Hallo zusammen,
ich habe seit gestern ein LANCOM 1521 . Jetzt versuche ich mein VOIP (SPA 3000) richtig ans laufen zu bekommen.
Ich arbeite mit einer DENY_ALL Regel.
Für mich ist jetzt aber nicht ganz klar, wo ich die Bandbreite garantieren muss und wo ich den PMTU wert einstellen muss.
Muss ich die in meinem VOIP-Regeln einstellen oder bei meiner Regel für ALLOW_INET?
Ich habe jetzt zwei Regeln für VOIP gemacht.
VOIP_EINGEHEND (Quell-Station die IP-Adresse des SPA) und VOIP_AUSGEHEND (Ziel-Station die Adresse des SPA). Als AKtion ist überall "übertragen" eingestellt. Habe dort bei QOS auch die beiden Sachen wegen Mindestbandbreite und PMTU eingestellt.
Ist das so richtig?
Muss ich eigentlich zusätzlich noch ein Portforwarding unter Maskierung machen?
Habe gestern fleissig Trailer abgespielt und dabei versucht mich anzurufen. Das Problem war, das oft die Verbindung abgerissen ist oder der SPA den STUN-Server nicht ansprechen konnte. War der Traffic vom Film weg, funktionierte es wunderbar.
Gruss
Jochen
DENY_ALL und VOIP
Moderator: Lancom-Systems Moderatoren
Hi jhilgers
Während des Surfens oder einem FTP-Download funktioniert das Telefonieren hingegen problemlos, da TCP die Datenrate selbständig senkt, wenn die Bestätigungen verzögert werden...
Für den STUN-Server solltest Du übrigends auch eine Regel erstellen und eine Mindestbandbreite definieren, sonst hast Du das Kontakt-Problem auch bei "normalen" Downloads.
Gruß
Backslash
Die Mindestbandbreite und auch die PMTU-Reduzierung mußt Du bei der VOIP-Regel einstellenich habe seit gestern ein LANCOM 1521 . Jetzt versuche ich mein VOIP (SPA 3000) richtig ans laufen zu bekommen.
Ich arbeite mit einer DENY_ALL Regel.
Für mich ist jetzt aber nicht ganz klar, wo ich die Bandbreite garantieren muss und wo ich den PMTU wert einstellen muss.
Muss ich die in meinem VOIP-Regeln einstellen oder bei meiner Regel für ALLOW_INET?
das ist korrektIch habe jetzt zwei Regeln für VOIP gemacht.
VOIP_EINGEHEND (Quell-Station die IP-Adresse des SPA) und VOIP_AUSGEHEND (Ziel-Station die Adresse des SPA). Als AKtion ist überall "übertragen" eingestellt. Habe dort bei QOS auch die beiden Sachen wegen Mindestbandbreite und PMTU eingestellt.
Ist das so richtig?
wenn Du angerufen werden willst, dann kommst Du darum nicht herum. wenn Du nur anrufen willst, dann ist es unnötig.Muss ich eigentlich zusätzlich noch ein Portforwarding unter Maskierung machen?
Das Problem beim Filme schauen ist, daß zur Übertragung der Filme wie beim VOIP UDP Pakete benutzt werden. Bei UDP funktioniert die empfangsseitige Bandbreitenbegrenzung (für die reservierten Mindestbandbreiten der VOIP-Session) nicht, da die UDP-Pakete nicht bestätigt werden müssen, sondern einfach mit maximaler Rate versendet werden. Also: Entweder telefonieren oder Filme schauen...Habe gestern fleissig Trailer abgespielt und dabei versucht mich anzurufen. Das Problem war, das oft die Verbindung abgerissen ist oder der SPA den STUN-Server nicht ansprechen konnte. War der Traffic vom Film weg, funktionierte es wunderbar.
Während des Surfens oder einem FTP-Download funktioniert das Telefonieren hingegen problemlos, da TCP die Datenrate selbständig senkt, wenn die Bestätigungen verzögert werden...
Für den STUN-Server solltest Du übrigends auch eine Regel erstellen und eine Mindestbandbreite definieren, sonst hast Du das Kontakt-Problem auch bei "normalen" Downloads.
