Securepoint UTM: Ein paar Notizen zu VoIP über VPN am Beispiel einer Standortvernetzung

Bei einem Kunden besteht zwischen der Zentrale und einer Außenstelle eine Standortvernetzung (Site-to-Site VPN) auf Basis von IPsec. Über dieses VPN laufen nicht nur Terminalserver-Verbindungen und die Anbindung der Multifunktionsgeräte, sondern auch eine Kopplung zweier Unify-Telefonanlagen.

Damit Gespräche zwischen den Telefonanlagen erfolgreich vermittelt werden können, sind ein paar Anpassungen auf beiden Seiten notwendig.

Portfilter-Regeln anpassen

Die Portfilter-Regeln, die die Telefonanlagen betreffen müssen von „ACCEPT“ auf „STATELESS“ konfiguriert sein.

Securepoint UTM - Portfilter - Aktion "Stateless"

Bei manchen Anlagen kann das evtl. schon ausreichend sein. Im vorliegenden Fall mussten folgende Schritte zusätzlich durchgeführt werden:

VoIP-Module entladen

Über „Extras – CLI“ folgende Befehle ausführen:

debug kmod unload module nf_nat_sip
debug kmod unload module nf_nat_h323
debug kmod unload module nf_conntrack_sip
debug kmod unload module nf_conntrack_h323

Copy & Paste ist dabei möglich. Dadurch werden die VoIP-Module aus dem Kernel entladen, Diese sind nur beim Einsatz des VoIP-Proxies relevant.

Verbindungsverfolgung zurücksetzen

Hatte man bereits Probleme, so kann es durchaus sein, das die Verbindung(en) noch im Wait-State sind. Damit der Verbindungsstatus zurückgesetzt wird und eine neue Verbindung mit den ggf. zuvor getätigten Einstellungen aufgebaut werden kann, folgenden Befehl via ssh (PuTTY, o.ä.) als „root“ (admin reicht nicht aus!) auf den UTMs ausführen:

conntrack -F

Nun sollte die Vermittlung erfolgreich sein. In diesem Fall kam SIP als VoIP-Protokoll zwischen den Telefonanlagen zum Einsatz. Unter Umständen müssen die Telefonanlagen bzw. die VoIP-Telefone (sofern Diese über’s VPN verbunden sind) neu gestartet werden.

Welche Maßnahmen letztlich zum Erfolg führen hängt von mehreren Faktoren ab. So kommt es darauf an, wie die VoIP-Pakete behandelt werden und wie bzw. welches Protokoll implementiert ist. Es ist im Einzelfall zu prüfen, welche Anlage und welche VPN-Router zum Einsatz kommen.

Danksagung

Vielen Dank an den Securepoint Support für die Unterstützung und die Informationen.

Update 24.10.2014

Bei einer Kombination aus RC100, SSL-VPN (Site-to-Site) und pfSense in Verbindung mit einer Telekom Octopus Netphone (umgelabelte Swyx) Telefonanlage reichte es aus, die Firewall-Regeln der Securepoint UTM auf „STATELESS“ zu konfigurieren.

Ein Kommentar

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.