Lancom Firewall? Ist VoIP mit Lancom unbrauchbar?

[cpuprofi]

Hallo Hobbyfahrer,

Dein Netzaufbau ist schon etwas gewöhnungsbedürftig... Egal, probiere mal folgende FW-Regel für SIP und RTP:

SIP:

Quelle: 192.168.178.12-30 (kannst auch jede IP einzeln eintragen) / Subnet: 255.255.255.0
Quell-Dienst: Alle
Ziel: IP-Adresse 212.172.97.124, 217.10.79.0
Ziel-Dienst: Port 5060-5062, UDP
Qos: Bandbreite garantieren ( 1 kb/s )


RTP:

Quelle: 192.168.178.12-30 (kannst auch jede IP einzeln eintragen) / Subnet: 255.255.255.0
Quell-Dienst: Port 7078-7097, UDP
Ziel: Beliebig (Sicherer ist aber: RTP-Server des SIP-/VoIP-Provider)
Ziel-Dienst: Alle
Qos: Bandbreite garantieren ( 80 kb/s )

Grüße
Cpuprofi

[Hobbyfahrer]

Moin Cpuprofi,

warum ist das ungewöhnlich? Ich habe eine klassische Struktur und da ist doch nichts ungewöhnlich. Kannst du mir erklären was du meinst?


Die IP Telefone melden sich nur an der Fritzbox an und NICHT bei Providern. Nur die Fritzbox hat die Verbindung zu den Providern.

[cpuprofi]

Hallo Hobbyfahrer,

hast Du mal die FW-Regeln ausprobiert, die ich Dir genannt habe?

Die IP Telefone melden sich nur an der Fritzbox an und NICHT bei Providern. Nur die Fritzbox hat die Verbindung zu den Providern.

Ich trenne immer die Netzte für PC's und Telefone. Alles separat DHCP, DNS, usw. Somit hat man damit keine Probleme und mehr Sicherheit...

Grüße
Cpuprofi

[Hobbyfahrer]

Ja und geht nicht!

Langsam habe ich das Gefühl, das da ist ein Fehler in der Lancom Software

[cpuprofi]

Hallo Hobbyfahrer,

was geht nicht? Klingelt es nicht beim angerufenen Teilnehmer (SIP) oder kannst Du diesen nicht hören (RTP) oder geht beides nicht?

Grüße
Cpuprofi

[Hobbyfahrer]

Beides geht nicht und die FW blockt Port 5060

Unser Anschluss ist dann nicht mehr erreichbar

[Hobbyfahrer]

Warum verändert das LCOS die FW Einstellungen bei den Diensten? Warum wird das eingestellte UDP durch alle ersetzt?

[backslash]

Hi Hobbyfahrer,

Warum verändert das LCOS die FW Einstellungen bei den Diensten? Warum wird das eingestellte UDP durch alle ersetzt?

Weil das Protokoll am Zieldienst steht... Abgesehen davon ist es nicht das LCOS, was das macht, sondern LANconfig. LANconfig schiebt den Inhalt der Protokoll-Spalte einfach in die Ziel-Dienst-Spalte...

Im LCOS kannst du zwar immer noch in der Protokoll-Spalte "TCP" oder "UDP" oder halt "ANY" eingeben. Letztendlich ist diese Spalte aber völlig überflüssig, weil ja bei den dedizierten Dienst-Objekten zusammen mit den Ports auch das jeweilige Protokoll steht...

Daher gibt es die Spalte in der IPv6-Firewall auch nicht mehr - und in der IPv4-Firewall ist sie letztendlich nur aus Kompatibilitätsgründen zu alten Konfigurationen.

Intern macht die IPv4-Firewall es letztendlich wie LANconfig in der Darstellung: Beim erstellen der Regeln, wird die Protokoll-Spalte in die Ziel-Spalte kopiert, bevor der Parser drüber läuft... Letztendlich zählen die erzeugten Filter, die du unter dir im CLI unter /Status/IP-Router/Filter-List anschauen kannst (oder wenn du es ausführlicher haben willst, gibst du im CLI show filter ein). Wenn es für ein zu übertragenes Paket keine Session gibt, dann werden diese Filter von oben nach unten abgearbeitet und beim ersten Match wird die Session angelegt.

Gruß
Backslash

[Hobbyfahrer]

Danke für die Erklärung aber warum steht dann im Webinterface des Routers bei Protokoll zweimal UDP und wenn ich dann wieder Lanconfig öffnen würde, um eine FW zu ändern wäre danach nur noch einmal UPD in der Protokollanzeige?






Mit den aktuellen FW Regeln scheint nun endliche vieles zu gehen, auch SIP.


Problem ist aber immer noch die nachfolgende Meldung:

Der Server meldet den Fehler: Der Server „p03-imap.mail.me.com“ kann über Port 993 nicht erreicht werden.

[backslash]

Hi Hobbyfahrer,

Danke für die Erklärung aber warum steht dann im Webinterface des Reuthers bei Protokoll zweimal UDP

gute Frage... eins davon ist in jedem Fall überflüssig...

und wenn ich dann wieder Lanconfig öffnen würde, um eine FW zu ändern wäre danach nur noch einmal UPD in der Protokollanzeige?

früher hat LANconfig sich intern einen eigenen Regelbaum aufgebaut und den dann beim Zurückschreiben der Konfig so zurückgeschrieben, wie es ihm paßte (und dabei auch doppelte Einträge gelöscht). Aber seit die Firewall-Konfiguration objektorientiert(er) wurde, versucht LANconfig manuell gemachte Einträge zu erhalten. Es könnte also sein, daß LANconfig das auch wieder doppelt zurückschreibt.

Der Server meldet den Fehler: Der Server „p03-imap.mail.me.com“ kann über Port 993 nicht erreicht werden.

letztendlich kannst du da nur Tracen... IP-Router- und Firewall-Trace möglichst eingeschränkt auf die aufgelöste IP-Adresse des Servers:

trace # ip-router firewall @ 123.45.67.89...

Oder aber du schaust dir die generierte Filterliste mit show filter an und gehst sie von oben bis unten (bis zum ersten Match für die IP-Adresse und den Zielport 993, sowie *beliebigem* Quellport) durch. Dann müßtest du sehen, welcher Filter nicht oder "falsch" generiert wurde (falsch generiert bedeutet dann auch gleich falsch konfiguriert)

Gruß
Backslash

[Hobbyfahrer]

...die Probleme mit 993 und 443 lassen sich nicht lösen!

[backslash]

Hi Hobbyfahrer,

ich sehe da gerade kein Problem, es sei denn du hättest Traffic an UDP-Port 443 explizit erlaubt, was ich mal zu bezweifeln wage.
Und in der abgewiesenen Session mit Port 993 steht dieser im Quell-Port, wodurch das zurückweisen erstmal auch korrekt ist.

Kann es sein, daß der Server irgendwie regelmäßig deinen Mail-Client pollt und dabei in das "Problem" rennt, daß die Firewall Sessions nach einiger Zeit bei inaktivität löscht? (obwohl ich mir das nicht vorstellen kann, denn die Maskierung nutzt den gleichen Timeout und es wäre schon ein großer Zufall, daß ein Paket so noch durch die Maskierung durchkommt und der Timeout gerade dann abgelaufen ist, wenn es bei der Firewall ankommt...)

Aber setz versuchsweise mal den TCP-Timeout hoch...

Gruß
Backslash

[Hobbyfahrer]

Ja bei 993 handelt es sich um ein Apple Push Konto und ich denke, das es damit zu tun haben könnte. Wäre da nicht eine zweite Regel sinnvoller als den Timer von 300 Sekunden auf einen anderen Wert hochzudrehen und wenn wie hoch den Wert?

Port 443 ist nur TCP erlaubt. Das verstehe ich absolut nicht warum das geblockt wird

[backslash]

Hi Hobbyfahrer

Ja bei 993 handelt es sich um ein Apple Push Konto und ich denke, das es damit zu tun haben könnte. Wäre da nicht eine zweite Regel sinnvoller als den Timer von 300 Sekunden auf einen anderen Wert hochzudrehen

Das Problem bei einer zweiten eingehenden Regel ist, daß du in ihr dann *alle* Zielports öffnen mußt, denn dein Mail-Client wählt sich ja jedesmal einen neuen Port aus. Daher ist es schon sinnvoller, die Regel nur abgehend zu konfigurieren und den Timeout hochzusetzen...

und wenn wie hoch den Wert?

das hängt davon ab, in welchen Abständen bei dir die Mails eintrudeln, oder ob dein Mail-Client die Session mit Keep-Alive-Paketen aktiv offenhalten kann. Letzteres wäre die Methode der Wahl - dann kannst du den Timeout passend zum Keep-Alive-Intervall wählen.

Port 443 ist nur TCP erlaubt. Das verstehe ich absolut nicht warum das geblockt wird

das wird ja auch nicht geblockt... es wird UDP an Port 443 geblockt - was vollkommemn korrekt ist...

Gruß
Backslash

[Hobbyfahrer]

Langsam flippe ich aus.

Nun geht die gesamte Telefonie nicht mehr! Was ist denn das für ein Scheiss!!!!

Port 5060 wurde geblockt obwohl es die Tage lief. Nun werden andere RTP Ports geblockt 7102-7108. Wo kommen die denn nun her?

Ich flippe aus!

Update 26.02.

Regeln am 25.02. geändert und lief dann. Heute geht eine Leitung nicht mehr!!!

Liegt es an mir oder ist der Router zu doof? Seit ich Lancom kennen und nutze gab es immer Problem mit VoIP. Es scheinen auch mit viele die Router für VoIP zu nutzen, wenn ich mir den Dialog hier ansehe.


Nun labert mich der LanMonitor auch ständig voll, obwohl ich KEINE Benachrichtigung der Sipgate Regel eingetragen habe.