Beschreibung:
In einigen Szenarien wird eine SIP-TK-Anlage in einem lokalen Netzwerk hinter einem LANCOM Router betrieben und die erforderlichen Ports vom Router an die SIP-TK-Anlage weitergeleitet. Die eingehende Kommunikation für das Portforwarding wird in der Regel per Firewall eingeschränkt. Kommt es in einem solchen Szenario zu Problemen, wird seitens des Herstellers der TK-Anlage häufig ein Firewall-Check über das Internet angestoßen. Dies ist etwa bei dem Hersteller 3CX der Fall.
Wenn bei einem solchen Firewall-Check immer der gleiche Quell-Port verwendet und gleichzeitig die eingehende Kommunikation über Firewall-Regeln geregelt wird, erlaubt die Firewall des Routers lediglich das erste Paket. Alle weiteren Pakete werden verworfen, da der Rückweg nicht eindeutig ist. In einem Firewall Trace wird dann die Meldung conflicting rules for UDP sessions - packet dropped ausgegeben. Dadurch schlägt der Firewall-Check fehl.
Um den Firewall-Check korrekt zu bestehen, ist es erforderlich, auf dem LANCOM Router eine separate Firewall-Regel zu erstellen, welche den Datenverkehr des Firewall-Checks zulässt.
Dass der Quell-Port immer gleich ist, wird im normalen Betrieb quasi nie auftreten, da der Quell-Port sonst immer zufällig gewählt wird.
Werden keine Firewall-Regeln für die eingehende Kommunikation per Portforwarding verwendet, kann das Verhalten nicht auftreten. Dies ist allerdings aus Sicherheitsgründen nicht empfehlenswert.
Voraussetzungen:
- LCOS ab Version 10.20 (download aktuelle Version)
- LANtools ab Version 10.20 (download aktuelle Version)
- Vorhandene und funktionsfähige Firewall-Regeln zum Erlauben der Kommunikation per Portforwarding
Vorgehensweise:
1. Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü Firewall/QoS → IPv4-Regeln → Regeln.
2.
3. Vergeben Sie einen aussagekräftigen Namen für diese Regel.
4. Wechseln Sie in den Reiter Aktionen, löschen die Aktion REJECT und fügen stattdessen die Aktion ACCEPT hinzu.
5. Wechseln Sie in den Reiter Stationen, wählen bei Verbindungs-Quelle die Option Verbindungen von folgenden Stationen aus und klicken auf Hinzufügen → Benutzerdefinierte Station hinzufügen.
6. Wählen Sie die Option Eine IP-Adresse oder ein Bereich von IP-Adressen aus und tragen in den Feldern Von IP-Adresse und Bis IP-Adresse jeweils die IP-Adresse des Servers im Internet ein, von dem der Firewall-Check gestartet wird.
Bitte erfragen Sie die IP-Adresse bei dem jeweiligen Hersteller der verwendeten TK-Anlage. Alternativ können Sie die IP-Adresse auch durch einen Firewall-Trace auf dem Router herausfinden.
7.
8.
9.
10.
11. Die Konfiguration der Firewall-Regel ist damit abgeschlossen. Schreiben sie die Konfiguration in den Router zurück.
