Benötigte Ports & Einstellungen für VoIP Dienst (alle Firewall Modelle)
Für VoIP Home, myKMU, VoIP Trunk, SAK Telefon & SAK KMU
Telefonanlage oder Telefon-Endgeräte im LAN des Kunden
SIP | Port 5060 UDP auf IPs 212.25.7.70 & 185.185.32.60 |
RTP | Ports 40000 – 50000 UDP auf IPs 212.25.7.71 & 212.25.7.72 sowie 185.185.32.61 & 185.185.32.62 |
UDP Timeout | mind. 300s |
SIP-ALG | deaktivieren |
Für hosted 3CX
3CX Web Client / Desktop App / PWA |
|
3CX Handy App & Session Border Controller |
|
IP-Telefone per direkte SIP-Verbindung |
|
3CX WebMeeting | Port 5001 (TCP) für webmeeting.3cx.net. Da die IP-Adresse sich unter Umständen ändern kann, sollten Sie vorzugsweise Verbindungen mit dem FQDN zulassen, sofern möglich. |
UDP Timeout | mind. 300s |
SIP-ALG | deaktivieren |
Für hosted VPBX
SIP | Ports 5060 UDP & 5061 TCP (für Videokonferenzen und verschlüsselte SIP-Verbindungen) auf die IP Ihrer VPBX* |
RTP | Ports 10000 – 20000 UDP (für Audiostreams) auf die IP Ihrer VPBX* |
CTI-Clients | Ports 443, 3333, 5050, 8080 (alle TCP) auf die IP Ihrer VPBX* |
UDP Timeout | mind. 300s |
SIP-ALG | deaktivieren |
LDAP |
|
* Die IP Ihrer VPBX finden Sie auf deren Webinterface unten links:
Zusätzliche Einstellungen für einzelne Firewall Modelle
Hier finden Sie Screenshots und Kurz-Anleitungen zu den häufigsten Firewalls.
Fortigate (Fortinet)
Es empfiehlt sich, folgender Anleitung zu folgen: http://kb.fortinet.com/kb/documentLink.do?externalID=FD33271
How to disable SIP-ALG (SIP Helper) on Fortinet
Open the Fortigate CLI from the dashboard. Enter the following commands in FortiGate’s CLI:
config system settings set sip-helper disable set sip-nat-trace disable reboot the device
Reopen the FortiGate CLI and enter the following commands (do not enter the text after //)
config system session-helper show // you need to find the entry for SIP, usually 12, but it may vary delete 12 // or the number that you identified from the previous command
Create a rule and set it like in the picture above Reboot the device and you should be ready
Disable RTP processing as follows
config voip profile edit default config sip set rtp disable
Je nachdem was als Basis-Unterstützung konfiguriert ist, kann die SIP-Unterstützung komplett ausgeschaltet werden.
Folgend wird der SIP Sessionhelper als "Basis"-Unterstützung gesetzt und gelöscht.
Hiermit kann die Fortigate keine SIP-Unterstützung mehr bieten, da der Sessionhelper, auf den Sie konfiguriert ist, nicht mehr existiert.
Basis-Unterstützung auf den Sessionhelper (kernel-helper-based) setzen:
config system settings set default-voip-alg-mode kernel-helper-based end
SIP Sessionhelper löschen (wie oben):
config system session-helper show ... edit <id> set name sip set protocol 17 set port 5060 next ... delete <id> end
Eine Komplette Anleitung zur VoIP Konfiguration für FortiOS 5.6 finden Sie in diesem Dokument: https://docs.fortinet.com/uploaded/files/3611/fortigate-sip-56.pdf
pfSense
Die pfSense enthält standartmässig kein SIP-ALG.
