13
Weiterverbindungsprobleme mit Aastra Mitel 470 und Fortigate 60D
Moin zusammen
Ich habe wieder einmal ein Problem mit (vermutlich) unserer Firewall. Im Einsatz ist seit Anfang Jahr eine neue Fortigate 60D (Firmware 5.2.3 Build 670). Diese funktionierte bis anhin eigentlich recht zuverlässig und gut.
Nun haben wir vor etwa einem Monat eine neue Telefonanlage (Aastra Mitel 470) in Betrieb genommen. Diese ist an einem separaten internen Port mit eigenem Subnetz an der Firewall angeschlossen. Für die Telefonanlage haben wir einen separaten Internet Zugang (WAN2). Alle nötigen Konfigurationen (Policies, Routen, etc.) wurden auch entsprechend eingerichtet. Gleich vorneweg: empfohlene Einstellungen betr. deaktivieren von ALG, SIP-Session-helper, etc. wurden gemacht.
Konfiguration der Firewall:
Policy:
Internal6 >> WAN2: alles Offen (Source, Destination, Services)
Route:
Destination: XXX.XXX.XXX.XXX/23 (Server des Providers); Gateway: 192.168.1.1 (Router); Device: WAN2
Die Verbindung nach "draussen" klappt auch. Die Anlage kann sich an den Servern des Providers registrieren. "Einfache" ausgehende und eingehende Telefonate funktionieren auch problemlos.
Folgende zwei Szenarios funktionieren allerdings nicht:
Szenario 1:
Externer Anruf nach intern > wird (z.B. zentral) entgegengenommen > weiterleiten > "Empfänger" nimmt nicht ab > automatische Rumumleitung auf Mobile > Anruf wird entgegengenommen > weiterleitende Person sagt wer dran ist > Gespräch übergeben > Leitung tot
Szenario 2:
Interner Anruf nach Extern > Empfang nimmt ab > leitet weiter > Ansprechpartner nimmt ab > Er hört mich noch, ich ihn nicht mehr
Der Dienstleister meinte nun, es läge bestimmt an der Firewall (evtl. "Altlasten" o.ä.), sagte aber auch, dass die Konfiguration der Firewall in Ordnung sei. OK, Firewall platt gemacht, neueste Firmware (vorher v5.2.2) draufgepackt und die nötigen Einstellungen wieder vorgenommen. Leider hat dies nichts bewirkt. Der selbe Fehler tritt immer noch auf.
Hat jemand vielleicht schon ähnliche Erfahrungen gemacht? Oder habt ihr vielleicht Tipps, was ich noch unternehmen könnte?
Besten Dank schonmal und Gruss
Siglander
PS: sollte ich irgendwelche Angaben vergessen haben, fragt einfach nach.
Ich habe wieder einmal ein Problem mit (vermutlich) unserer Firewall. Im Einsatz ist seit Anfang Jahr eine neue Fortigate 60D (Firmware 5.2.3 Build 670). Diese funktionierte bis anhin eigentlich recht zuverlässig und gut.
Nun haben wir vor etwa einem Monat eine neue Telefonanlage (Aastra Mitel 470) in Betrieb genommen. Diese ist an einem separaten internen Port mit eigenem Subnetz an der Firewall angeschlossen. Für die Telefonanlage haben wir einen separaten Internet Zugang (WAN2). Alle nötigen Konfigurationen (Policies, Routen, etc.) wurden auch entsprechend eingerichtet. Gleich vorneweg: empfohlene Einstellungen betr. deaktivieren von ALG, SIP-Session-helper, etc. wurden gemacht.
Konfiguration der Firewall:
Policy:
Internal6 >> WAN2: alles Offen (Source, Destination, Services)
Route:
Destination: XXX.XXX.XXX.XXX/23 (Server des Providers); Gateway: 192.168.1.1 (Router); Device: WAN2
Die Verbindung nach "draussen" klappt auch. Die Anlage kann sich an den Servern des Providers registrieren. "Einfache" ausgehende und eingehende Telefonate funktionieren auch problemlos.