Gruß
Backslash
Hallo Backslash,
danke für die ausführliche Antwort. In der Zwischenzeit habe ich mal einen bisschen mit der Firewall rumgespielt und so einiges rausgefunden.
Trotzdem ist mir eins noch nicht ganz klar.
Warum muss ich den PMTU Wert nur bei den VOIP-Regeln einstellen? Ich will doch damit, dass insbesondere der andere Traffic in kleineren Päckchen kommt? Oder habe ich da einen Denkfehler?
Wie lange wird eigentlich die Mindestbandbreite reserviert?
Ich habe jetzt alle Ports zum SPA und auch wieder von ihm weg aufgemacht. Wieso muss ich noch für den STUN-Server eine Regel machen. Decke ich Ihn damit nicht ab?
Das Angerufen werden funktioniert zur Zeit recht gut auch ohne Maskierung. Naja, ich will eigentlich hauptsächlich angerufen werden.... . Sollte ich denn besser die Maskierung reinnehmen?
Gruss
Jochen
danke für die ausführliche Antwort. In der Zwischenzeit habe ich mal einen bisschen mit der Firewall rumgespielt und so einiges rausgefunden.
Trotzdem ist mir eins noch nicht ganz klar.
Warum muss ich den PMTU Wert nur bei den VOIP-Regeln einstellen? Ich will doch damit, dass insbesondere der andere Traffic in kleineren Päckchen kommt? Oder habe ich da einen Denkfehler?
Wie lange wird eigentlich die Mindestbandbreite reserviert?
Ich habe jetzt alle Ports zum SPA und auch wieder von ihm weg aufgemacht. Wieso muss ich noch für den STUN-Server eine Regel machen. Decke ich Ihn damit nicht ab?
Das Angerufen werden funktioniert zur Zeit recht gut auch ohne Maskierung. Naja, ich will eigentlich hauptsächlich angerufen werden.... . Sollte ich denn besser die Maskierung reinnehmen?
Gruss
Jochen
Hi jhilgers
Gruß
Backslash
Die PMTU-Reduzierung wird durch einen Match der VOIP-Regel aktiviert und betrifft alle Pakete, die *NICHT* auf die VOIP-Regel matchen, aber über das selbe Interface versendet werden. Daher bekommt (wie gewünscht) der "andere" Traffic die kleinen PaketeTrotzdem ist mir eins noch nicht ganz klar.
Warum muss ich den PMTU Wert nur bei den VOIP-Regeln einstellen? Ich will doch damit, dass insbesondere der andere Traffic in kleineren Päckchen kommt? Oder habe ich da einen Denkfehler?
so lange der auslösende Eintrag in der Verbindungsliste der Firewall steht.Wie lange wird eigentlich die Mindestbandbreite reserviert?
Du hast doch eine Regel erstellt, die explizit die Adresse des SPA enthält. Der STUN-Server hat i.A. eine andere Adresse, weshalb du für ihn auch eine Regel benötigst...Ich habe jetzt alle Ports zum SPA und auch wieder von ihm weg aufgemacht. Wieso muss ich noch für den STUN-Server eine Regel machen. Decke ich Ihn damit nicht ab?
Das geht so lange gut, so lange du bei einem SIP-Gateway angemeldet bist. Wenn es nur über das Gateway funktionieren soll, dann brauchst Du kein Portforwarding. Wenn dich allerdings jemand "direkt" anrufen können soll (d.h. ohne SIP-Gateway), dann schon...Das Angerufen werden funktioniert zur Zeit recht gut auch ohne Maskierung. Naja, ich will eigentlich hauptsächlich angerufen werden.... . Sollte ich denn besser die Maskierung reinnehmen?
Gruß
Backslash
Hi backslash,
Ah, danke, jetzt wird mir schon einiges klarer
mit dem STUN-Server habe ich aber noch ein kleines Problem. Ich habe zwei Regeln gemacht.
