VoIP-Fehlerbehebung
So beheben Sie häufige Probleme mit VoIP.
Verbindungen und Anrufqualität
Audio- und Videoanrufe werden unterbrochen oder funktionieren nur in eine Richtung, wenn das H.323-Hilfsmodul geladen ist.
Ursache
Wenn das H.323-Hilfsmodul zusammen mit den entsprechenden Firewall-Regeln oder DNAT-Regeln geladen wird und Audio oder Video weiterhin ausfallen oder nur in eine Richtung funktionieren, kann es sein, dass NAT auf Anwendungsebene nicht stattfindet.
Abhilfe
- Stellen Sie über die CLI-Konsole eine Verbindung zur Firewall her.
- Wählen Option 4 (Gerätekonsole).
-
Führen Sie den folgenden Befehl aus:
system system_modules h323 unload
-
Konfigurieren Sie ein transparentes Subnetz-Gateway. Siehe Sophos Firewall: Implementieren Sie transparente Subnetz-Gateways mit Proxy-ARP.
- Starten Sie einen Videoanruf von einem Polycom-Gerät hinter der Firewall und prüfen Sie, ob es ordnungsgemäß funktioniert.
VoIP-Anrufe brechen ab oder haben eine schlechte Qualität.
Zustand
Der UDP-Timeout-Wert führt dazu, dass VoIP-Anrufe abgebrochen werden oder eine schlechte Qualität aufweisen.
Ursache
Die Sophos Firewall hat einen standardmäßigen UDP-Timeout von 60 Sekunden, der für eine zuverlässige VoIP-Kommunikation niedrig sein kann. Wir empfehlen einen Timeout-Wert von 150 Sekunden. Erkundigen Sie sich bei Ihrem VoIP-Anbieter nach dem empfohlenen UDP-Timeout-Wert.
Abhilfe
Ändern Sie den aktuellen UDP-Timeout-Wert über die Befehlszeilenschnittstelle (CLI). Gehen Sie wie folgt vor:
- Stellen Sie über die CLI-Konsole eine Verbindung zur Firewall her.
- Wählen Option 4 (Gerätekonsole).
-
Geben Sie den folgenden Befehl ein:
show advanced-firewall
Die Ausgabe zeigt den aktuellen UDP-Timeout-Wert neben
UDP timeout stream
.Hier ist ein Beispiel:
console> show advanced-firewall Strict Policy : on FtpBounce Prevention : control Tcp Conn. Establishment Idle Timeout : 10800 UDP Timeout : 30 UDP Timeout Stream : 60 ...
-
Geben Sie den folgenden Befehl ein, um das UDP-Timeout auf 150 Sekunden zu erhöhen:
set advanced-firewall udp-timeout-stream 150
Wenn Ihr Anbieter einen anderen Wert empfiehlt, verwenden Sie diesen.
Instabile VoIP-Verbindung, wenn DoS-Einstellungen für die UDP-Rate angewendet werden.
Ursache
UDP-Flood-Einstellungen führen zu einem Rückgang des VoIP-Verkehrs.
Abhilfe
- Melden Sie sich bei der Webadministratorkonsole an.
- Gehe zu Einbruchschutz > DoS- und Spoofing-Schutz.
- Unter DoS-Einstellungen, löschen Sie die Flagge anwenden Kontrollkästchen für UDP-Flut.
- Testen Sie die VoIP-Verbindung.
-
Wenn diese Einstellung das VoIP-Problem behebt, senken Sie die UDP-Flood-Schutzwerte, bevor Sie das Flag erneut anwenden.
Ein einzelner Wert funktioniert nur in bestimmten Umgebungen. Passen Sie die Werte an, bis Sie den optimalen Wert für Ihr VoIP-Setup gefunden haben.
Externe Benutzer können von außerhalb des Netzwerks keine Sprachanrufe tätigen.
Ursache
Die Firewall unterstützt mit ihrem SIP-Hilfsmodul SIP-Medienports im Bereich 1024-65535. Der Standardport ist UDP 5060.
Wenn Sie den SIP-Helper der Firewall laden und einen Medienport außerhalb dieses Bereichs festlegen, verwirft die Firewall die Pakete, und VoIP-Anrufe können möglicherweise nicht verbunden werden. Die Ereignisprotokolle zeigen die Ursache als Invalid Traffic
.
Abhilfe
- Melden Sie sich bei der CLI an und geben Sie ein 4 für Gerätekonsole.
-
Ändern Sie den SIP-Port mit dem folgenden Befehl:
system system_modules sip load ports <custom_port>
VPN- und IPS-bezogene Probleme
Das Telefon klingelt, aber es ist kein Ton zu hören.
Zustand
Sie können einen Anruf tätigen und das empfangende Telefon klingelt, aber Sie hören keinen Ton.
Ursache
Dieser Zustand tritt ein, wenn der Anrufer in der RTP-Phase einer SIP-Verbindung keine Daten senden kann. Dies passiert häufig bei Verwendung eines VPN oder des Sophos Connect-Clients.
Hier ist ein Beispiel für diese Bedingung, wobei Alice die Anruferin und Boris der Empfänger ist.
Abhilfe
- Gehe zu Regeln und Richtlinien > Firewall-Regeln.
- Stellen Sie sicher, dass Sie eine Firewall-Regel für SIP konfiguriert haben.
- Stellen Sie sicher, dass Sie das Netzwerk des Empfängers in Zielnetzwerke. Stellen Sie das Netzwerk des Empfängers auf „Beliebig“, wenn Sie jedes beliebige Telefon anrufen möchten.
Probleme mit VoIP-Anrufen über Site-to-Site-VPN oder mit konfiguriertem IPS.
Ursache
Site-to-Site-VPN, IPS oder beides auf Ihrer Firewall führen zu unterbrochenen oder qualitativ schlechten VoIP-Anrufen.
Abhilfe
- Stellen Sie über die CLI-Konsole eine Verbindung zur Firewall her.
- Wählen Option 4 (Gerätekonsole).
-
Geben Sie den folgenden Befehl ein, um die vorinstallierten IPS-Muster für SIP zu deaktivieren:
set ips sip_preproc disable
-
Wenn IPS-Muster deaktiviert sind, leert die Firewall die Verbindungen nicht, wenn IPsec-Tunnel aufgebaut werden. Geben Sie den folgenden Befehl ein:
set vpn conn-remove-tunnel-up disable
Andere Probleme
VoIP-Telefone registrieren sich bei der PBX mit der IP-Adresse der Firewall.
Zustand
Einige Telefone registrieren sich bei Ihrem PBX-Server mit der IP-Adresse der Firewall statt mit der IP-Adresse des Telefons.
Zum Beispiel ein Telefon mit einer IP-Adresse 192.168.20.12
registriert sich mit der IP-Adresse 192.168.1.5
.
Ursache
Conntrack muss gelöscht werden.
Abhilfe
- Klicken Protokollanzeige.
- Klicken Filter hinzufügen.
-
Geben Sie die folgenden Werte an:
- Feld: Ziel-IP.
- Zustand: Ist.
- Wert: Geben Sie die IP-Adresse Ihres PBX-Servers ein.
-
Klicken Filter hinzufügen.
-
Stellen Sie sicher, dass für den Datenverkehr zu Ihrem PBX-Server sowohl für funktionierende als auch für nicht funktionierende Telefone die richtige Firewall-Regel verwendet wird.
-
Gehe zu Regeln und Richtlinien > Firewall-Regeln und suchen Sie die Firewall-Regel, die Ihren VoIP-Verkehr verwaltet.
- Vergewissern Sie sich, dass die Firewall-Regel das VoIP-Protokoll Ihres Telefons zulässt, entweder SIP oder H323.
-
Gehe zu Regeln und Richtlinien > Firewall-Regeln > NAT-Regeln und bestätigen Sie, dass die richtigen NAT-Regeln vorhanden sind und keine Konflikte bestehen.
-
Stellen Sie über die CLI-Konsole eine Verbindung zur Firewall her.
- Wählen Option 4 (Gerätekonsole).
-
Führen Sie den folgenden Befehl aus, um den Status des SIP-Helpers zu überprüfen:
system system_modules show
Wenn das SIP-Modul als geladen angezeigt wird, schalten Sie es mit dem folgenden Befehl aus:
system system_modules sip unload
-
Typ Ausfahrt , um die Gerätekonsole zu verlassen und zum CLI-Hauptmenü zurückzukehren.
- Wählen 5. Geräteverwaltungund wählen Sie dann 3. Erweiterte Shell.
-
Löschen Sie den Conntrack-Eintrag, der der vom Telefon verwendeten falschen IP-Adresse entspricht, mit dem folgenden Befehl:
conntrack -D --src <IP ADDRESS OF PHONE> --dst <IP ADDRESS OF PBX> -p tcp