Zur Startseite gehen
0,00 €*

Permalink zur Seite

Verwenden Sie beim Verweisen auf diese Seite stets den folgenden Permalink. Er bleibt in zukünftigen Hilfeversionen unverändert.

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/en-us/webhelp/onlinehelp/index.html?contextId=rules-policies-firewall-no-audio-VPN

VoIP-Fehlerbehebung

So beheben Sie häufige Probleme mit VoIP.

Verbindungs- und Gesprächsqualität

Audio- und Videoanrufe brechen ab oder funktionieren nur in eine Richtung, wenn das H.323-Hilfsmodul geladen ist.

Ursache

Wenn das H.323-Hilfsmodul zusammen mit den entsprechenden Firewall-Regeln oder DNAT-Regeln geladen ist und Audio- oder Videoübertragungen weiterhin ausfallen oder nur in eine Richtung funktionieren, findet möglicherweise kein NAT auf Anwendungsebene statt.

Abhilfe

  1. Stellen Sie über die CLI-Konsole eine Verbindung zur Firewall her.
  2. Wählen Option 4 (Gerätekonsole).

  3. Führen Sie folgenden Befehl aus:

    system system_modules h323 unload

  4. Konfigurieren Sie ein transparentes Subnetz-Gateway. Siehe Sophos Firewall: Implementierung transparenter Subnetz-Gateways mithilfe von Proxy-ARP.

  5. Starten Sie einen Videoanruf von einem Polycom-Gerät, das sich hinter der Firewall befindet, und prüfen Sie, ob es ordnungsgemäß funktioniert.
VoIP-Anrufe brechen ab oder haben eine schlechte Qualität.

Zustand

Ein zu hoher UDP-Timeout-Wert führt dazu, dass VoIP-Anrufe abbrechen oder eine schlechte Qualität aufweisen.

Ursache

Die Sophos Firewall verwendet standardmäßig ein UDP-Timeout von 60 Sekunden, was für eine zuverlässige VoIP-Kommunikation zu kurz sein kann. Wir empfehlen einen Timeout-Wert von 150 Sekunden. Bitte erkundigen Sie sich bei Ihrem VoIP-Anbieter nach dessen Empfehlung für einen UDP-Timeout-Wert.

Abhilfe

Ändern Sie den aktuellen UDP-Timeout-Wert über die Befehlszeilenschnittstelle (CLI). Gehen Sie dazu wie folgt vor:

  1. Stellen Sie über die CLI-Konsole eine Verbindung zur Firewall her.
  2. Wählen Option 4 (Gerätekonsole).

  3. Geben Sie folgenden Befehl ein:

    show advanced-firewall

    Die Ausgabe zeigt den aktuellen UDP-Timeout-Wert daneben an. UDP timeout stream.

    Hier ein Beispiel:

    console> show advanced-firewall Strict Policy : on FtpBounce Prevention : control Tcp Conn. Establishment Idle Timeout : 10800 UDP Timeout : 30 UDP Timeout Stream : 60 ...

  4. Geben Sie folgenden Befehl ein, um das UDP-Timeout auf 150 Sekunden zu erhöhen:

    set advanced-firewall udp-timeout-stream 150

Wenn Ihr Anbieter einen anderen Wert empfiehlt, verwenden Sie diesen.

Instabile VoIP-Verbindung, wenn DoS-Einstellungen für die UDP-Rate angewendet werden.

Ursache

Die UDP-Flood-Einstellungen führen zu einem Abbruch des VoIP-Verkehrs.

Abhilfe

  1. Melden Sie sich in der Web-Administrationskonsole an.
  2. Gehe zu Einbruchsprävention > DoS- und Spoofing-Schutz.
  3. Unter DOS-Einstellungen, löschen Sie die Flagge anwenden Kontrollkästchen für UDP-Flut.
  4. Testen Sie die VoIP-Verbindung.

  5. Wenn diese Einstellung das VoIP-Problem behebt, senken Sie die UDP-Flood-Schutzwerte, bevor Sie das Flag erneut anwenden.

    Ein einzelner Wert ist nur für manche Umgebungen geeignet. Passen Sie die Werte an, bis Sie die optimale Einstellung für Ihre VoIP-Konfiguration gefunden haben.

Externe Benutzer können keine Sprachanrufe von außerhalb des Netzwerks tätigen.

Ursache

Die Firewall unterstützt mit ihrem SIP-Hilfsmodul SIP-Medienports im Bereich von 1024 bis 65535. Der Standardport ist UDP 5060.

Wenn Sie den SIP-Helfer der Firewall laden und einen Medienport außerhalb dieses Bereichs festlegen, verwirft die Firewall die Pakete, und VoIP-Anrufe können möglicherweise nicht hergestellt werden. Die Ereignisprotokolle zeigen die Ursache wie folgt an: Invalid Traffic.

Abhilfe

  1. Melden Sie sich an der CLI an und geben Sie Folgendes ein: 4 für Gerätekonsole.

  2. Ändern Sie den SIP-Port mit folgendem Befehl:

    system system_modules sip load ports <custom_port>
Das Telefon klingelt, aber es ist kein Ton zu hören.

Zustand

Sie können einen Anruf tätigen, und das angerufene Telefon klingelt, aber Sie hören keinen Ton.

Ursache

Dieser Zustand tritt auf, wenn der Anrufer in der RTP-Phase einer SIP-Verbindung keine Daten senden kann. Dies geschieht häufig bei der Verwendung eines VPNs oder des Sophos Connect-Clients.

Hier ist ein Beispiel für diesen Fall, in dem Alice die Anruferin und Boris der Empfänger ist.

Diagram showing SIP communication.

Abhilfe

  1. Gehe zu Regeln und Richtlinien > Firewall-Regeln.
  2. Stellen Sie sicher, dass Sie eine Firewall-Regel für SIP konfiguriert haben.
  3. Stellen Sie sicher, dass Sie das Netzwerk des Empfängers auswählen in Zielnetzwerke: Stellen Sie das Netzwerk des Empfängers auf „Beliebig“ ein, wenn Sie jedes beliebige Telefon anrufen möchten.
Probleme bei VoIP-Anrufen über Site-to-Site-VPN oder bei konfigurierter IPS-Verbindung.

Ursache

Site-to-Site-VPN, IPS oder beides auf Ihrer Firewall können zu abgebrochenen oder qualitativ minderwertigen VoIP-Anrufen führen.

Abhilfe

  1. Stellen Sie über die CLI-Konsole eine Verbindung zur Firewall her.
  2. Wählen Option 4 (Gerätekonsole).

  3. Geben Sie folgenden Befehl ein, um die vorinstallierten IPS-Muster für SIP zu deaktivieren:

    set ips sip_preproc disable

  4. Wenn IPS-Muster deaktiviert sind, werden die Verbindungen von der Firewall nicht getrennt, wenn IPsec-Tunnel aufgebaut werden. Geben Sie folgenden Befehl ein:

    set vpn conn-remove-tunnel-up disable

Andere Probleme

VoIP-Telefone registrieren sich bei der Telefonanlage (PBX) über die IP-Adresse der Firewall.

Zustand

Manche Telefone registrieren sich bei Ihrem PBX-Server mit der IP-Adresse der Firewall anstelle der IP-Adresse des Telefons.

Zum Beispiel ein Telefon mit einer IP-Adresse 192.168.20.12 registriert sich mit der IP-Adresse 192.168.1.5.

Ursache

Conntrack muss gelöscht werden.

Abhilfe

  1. Klicken Protokollanzeige.
  2. Klicken Filter hinzufügen.

  3. Geben Sie die folgenden Werte an:

    1. Feld: Ziel-IP.
    2. Zustand: Ist.
    3. Wert: Geben Sie die IP-Adresse Ihres PBX-Servers ein.

  4. Klicken Filter hinzufügen.

  5. Stellen Sie sicher, dass für den Datenverkehr zu Ihrem PBX-Server sowohl für funktionierende als auch für nicht funktionierende Telefone die korrekte Firewall-Regel verwendet wird.

  6. Gehe zu Regeln und Richtlinien > Firewall-Regeln und finden Sie die Firewall-Regel, die Ihren VoIP-Datenverkehr verwaltet.

    1. Vergewissern Sie sich, dass die Firewall-Regel das VoIP-Protokoll Ihres Telefons zulässt, entweder SIP oder H323.

  7. Gehe zu Regeln und Richtlinien > Firewall-Regeln > NAT-Regeln und bestätigen, dass die korrekten NAT-Regeln eingerichtet sind und keine Konflikte bestehen.

  8. Stellen Sie über die CLI-Konsole eine Verbindung zur Firewall her.

  9. Wählen Option 4 (Gerätekonsole).

  10. Führen Sie folgenden Befehl aus, um den SIP-Helper-Status zu überprüfen:

    system system_modules show

    Falls das SIP-Modul als geladen angezeigt wird, deaktivieren Sie es mit folgendem Befehl:

    system system_modules sip unload

  11. Typ Ausfahrt Um die Gerätekonsole zu verlassen und zum Hauptmenü der Befehlszeile zurückzukehren.

  12. Wählen 5. Geräteverwaltung: dann auswählen 3. Erweiterte Shell.

  13. Löschen Sie den Conntrack-Eintrag, der der falschen IP-Adresse des Telefons entspricht, mit folgendem Befehl:

    conntrack -D --src <IP ADDRESS OF PHONE> --dst <IP ADDRESS OF PBX> -p tcp

Sehen Sophos Firewall: Befehl „conntrack löschen“.

Hilfe benötigt?

Die Anleitung passt nicht zu Ihrer Situation oder funktioniert nicht wie erwartet? Wir stehen Ihnen gern zur Seite, damit Ihre Konfiguration reibungslos funktioniert. Unser zertifiziertes Support-Team hilft Ihnen schnell weiter:

Support-Ticket eröffnen