- VOIP_IN, übetragen, PMTU 256 byte TX und die 64kbit Bandbreite bei DSCF=EF, Quellstation: von allen, Zielstation: 10.0.1.10 (SPA, alle Dienste
- VOIP_OUT, übetragen, PMTU 256 byte TX und die 64kbit Bandbreite bei DSCF=EF, Quellstation: 10.0.1.10 (SPA) Zielstation: alle, alle Dienste.
Hiermit habe ich doch den STUN-Server auch mit erschlagen? Da ich doch alle Pakete von allen Stationen auf den SPA und auch weggehend weiterleite?
Oder wie muss ich das machen ?
Gruss
Jochen
Ah, danke, jetzt wird mir schon einiges klarer
mit dem STUN-Server habe ich aber noch ein kleines Problem. Ich habe zwei Regeln gemacht.
- VOIP_IN, übetragen, PMTU 256 byte TX und die 64kbit Bandbreite bei DSCF=EF, Quellstation: von allen, Zielstation: 10.0.1.10 (SPA, alle Dienste
- VOIP_OUT, übetragen, PMTU 256 byte TX und die 64kbit Bandbreite bei DSCF=EF, Quellstation: 10.0.1.10 (SPA) Zielstation: alle, alle Dienste.
Hiermit habe ich doch den STUN-Server auch mit erschlagen? Da ich doch alle Pakete von allen Stationen auf den SPA und auch weggehend weiterleite?
Oder wie muss ich das machen ?
Gruss
Jochen
Hi jhilgers
Die Abfrage an den STUN-Server wird wohl kaum mit DSCP EF gesendet werden. Daher brauchst Du noch eine Regel, die als Quell-Adresse den SPA und als Ziel-Adresse den STUN-Server hat. Da solltest Du dann eine Mindestbandbreite von 1 bis 2 Kbit einstellen, damit die gelegentliche Anfrage an den STUN-Server auch wirklich durchkommt.
Gruß
Backslash
Nun ja, was das erlauben angeht: ja - aber was die Mindestbandbreite angeht: nein.Hiermit habe ich doch den STUN-Server auch mit erschlagen? Da ich doch alle Pakete von allen Stationen auf den SPA und auch weggehend weiterleite?
Die Abfrage an den STUN-Server wird wohl kaum mit DSCP EF gesendet werden. Daher brauchst Du noch eine Regel, die als Quell-Adresse den SPA und als Ziel-Adresse den STUN-Server hat. Da solltest Du dann eine Mindestbandbreite von 1 bis 2 Kbit einstellen, damit die gelegentliche Anfrage an den STUN-Server auch wirklich durchkommt.
Gruß
Backslash
Hallo zusammen,
ist vielleicht schon verjährt, aber ich habe jüngst auch viel mit den QoS-Einstellungen des Lancom in Kombination mit meinem Sipura SPA herum experimentiert.
Dem SPA kann man unter den Line-Settings auch genau sagen, welche TOS/DiffServ Werte die SIP- und die RTP-Pakete bekommen sollen (SIP sollten wohl "0xa" und RTP "0x2e" bekommen). Dann kann man entweder genau danach triggern, oder standardmäßig durch Aktivierung von "Diffserv-Feld beachten" die Pakete entsprechend priorisiert weiterleiten lassen.
Sollte ich mich damit irren, lasst es mich bitte wissen.
Viele Grüße
Christoph
ist vielleicht schon verjährt, aber ich habe jüngst auch viel mit den QoS-Einstellungen des Lancom in Kombination mit meinem Sipura SPA herum experimentiert.
Dem SPA kann man unter den Line-Settings auch genau sagen, welche TOS/DiffServ Werte die SIP- und die RTP-Pakete bekommen sollen (SIP sollten wohl "0xa" und RTP "0x2e" bekommen). Dann kann man entweder genau danach triggern, oder standardmäßig durch Aktivierung von "Diffserv-Feld beachten" die Pakete entsprechend priorisiert weiterleiten lassen.
Sollte ich mich damit irren, lasst es mich bitte wissen.
Viele Grüße
Christoph
Lancom DSL/I-10+, LCOS 8, QDSL 2.560 & 16.000