Erstellen von Firewall-Regeln mit empfohlenen QoS-Einstellungen für VoIP-Verbindungen

Beschreibung:

Dieses Dokument zeigt, wie Sie in der Firewall eines LANCOM Routers QoS-Regeln mit empfohlenen Einstellungen für VoIP-Verbindungen einrichten können.

Voraussetzungen:

LCOS ab Version 7 (download aktuelle Version)
LANtools ab Version 7 (download aktuelle Version)

Vorgehensweise:

Die hier beschriebenen Firewall-Einstellungen sind abhängig von:

dem verwendetem Diff-Serv Flag welches von der VoIP-Anwendung erzeugt wird (meistens EF)
dem verwendetem Codec, welches die zu garantierende Bandbreite bestimmt (z.B. G.711, G.729)
den verwendeten Ports (im Bezug auf die SIP-Signalisierung meistens Port 5060)

Damit das QoS ordnungsgemäß funktioniert, ist es wichtig, dass die vom Provider zur Verfügung gestellten Bandbreitenwerte auf der Internetverbindung angegeben sind, da der Mechanismus ansonsten keine Bezugswerte hat!

Beachten Sie in der folgenden Anleitung die besonderen Hinweise zur Verwendung von Unify-TK-Anlagen der Deutschen Telekom!

1. Firewall-Regel 1:

Die erste Firewall-Regel reserviert Bandbreite für die SIP-Signalisierung:

1.1. Öffnen Sie die Konfiguration des LANCOM Routers in LANconfig und wechseln Sie in das Menü Konfiguration → Firewall/QoS → IPv4-Regeln → Regeln.

1.2. Geben Sie eine Namensbezeichnung für die Firewall-Regel ein.

1.3. Als Aktion muss das Aktions-Objekt ACCEPT eingestellt werden.

1.4. Auf der Registerkarte QoS müssen Sie eine benutzerdefinierte QoS-Aktionen hinzufügen.

1.5. Konfigurieren Sie eine gewünschte garantierte Mindestbandbreite pro Session. Da die SIP-Signalisierung kein dauerhafter Stream ist (wie z.B. beim RTP) reicht hier eine Mindestbandbreite von 1KBit/s aus.

1.6. In der Registerkarte Stationen definieren Sie als Verbindungs-Quelle und Verbindungs-Ziel jeweils alle Stationen.

1.7. In der Registerkarte Dienste müssen Sie im Bereich Ziel-Dienste für den SIP-Dienst ein neues Dienst-Objekt anlegen.

Vergeben Sie in der Registerkarte Allgemein zunächst einen Namen für das neue Dienst-Objekt.

1.8. Wählen Sie in der Registerkarte Dienste die Option Benutzerdefinierte Protokolle -> Protokolle bearbeiten...

1.9. Im Feld Ports müssen Sie die Ports 5060 und 5061, getrennt durch ein Komma, eintragen.

Je nach Provider und Anschlusstyp erfolgt die VoIP Signalisierung über TCP oder UDP. Falls dies nicht bekannt ist, wählen Sie bitte beide IP-Protokolle aus.

1.10. Das neue Dienst-Objekt wird in die Liste der Ziel-Dienste eingetragen. Beenden Sie die Konfiguration der ersten Firewall-Regel mit OK.

2. Firewall-Regel 2:

Die zweite Firewall-Regel priorisiert die RTP-Daten. Dazu müssen die verwendeten IP-Telefone so eingestellt werden, dass diese RTP-Daten mit dem EF-Flag versehen.

Bei vielen IP-Telefonen ist dies voreingestellt. Überprüfen Sie jedoch zur Sicherheit die Konfiguration Ihrer Telefone.

2.1 Klicken Sie im Bereich Firewall-Objekte auf die Schaltfläche Aktions-Objekte und fügen Sie im folgenden Dialog ein neues Aktions-Objekt hinzu.

2.2 Vergeben Sie auf der Registerkarte Allgemein einen aussagekäftigen Namen. Im Menü Aktionen müssen Sie dann auf die Schaltfläche Hinzufügen klicken.

2.3 Aktivieren Sie die Option bei DiffServ-CP und wählen Sie das Flag EF aus. Schließen Sie den Dialog mit der Schaltfläche OK.

Die Unify-TK-Anlagen der Deutschen Telekom und auch einige TK-Anlagen anderer Hersteller, senden zu Beginn eines Telefonats ein Dummy RTP Paket, welches ein falsches DiffServ-Tag aufweist. In der Folge würde bei Verwendung des DiffServ-Tag "EF" die erstellte Firewall-Regel nicht greifen. Wir empfehlen daher, bei Verwendung dieser TK-Anlagen, ein Aktions-Objekt anzulegen, bei welchem kein DiffServ-Tag verwendet wird.

Zusätzlich wird später im Schritt 2.21 die Firewall-Regel auf die lokale IP-Adresse der TK-Anlage eingeschränkt, damit diese nur für Pakete greift, welche an die TK-Anlage gesendet werden.

2.4 Klicken Sie im Bereich Firewall-Objekte auf die Schaltfläche QoS-Objekte und fügen Sie im folgenden Dialog ein neues QoS-Objekt hinzu.

2.5 Vergeben Sie auf der Registerkarte Allgemein einen aussagekäftigen Namen. Im Menü Aktionen müssen Sie dann auf die Schaltfläche Hinzufügen klicken.

2.6 Fügen Sie QoS-Bedingungen hinzu. Bei allen Bedingungen muss die Option bei DiffServ-CP sowie das Flag EF ausgewählt sein.

Konfigurieren Sie eine garantierte Mindestbandbreite. Diese müssen Sie in Abhängigkeit Ihres Szenarios individuell festlegen.
In diesem Beispiel wird eine Mindestbandbreite von 80 kBit/s, pro Session konfiguriert.

Hinweis für Nutzer von Internetanschlüssen mit geringer Bandbreite

Bei Internetanschlüssen mit geringer Bandbreite (Richtwert < 50 MBit/s Downstream & 10 MBit/s Upstream) ist es sinnvoll eine Fragmentierung sowie eine PMTU-Reduzierung zu konfigurieren:

Konfigurieren Sie eine maximale Paketgröße von 576 Bytes für die Fragmentierung der übrigen Pakete.
Konfigurieren Sie eine Reduzierung der PMTU auf 576 Bytes.

2.7 Übernehmen Sie die Konfiguration mit der Schaltfläche OK.

2.8 Erstellen Sie im Menü Konfiguration -> Firewall/QoS -> IPv4-Regeln -> Regeln eine weitere Firewall-Regel.

2.9 Geben Sie in der Registerkarte Allgemein eine Namensbezeichnung ein.

2.10 In der Registerkarte Aktionen müssen Sie das in Schrittt 2.2 erstellte Aktions-Objekt auswählen.

2.11 In der Registerkarte QoS müssen Sie das in Schrittt 2.4 erstellte QoS-Objekt auswählen.

2.12 In der Registerkarte Stationen definieren Sie als Verbindungs-Quelle und Verbindungs-Ziel jeweils alle Stationen.

Bei Verwendung einer Unify-TK-Anlage der Deutschen Telekom müssen Sie hier die lokale IP-Adresse der TK-Anlage angeben, damit die Regel nur den Traffic zur TK-Anlage berücksichtigt.

2.13 In der Registerkarte Dienste definieren Sie als Protokoll/Dienst-Quelle und Protokoll/Dienst-Ziel jeweils alle Protokolle bzw. Dienste.

2.14 Beenden Sie die Konfiguration der zweiten Firewall-Regel mit OK und schreiben Sie die Konfiguration in den LANCOM Router zurück.

Service & Support

Links