Folgende zwei Szenarios funktionieren allerdings nicht:
Szenario 1:
Externer Anruf nach intern > wird (z.B. zentral) entgegengenommen > weiterleiten > "Empfänger" nimmt nicht ab > automatische Rumumleitung auf Mobile > Anruf wird entgegengenommen > weiterleitende Person sagt wer dran ist > Gespräch übergeben > Leitung tot
Szenario 2:
Interner Anruf nach Extern > Empfang nimmt ab > leitet weiter > Ansprechpartner nimmt ab > Er hört mich noch, ich ihn nicht mehr
Der Dienstleister meinte nun, es läge bestimmt an der Firewall (evtl. "Altlasten" o.ä.), sagte aber auch, dass die Konfiguration der Firewall in Ordnung sei. OK, Firewall platt gemacht, neueste Firmware (vorher v5.2.2) draufgepackt und die nötigen Einstellungen wieder vorgenommen. Leider hat dies nichts bewirkt. Der selbe Fehler tritt immer noch auf.
Hat jemand vielleicht schon ähnliche Erfahrungen gemacht? Oder habt ihr vielleicht Tipps, was ich noch unternehmen könnte?
Besten Dank schonmal und Gruss
Siglander
PS: sollte ich irgendwelche Angaben vergessen haben, fragt einfach nach.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 276972
Url: https://administrator.de/contentid/276972
Printed on: April 18, 2024 at 07:04 o'clock
13 Comments
Latest comment
Moin,
wie sind denn die Telefone angeschlossen?
VG,
Thomas
wie sind denn die Telefone angeschlossen?
VG,
Thomas
Hallo Thomas
Die Telefone sind an einem HP v1910 POE Switch angeschlossen. Dieser wiederum hängt direkt an der Telefonanlage.
Die Adressierung der Apparate übernimmt die DHCP Funktion der Telefonanlage.
Gruss
Siglander
Die Telefone sind an einem HP v1910 POE Switch angeschlossen. Dieser wiederum hängt direkt an der Telefonanlage.
Die Adressierung der Apparate übernimmt die DHCP Funktion der Telefonanlage.
Gruss
Siglander
Wahrscheinlich ein NAT Problem, wie sind denn die eingehenden Regeln? Und warum nutzt ihr nicht den WAN Port der 470?
VG,
Thomas
VG,
Thomas
Danke für deine schnelle Antwort.
Es sind noch einige Softphones im Einsatz, die allerdings in einem anderen Subnetz sind. Darum wird die Aastra an der Firewall angeschlossen, die das Routing übernimmt.
Eingehgende Regeln:
WAN2 >> Internal6: alles offen (Source, Destination, Services)
Gruss
Siglander
Es sind noch einige Softphones im Einsatz, die allerdings in einem anderen Subnetz sind. Darum wird die Aastra an der Firewall angeschlossen, die das Routing übernimmt.
Eingehgende Regeln:
WAN2 >> Internal6: alles offen (Source, Destination, Services)
Gruss
Siglander
Destination: XXX.XXX.XXX.XXX/23 (Server des Providers); Gateway: 192.168.1.1 (Router); Device: WAN2
Mmmhhh...anhand der Router IP sieht das so aus als ob hier eine Router Kaskade an der FW betrieben wird.D.h. am WAN 2 Port der FW hängt nicht direkt das Internet dran (Modem) wie es sinnvoll wäre, sondern noch ein kaskadierter NAT Router.
Die RFC 1918 IP des Router zeigt das dieser NAT (IP Adress Translation) macht. Ist dem so ?
Macht die FW auch NAT zum Voice Subnetz also 2 mal NAT hintereinander ?
Das wäre generell erstmal gesehen ein recht unglückliches Design denn NAT ist in der Regel tödlich für VoIP sofern man es nicht richtig customized. 2mal NAT dann umso tödlicher, denn durch die Random Port Selection bei SIP und RDP bleiben solche Ports so gut wie immer in der NAT Firewall hängen. Dein Fehlerbild lässt darauf schliessen.
Ist an dem Kaskadierten Router in bezug auf SIP oder UDP Port Forwarding irgendwas konfiguriert worden ? Wenn ja was ?
Deine Fehlerszenarien zeigen deutlich das du hier ein NAT Problem hast. Es ist dafür typisch wenn eine Hälfte die andere nicht hört.
Zu 98% ist der Fehler in einem falsch oder gar nicht customizten NAT des kaskadierten Routers bedingt. Hier musst du also Hand anlegen.
Sehr hilfreich ist hier der Wireshark der dir das Blocking benötigter Voice Ports sofort zeigt.
Leider ist deine Beschreibung hier recht rudimentär und oberflächlich, deshalb ist es sinnvoller du schilderst das nochmal im Detail bevor wir hier ins Eingemachte gehen.
Was sagt denn der Mitel Support zu dem Thema ?? Wäre auch wichtig zu wissen ?!
