Hallo Experten!
Ich habe folgendes (interessantes) Problem mit der Firewall:
Szenario:
Software VoIP-Anlage hinter Lancom 1723
Problem:
Ausgehende Anrufe werden zwar eingeleitet (beim Empfänger läutet das Telefon) aber es kommt keine Verbindung zustande. Wenn der Empfänger das Gespräch entgegen nimmt, erkennt die Telefonanlage dies nicht, und bleibt am Status: "Läuten" obwohl der Empfänger schon abgenommen hat.
Die erforderlichen Ports wurden über eine Firewall-Regel freigeschalten und ein Portmapping ist eingetragen. Jedoch ohne Erfolg.
Nun das Interessante:
Wenn die Firewall komplett deaktiviert wird, funktioniert das Telefonieren genau EIN Mal. Danach wieder die gleiche Problematik. Der Fehler ist rekonstruierbar.
FW wieder einschalten, danach wieder deaktivieren -> EIN Gespräch möglich.
Wo könnte das Problem stecken?
Eventuell ein Routingfehler?
Die Konfiguration der Software-PBX ist richtig, ohne Lancom, direkt im Netz klappt alles gut.
Für Lösungsvorschläge wäre ich dankbar!
Software PBX und Probleme Firewall/Routing VoIP
Moderator: Lancom-Systems Moderatoren
Bei mir wars streng genommen damals nicht in den SIP Headern, sondern im SDP Teil. Wenn hier bei c= die interne IP drinsteht, kann es dazu kommen, dass die Gegenstelle damit nichts anfangen kann. Das könnte auch erklären warum es funktioniert wenn Du die PBX direkt ans Internet hängst.
Bei mir hats eben damals geholfen die externe IP Adresse direkt bei der PBX einzutragen.
Beispiel (mit interner IP wie es nicht sein soll):
Bei mir hats eben damals geholfen die externe IP Adresse direkt bei der PBX einzutragen.
Beispiel (mit interner IP wie es nicht sein soll):
Code: Alles auswählen
v=0
o=- 2991476138 2991476138 IN IP4 192.168.5.1
s=call
c=IN IP4 192.168.5.1
t=0 0
m=audio 8248 RTP/AVP 8 2 101
a=rtpmap:8 PCMA/8000
a=rtpmap:2 G726-32/8000
a=rtpmap:101 telephone-event/8000
a=fmtp:101 0-16
a=sendrecv
a=silenceSupp:off - - - -Liebe Grüße,
michael
michael
Dieser Argumentation (von dem Support) kann ich nicht folgen. Weil *würde* der Lancom die IP Adresse in den Sip Nachrichten umschreiben, dann hättest Du das Problem vermutlich nicht. Dann wäre ja alles so wie es sein soll.
(Abgesehen davon das ich nicht glaube, dass der Lancom die Adressen in den SIP Nachrichten ersetzt)
(Abgesehen davon das ich nicht glaube, dass der Lancom die Adressen in den SIP Nachrichten ersetzt)
Liebe Grüße,
michael
michael
[quote="chrisib"]Ja genau, bei mir steht auch die interne IP drinnen. Laut Support der Telefonanlage verändert jedoch die Firewall (mein Lancom) diesen Eintrag. Kann das sein?!?
Wo wäre die Anpassung vorzunehmen (in welchem Teil der SIP Einstellungen?)[/quote]
Wenn du den VCM deines 1723 aktiviert hast, dann kann es sehrwohl sein, das der LANCOM sich hier einmicht, da er sich als SIP-Gateway für alle SIP-Pakete auf Port 5060 verantwortlich zeigt.
Du hast also nur die Möglichkeit, den VCM zu deaktivieren oder aber deine PBX über den VCM des LANCOM raus telefonieren zu lassen.
Alternativ kannst du, wenn vorhanden, eine weitere öffentliche IP an die PBX durchreichen. Dann hält sich der VCM raus.
LG
Oliver
Wo wäre die Anpassung vorzunehmen (in welchem Teil der SIP Einstellungen?)[/quote]
Wenn du den VCM deines 1723 aktiviert hast, dann kann es sehrwohl sein, das der LANCOM sich hier einmicht, da er sich als SIP-Gateway für alle SIP-Pakete auf Port 5060 verantwortlich zeigt.
Du hast also nur die Möglichkeit, den VCM zu deaktivieren oder aber deine PBX über den VCM des LANCOM raus telefonieren zu lassen.
Alternativ kannst du, wenn vorhanden, eine weitere öffentliche IP an die PBX durchreichen. Dann hält sich der VCM raus.
LG
Oliver
Es könnte schlimmer kommen ....
... Ach ja, 'nen Router hab' ich auch ...
... Ach ja, 'nen Router hab' ich auch ...
Den VCM habe ich deaktiviert, möchte ich auch nicht einsetzen, da die SoftwarePBX mehr Funktionen bietet, weiters habe ich auch noch Lancom-Router ohne VCM, die später genau so zum Einsatz kommen sollen.
Habe nun Wireshark auf der Maschine mit der PBX installiert, und beim Trace erscheint die Info "ICMP Destination unreachable (Port unreachable)".
Bezüglich der Ports:
Ich benötige 5060 TCP+UDP für SIP und 9000-9015 UDP für RTP.
Ich habe folgende Firewall-Reglen definiert:
PBX-PC (ALLE Protokolle) an ALLE (ALLE Protokolle)
ALLE (ALLE Protokolle) an PBX-PC (ALLE Protokolle)
Beim Portforwarding:
5060:5060 - INTERNET - PBX-PC - TCP+UDP
9000:9015 - INTERNET - PBX-PC -UDP
Sollte doch passen?(abgesehen vom Sicherheitsrisiko bei der eingehenden Regel!)
Muss ich für ICMP auch eine Regel definieren?
Und wie könnte ich eine externe IP direkt an den PC durchreichen?
Habe nun Wireshark auf der Maschine mit der PBX installiert, und beim Trace erscheint die Info "ICMP Destination unreachable (Port unreachable)".
Bezüglich der Ports:
Ich benötige 5060 TCP+UDP für SIP und 9000-9015 UDP für RTP.
Ich habe folgende Firewall-Reglen definiert:
PBX-PC (ALLE Protokolle) an ALLE (ALLE Protokolle)
ALLE (ALLE Protokolle) an PBX-PC (ALLE Protokolle)
Beim Portforwarding:
5060:5060 - INTERNET - PBX-PC - TCP+UDP
9000:9015 - INTERNET - PBX-PC -UDP
Sollte doch passen?(abgesehen vom Sicherheitsrisiko bei der eingehenden Regel!)
Muss ich für ICMP auch eine Regel definieren?
Und wie könnte ich eine externe IP direkt an den PC durchreichen?