UDP Session Timeout anpassen:
Es könnte sein, dass folgende Werte besser sind, damit die Anmeldungen bestehen bleiben:
UDP First: 20
UDP Single: 40
Sonicwall
SonicOS 7
SonicOS 6.5
SIP-ALG wird bei Sonicwall "SIP-Tranformations" genannt. Bitte deaktivieren Sie diese Einstellung:
UPD Session Timeout anpassen (mindestens 300s):
<img src="https://wiki.nexphone.ch/download/attachments/491126999/image2019-5-24_10-27-6.png?version=1&modificationDate=1558686426000&api=v2" />
SonicOS 5.9
SIP-ALG wird bei Sonicwall "SIP-Tranformations" genannt. Bitte deaktivieren Sie diese Einstellung:
UPD Session Timeout anpassen (mindestens 300s):
<img src="https://wiki.nexphone.ch/download/attachments/491126999/image2019-5-24_10-28-8.png?version=1&modificationDate=1558686488000&api=v2" />
Sophos
Bei der Sophos-Firewall wird die UDP Session Timeout Einstellung über die Konsole mit folgendem Befehl geändert (mindestens 300s setzen):
console> set packetfilter timeouts ip_conntrack_udp_timeout 300
|
Bei neueren Sophos-Firewalls könnte wird die UDP Session Timeout Einstellung über die Konsole mit folgendem Befehl geändert (mindestens 300s setzen) werden:
console>show advanced-firewall
|
Das SIP-Module (a.k.a. SIPALG) wie folgt deaktivieren (Sophos Anleitung):
1. Log in to the CLI using Telnet or SSH. You can also access the CLI from admin > Console in the upper right corner of the Admin Console screen.
2. Choose option
4. Device Console
3. Execute the following command(s):
console> system system_modules sip unload
|
Zyxel USGxx
Einstellungen via GUI anpassen
UDP Session Timeout anpassen (auf mindestens 300s):
<img src="https://wiki.nexphone.ch/download/attachments/491127007/image2019-5-24_10-37-55.png?version=1&modificationDate=1558687075000&api=v2" />
SIP-ALG deaktivieren:
<img src="https://wiki.nexphone.ch/download/attachments/491127007/image2019-5-24_10-38-55.png?version=1&modificationDate=1558687135000&api=v2" />
Nachdem diese Einstellung angepasst wurde ist ein Neustart der Firewall zwingend.
Sollte eine dieser Einstellungen nicht verfügbar sein, muss zuerst ein Firmware-Upgrade auf die aktuellste Firmware gemacht werden.
UDP Session Timeout via Telnet prüfen und anpassen
- Telnet auf USG aktivieren
<img src="https://wiki.nexphone.ch/download/attachments/491127007/image2019-5-24_11-11-48.png?version=1&modificationDate=1558689108000&api=v2" height="600" /> - Telnet-Client auf PC aktivieren (Systemsteuerung -> Programme & Funktionen)
Via Telnet folgende Einstellungen vornehmen
- IP-Adresse der Zywall
- Username: admin
- Password:
- configure terminal (Wechsel in den Command-Modus)
- show session timeout udp (Werte prüfen, Standard-Werte: Connect 9, Deliver 300 Sek.)
- session timeout udp-connect 300 (ändern des connect UDP Timers)
- session timeout udp-deliver 300 (ändern des deliver UDP Timers, falls dieser nicht 300 Sek. ist)
- show session timeout udp (Werte prüfen, beide müssen 300 Sek. sein)
- exit (beenden des Command-Modus)
- exit (beenden der Telnetverbindung)
<img src="https://wiki.nexphone.ch/download/attachments/491127007/image2019-5-24_11-14-1.png?version=1&modificationDate=1558689241000&api=v2" height="400" />
Folgendes ZyWall-Script funktioniert ebenfalls:
configure terminal session timeout udp-deliver 300 session timeout udp-connect 300 no alg sip transformation no alg sip inactivity-timeout no alg sip write
Hier kann man es herunterladen:
Zyxel AX7501
SIP ALG deaktivieren:
Networtk Setting → ALG → SIP ALG deaktivieren:
Für VoIP Home, myKMU, VoIP Trunk, SAK Telefon & SAK KMU unter iWay ISP VoIP
Telefonanlage oder Telefon-Endgeräte im LAN des Kunden
SIP | Port 5060 UDP auf IPs XX & XX |
RTP | Ports 40000 – 50000 UDP auf IPs XX & XX sowie XX & XX |
UDP Timeout | mind. 300s |
SIP-ALG | deaktivieren |