Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
tlietz
Themen-Autor
Beiträge: 5
Registriert: Mi 12.06.2019, 08:53

VoIP über wwan0 mit Problemen nach Update auf UTM 11.8.3.2

Mi 12.06.2019, 10:29

Hallo zusammen,

wir nutzen eine Terra Black Dwarf UTM mit FW 11.8.3.2 und haben eine cloudbasierte VoIP-Anlage von nfon.

Als primären Internetanschluss verwenden wir eine Unitymedia Business Leitung 400/40 mit statischen Subnetz. Nach anfänglichen Schwierigkeiten mit Qualitätsproblemen und Verbindungsabbrüchen und eine Reihe von Fehlersuchen konnten wir massive Paketverluste im Unitymedia-Netz bzw. beim Peering zwischen Unitymedia und nfon feststellen. Daraufhin haben wir ein UMTS-Modul in die UTM eingebaut und mit einer Vodafone Datenkarte versehen. Zusätzlich zum Fallback der Unitymedia-Leitung nutzen wir aktuell die Schnittstelle wwan0 um per Multipathrouting alle Pakete gen nfon über diesen Anschluss zu leiten. Die Beobachtung zeigen das sowohl die Qualität zu nahm als auch die sonstigen Probleme weniger wurden. 
Zufriedenstellend ist es aber noch nicht 100%ig.

Unser Securepoint Parnter hat in der UTM damals eine Regel für nfon angelegt:


Quelle: internal-network 
Ziel: 109.68.96.0/21 (nfon)
Dienst: ANY
NAT: HIDENAT
Aktion: STATELESS



Jedoch erscheinen im Sekunden Takt Meldungen im Log nach folgendem Schema:


12.06.2019 09:41:50   ulogd   DROP: (DEFAULT DROP)109.68.97.120:6050  wwan0  XXX.XXX.XXX.XXX:5101 UDP
12.06.2019 09:41:50   ulogd   DROP: (DEFAULT DROP)109.68.97.120:6050  wwan0  XXX.XXX.XXX.XXX:5100 UDP
12.06.2019 09:41:58   ulogd   DROP: (DEFAULT DROP)109.68.97.120:6050  wwan0  XXX.XXX.XXX.XXX:5127 UDP
12.06.2019 09:42:17   ulogd   DROP: (DEFAULT DROP)109.68.97.120:6050  wwan0  XXX.XXX.XXX.XXX:5126 UDP
12.06.2019 09:42:37   ulogd   DROP: (DEFAULT DROP)109.68.97.120:6050  wwan0  XXX.XXX.XXX.XXX:6051 UDP
12.06.2019 09:43:17   ulogd   DROP: (DEFAULT DROP)109.68.97.120:6050  wwan0  XXX.XXX.XXX.XXX:5129 UDP


Bei der IP 109.68.97.120 handelt es sich um den SIP-Register Server bei nfon und Port 6050 ist der SIP-Standardport von nfon (statt 5060).

Hat jemand Erfahrung mit nfon in Verbindung mit der Black Dwarf?
Welche Portfilter sollte es eingehend als auch ausgehend geben, ich vermute mal das o.g. Port zur Kommunikation mit den Telefonen dient und bis zum Endgerät durchgelassen werden sollte.
Muss es ein DESTNAT-Mapping geben und den Port wieder einem Endgerät zu zuordnen? Müssen wir ggf. an den Telefonen STUN aktivieren da es sich bei der Schnittstelle wwan0 nicht um eine statische Adresse handelt?

Erschwärend kam hinzu, dass am vergangenen Wochenende das Update 11.8.3.2 (vorher 11.8.3) installiert wurde, heute morgen war der erste Arbeitstag nach dem Update und eine Telefonie war nicht möglich. Die Telefone klingelt kurz anschließend brach die Verbindung ab. Sofern Gespräche zustande kamen konnte die Gegenstelle uns nicht verstehen oder man hörte garnichts. Augenscheinlich wurde außerdem dem Update nichts geändert. Was ich jedoch feststellen konnte war dass der APN der Schnittstelle wwan0 auf Vodafone (IMS) stand, vorher war dies Vodafone (web.vodafone.de). Entweder änderte sich dies durch das Update oder Vodafone hat die Netzeinstellungen "korrigiert".

Das Ändern des APN in der Auswahlliste brachte keine Besserung dieser "sprang" direkt wieder auf IMS um. Ich habe dann einen "custom" APN angegeben und den Wert wieder auf web.vodafone.de geändert. 
Leider ohne erfolg und ich musste die Routing-Regel deaktivieren und die Pakete wieder über Unitymedia schicken und wir müssen die Qualitätsprobleme in Kauf nehmen. 

Kann sich das jemand erklären, irgendwie sind mittlerweile alle Beteiligen ratlos :/ ?!

Vielen Dank & Viele Grüße
 
Bjoern
Securepoint
Beiträge: 423
Registriert: Mi 03.07.2013, 10:06

Re: VoIP über wwan0 mit Problemen nach Update auf UTM 11.8.3.2

Do 13.06.2019, 07:57

Hallo,

wenn ein "DEFAULT DROP" erscheint gibt es keine passende Regel dafür. Schauen Sie sich mal die Zonen auf der wwan0 an und in den Netzwerkobjekten für die Regel.
Achja wenn die Quelle die IP von nfon ist dann wird es vermutlich daran liegen das nfon initiierende Pakete schickt oder das die Pakete nicht mehr gültig sind. Beispiel zu lange gebraucht. Hier müssten Sie deann eine Portweiterleitung dafür einrichten.


Gruß Björn
 
tlietz
Themen-Autor
Beiträge: 5
Registriert: Mi 12.06.2019, 08:53

Re: VoIP über wwan0 mit Problemen nach Update auf UTM 11.8.3.2

Mo 17.06.2019, 10:31

Hallo,

ich habe jetzt eine Regel ergänzt und das NAT-Timeout erhöht, mal schauen wie es sich entwickelt.


Quelle: 109.68.97.120/32 (nfon) external-2 
Ziel: firewall-external-2
Dienst: sip-nfon 6050 UDP
Aktion: ACCEPT


Gibt es eigentlich seitens Securepoint eine Art Best-Practice für eine (cloudbasierte) VoIP-Anlage?

Vielen Dank

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste