Firewallkonfiguration

Problem
Die Telefonie ist häufig die einzige Echtzeitanwendung im Unternehmen. Als solche hat diese natürlich besondere Anforderungen an die Netzwerkinfrastruktur und somit vorallem an den Router.
Wenn hierzu keine Vorkehrungen getroffen werden, dann macht sich dies häufig dadurch bemerkbar das der externe Teilnehmer einen hin und wieder schlecht versteht (Sprachaussetzer) oder die Tonübertragung komplett scheitert. Letzeres ist häufig auf aktiviertes SIP ALG (bei manchen Herstellern auch SIP Helper genannt) am Router zurückzuführen.
Um den Problemen zu entgegnen sind hier eine Erfahrungswerte sowohl allgemein als auch zu bestimmten Routerherstellern aufgeführt.

Lösung
Die Prioriesierung von Netzwerkdiensten nennt man meist Quality of Service (QoS).
Damit dies möglich ist setzen die Hersteller (Endgeräte, Asterisk aber auch unser Softphone) entprechende DSCP/TOS Werte die oft von den Routerherstellern ohne besondere Konfiguration bereits berücksichtigt werden. Da dies jedoch nicht immer der Fall ist muss man hier per Konfiguration u.U. nachhelfen. Sollte man die Priorisierung nach DSCP/TOS generell nicht aktivieren können und nur Regeln anhand spezieller DSCP/TOS Werte setzen können, dann reicht es hier cs5 und ef zu priorisieren.
Da die Hersteller die Werte unterschiedlich angeben hier eine Übersetzungs-Tabelle:
Übersetzungstabelle von bytesolutions

Mikrotik
Sollten noch keine Queues zur Priorisierung verwendet werden lässt sich wie folgt eine einfache VoIP Priorisierung erreichen:
/ip firewall mangle
add action=mark-packet chain=prerouting dscp=40 new-packet-mark=voip_pkt passthrough=yes
add action=mark-packet chain=prerouting dscp=46 new-packet-mark=voip_pkt passthrough=yes

/queue simple
add name=q-default packet-marks=no-mark queue=default/default target=""
add name=q-voip packet-marks=voip_pkt priority=2/2 queue=default/default target="" total-priority=2

Sophos UTM
Die Sophos UTM scheint 4 Stream von/zur gleichen IP als Flooding zu erkennen, um das zu unterbinden kann man unter
Sophos UTMv9 Network Protection -> Intrusion Prevention -> Ausnahmen -> die betroffene IP hinterlegen.

Was ist denn mit “betroffene IP” gemeint bei einer Pacom Cloud Instanz? Bei onsite kann ich nachvollziehen, dass es die IP der TK sein soll.

Grruß
Michael

Hallo Michael,

zum aktuellen Stand müsste ich nochmal Rücksprache halten, falls man das bei der Sophos nicht dynamsich anhand von DNS (pascom.cloud) hinterlegen kann. Ursprünglich waren es ja mal 3 Proxies, mit dem Umzug zu AWS sind es aber glaube ich mehr geworden und können dynamisch ansteigen.
Ich bin leider auch nicht so mit der Sophos vertraut, ggf kann man hier neben einzelnen IPs auch ein ganzes Netz oder Portbereiche als Ausnahme definieren. Da aktuell jedoch auch über die Proxies loadbalanced wird und nicht nur bei Failover wechselt kommt es vermutlich ohnehin selltener zu diesem Problem.

Grüße,
Steve

Natürlich kann man bei einer Sophos SG DNS-Hosts angeben oder halt Netzbereiche.
Was hält bei Euch in der Doku immer noch fehlt sind genau diese Infos. Welche IP-Adressen welche Dienst haben usw

SONICWALL

Globale Einstellung:
VoIP:
-“Enable Consistent-NAT”: Haken entfernen (sollte auch default sein)

-Radio-Button bei “Use global control to enable SIP Transformations” setzen (sollte default so sein) Der andere Wert macht eine externe Verbindung (MobileHub) unmöglich)

Die Firewall-Regeln, die die Telefonie betreffen*, passe ich immer wie folgt an:
Advanced:
-UDP Connection Inactivity Timeout (seconds): 180
-Disable DPI: Haken setzen

QoS:
-DSCP Marking Action: Explicit
-Explicit DSCP Value: 46 - Expedited Forwarding
-802.1p Marking Action: Explicit (bei Verwendung von VLANs)
-Explicit 802.1p Value: 6 - Voice

*Onsite:
-ausgehend zum SIP-Provider
-intern zur pascom
-eingehend zur pascom

*Cloud:
-ausgehend zur pascom-Cloud

1 Like