Hallo Aqui
Danke für deine Antwort. In diese Richtung habe ich auch schon überlegt. Da aber der Dienstleister das so eingerichtet hat, habe ich nicht weiter drüber nachgedacht - "wird ja wohl richtig sein". Fairerweise muss ich sagen, die Anlage ist noch nicht abgenommen, d.h. der Dienstleister ist auch noch an der Lösungsfindung - allerdings geht es nun schon recht lange so hin und her. Mitel Support habe ich persönlich noch nicht kontaktiert.
Mit dem NAT siehst du es genau richtig. Die Situation sieht im Moment wie folgt aus:
Internet --- {Internetanschluss} Zyxel Router {LAN1} --- {WAN2} Fortigate {Internal6} --- VOIP Subnetz
Auf der Fortigate sind (erstmal) alle Ports offen, bzw. kein Portforwarding eingerichtet. Was auf dem Zyxel Router konfiguriert ist, weiss ich nicht, da ich den nicht konfiguriert habe.
Am besten wäre es demnach, wenn ich/Dienstleister den Zyxel Router in einem ersten Schritt in den Bridge Modus setzt, so dass die Fortigate die PPPoE-Anmeldung durchführt?
Danke und Gruss
Siglander
Danke für deine Antwort. In diese Richtung habe ich auch schon überlegt. Da aber der Dienstleister das so eingerichtet hat, habe ich nicht weiter drüber nachgedacht - "wird ja wohl richtig sein". Fairerweise muss ich sagen, die Anlage ist noch nicht abgenommen, d.h. der Dienstleister ist auch noch an der Lösungsfindung - allerdings geht es nun schon recht lange so hin und her. Mitel Support habe ich persönlich noch nicht kontaktiert.
Mit dem NAT siehst du es genau richtig. Die Situation sieht im Moment wie folgt aus:
Internet --- {Internetanschluss} Zyxel Router {LAN1} --- {WAN2} Fortigate {Internal6} --- VOIP Subnetz
Auf der Fortigate sind (erstmal) alle Ports offen, bzw. kein Portforwarding eingerichtet. Was auf dem Zyxel Router konfiguriert ist, weiss ich nicht, da ich den nicht konfiguriert habe.
Am besten wäre es demnach, wenn ich/Dienstleister den Zyxel Router in einem ersten Schritt in den Bridge Modus setzt, so dass die Fortigate die PPPoE-Anmeldung durchführt?
Danke und Gruss
Siglander
Salü zusammen
Du bist nicht per Zufall aus der Schweiz und dein Provider ist die Swisscom??
Falls ja, melde Dich beider Firma Boll Engeneering
Die Vertreiben die Fortigate in der Schweiz.
Hast du die Einstellung des Udp Timeouts auch auf 180 Sekunden oder höher hochgestellt?
Kann Dir sonst am Montag noch die Einstellungen die Wir eintragen durchgeben
Gruass Affabanana
Du bist nicht per Zufall aus der Schweiz und dein Provider ist die Swisscom??
Falls ja, melde Dich beider Firma Boll Engeneering
Die Vertreiben die Fortigate in der Schweiz.
Hast du die Einstellung des Udp Timeouts auch auf 180 Sekunden oder höher hochgestellt?
Kann Dir sonst am Montag noch die Einstellungen die Wir eintragen durchgeben
Gruass Affabanana
hoi affabanana
Ist mein Schriftdeutsch so aufschlussreich?!
Joa richtig, Provider ist Swisscom - Dienstleister eine andere Firma. Boll Engineering kenne ich. Da muss man aber Wiederverkäufer/Partner sein, um Support zu erhalten, nicht? Im "schlimmsten" Fall kann ich mich auch an unseren Firewall-Lieferanten wenden. Da aber der Ball eigentlich noch beim Dienstleister der VOIP-Anlage ist, warte ich im Moment noch zu.
An den UDP-Timeouts habe ich bis jetzt noch nicht rumgeschraubt. Falls es zur Lösung beiträgt, kann ich das gerne nachholen.
Wochenende ist eine feine Sache. Ich freue mich, wenn ich am Montag wieder von dir höre.
Danke schon mal, gruss und schönes Wochenende
Siglander
Ist mein Schriftdeutsch so aufschlussreich?!
Joa richtig, Provider ist Swisscom - Dienstleister eine andere Firma. Boll Engineering kenne ich. Da muss man aber Wiederverkäufer/Partner sein, um Support zu erhalten, nicht? Im "schlimmsten" Fall kann ich mich auch an unseren Firewall-Lieferanten wenden. Da aber der Ball eigentlich noch beim Dienstleister der VOIP-Anlage ist, warte ich im Moment noch zu.
