Benötigte Ports & Einstellungen für VoIP Dienst (alle Firewall Modelle) #
Für Winet SIP Trunk #
Telefonanlage oder Telefon-Endgeräte im LAN des Kunden
| SIP | Port 5060 UDP auf das Subnet 185.109.0.0/22 (255.255.252.0) , ein- sowie ausgehend |
| RTP | Ports 10’000 – 20’000 UDP auf das Subnet 185.109.0.0/22 (255.255.252.0) , ein- sowie ausgehend |
| UDP Timeout | mind. 300s |
| SIP-ALG | deaktivieren |
Für Winet Ayrix & hostedPBX #
| SIP | Ports 5060 UDP auf das Subnet 185.109.0.0/22 (255.255.252.0) , ein- sowie ausgehend |
| RTP | Ports 10000 – 20000 UDP auf das Subnet 185.109.0.0/22 (255.255.252.0) , ein- sowie ausgehend |
| CTI-Clients | Ports 5038 TCP auf das Subnet 185.109.0.0/22 (255.255.252.0) , ein- sowie ausgehend |
| UDP Timeout | mind. 300s |
| SIP-ALG | deaktivieren |
Zusätzliche Einstellungen für einzelne Firewall Modelle #
Hier finden Sie Screenshots und Kurz-Anleitungen zu den häufigsten Firewalls.
Fortigate (Fortinet) #
Es empfiehlt sich, folgender Anleitung zu folgen: http://kb.fortinet.com/kb/documentLink.do?externalID=FD33271
How to disable SIP-ALG (SIP Helper) on Fortinet
Open the Fortigate CLI from the dashboard. Enter the following commands in FortiGate’s CLI:
config system settings set sip-helper disable set sip-nat-trace disable reboot the device
Reopen the FortiGate CLI and enter the following commands (do not enter the text after //)
config system session-helper show // you need to find the entry for SIP, usually 12, but it may vary delete 12 // or the number that you identified from the previous command
Create a rule and set it like in the picture above Reboot the device and you should be ready
Disable RTP processing as follows
config voip profile edit default config sip set rtp disable
Je nachdem was als Basis-Unterstützung konfiguriert ist, kann die SIP-Unterstützung komplett ausgeschaltet werden.
Folgend wird der SIP Sessionhelper als „Basis“-Unterstützung gesetzt und gelöscht.
Hiermit kann die Fortigate keine SIP-Unterstützung mehr bieten, da der Sessionhelper, auf den Sie konfiguriert ist, nicht mehr existiert.
Basis-Unterstützung auf den Sessionhelper (kernel-helper-based) setzen:
config system settings set default-voip-alg-mode kernel-helper-based end
SIP Sessionhelper löschen (wie oben):
config system session-helper
show
...
edit <id>
set name sip
set protocol 17
set port 5060
next
...
delete <id>
end
Eine Komplette Anleitung zur VoIP Konfiguration für FortiOS 5.6 finden Sie in diesem Dokument: https://docs.fortinet.com/uploaded/files/3611/fortigate-sip-56.pdf
pfSense #
Die pfSense enthält standartmässig kein SIP-ALG.
UDP Session Timeout anpassen:
Sonicwall #
SonicOS 6.5 #
SIP-ALG wird bei Sonicwall „SIP-Tranformations“ genannt. Bitte deaktivieren Sie diese Einstellung:
UPD Session Timeout anpassen (mindestens 300s):
SonicOS 5.9 #
SIP-ALG wird bei Sonicwall „SIP-Tranformations“ genannt. Bitte deaktivieren Sie diese Einstellung:
UPD Session Timeout anpassen (mindestens 300s):
Sophos #
Bei der Sophos-Firewall wird die UDP Session Timeout Einstellung über die Konsole mit folgendem Befehl geändert (mindestens 300s setzen):
console>setpacketfilter timeout ip_conntrack_udp_timeout 300 |
oder
console>packetfilter ip_conntrack_udp_timeout 300 |
|---|
Das SIP-Module (a.k.a. SIPALG) wie folgt deaktivieren:
1. Log in to the CLI using Telnet or SSH. You can also access the CLI from admin > Console in the upper right corner of the Admin Console screen.
2. Choose option4. Device Console.
3. Execute the following command(s):
console> system system_modules sip unload |
Zyxel USGxx #
Einstellungen via GUI anpassen #
UDP Session Timeout anpassen (auf mindestens 300s):
SIP-ALG deaktivieren:
Nachdem diese Einstellung angepasst wurde ist ein Neustart der Firewall zwingend.
Sollte eine dieser Einstellungen nicht verfügbar sein, muss zuerst ein Firmware-Upgrade auf die aktuellste Firmware gemacht werden.
UDP Session Timeout via Telnet prüfen und anpassen #
- Telnet auf USG aktivieren
- Telnet-Client auf PC aktivieren (Systemsteuerung -> Programme & Funktionen)
- Via Telnet folgende Einstellungen vornehmen- IP-Adresse der Zywall- Username: admin- Password:
– configure terminal (Wechsel in den Command-Modus)
– show session timeout udp (Werte prüfen, Standard-Werte: Connect 9, Deliver 300 Sek.)
– session timeout udp-connect 300 (ändern des connect UDP Timers)
– session timeout udp-deliver 300 (ändern des deliver UDP Timers, falls dieser nicht 300 Sek. ist)
– show session timeout udp (Werte prüfen, beide müssen 300 Sek. sein)
– exit (beenden des Command-Modus)
– exit (beenden der Telnetverbindung)
Folgendes ZyWall-Script funktioniert ebenfalls:
configure terminal session timeout udp-deliver 300 session timeout udp-connect 300 no alg sip transformation no alg sip inactivity-timeout no alg sip write
