Sie haben oder wollen eine SIP Telefonanlage mit einer Sophos SG UTM Firewall mit einem A1 (Telekom Austria) SIP Trunk Anschluss betreiben. In diesem Artikel beschreibe ich wie Sie eine eine Sophos SG UTM Firewall dazu konfigurieren müssen wenn Ihr Netzwerk segmentiert ist.
Lösung
In diesem Beispiel ist der SIP Provider die A1 Telekom (Österreich). Die Anleitung spezialisiert sich nicht auf eine spezielle Telefonanlage selbst, sondern nur auf die Einstellungen die Sie auf der Firewall vornehmen müssen. Es ist möglich, dass Ihre Telefonanlage zusätzlich andere Ports benötigt, beispielsweise zum Hersteller. Diese müssen Sie daher wenn erforderlich ergänzen. Die Konfiguration der Telefonanlage wird in diesem Artikel nicht behandelt.
Allgemeines
Für SIP Telefonanlage/Clients zu beachten:
- Clients (Sofware Telefonie Clients) und echte physische Telefonapparate sowie Telefonie Anlage (PBX) sollten in eigenen VLANs sein. Leider aus „Hersteller-Sicht“ ist eine VLAN-Implementierung nicht die bevorzugte Variante. Einige Provisioning Features diverser Hersteller (das ist die automatisierte Übertragung der Einstellungen und Konfiguration auf die Endgeräte) werden in segmentierten Lösungen nicht vorhanden sein sobald die Apparate innerhalb des vorgesehenen (segmentierten) VLANs sind. Daher werden Sie die Apparate möglicherweise während des Rollouts im Client- oder Telefonanlagen VLAN verweilen lassen müssen und können erst nach Provisionierung in das vorgesehende VLAN wechseln können. Damit muss man leider leben. Genau weiß das Ihr Lieferant der Telefonanlage.
- Diverse VOIP oder SIP Helper auf der Firewall, müssen meist deaktiviert werden (das hängt von der Telefonanlage ab).
- Die Installation setzt (aufgrund der Remote Verbindungen von externen Telefonen, Handy app etc..) je nach SIP Provider möglicherweise eine DNS-A Registrierung voraus, zb. voip.kunde.at. Bei A1 ist das aktuell nicht der Fall.
- Die Telefonanlage sollte immer von der registrierten IP „nach extern“ sprechen, daher eine generelle S-NAT mit der „externen voip ip“ nicht vergessen. Auch das ist bei A1 nicht der Fall, lasse ich aber der Vollständigkeit halber dennoch stehen.
- Die Zugangsdaten für Ihre SIP Telefonanlage sind auf Ihrem A1 Datenblatt.
Für Sopohs SG Firewall zu beachten:
- VOIP/SIP/ALG Helper deaktivieren
- UDP Flood Ausnahme für Ziele/Quelle der Telefonie Netze (sofern IPS aktiv)
- Bei aktiven WebFilter, Telefonanlagen IP aus Quelle und Ziel ausschließen, https Verbindungen in Policies direkt verwalten
- Country Block Außname für die Ports zur SIP Telefonanlage, für zumindest AT (sofern externe SIP IP vorhanden, dzt. bei A1 nicht der Fall)
Zur A1 SIP Lösung (derzeit):
A1 liefert einen eigenen Router für die SIP Verbindung. Die Firewall muss so konfiguriert werden, dass SIP Datenverkehr über diesen Router läuft. Der A1 Router ist ausschließlich für SIP Daten bestimmt und ist kein "Internet Router", somit also auch kein Default Gateway. In diesem Beispiel gehen wir von 3 VLANs aus. Der A1 Router hat (derzeit) meistens die IP 192.168.0.254/24 und einen aktivierten DHCP Bereich (daher aufpassen, nicht einfach in Ihr LAN hängen). Die genauen IP Adressen finden Sie im A1 Datenblatt. Die VLANs zu den einzelnen Netzwerk Segmenten können entweder auf der Firewall jeweils auf einer Schnittstelle (ETHxy) oder innerhalb eines LACP Trunks (LAGxy) angelegt werden. Um es realistisch und einfach zu gestalten sind in diesem Beispiel alle VLANs im LAG0 und wir nennen die VLANs:
| Name | Beschreibung | VLAN ID |
Netzwerk ID |
Subnet Maske (Bit) |
FW Interface |
IP FW Interface |
| a1_sip | VLAN mit der Verbindung zum A1 SIP Router | 5 | 192.168.0.0 | 255.255.255.0 (24) | LAG0 | 192.168.0.253 |
| int_voip | VLAN mit der Telefonanlage und den pysischen Apparaten | 6 | 192.168.6.0 | 255.255.255.0 (24) | LAG0 | 192.168.6.253 |
| int_clnt | VLAN mit den normalen Computern und den Soft-Phones | 7 | 192.168.7.0 | 255.255.255.0 (24) | LAG0 | 192.168.7.253 |
Überblick der A1 SIP Daten:
A1 SIP IP Netz 1: 193.81.5.0/24 (255.255.255.224)
A1 SIP IP Netz 2: 193.81.7.0/24 (255.255.255.224)
SIP Registrar/Proxy/Domain siptrunk.a1.net
Basis Konfiguration:
Switch Konfiguration
Am Beispiel mit HPE Aruba Switch
Verbinden Sie sich mit telnet oder ssh auf Ihre Switches. Im "menu" (Switchabhängig unter 2,8,2 oder 2,7,2) legen Sie die VLANS 5,6, und 7 mit entsprechenden Namen an.
Im Menü 2,8,3 (oder 2,7,3) stellen Sie alle Ports, welche die Switches untereinander verbinden auf "tagged" für die VLANS 5,6,7.
Ports Ihrer Endgeräte (Apparate) und jener auf welchem die A1 SIP Firewall hängt, stellen sie auf untagged im VLAN 5.
Der Port Ihrer SIP Telefonanlage ist höchstwahrscheinlich untagged im VLAN 6. Sollte ihre Telefonanlage getaggte Verbindungen verwenden, dann auf tagged im VLAN 6.
Firewall Schnittstellen Konfiguration
Interfaces & Routing - Interfaces
Erzeugen Sie eine Schnittstelle für alle 3 VLANs in diesem Beispiel:
| Einstellung | Wert |
| Name | FW_A1_SIP_WAN |
| Typ | Ethernet VLAN |
| Hardware | LAG0 Link Aggregation Group #1 |
| VLAN Tag | 5 |
| IPv4 Address | 192.168.0.253 |
| IPv4 Default GW | nicht aktiv |
| Comment | Verbindung zu A1 SIP Router |
Hinweis: Auf dem A1 SIP Router erfolgt die Switch Verbindung derzeit auf dem Port E2.
| Einstellung | Wert |
| Name | FW_VOIP |
| Typ | Ethernet VLAN |
| Hardware | LAG0 Link Aggregation Group #1 |
| VLAN Tag | 6 |
| IPv4 Address | 192.168.6.253 |
| IPv4 Default GW | nicht aktiv |
| Comment | Internes Telefonie Netzwerk |
| Einstellung | Wert |
| Name | FW_Clients |
| Typ | Ethernet VLAN |
| Hardware | LAG0 Link Aggregation Group #1 |
| VLAN Tag | 7 |
| IPv4 Address | 192.168.7.253 |
| IPv4 Default GW | nicht aktiv |
| Comment | Internes Client Netzwerk |
Firewall Netzwerk Definitionen
Definitions & Users - Network Definitions
| Einstellung | Wert |
| Name | A1_SIP_Network01 |
| Typ | Network |
| IPv4 address | 193.81.5.0 |
| Netmask | /27 (255.255.255.224) |
| Einstellung | Wert |
| Name | A1_SIP_Network02 |
| Typ | Network |
| IPv4 address | 193.81.7.0 |
| Netmask | /27 (255.255.255.224) |
| Einstellung | Wert |
| Name | A1_SIP_Router |
| Typ | Host |
| IPv4 address |
192.168.0.254 |
| Einstellung | Wert |
| Name | A1_SIP_Networks |
| Typ | Network group |
| Members |
A1_SIP_Network01 |
| Einstellung | Wert |
| Name | Internal_SIP_Networks |
| Typ | Network group |
| Members |
VOIP (Network) |
Firewall Service Definitionen
Definitions & Users - Service Definitions
| Einstellung | Wert |
| Name | SIP-Signaling-TCP-UDP-5060 |
| Type of definition | TCP/UDP |
| Destination port | 5060 |
| Source port | 1:65535 |
| Einstellung | Wert |
| Name | SIP-Signaling-Secure-TCP-UDP-5061 |
| Type of definition | TCP/UDP |
| Destination port | 5060 |
| Source port | 1:65535 |
| Einstellung | Wert |
| Name | A1-SP-SSE-Media-RTP |
| Type of definition | TCP/UDP |
| Destination port | 16384:65534 |
| Source port | 1:65535 |
| Einstellung | Wert |
| Name | A1-SIP-Signaling-Group |
| Type of definition | Group |
| Members |
SIP-Signaling-TCP-UDP-5060 |
Statische Routen
Interfaces & Routing - Static Routing
| Einstellung | Wert |
| Route Type | Gateway route |
| Network | A1_SIP_Networks |
| Gateway | A1_SIP_Router |
| Comment | SIP zu A1 routen |
Firewall Regeln
Interfaces & Routing - Static Routing
Tipp: Ich empfehle Ihnen auch das Logging in jeder Regel einzuschalten.
| Einstellung | Wert |
| Source | Internal_SIP_Networks |
| Services | A1-SIP-Signaling-Group |
| Destination | A1_SIP_Networks A1_SIP_Router |
| Action | Allow |
| Log traffic | Aktiviert |
NAT Regeln
Network Protection - NAT
Hinweis:
Anstelle einer SNAT Regel können Sie der A1 auch Ihre internen Telefonie Netzwerke bekanntgeben (in unserem Beispiel 192.168.6.0/24 und 192.168.7.0/24). Die A1 kann diese Netze über Ihre Firewall IP (192.168.0.253) als Gateway erreichen. In diesem Fall müssten Sie die SNAT Regel nicht erstellen. Eine SNAT Regel kann durchaus manche Telefonanlagen stören. Es kommt tatsächlich auf Ihre Anlage darauf an ob es mit oder ohne SNAT funktioniert.
| Einstellung | Wert |
| Rule type | SNAT |
| For traffic from | Internal_SIP_Networks |
| Using service | A1-SIP-Signaling-Group |
| Going to | A1_SIP_Networks |
| Change the source to | FW_A1_SIP_WAN (address) |