An den UDP-Timeouts habe ich bis jetzt noch nicht rumgeschraubt. Falls es zur Lösung beiträgt, kann ich das gerne nachholen.
Wochenende ist eine feine Sache. Ich freue mich, wenn ich am Montag wieder von dir höre.
Danke schon mal, gruss und schönes Wochenende
Siglander
Da aber der Dienstleister das so eingerichtet hat, habe ich nicht weiter drüber nachgedacht - "wird ja wohl richtig sein".
Ein sehr fataler Denkfehler !Solange nicht abnehmen oder bezahlen bis das nicht gefixt ist. Das ist mit 2-3 simplen Port Forwarding einträgen im kaskadierten NAT Router erledigt....wenn man denn weiss was man macht ?!
Auf der Fortigate sind (erstmal) alle Ports offen, bzw. kein Portforwarding eingerichtet.
Das besagt leider gar nicht. Essentiell wäre die Benatwortung der Frage ob die FW hier auch NAT (IP Adress Translation) am Port macht ??Leider sagst du dazu rein gar nichts...
Wäre aber wichtig zu wissen weil dann auch hier der NAT Prozess diese Ports blockt und nicht nur die inbound Firewall Regeln.Hier lauern also 2 (zwei) Filter ! Wireshark wäre hier dein Freund !
Was auf dem Zyxel Router konfiguriert ist, weiss ich nicht, da ich den nicht konfiguriert habe.
Ist natürlich auch nicht zielführend !Das System ist ebenso wichtig wie die FW. Dadurch das das für dich ein "schwarzes Loch" ist fehlt die Konfig einer wichtigen Komponente !
Damit konterkarierst du die Sinnhaftigkeit des gesamten Threads hier, denn wie willst du das zielführend Troubleshooten wenn du diese Router Konfig nicht kennst ?
Dieser Router mit seinem nicht customizten NAT für VoIP ist vermutlich zu 98% die Wurzel all diesen Übels !!
Zitat von @aqui:
> Da aber der Dienstleister das so eingerichtet hat, habe ich nicht weiter drüber nachgedacht - "wird ja wohl richtig
sein".
Ein sehr fataler Denkfehler !
Scheint so. Aber nachher ist man immer klüger.> Da aber der Dienstleister das so eingerichtet hat, habe ich nicht weiter drüber nachgedacht - "wird ja wohl richtig
sein".
Ein sehr fataler Denkfehler !
> Auf der Fortigate sind (erstmal) alle Ports offen, bzw. kein Portforwarding eingerichtet.
Das besagt leider gar nicht. Essentiell wäre die Benatwortung der Frage ob die FW hier auch NAT (IP Adress Translation) am
Port macht ??
Leider sagst du dazu rein gar nichts... Wäre aber wichtig zu wissen weil dann auch hier der NAT Prozess diese Ports
blockt und nicht nur die inbound Firewall Regeln.
Sorry, wollte die Info nicht vorenthalten. Ja, die Fortigate macht ebenso NAT.Das besagt leider gar nicht. Essentiell wäre die Benatwortung der Frage ob die FW hier auch NAT (IP Adress Translation) am
Port macht ??
Leider sagst du dazu rein gar nichts...
Wäre aber wichtig zu wissen weil dann auch hier der NAT Prozess diese Portsblockt und nicht nur die inbound Firewall Regeln.
Grade hat sich der Dienstleister gemeldet. Er führt nun mal ein Troubleshooting auf der Firewall durch. Ich werde ihn noch auf die NAT-Probleme hinweisen und ihm empfehlen, den Zyxel Router auf "durchzug" zu stellen.
Ich melde mich, wenn ich genaueres weiss.
Gruss
Siglander
Ja, die Fortigate macht ebenso NAT.
Das war zu vermuten und genau da im doppelten NAT in der Kaskade liegt auch dein Problem, denn SIP nutzt dynamische Port Ranges beim Sessionaufbau und ohne ein Port Forwarding auf dem kaskadierten NAT Router geht das dann nicht. ihm empfehlen, den Zyxel Router auf "durchzug" zu stellen.
Solltest du selber wissen das das einzig nur klappen kann wenn sich der Zyxel als reines NUR Modem konfigurieren lässt !! Siehe auch hier:Kopplung von 2 Routern am DSL Port
Lässt er das im Setup nicht zu, dann ist dieses Unterfangen technisch nicht möglich. Ohne NAT am Internet Router bräuchtest du dort ein weiteres öffentliches Subnetz was du niemals so bekommst vom Provider.
Sollte sich der Zyxel Router also NICHT als reines NUR Modem konfigurieren lassen, macht es dann mehr Sinn der Firewall das vollkommen überflüssige NAT abzugewöhnen und diese rein nur routen zu lassen OHNE das NAT.
Das wäre so oder so sinnvoller gleich von Anfang an gewesen in so einem technisch eher schlechtem Kaskade Design und eigentlich hätte es der Dienstleister auch wissen müssen, wäre er ein fachkundiger Dienstleister gewesen. Gerade im Hinblick auf VoIP ist NAT immer kritisch. Von doppeltem NAT mal gar nicht erst zu reden...
Dein Glück das das alles noch nicht abgenommen ist
Salü zusammen
Enter the following commands in FortiGate’s CLI:
reboot the device
Reopen CLI and enter the following commands – do not enter the text after //:
Hier ist meist 12 oder 13 als SIP zu suchen und zu Löschen.
Disable RTP processing as follows:
Das End ist das wichtigste bei den Befehlen
Somit sollte die Kommunikation zwischen Mittel 470 und der Swisscom ohne Probleme verlaufen.
Das Eigentliche Problem liegt bei der abartig missen Implementierung der Swisscom,
sowas mieses habe ich seit 8 Jahren bei keinem VoIP Provider mehr gesehen.
Sei Froh hast du eine Anständige PBX und keine Voicechannel Lösung mit SIP Telefonen.
Eigentlich Sollte man vom grössten Provider in der Schweiz ein wenig mehr erwarten.... (Schäm dich Swisscom)
PS: Wenn euer TelefonDienstleister alles richtig bestellt hat. Darfst Du auf dem DSL Business Internet Light gar kein PPPoE mehr haben.
Hier reicht IP Bridge. Auf der Fortjagte muss dann das WAN Interface nur noch auf DHCP eingestellt werden.
Was hier auch nicht geht: Fixe IP... geht einfach nicht. Dazu müsste man einen Business Internet Standard bestellen. Kostet halt wieder ein Vermögen.
So nebenher:
Habt ihr Digitale Telefone? oder schon IP Telefone?
EDITH Sagt: Bist du im Raum GR oder ST Galler Rheintal??
Enter the following commands in FortiGate’s CLI:
config system settings
set sip-helper disable
set sip-nat-trace disable
Endreboot the device
Reopen CLI and enter the following commands – do not enter the text after //:
Hier ist meist 12 oder 13 als SIP zu suchen und zu Löschen.
config system session-helper
show //locate the SIP entry, usually 12, but can vary.
delete 12 //or the number that you identified from the previous command.
EndDisable RTP processing as follows:
config voip profile
edit default
config sip
set rtp disable
EndDas End ist das wichtigste bei den Befehlen
Somit sollte die Kommunikation zwischen Mittel 470 und der Swisscom ohne Probleme verlaufen.
Das Eigentliche Problem liegt bei der abartig missen Implementierung der Swisscom,
sowas mieses habe ich seit 8 Jahren bei keinem VoIP Provider mehr gesehen.
Sei Froh hast du eine Anständige PBX und keine Voicechannel Lösung mit SIP Telefonen.
Eigentlich Sollte man vom grössten Provider in der Schweiz ein wenig mehr erwarten.... (Schäm dich Swisscom)
PS: Wenn euer TelefonDienstleister alles richtig bestellt hat. Darfst Du auf dem DSL Business Internet Light gar kein PPPoE mehr haben.
Hier reicht IP Bridge. Auf der Fortjagte muss dann das WAN Interface nur noch auf DHCP eingestellt werden.
Was hier auch nicht geht: Fixe IP... geht einfach nicht. Dazu müsste man einen Business Internet Standard bestellen. Kostet halt wieder ein Vermögen.
So nebenher:
Habt ihr Digitale Telefone? oder schon IP Telefone?
EDITH Sagt: Bist du im Raum GR oder ST Galler Rheintal??
Hoi
konntest du das Problem lösen?
Kann dir sonst helfen, mache selber Mitel 470 und Fortigate mit Swisscom Business Connect.
konntest du das Problem lösen?
Kann dir sonst helfen, mache selber Mitel 470 und Fortigate mit Swisscom Business Connect.
