probleme mit:

- Webseiten können nicht geöffnet werden oder funktionieren erst nach dem 10ten klicken oder nach einer gewissen Zeit oder werden nur unvollständig angezeigt
- Apple Mail finde oft den Server auf Port 993 nicht, obwohl kein Eintrag in der FW Ereignissen steht
- Ständige Probleme mit der Fritzbox die bei mir als SIP/VoIP Gateway arbeitet und der SIP Registrierung
- https Verbindungen werden teilweise gesperrt






Gibt es hier noch jemanden der mit helfen kann?

Danke

Thorsten

[Hobbyfahrer]

Und so sieht es mit meinem Mailkonto aus

[Bernie137]

Hallo Torsten,

auf den ersten Blick sieht es ganz gut aus. Aber was ist denn konfiguriert im Ziel "Kabel"? Hast mal kontrolliert, ob Port 993 in Secure-Mail auch enthalten ist?

Aber mal noch eine ganz andere Frage: Wie gut funktioniert denn überhaupt der Internetzugang und wie ist was eingerichtet. Wenn andere Sachen auch Probleme bereiten suchst bei der Firewall m.M.n. an der falschen Stelle.

PS: DENY_ALL schreibt für gewöhnlich mit einem "N"

vg Heiko

[backslash]

Hi Hobbyfahrer

zumindest für die von die geposteten Sessions gibt es außer der DENY-ALL-Regel keine weitere die matcht...
Deine SIP-Regel sagt hier offenbar:

Code: Alles auswählen

Quelle:  MAC-Adresse Fritzbox
Ziel:    Gegenstelle KABEL (= INTERNET)
Diebste: UDP, Quellport 5060

abgesehen davon, daß es ungeschickt ist, auf den Quellport matchen zu wollen wird die Ziel-IP 192.168.178.30 niemals auf der Gegenstelle KABEL zu finden sein. Daher rennen die Pakete in die DENY-ALL-Regel...

Und zu deinem Mail-Problem ware interessant zu wissen, wie das Objekt "SECURE-MAIL" definiert ist. Wenn es "TCP %s993" oder "%p6 %s993" ist, dann sollte es eigentlich funktionieren


Gruß
Backslash

[passi]

Enthält deine QoS Regel eventuell eine Fragmentierung der übrigen Pakete?

[Hobbyfahrer]

Hallo Bernie,

ups das mit dem N hatte ich noch nicht gesehen und ich werde mit h geschrieben


Kabel ist mein Kabelmode (Bridge) am Lancom

993 ist in der Regel eingetragen.

Anbei weitere Bilder:

[Hobbyfahrer]

abgesehen davon, daß es ungeschickt ist, auf den Quellport matchen zu wollen wird die Ziel-IP 192.168.178.30 niemals auf der Gegenstelle KABEL zu finden sein. Daher rennen die Pakete in die DENY-ALL-Regel...

Hallo Backslash,

kannst du mir das bitte erklären? Wie müssten den die Regeln optimal aussehen?

Danke

Thorsten

[Hobbyfahrer]

Enthält deine QoS Regel eventuell eine Fragmentierung der übrigen Pakete?

Nein siehe Bild und ich habe das aus einem anderen Beitrag hier übernommen. Fakt ist aber auch, dass ich derzeit nicht telefonieren kann, da alles für den Hörenden extrem abgehakt ist

[Hobbyfahrer]

Habe die Regeln nun geändert. Ist das so nun besser?

Mit dieser Änderung wird weiter RTP und 443 geblockt. Trage ich die RTP Ports nun unter Quelle können wir wieder telefonieren.

