Ankündigung

Einklappen
Keine Ankündigung bisher.

HELP!!! VOIP und Firewall

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
    #1

    [Netzwerk] HELP!!! VOIP und Firewall

    Hallo,

    ich habe ein großes Problem. Mein VOIp funktioniert nicht hinter meiner Watchguard Firewall.

    Ohne diese geht es ohne Probleme.

    Ich habe alles was mir einfällt versucht.

    Die UDP Ports wie hier für eingehenden und ausgehenden Traffic freigeschaltet:
    Welche Einstellungen sind für die IP-Telefonie mit anderen Clients nötig?

    Ich habe sogar mal kurz komplett TCP und UDP alle Ports für eingehend und ausgehend freigegebn.

    Muss ich beim eingehenden Traffic auf den UDP Ports meine IP als internes Ziel direkt eingeben (Port-Forwarding) ? Das habe ich noch nicht ganz bei der Watchguard verstanden.

    Hat vielleicht zufällig jemand eine Watchguard (Ich habe die T10) mit einem VOIP dahinter am laufen? Ich habe das Gigaset C430IP.

    Ich hoffe mir kann jemand helfen.
    Stichworte: -
    #2
    Das Watchguard SIP ALG ist Dein Freund.

    Kommentar

      #3
      Hallo,

      der macht mir zwei Ports UDP auf.

      Aber muss ich diese dann von External nach Trusted freigeben oder von Trusted nach External oder beides?

      Und muss ich irgendwelche NATs einrichten?

      Kommentar

        #4
        Hallo und Guten Morgen,

        nachdem ich mich die halbe Nacht durch Support Dokumente von Watchguard gelesen habe, sehe ich nur noch Fragezeichen
        Mir geht es um das doch recht komplexe Thema NAT.
        Ich möchte mal erläutern was meine nächtliche Lektüre mir an Verständnis gebracht hat und würde mich freuen wenn mir dies entweder jemand bestätigen kann und meine doch noch vorhandenen Fragen beantworten kann oder mich komplett korrigiert


        Es gibt bei Watchguard 3 verschiede NAT Arten, die ich einstellen kann.
        - - Dynamic NAT auchgenannt dNAT, PAT, NAPT oder IP masquerading.
        - - Static NAT auchgenannt sNAT
        - - Und 1:1 NAT was eine leichte abwandlung zum Static NAT ist.

        Dynamic NAT ist für meine Adresszuweisung von einer internen IP Adresse auf meine externe IP Adresse zuständig. Beispiel: eine interne IP 192.168.2.100 sendet ein paket. Hierbei ist ebenfalls ein Port angehängt (z.B. 3306). Die Firewall empfängt das ganze wandelt die interne IP in meine externe IP. Ebenso ändert die Firewall meinen internen Port (3306) auf einen nicht benutzten Port (z.B: 6000) und speichert sich diese Mapping information. Beim Response an meine externe IP Adresse auf Port 6000 weiß die Firewall durch das Mapping meine interne IP Adresse und schickt mir das Paket eieder an die 192.168.2.100 mit Port 3306.

        Static NAT beindet eine öffentlichen Port an eine private IP. Beispielsweise soll meine Öffentlich IP Adresse auf Port 80 alle Pakete an meinen interne Ip Adresse 192.168.2.100 (Webserver) weiterleiten. Somit handelt es sich hier um Port Forwarding.


        1:1 NAT ist fast das gleiche wie static NAT, jedoch wird hier eine feste externe IP an eine interne IP weitergeleitet. Beispiel für eine Domain, welche per DNS an eine freie öffentliche IP Adresse gebunden ist. Diese sendet dann alles an meine interne IP Adresse (Bsp: 192.168.2.50) Egal welcher Port.


        Ich hoffe das ich das nun verstanden habe.

        Aber, was ist dann zum Beispiel. Port Umleitung? Sprich wo kann ich das einstellen? Ich möchte das alle Anfragen an meine öffentliche IP Adresse mit Port 9000 an meine interne IP Adresse 192.168.2.55 an Port 80 weitergeleitet werden?


        Ebenso ist nun noch meine Frage bzgl. der Firewall Policys. Hier kann ich ja zum beispielsagen, dass der Port 80 TCP von extern nach intern zugelassen werden soll. (External to Trusted) hier hätte ich noch keine interne IP angegeben, an wen die Pakete gehen. Das heißt doch das hier ein Broadcast gesendet wird und der Server, der auf Port 80 lauscht würde die Pakete ansehen. Ich kann ja aber auch bei den Policys als „To“ eine interne IPv4 Adresse angeben. Das heißt ja dann dass alle externen anfragen auf Port 80 fest an die IP Adresse z.B. 192.168.2.40 gehen würde. Ist das nicht aber schon ein Static NAT? Wo ist der Unterschied?
        Nun kommt das Thema VOIP ins Spiel. Was immer noch mein Problem ist.
        Mein SIP Client hat die IP 192.168.2.30. meine Watchguard hat die 192.168.2.1.
        HTTP(80), HTTPS(443) und DNS(53) sind aktuell sowieso von meinem Trusted Netzwerk nach External freigegeben. Alle anderen Ports sind gesperrt. Von Außen nach innen ist gar kein Port offen.
        Nun soll ich laut Telekom folgende UDP Ports für den Verkehr von innen nach außen freigeben:
        5060, 30000-31000, 40000-41000, 3478, 3479
        Und die folgenden UDP Pots von außen nach innen:
        5070, 5080, 30000-31000, 40000-41000

        Dies würde ich ja erstmal als Firewall Policy eintragen. Also zwei Stück einmal von External to Trusted und einmal von Trusted to External.
        Muss ich dann noch irgendeine NAT eintragen? Dass Pakete von diesen Ports direkt an mein SIP Client gehen (192.168.2.30)? Wenn ich es richtig verstanden habe wäre dass dann ein Static NAT. Aber ich könnte wie oben geschrieben ja auch bei den Policys einfach bei den eingehenden Paketen unter „To“ die Ip Adresse von meinen SIP Client eintragen. Wo ist der Unterschied?

        Der Text war zwar etwas länger aber ich wollte meine Problematik so gut es geht beschreiben.
        Ich hoffe Ihr könnt mir helfen, dass meine Frau wieder telefonieren kann

        Meine letzte Frage handelt im allgemeinen zur Watchgaurd T10:
        Wenn ich eine neue Firewall Policy oder eine NAT Regel einstelle muss ich danach meine Firewall rebooten? Wenn ja, gibt es eine Möglichkeit dies zu tun, ohne es auf die Harte Weise zu machen und die Netzschalter umzulegen?

        Bei den Policys kann ich zum einen eine Proxy Policy einstellen und zum anderen Customs Poilys. Bei beiden kann ich ja mehrere Port szusammen fassen. Gibt es eine Regel wann ich wa snutzen sollte? Gerade in dem VOIP Beispiel habe ich mehrere Ports zum freigeben. Sollte ich daraus eine Custom Policy machen oder eine Proxy Polcy?

        Kommentar

        Vorherige template Weiter
        Lädt...
        X

        Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

        Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

        Ich stimme zu