Beschreibung:
In einigen Szenarien wird eine SIP-TK-Anlage in einem lokalen Netzwerk hinter einem LANCOM Router betrieben und die erforderlichen Ports vom Router an die SIP-TK-Anlage weitergeleitet. Kommt es in einem solchen Szenario zu Problemen, wird seitens des Herstellers der TK-Anlage häufig ein Firewall-Check über das Internet angestoßen. Dies ist etwa bei dem Hersteller 3CX der Fall.
Wenn bei einem solchen Firewall-Check immer der gleiche Quell-Port verwendet wird, erlaubt die Firewall des Routers lediglich die erste Session. Alle weiteren Sessions werden verworfen, da der Rückweg nicht eindeutig ist. In einem Firewall Trace wird dann die Meldung conflicting rules for UDP sessions - packet dropped ausgegeben. Dadurch schlägt der Firewall-Check fehl.
Um den Firewall-Check korrekt zu bestehen, ist es erforderlich, auf dem LANCOM Router eine separate Firewall-Regel zu erstellen, welche den Datenverkehr des Firewall-Checks zulässt.
Dass der Quell-Port immer gleich ist, wird im normalen Betrieb quasi nie auftreten, da der Quell-Port sonst immer zufällig gewählt wird.
Voraussetzungen:
- LCOS ab Version 10.20 (download aktuelle Version)
- LANtools ab Version 10.20 (download aktuelle Version)
- Eingerichtetes und funktionsfähiges Portforwarding auf die lokale SIP-TK-Anlage
Vorgehensweise:
1. Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü Firewall/QoS → IPv4-Regeln → Regeln.
2. Erstellen Sie eine neue Firewall-Regel, vergeben Sie einen aussagekräftigen Namen für diese Regel und setzen die Priorität auf den höchsten Wert 9999, damit diese vor allen anderen Regeln greift. Sollte eine andere Regel bereits die Priorität 9999 verwenden, muss diese nach unten angepasst werden, damit die Regel für den Firewall-Check davor greift.
3. Wechseln Sie in den Reiter Aktionen, löschen die Aktion REJECT und fügen stattdessen die Aktion ACCEPT hinzu.
4. Wechseln Sie in den Reiter Stationen, wählen bei Verbindungs-Quelle die Option Verbindungen von folgenden Stationen aus und klicken auf Hinzufügen → Benutzerdefinierte Station hinzufügen.
5. Wählen Sie die Option Eine IP-Adresse oder ein Bereich von IP-Adressen aus und tragen in den Feldern Von IP-Adresse und Bis IP-Adresse jeweils die IP-Adresse des Servers im Internet ein, von dem der Firewall-Check gestartet wird (in diesem Beispiel die 81.81.81.1).
Bitte erfragen Sie die IP-Adresse bei dem jeweiligen Hersteller der verwendeten TK-Anlage. Alternativ können Sie die IP-Adresse auch durch einen Firewall-Trace auf dem Router herausfinden.
6. Wählen Sie bei Verbindungs-Ziel die Option Verbindungen an folgende Stationen und klicken auf Hinzufügen → Benutzerdefinierte Station hinzufügen.
7. Wählen Sie die Option Eine IP-Adresse oder ein Bereich von IP-Adressen aus und tragen in den Feldern Von IP-Adresse und Bis IP-Adresse jeweils die IP-Adresse der SIP-TK-Anlage im lokalen Netzwerk ein (in diesem Beispiel die 192.168.1.100).
8. Wechseln Sie in den Reiter Dienste, wählen bei Protokolle/Ziel-Dienste die Option folgende Protokolle/Ziel-Dienste aus und klicken auf Hinzufügen.
9. Wählen Sie das Protokoll UDP aus.
10. Die Konfiguration der Firewall-Regel ist damit abgeschlossen. Schreiben sie die Konfiguration in den Router zurück.
Nach erfolgreichem Firewall-Check muss die Regel wieder deaktiviert werden. Entfernen Sie dazu den Haken bei Diese Regel ist für die Firewall aktiv.
