Firewalls: Nötige Einstellungen für iWay VoIP Dienste

Benötigte Ports & Einstellungen für VoIP Dienst (alle Firewall Modelle)

Für VoIP Home, myKMU, VoIP Trunk, SAK Telefon & SAK KMU

SIP	Port 5060 UDP auf IPs 212.25.7.70 & 185.185.32.60 NEW 178.250.134.100
RTP	Ports 40000 – 50000 UDP auf IPs 212.25.7.71 & 212.25.7.72 sowie 185.185.32.61 & 185.185.32.62 NEW 178.250.134.101 & 178.250.134.102
UDP Timeout	mind. 300s
SIP-ALG	deaktivieren

Für hosted 3CX

3CX Web Client / PWA	Port 5001 TCP, Port 443 TCP für 3CX Verbindung & Präsenzanzeige Port 10500-10999 (UDP) für RTP-Kommunikation (= Ports, welche auf der Seite der 3CX verwendet werden)
3CX Apps & Session Border Controller	Port 5090 UDP & TCP für den 3CX-Tunnel Port 5001 TCP, Port 443 TCP für Präsenzanzeige und Telefon-Provisionierung
IP-Telefone per direkte SIP-Verbindung (STUN)	Port 5060 UDP & TCP Port 5061 TCP (bei Verwendung von Secure SIP) Port 9000 - 10999 UDP für RTP-Kommunikation (= Ports, welche auf der Seite der 3CX verwendet werden, beinhaltet WebRTC Audio Bereich) Port 5001 TCP, Port 443 TCP zur Provisionierung von Telefonen (außer bei Nutzung benutzerdefinierter Ports)
3CX WebMeeting	Port 5001 TCP, Port 443 TCP für webmeeting.3cx.net. Da die IP-Adresse sich unter Umständen ändern kann, sollten Sie vorzugsweise Verbindungen mit dem FQDN zulassen, sofern möglich.
UDP Timeout	mind. 300s
SIP-ALG	deaktivieren

Für hosted VPBX

SIP	Port 5060 UDP auf die IP Ihrer VPBX* Port 5061 TCP auf die IP Ihrer VPBX* (für Videokonferenzen und verschlüsselte SIP-Verbindungen)
RTP	Ports 10000 – 20000 UDP auf die IP Ihrer VPBX* (für Audiostreams)
CTI-Clients	Ports 443, 3333, 5050, 8080 (alle TCP) auf die IP Ihrer VPBX*
UDP Timeout	mind. 300s
SIP-ALG	deaktivieren
LDAP	LDAP 389 auf die IP Ihrer VPBX* LDAP-SSL 636 auf die IP Ihrer VPBX*

* Die IP Ihrer VPBX finden Sie auf deren Webinterface unten links:

Oneaccess

Ausserdem müssen noch folgende Ports auf die IP des VoIP Gateways geöffnet werden. Der VoIP Gateway ist auf DHCP konfiguriert, bitte fixieren Sie dessen IP auf dem DHCP Server (MAC-Adresse: xxx).

Richtung	Beschreibung
Eingehend	SSH (TCP 22), Telnet (TCP 23), SNMP (UDP 161), RTP (UDP 10000 - 10028, only if SIP-Helper/SIP-ALG is inactive)
Ausgehend	DNS (UDP 53), Radius (UDP 1812), NTP (UDP 123), SIP (UDP 5060 + SIP-ALG/SIP-Helper depending on firewall), ACS (TCP 7547), RTP (UDP 1024 - 65535, only if SIP-Helper/SIP-ALG is inactive)

Zusätzliche Einstellungen für einzelne Firewall Modelle

Hier finden Sie Screenshots und Kurz-Anleitungen zu den häufigsten Firewalls.

Fortigate (Fortinet)

Es empfiehlt sich, folgender Anleitung zu folgen: http://kb.fortinet.com/kb/documentLink.do?externalID=FD33271

How to disable SIP-ALG (SIP Helper) on Fortinet

Open the Fortigate CLI from the dashboard. Enter the following commands in FortiGate’s CLI:

  config system settings
  set sip-helper disable
  set sip-nat-trace disable
  reboot the device

Reopen the FortiGate CLI and enter the following commands (do not enter the text after //)

  config system session-helper
  show // you need to find the entry for SIP, usually 12, but it may vary
  delete 12 // or the number that you identified from the previous command

Create a rule and set it like in the picture above Reboot the device and you should be ready

Disable RTP processing as follows

  config voip profile
  edit default
  config sip
  set rtp disable

Je nachdem was als Basis-Unterstützung konfiguriert ist, kann die SIP-Unterstützung komplett ausgeschaltet werden.
Folgend wird der SIP Sessionhelper als "Basis"-Unterstützung gesetzt und gelöscht.
Hiermit kann die Fortigate keine SIP-Unterstützung mehr bieten, da der Sessionhelper, auf den Sie konfiguriert ist, nicht mehr existiert.

Basis-Unterstützung auf den Sessionhelper (kernel-helper-based) setzen:

  config system settings
  set default-voip-alg-mode kernel-helper-based
  end

SIP Sessionhelper löschen (wie oben):

  config system session-helper
  show
     ...
     edit <id>
         set name sip
         set protocol 17
         set port 5060
     next
    ...
  delete <id>
  end

Eine Komplette Anleitung zur VoIP Konfiguration für FortiOS 5.6 finden Sie in diesem Dokument: https://docs.fortinet.com/uploaded/files/3611/fortigate-sip-56.pdf

pfSense

Die pfSense enthält standartmässig kein SIP-ALG.

UDP Session Timeout anpassen:

Es könnte sein, dass folgende Werte besser sind, damit die Anmeldungen bestehen bleiben:

UDP First: 20
UDP Single: 40

Sonicwall

SonicOS 7

Hier scheinen die "SIP Transformations" ausgeschaltet werden zu müssen:

Hier muss der UDP-Timeout auf 300 Sekunden gesetzt werden:

SonicOS 6.5

SIP-ALG wird bei Sonicwall "SIP-Tranformations" genannt. Bitte deaktivieren Sie diese Einstellung:

UPD Session Timeout anpassen (mindestens 300s):

SonicOS 5.9

SIP-ALG wird bei Sonicwall "SIP-Tranformations" genannt. Bitte deaktivieren Sie diese Einstellung:

UPD Session Timeout anpassen (mindestens 300s):
<img src="https://wiki.nexphone.ch/download/attachments/491126999/image2019-5-24_10-28-8.png?version=1&modificationDate=1558686488000&api=v2" />

Sophos

Bei der Sophos-Firewall wird die UDP Session Timeout Einstellung über die Konsole mit folgendem Befehl geändert (mindestens 300s setzen):

`console>setpacketfilter timeouts ip_conntrack_udp_timeout 300`

Bei neueren Sophos-Firewalls könnte wird die UDP Session Timeout Einstellung über die Konsole mit folgendem Befehl geändert (mindestens 300s setzen) werden:

`console>show advanced-firewall` `console>set advanced-firewall udp-timeout-stream 300`

Das SIP-Module (a.k.a. SIPALG) wie folgt deaktivieren (Sophos Anleitung):

1. Log in to the CLI using Telnet or SSH. You can also access the CLI from admin > Console in the upper right corner of the Admin Console screen.

2. Choose option

4. Device Console

3. Execute the following command(s):

`console> system system_modules sip unload`

Zyxel USGxx

Einstellungen via GUI anpassen

UDP Session Timeout anpassen (auf mindestens 300s):
<img src="https://wiki.nexphone.ch/download/attachments/491127007/image2019-5-24_10-37-55.png?version=1&modificationDate=1558687075000&api=v2" />

SIP-ALG deaktivieren:
<img src="https://wiki.nexphone.ch/download/attachments/491127007/image2019-5-24_10-38-55.png?version=1&modificationDate=1558687135000&api=v2" />
Nachdem diese Einstellung angepasst wurde ist ein Neustart der Firewall zwingend.

Sollte eine dieser Einstellungen nicht verfügbar sein, muss zuerst ein Firmware-Upgrade auf die aktuellste Firmware gemacht werden.

UDP Session Timeout via Telnet prüfen und anpassen

Telnet auf USG aktivieren
<img src="https://wiki.nexphone.ch/download/attachments/491127007/image2019-5-24_11-11-48.png?version=1&modificationDate=1558689108000&api=v2" height="600" />
Telnet-Client auf PC aktivieren (Systemsteuerung -> Programme & Funktionen)
Via Telnet folgende Einstellungen vornehmen

- IP-Adresse der Zywall

- Username: admin

- Password:

- configure terminal (Wechsel in den Command-Modus)

- show session timeout udp (Werte prüfen, Standard-Werte: Connect 9, Deliver 300 Sek.)

- session timeout udp-connect 300 (ändern des connect UDP Timers)

- session timeout udp-deliver 300 (ändern des deliver UDP Timers, falls dieser nicht 300 Sek. ist)

- show session timeout udp (Werte prüfen, beide müssen 300 Sek. sein)

- exit (beenden des Command-Modus)

- exit (beenden der Telnetverbindung)
<img src="https://wiki.nexphone.ch/download/attachments/491127007/image2019-5-24_11-14-1.png?version=1&modificationDate=1558689241000&api=v2" height="400" />

Folgendes ZyWall-Script funktioniert ebenfalls:

configure terminal
session timeout udp-deliver 300
session timeout udp-connect 300
no alg sip transformation
no alg sip inactivity-timeout
no alg sip
write

Hier kann man es herunterladen:

Zyxel AX7501

SIP ALG deaktivieren:

Networtk Setting → ALG → SIP ALG deaktivieren: