Empfohlene Firewall Einstellungen Winet

Benötigte Ports & Einstellungen für VoIP Dienst (alle Firewall Modelle) #

Für Winet SIP Trunk #

Telefonanlage oder Telefon-Endgeräte im LAN des Kunden

SIP Port 5060 UDP auf das Subnet 185.109.0.0/22 (255.255.252.0)  , ein- sowie ausgehend
RTP Ports 10’000 – 20’000 UDP auf das Subnet 185.109.0.0/22 (255.255.252.0)  , ein- sowie ausgehend
UDP Timeout mind. 300s 
SIP-ALG deaktivieren

Für Winet Ayrix & hostedPBX #

SIP Ports 5060 UDP auf das Subnet 185.109.0.0/22 (255.255.252.0)  , ein- sowie ausgehend
RTP Ports 10000 – 20000 UDP auf das Subnet 185.109.0.0/22 (255.255.252.0)  , ein- sowie ausgehend
CTI-Clients Ports 5038 TCP auf das Subnet 185.109.0.0/22 (255.255.252.0)  , ein- sowie ausgehend
UDP Timeout mind. 300s
SIP-ALG deaktivieren

Zusätzliche Einstellungen für einzelne Firewall Modelle #

Hier finden Sie Screenshots und Kurz-Anleitungen zu den häufigsten Firewalls.

Fortigate (Fortinet) #

Es empfiehlt sich, folgender Anleitung zu folgen: http://kb.fortinet.com/kb/documentLink.do?externalID=FD33271

How to disable SIP-ALG (SIP Helper) on Fortinet

Open the Fortigate CLI from the dashboard. Enter the following commands in FortiGate’s CLI:

  config system settings
  set sip-helper disable
  set sip-nat-trace disable
  reboot the device

Reopen the FortiGate CLI and enter the following commands (do not enter the text after //)

  config system session-helper
  show // you need to find the entry for SIP, usually 12, but it may vary
  delete 12 // or the number that you identified from the previous command

Create a rule and set it like in the picture above Reboot the device and you should be ready

Disable RTP processing as follows

  config voip profile
  edit default
  config sip
  set rtp disable

Je nachdem was als Basis-Unterstützung konfiguriert ist, kann die SIP-Unterstützung komplett ausgeschaltet werden.
Folgend wird der SIP Sessionhelper als „Basis“-Unterstützung gesetzt und gelöscht.
Hiermit kann die Fortigate keine SIP-Unterstützung mehr bieten, da der Sessionhelper, auf den Sie konfiguriert ist, nicht mehr existiert.

Basis-Unterstützung auf den Sessionhelper (kernel-helper-based) setzen:

  config system settings
  set default-voip-alg-mode kernel-helper-based
  end

SIP Sessionhelper löschen (wie oben):

  config system session-helper
  show
     ...
     edit <id>
         set name sip
         set protocol 17
         set port 5060
     next
    ...
  delete <id>
  end

Eine Komplette Anleitung zur VoIP Konfiguration für FortiOS 5.6 finden Sie in diesem Dokument: https://docs.fortinet.com/uploaded/files/3611/fortigate-sip-56.pdf

pfSense #

Die pfSense enthält standartmässig kein SIP-ALG.

UDP Session Timeout anpassen: