Sie zeigen eine alte Version dieser Seite an. Zeigen Sie die aktuelle Version an.

Unterschiede anzeigen Seitenhistorie anzeigen

Version 7 Nächste Version anzeigen »


Beschreibung:

Dieses Dokument beschreibt, wie Sie die Anmeldung eines SIP-Endgerätes (SIP-Telefon, SIP-TK-Anlage, etc.) beim Provider steuern können, indem Sie die Layer-7-Applikationskontrolle verwenden.

Diese Vorgehensweise eignet sich besonders in Szenarien, in welchem ein Load-Balancer eingesetzt wird und das SIP-Endgerät seine Registrierung beim Provider stets über die gleiche Internet-Verbindung durchführen soll.


Voraussetzungen:
    Der LANCOM Router muss als DNS-Server bzw. DNS-Forwarder im Netz dienen . Clients im lokalen Netzwerk müssen
    den Router als DNS-Server verwenden. Zusätzlich muss die direkte Nutzung von DNS-over-TLS und DNS-over-HTTPS (ggf.
    browserintern) mit externen DNS-Servern durch Clients verhindert werden.

    Dies kann mit den Folgenden Möglichkeiten erreicht werden:
    • Der DHCP-Server muss die IP-Adresse des Routers als DNS-Server verteilen. Dies wird standardmäßig vom Internet-Setup-Assistent eingerichtet.
    • Einrichtung von Firewall-Regeln, welche eine direkte Nutzung von externen DNS-Servern verhindern, z. B. durch Sperrung des ausgehenden Ports 53 für Clients aus dem entsprechenden Quellnetzwerk.
    • Einrichtung von Firewall-Regeln, welche eine direkte Nutzung von externen DNS-Servern mit Unterstützung von DNS-over-TLS verhindern, z. B. durch Sperrung des ausgehenden Ports 853 für Clients aus dem entsprechenden Quellnetzwerk.
    • DNS-over-HTTPS (DoH) im Browser deaktivieren.


    Hinweise zur Synchronisierung der DNS-Datenbank der Firewall:

    Da die Firewall ihre Informationen aus den DNS-Anfragen der Clients lernt, kann es in bestimmten Situationen dazu kommen, dass die DNS-Datenbank noch nicht vollständig ist. Dies kann in folgenden Situationen passieren:
    • Es wird eine neue Firewall-Regel hinzugefügt, der Client hat aber noch einen DNS-Eintrag zwischengespeichert.
    • Kurz nach einem Neustart des Routers, wenn der Client noch einen DNS-Eintrag zwischengespeichert hat.

    In diesen Fällen hilft ein Leeren des DNS-Cache auf dem Client, ein Reboot des Clients oder ein Timeout des
    DNS-Eintrags auf dem Client.

    Eigene Dienste wie z. B. ping vom Router selbst laufen nicht über die erstellten Firewall-Regeln. Mit Hilfe von ping auf einen vollständigen DNS-Namen (nicht Wildcard-Ausdruck) kann die Erzeugung von Regelauflösungen (DNS zu IP-Adressen) bei Bedarf entweder auf der Kommandozeile (einmalig) oder per Cron-Job durchgeführt werden.
      Info:
      Wenn unterschiedliche DNS-Namen auf dieselbe IP-Adresse aufgelöst werden, dann können diese nicht unterschieden werden. In diesem Fall trifft immer die erste Regel zu, die einen dieser DNS-Namen referenziert. Das sollte bei großen Dienstanbietern kein Problem sein. Bei kleinen Websites, die vom selben Anbieter gehostet werden, könnte es jedoch auftreten.


Beispielszenario:

In diesem Konfigurationsbeispiel wird folgendes Szenario konfiguriert.
  • Es stehen zwei Internetverbindungen sowie ein Load-Balancer zur Verfügung:
  • LOADBLANCER mit Routing Tag 0
  • INTERNET mit Routing Tag 1 und
  • INTERNET2 mit Routing Tag 2

Wie Sie ein solches Szenario konfigurieren können, ist in folgendem Knowledge Base Artikel beschrieben .


  • Ein SIP-Endgerät soll sich beim SIP-Provider SIPGATE (sipgate.de) stets über die Internetverbindung INTERNET2 anmelden und alle Gespräche sollen über diese Internet-Verbindung geführt werden.



Vorgehensweise:

1. Zur Referenzierung von DNS-Zielen in Firewall-Regeln müssen die jeweiligen Ziele zunächst im Menü Firewall/QoS -> Allgemein -> DNS-Ziele hinterlegt werden.



Legen Sie einen neuen Eintrag für Ihren SIP-Provider an. Sie müssen hier die URL angeben, welche Ihr SIP-Provider Ihnen für die Anmeldung mitgeteilt hat.



2. Wechseln Sie in das Menü Firewall/QoS -> IPv4-Regeln-> Regeln und fügen Sie eine neue Firewall-Regel hinzu.

3. Vergeben Sie einen aussagekräftigen Namen für die neue Regel.

4. Hinterlegen Sie bei dem Punkt Routing-Tag den Wert 2, damit die SIP-Anmeldung des Endgerätes und der Datenverkehr über die Default-Route mit dem Routing-Tag 2 geroutet wird (Gegenstelle INTERNET2).

5. Fügen Sie mit einem Klick auf Hinzufügen das Objekt ACCEPT hinzu.



7. Wechseln Sie auf den Reiter Stationen und hinterlegen bei Verbindungs-Quelle z.B. die IP-Adresse des SIP-Endgerätes und bei Verbindungs-Ziel das DNS-Ziel SIPGATE.

8. Sie können im Reiter Dienste entweder alle Dienste für die Kommunikation des SIP-Endgerätes mit dem SIP-Provider erlauben, oder nur die Ports erlauben, welche für die Kommunikation mit dem SIP-Provider verwendet werden (siehe Abbildung "Optional").


    Optional:

    Die zur SIP-Kommunikation verwendeten Ports sind providerabhängig unterschiedlich. Informieren Sie sich daher unbeduingt vorher bei Ihrem SIP-Provider.


9. Speichern Sie die Firewall-Regel mit einem Klick auf OK und schreiben die Konfiguration in den Router zurück.
    Info:
    Für das anwendungsbasierte Routing gibt es den neuen Parameter FW-DNS für das trace-Kommando . Mit diesem können die Änderungen an der Firewall-Datenbank der DNS-Ziele überwacht werden:
    • Wenn ein DNS-Paket eintrifft, werden das Paket und die betroffenen Wildcardausdrücke und Ziele ausgegeben.
    • Wenn die TTL (Time-to-Live – Lebensdauer) eines Eintrags abläuft, dann werden dieser Datensatz und die betroffenen Wildcardausdrücke und Ziele ausgegeben.
    • Wenn eine der beiden Firewalls ein DNS-Ziel registriert oder deregistriert, weil sich ihre Konfiguration geändert hat.
    • Wenn sich die Tabellen Setup -> Firewall -> DNS-Ziele oder Setup -> Firewall -> DNS-Ziel-Liste ändern.



  • Keine Stichwörter

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2019-2024 LANCOM Systems GmbH