[cpuprofi]

Hallo Hobbyfahrer,

Deine Regel für ALLOW-FRUTZBOX-SIP sollte so aus sehen:

Quelle: IP der Fritzbox
Quell-Dienst: Alle
Ziel: Beliebig (Sicherer ist aber: SIP-Server des SIP-/VoIP-Provider)
Ziel-Dienst: Port 5060-5062, UDP
Qos: Bandbreite garantieren ( 1 kb/s )


Die Regel für ALLOW-FRITZBOX-RTP sollte so aus sehen::

Quelle: IP der Fritzbox
Quell-Dienst: Port 7078-7097, UDP
Ziel: Beliebig (Sicherer ist aber: RTP-Server des SIP-/VoIP-Provider)
Ziel-Dienst: Alle
Qos: Bandbreite garantieren ( 80 kb/s )

Warum "Quell-Dienst: Port 7078-7097, UDP" und "Ziel-Dienst: Alle" ? Die Erklärung ist ganz einfach, die SIP-/VoIP-Provider nutzen meistens einen sehr großen Port-Bereich für RTP. Darum kannst Du nur "Deinen RTP-Bereich" als Einschränkung definieren.

Grüße
Cpuprofi

[Hobbyfahrer]

Moin,

wenn ich das so wie du sagst eingebe, geht die Telefonie nicht mehr.

Quelle: 192.168.178.30
Quell-Dienst: Alle
Ziel: IP-Adresse 212.172.97.124, 217.10.79.0
Ziel-Dienst: Port 5060-5062, UDP
Qos: Bandbreite garantieren ( 1 kb/s )


Es muss bei Ziel und Quelle beliebig stehen NUR dann geht es!!!!



Was ich auch nicht verstehe sind die ständigen DNS Fehler die die Fritzbox meldet!

19.02.14 15:02:58 Anmeldung der Internetrufnummer 0049xxx war nicht erfolgreich. Ursache: DNS-Fehler
19.02.14 15:02:58 Anmeldung der Internetrufnummer 0049yyy war nicht erfolgreich. Ursache: DNS-Fehler
19.02.14 15:02:48 Anmeldung der Internetrufnummer 0049xxxwar nicht erfolgreich. Ursache: DNS-Fehler
19.02.14 15:02:48 Anmeldung der Internetrufnummer 0049yyy war nicht erfolgreich. Ursache: DNS-Fehler
19.02.14 15:02:38 Anmeldung der Internetrufnummer 0049xxx war nicht erfolgreich. Ursache: DNS-Fehler
19.02.14 15:02:38 Anmeldung der Internetrufnummer 0049yyy war nicht erfolgreich. Ursache: DNS-Fehler

alle 10 Sekunden

[cpuprofi]

Hallo Hobbyfahrer,

irgendwie scheint da mehr falsch zu sein...

Wie ist den Dein genauer Aufbau des Netzwerkes? Bitte Geräte (IP's mit angeben) und Verbindungen nennen.

Grüße
Cpuprofi

[Hobbyfahrer]

Kabelmoden (im Bridgemodus) --> Lancom --> Switche --> Endgeräte

An den drei weiteren Lancom Ports sind dann angeschlossen
Fritzbox
Gebäudesteuerung
Heizung


Lancom 192.168.178.1
Fritzbox 192.168.178.30
Netzwerk 192.168.178.xxx




Ich habe nun die IP Adressen in der Fritzbox bei den SIP Servern eingeben und hoffe, dass ich diese DNS Fehlermeldungen nicht mehr bekomme.

Warum aber werden ICMP und https 443 immer noch geblockt. Ich begreife es einfach nicht!!!

[cpuprofi]

Hallo Hobbyfahrer,

welche IP haben den die Telefone und welchen IP-Range hat das Intranet der Fritzbox?

Grüße
Cpuprofi

[Hobbyfahrer]

Die Fritzbox läuft im Clientmodus und hat wie schon oben geschrieben, die 192.168.178.30. Die Fritzbox ist nur als SIP Gateway im Einsatz für die Rufnummernzuordnung und Anmeldung bei den Providern.

Die IP Telefone haben die 192.168.178.12, 20, 21, 22, 23, 24 und melden sich an der Fritzbox an