vermutlich kein RTP Audio bei Agfeo ES 548 hinter einer Watchguard Firewall (und einer Digibox) (Digibox macht VDSL-Einwahl)

[ip-user44]

Hello,

ich vermute dies ist die richtige frage:

wie muss die Watchguard-Firewall-Policy sein, damit der eingehende
RTP/VOIP Traffic an die ES 548 durchkommt?
(DTAG IP MehrgeräteAS vorhanden) ca. 6 Agfeo Telefone vorhanden

Problem: wenn eine Watchguard als lokale Firewall angeschlossen ist geht Audio nicht mehr. (beide Richtungen
Man kann zwar angerufen werden und ausgehend kommt man raus (und Gegenseite hebt ab), aber beide Seiten hören sich nicht.
Müssen Ports von aussen eingehend an die ES 548 IT durchgelassen werden? Ich weiß leider nicht weiter wo der Fehler liegen könnte.
Habe die AGFEO PDF offenbar nicht 100% verstanden.

Aktuell ist diese konstellation im einsatz und funktioniert:
a) 192.168.2.20
AGEFO ES 548 IT (3.0c)
Deutsche Telekom Deutschland Lan (kein SIP Trunk, IP MehrgeräteAS)
Tischgeräte + PC-CTI-TAPI-Clientsoftware

b) 192.168.2.1
Digitalisierungsbox (digibox) Smart
Role: VDSL-Router/Modem, local Standardgateway
In der Digibox ist aus ausser „VOICE PBX im LAN nix auf 192.168.2.20“ nix für AGFEO Telekom eingerichtet soweit ich das sehen konnte.

neues Ziel/neue Konstellation:

a)lokale neue Watchguard Firewall als neues Standardgateway verwenden: "192.168.2.1"
Digibox (192.168.80.1) nur als Modem/Router davor mit exposed host auf die 192.168.80.2

Die Watchguard ist quasi noch auf Werkszustand und hat zunächst diese Standard-Policy:
FROM TRUSTED LOCAL „all“ UDP:0 /TCP:0> ausgehend ALLOW-ALL

EINGEHENDE Watchguard POLICY:
Habe es mit dieser Policy probiert, mit verschiedenen Ports aus der PDF:

FROM any-external
TO (snat) any-external 192.168.2.20
Ports:
5064 UDP
5065-5127 UDP

+++++++++++++++++


dies ist ja der Herstelleranleitung:AGFEO PDF

https://dokumentation.agfeo.de/agfeo_web/dokulib.nsf/r/BF4423136AFF0C2DC125834A003CA8D7/%24FILE/SIPTrunk_ALLIP_02_20.pdf

und SEITE 17 ist da wohl wichtig

Auszug Seite 17:

Die Registration eines AGFEO Kommunikationssystems erfolgt bei einem externen SIP-Provider
immer nur "abgehend" vom AGFEO Kommunikationsystem aus.
Dadurch werden die benötigten Ports in einer Firewall automatisch geöffnet und NAT-Einträge
oder Port-Weiterleitungen für "SIP Extern" sind in der Regel nicht notwendig!

Sollten also Probleme bzgl. des Registrationsprozesses und/oder Verbindungsaufbaus oder der
Sprachübertragung (z.B. einseitiger Sprechweg etc.) festzustellen sein, prüfen Sie, ob diese mit
entsprechenden NAT-Einträgen in der vorgeschalteten Firewall gelöst werden können.

ES-Systeme

SIP Registration über UDP (Standard-Verfahren), verwendete UDP-Ports:

Pool mit Startport 5064
je Account 2 Ports

Daraus folgt:
Ein Account verwendet Port 5064 und 5065.
Alle 32 möglichen Accounts verwenden die
Ports 5064 bis 5127.

SIP Registration über TCP (Optional), verwendete TCP Ports:

ES-Systeme
zufällige Quellports


Sprachübertragung (RTP), verwendete UDP Ports:

ES 5xx mit 4 IP-Kanälen: 5004-5011
ES 54X mit 6 IP-Kanälen: 5004-5015
ES 54X mit12 IP-Kanälen: 5004-5027
ES 6xx und 7xx mit 10 IP-Kanälen: 5004-5023
ES 6xx und 7xx mit 16 oder mehr IP-Kanälen

+++++++++++++

Ich habe ferner noch diese Info:

ABGEHEND
(da ist bei der Watchguard alles frei)
(bei er DIGIBOX meines Wissens nach ebenfalls)

Die ES Telefonanlage nutzt folgende Ports abgehend:
Zeitserver: 123
Fernwartung: 443
SIP Anmeldung: 5060
Sprachports: 5004 - max. 5027
Falls notwendig der Port vom STUN Server


ANKOMMEND:

Ankommend könnte es sein das,
dass die Sprachports durchgereicht werden müssten.


++++++++

FRAGE: habe eigentlich schon mit 3-4x
"verschiedene Port Variationen probiert"

z.B....
5080 5081 tcp
5004-5020 udp
5060 5064 udp
Rtp 5024 udp

++++++++++++

WATCHGUARD TRAFFIC LOG

Im Watchguard Traffic Log sind dann natürlich auch einige DENY
Einträge wenn ich einen abgehenden Call starte.

Mir fällt mit meiner Brille diese Meldung auf.
(deren Bedeutung ich noch nicht ganz begreife)


2021-05-12 18:24:25 Deny 217.xxxxxx 192.168.80.2 59370/udp 5931 59370 0-External Firebox Denied 68 238 (Unhandled External Packet-00) proc_id="firewall" rc="101" msg_id="3000-0148"
2021-05-12 18:24:25 Deny 217xxxxxx 192.168.80.2 59369/udp 5930 59369 0-External Firebox Denied 200 110 (Unhandled External Packet-00) proc_id="firewall" rc="101" msg_id="3000-0148"


2021-05-12 18:25:28 Deny 217.xxxxx192.168.80.2 58014/udp 15338 58014 0-External Firebox Denied 200 53 (Unhandled External Packet-00) proc_id="firewall" rc="101" msg_id="3000-0148"

2021-05-12 18:25:44 Deny 217.xxxxxx 192.168.80.2 47753/udp 58220 47753 0-External Firebox Denied 200 53 (Unhandled External Packet-00) proc_id="firewall" rc="101" msg_id="3000-0148"

 

[chrsto]

Müssen Ports von aussen eingehend an die ES 548 IT durchgelassen werden?

Nein. Definitiv nicht. Sowohl SIP als auch RTP ist bei DTAG alles ausgehend (aus Richtung der Anlage gesehen.

Die Telekom verwendet die RTP Ports 9000 - 27000.

Zitat aus der Technischen Unterlage der Telekom dazu:

Die VoIP-Plattform der Telekom hat eine eingebaute automatische NAT-Erkennung.

Hierfür muss die TK-Anlage symmetrisches RTP unterstützen, d.h. bei ein- und ausgehenden Gesprächen muss die TK-Anlage
den RTP-Strom selbst als erstes aufbauen. Nach drei eingegangen RTP-Paketen erkennt die Plattform den Datenstrom und baut
ihrerseits zur selben Port (und IP) eine RTP-Verbindung auf. Die Erkennung basiert auf der abgehenden IP (aus dem SIP-Paket)
des angesprochenen Telekom Gateways (aus dem SDP) und den angesprochenen Gateway-IP-Ports (SDP). Weitere Angaben
im SDP (insb. TK-seitige IPs und Ports) werden ignoriert.

Du musst in der Firewall also eine Regel erstellen, die SIP zu 5060/5061 in Richtung Telekom zulässt bzw. RTP zwischen 9000-27000. Die Quellports sind dabei egal solagen sie >1024 sind.

 

[sonyKatze]

ip-user44, Dein Aufbau klingt nach Doppel-NAT. Zwei Möglichkeiten: Wir schauen gemeinsam

A) mittels Paket-Mitschnitt vor und nach jeder Firewall, was genau passiert.​

B) wie Dein Aufbau zu vereinfachen ist.​

Welchen Weg willst Du gehen?

Für Ansatz B wäre interessant, welche Vorteile die WatchGuard Firebox gegenüber der Firewall in der Digitalisierungsbox Smart hat. Wenn Du diese Vorteile behalten willst, wäre interessant, warum Du

B1) die Digitalisierungsbox Smart nicht als reines DSL-Modem nutzt und WatchGuard die Einwahl machen lässt​

oder​

B2) die Agfeo nicht direkt an die Digitalisierungsbox Smart anschließt, also vor die WatchGuard setzt​

oder​

B3) die Agfeo nicht direkt an die Digitalisierungsbox Smart anschließt, also vor die WatchGuard setzt und die Telefonie-Einwahl nicht direkt sondern als IP-Telefon in/über die Digitalisierungsbox Smart realisierst.​

​

Für Ansatz A: Weißt Du wie man solche Paket-Mitschnitte erstellt? Wenn nicht, einfach fragen. Beim Auswerten bzw. Analysieren helfen wir auf jeden Fall auch. Aber Du musst wissen, dass Dein aktueller Aufbau fern von Allem ist, was sich die Telekom Deutschland so idealerweise vorstellt.

 

[ip-user44]

hi sony,

a) nein ich bin wirehsark novize und hatte da noch keine großen erfolgserlebnisse
b1) digibox nur als modem, wenn das geht - gute Idee, wird geprüft. (das die watchguard dann manchmal noch mit "VLAN7" für T-VDSL konfiguriert werden muss ist mir bekannt)
b2) die lokalen agfeo pc-tapi/cti-clients im Watchguard-PC wollen die agefo-pbx-ip- 192.168.2.20 "fühlen+sehen"
Wenn man im Watchguard PC-Netz 192.168.80.1 im Browser eingibt landet man direkt auf der Digibox, ohne das man Route/Rückroute o.ä. einrichten musste, glaube das heißt "transfernetz"
Kann also sein das die CTI Client Software auch nur die 192.168.80.20 (agfeo im digibox netz" eingebrannt werden müßte)
b3) für die AGFEO ist der TELEFONMANN zuständig, du meinst Digibox macht Telefonie-Einwahl und AGFEO kommt an den S0? (habe keine Agfeo Ahnung)

 

[sonyKatze]

ich bin wirehsark novize und hatte da noch keine großen erfolgserlebnisse

In dem Punkt helfen wir gerne, selbst wenn es zu einem Chat „ausartet“. Keine Scheu. Aber wenn Du am Aufbau selbst schrauben kannst, wäre mir das erstmal lieber, weil ich das als nachhaltiger bzw. zukunftssicherer ansehe:

Digibox macht Telefonie-Einwahl und AGFEO kommt an den S0

Zum Bleistift. Wenn die Sprach-Kanäle und Funktionen ausreichen. Andere Alternative wäre die Agfeo als IP-Telefon in die Ditigalisierungsbox Premium einzubuchen. Genau dafür hat man eigentlich diese Übergangsbox von der Telekom bekommen. Ansonsten würde ich die Box abstoßen und ein einfaches DSL-Modem holen.

 

[ip-user44]

Hallo,

einerseits vielen dank für die bisherigen Lösungsideen, andererseits ist mir zwischenzeitlich eingefallen das

"alles temporär auf" und wenns funktioniert "härten" / eingrenzen / limitieren auch eine Lösungsweg wäre.

Bei diesem gänzlich anderen Beispiel sind fast alle UDP Ports offen aber auf den HFO VOIP SIP TRUNK Provider limitiert.



Bild gemäß Boardregeln als Vorschaubild eingebunden by stoney

 

[ip-phoneforum72]

Daran denken, dass die Agfeo den Port 5060 für SIP extern NICHT nutzt und die geöffnet werden sollte!

gruss,
R.

PS: DAS Agfeo Forum findest du auf pincode.de

 

[ip-user44]

Vollzitat von darüber gemäß Boardregeln entfernt by stoney

danke du meintest bestimmt "und nicht geöffnet werden sollte"

 

[ip-phoneforum72]

Das „nicht“
bezieht sich sowohl auf den Port, als auch auf das öffnen.

ja, korrekt.
Also „nicht öffnen“

 

[ip-user44]

Hallo,

Feedback: AGFEO-Telefonie funktioniert.
Die Lösung war wohl dies: VDSL VMG1312 VDSL Modem sowie Telekom-Interneteinwahl macht die Watchguard statt Digibox
Bei der Watchguard waren keine Settings notwednig (nach Factory-Reset) um AGFEO zu erlauben.
Die Watchguard hat ab Werk eine Policy die UDP/TCP ausgehend zuläßt.
Eingehend musste nichts freigeschaltet. (habe nicht alle AGFEO Leistungsmerkmale geprüft/im Einsatz)

 

[ip-phoneforum72]

So ist es natürlich am Saubersten.
Kein Doppel NAT.
Alles gut.