Beschreibung:
Dieses Dokument beschreibt, wie Sie die Anmeldung eines SIP-Endgerätes (SIP-Telefon, SIP-TK-Anlage, etc.) beim Provider steuern können, indem Sie die Layer-7-Applikationskontrolle verwenden.
Diese Vorgehensweise eignet sich besonders in Szenarien, in welchem ein Load-Balancer eingesetzt wird und das SIP-Endgerät seine Registrierung beim Provider stets über die gleiche Internet-Verbindung durchführen soll.


Voraussetzungen:

Der LANCOM Router muss als DNS-Server bzw. DNS-Forwarder im Netz dienen . Clients im lokalen Netzwerk müssen den Router als DNS-Server verwenden. Zusätzlich muss die  direkte Nutzung von DNS-over-TLS und DNS-over-HTTPS (ggf. browserintern) mit externen DNS-Servern durch Clients verhindert  werden.

Dies kann mit den Folgenden Möglichkeiten erreicht werden:

      • Der DHCP-Server muss die IP-Adresse des Routers als DNS-Server verteilen. Dies wird standardmäßig vom Internet-Setup-Assistent eingerichtet.
      • Einrichtung von Firewall-Regeln, welche eine direkte Nutzung von externen DNS-Servern verhindern, z. B. durch Sperrung des ausgehenden Ports 53 für Clients aus dem entsprechenden Quellnetzwerk.
      • Einrichtung von Firewall-Regeln, welche eine direkte Nutzung von externen DNS-Servern mit Unterstützung von DNS-over-TLS verhindern, z. B. durch Sperrung des ausgehenden Ports 853 für Clients aus dem entsprechenden Quellnetzwerk.
      • DNS-over-HTTPS (DoH) im Browser deaktivieren.


Hinweise zur Synchronisierung der DNS-Datenbank der Firewall:

Da die Firewall ihre Informationen aus den DNS-Anfragen der Clients lernt, kann es in bestimmten Situationen dazu kommen, dass die DNS-Datenbank noch nicht vollständig ist. Dies kann in folgenden Situationen passieren:

    • Es wird eine neue Firewall-Regel hinzugefügt, der Client hat aber noch einen DNS-Eintrag zwischengespeichert.
    • Kurz nach einem Neustart des Routers, wenn der Client noch einen DNS-Eintrag zwischengespeichert hat.

In diesen Fällen hilft ein Leeren des DNS-Cache auf dem Client, ein Reboot des Clients oder ein Timeout des DNS-Eintrags auf dem Client.

Eigene Dienste wie z. B. ping vom Router selbst laufen nicht über die erstellten Firewall-Regeln. Mit Hilfe von ping auf einen vollständigen DNS-Namen (nicht Wildcard-Ausdruck) kann die Erzeugung von Regelauflösungen (DNS zu IP-Adressen) bei Bedarf entweder auf der Kommandozeile (einmalig) oder per Cron-Job durchgeführt werden. 


Info:
Wenn unterschiedliche DNS-Namen auf dieselbe IP-Adresse aufgelöst werden, dann können diese nicht unterschieden werden. In diesem Fall trifft immer die erste Regel zu, die einen dieser DNS-Namen referenziert. Das sollte bei großen Dienstanbietern kein Problem sein. Bei kleinen Websites, die vom selben Anbieter gehostet werden, könnte es jedoch auftreten.


Beispielszenario:

In diesem Konfigurationsbeispiel wird folgendes Szenario konfiguriert.

Es stehen zwei Internetverbindungen sowie ein Load-Balancer zur Verfügung:

  • LOADBLANCER mit Routing Tag 0
  • INTERNET mit Routing Tag 1 und
  • INTERNET2 mit Routing Tag 2

Wie Sie ein solches Szenario konfigurieren können, ist in folgendem Knowledge Base Artikel beschrieben .

Ein SIP-Endgerät soll sich beim SIP-Provider SIPGATE (sipgate.de) stets über die Internetverbindung INTERNET2 anmelden und alle Gespräche sollen über diese Internet-Verbindung geführt werden.



Vorgehensweise:

1. Zur Referenzierung von DNS-Zielen in Firewall-Regeln müssen die jeweiligen Ziele zunächst im Menü Firewall/QoS → Allgemein → DNS-Ziele hinterlegt werden.

Legen Sie einen neuen Eintrag für Ihren SIP-Provider an. Sie müssen hier die URL angeben, welche Ihr SIP-Provider Ihnen für die Anmeldung mitgeteilt hat.

2. Wechseln Sie in das Menü Firewall/QoS → IPv4-Regeln → Regeln und fügen Sie eine neue Firewall-Regel hinzu.

3. Vergeben Sie einen aussagekräftigen Namen für die neue Regel.

4. Hinterlegen Sie bei dem Punkt Routing-Tag den Wert 2, damit die SIP-Anmeldung des Endgerätes und der Datenverkehr über die Default-Route mit dem Routing-Tag 2 geroutet wird (Gegenstelle INTERNET2).

5. Fügen Sie mit einem Klick auf Hinzufügen das Objekt ACCEPT hinzu.

7. Wechseln Sie auf den Reiter Stationen und hinterlegen bei Verbindungs-Quelle z.B. die IP-Adresse des SIP-Endgerätes und bei Verbindungs-Ziel das DNS-Ziel SIPGATE.

8. Sie können im Reiter Dienste entweder alle Dienste für die Kommunikation des SIP-Endgerätes mit dem SIP-Provider erlauben, oder nur die Ports erlauben, welche für die Kommunikation mit dem SIP-Provider verwendet werden (siehe Abbildung "Optional").

Optional:
Die zur SIP-Kommunikation verwendeten Ports sind providerabhängig unterschiedlich.  Informieren Sie sich daher unbedingt vorher bei Ihrem SIP-Provider.

9. Speichern Sie die Firewall-Regel mit einem Klick auf OK und schreiben die Konfiguration in den Router zurück.

Info:

Für das  anwendungsbasierte Routing gibt es den neuen Parameter FW-DNS für das trace-Kommando . Mit diesem können die  Änderungen an der Firewall-Datenbank der DNS-Ziele überwacht  werden:
  • Wenn ein DNS-Paket eintrifft, werden das Paket und die betroffenen Wildcardausdrücke und Ziele ausgegeben.
  • Wenn die TTL (Time-to-Live – Lebensdauer) eines Eintrags abläuft, dann werden dieser Datensatz und die betroffenen Wildcardausdrücke und Ziele ausgegeben.
  • Wenn eine der beiden Firewalls ein DNS-Ziel registriert oder deregistriert, weil sich ihre Konfiguration geändert hat.
  • Wenn sich die Tabellen Setup → Firewall → DNS-Ziele oder Setup → Firewall → DNS-Ziel-Liste ändern.