VoIP durch IPSec - Firewall?

[CharlieScene]

Hallo Community,

ich wende mich mit einem recht komplexen Problem an euch.
Wir planen einen Umstellung auf VoIP, genutzt werden soll unsere Anlage sowohl im Office, als auch von den Home-Office Kollegen. Da sitzt das Problem.
Wir routen den Traffic über unsere Firewall, einer Watchguard Firebox. Die Remoteler verbinden sich durch IPSec Tunnel mit unserem Netzwerk, können sich mittels Softphone auch auf der Anlage anmelden. Externe Gespräche (z.B Anrufe auf meine Handynummer) lassen sich normal führen, sobald aber der Traffic wieder durch die Firebox an Kollegen (Also durch Wahl der 'Extension') gehen soll bleiben die Leitungen tot (Session ist aufgebaut, RTP Stream kommt nicht an/durch).

Man liest öfter dass RTP, SIP und co. Probleme haben wenn IP Sec ins Spiel kommt, aber ich denke eher dass irgendwo eine Konfig nicht korrekt ist. Wir haben einige Anpassungen bezüglich NAT, SNAT, p2p NAT usw. ausprobiert: Ohne Erfolg. Auch ne policy für SIP-ALG hat wenig geholfen.

Vielleicht hat hier ja noch jemand eine Idee oder einen Hinweis um der Lösung näher zu kommen.

Ich bedanke mich für eure Aufmerksamkeit und wünsche schonmal ein schönes Wochenende!
Gruß, Charlie

 

[Pitt_G.]

der Medienstrom geht im besten Fall direkt zwischen VPN und VoiP CLient im LAN?

 

[Zensai]

Je nachdem was das für eine VoIP Anlage ist kann das mit IPSec durchaus ein Problem sein.
In der Regel wird nicht RTP sondern SRTP genutzt. Da noch ein zweites Verschlüsselungslayer draufzusetzen mündet in den meisten Fällen in Problemen.
SfB zum Beispiel supported Diese Konfiguration gar nicht. Meistens gibt es für solche Szenarien dann Edge Server die die Verbindung zum Office herstellen und dazu Split tunneling fürs VPN damit dieser Traffic eben nicht getunnelt wird.

Edit @uber mir : der SIP Medienstrom geht I'm besten Fall über P2P oder einen Relay (Edge) Server, aber nicht durchs VPN.

 

[Pitt_G.]

hm seh ich das richtig und er will von VPN Client zu VPN Client telefonieren?

Können die untereinander im VPN Setup überhaupt sprechen? das wäre mehr als Suboptimal

geht ein PING von VPN IP zu VPN IP durch?

 

[Zensai]

Ich verstehe es eher so: Homeoffice User per VPN in die Firma und dort über das PSTN raus.
Und genau das ist eher doof, warum habe ich ja oben schon beschrieben 😊
Nochmal Edit:
Ob jetzt aber das Ziel im PSTN oder im Office oder bei nem anderen VPN Client ist macht für das Problem ja keinen Unterschied.
Signalisierung über VPN kein Problem, Medien hingegen schon.

 

[Pitt_G.]

er schreibt "sobald aber der Traffic wieder durch die Firebox an Kollegen gehen soll bleiben die Leitungen tot "

da braucht er auf der VPN Appliance eine Regel dass die miteinander sprechen dürfen unter der annahme das interne LAN hat andere IPs als der VPN Pool

 

[Zensai]

Habe meinen Post editiert oben. Wie gesagt, das Problem bleibt dasselbe.
Wenn es mit "nur" einem Tunnel grade geht dann ist das mehr Glück als erwartetes Verhalten. Die Konfiguration Medien über VPN zu senden ist und bleibt eben ein Glücksspiel und ist von zu vielen Faktoren abhängig. Da spielen ja dann auch nicht nur Verschlüsselungslayer eine Rolle, sondern insbesondere auch Jitter, Roundtrip Zeiten etc.

 

[Pitt_G.]

u.U. muss er auch angeben dass der eigene VPN Pool in der "Encryption Domain" ist,damit er reingeroutet wird. Wenn er nicht ne /24 Maske bei der Client IP hat

 

[CharlieScene]

Danke für die fixen Antworten!
Klarstellung: Probleme treten auf, sobald VPN User eine andere in der Anlage (Altitude V8) hinterlegte Extension anrufen will. Das Telefonieren mit Mutti, dem Bäcker oÄ funktioniert.

Der IP Sec Tunnel routed in das Subnetz in dem auch die Anlage angebunden ist. Ein Ping vom Benutzer auf die Anlage ist also möglich, sofern der Tunnel steht.

Ich hab das ganze schonmal mit Wireshark angeguckt; es wird in dem Zusammenhang nur SIP und RTP Traffic angezeigt (neben normalen TCP Geschichten).

 

[Pitt_G.]

und wohin geht der RTP Traffic,? vom VPN Client zum Client im LAN oder direkt zur Anlage?

wenn es nicht funktioniert!

 

[CharlieScene]

(Remote-IP) (Office-IP) RTP 214 PT=ITU-T G.711 PCMA, SSRC=0xxxxBCE02, Seq=1901, Time=266695342

(Public IP der Firewall) (Remote-IP) RTP 214 PT=ITU-T G.711 PCMA, SSRC=0xxxxE8B3A, Seq=22076, Time=112737214


Ist ein kurzer Auszug aus Wireshark, leider habe ich keine besseren Screens oÄ zur Hand - Feierabend^^

 

[Pitt_G.]

wieso public IP der Firewall, das muss in den VPN Tunnel dachte ich da darf nichts genattet werden da muss die office IP drinstehen

ich gehe davon aus die Internet Zugriffsregel für NAT spuckt da rein

 

[d2boxSteve]

Du kannst mal testen, die Regel die in der Watchguard im VPN den Telefontraffic erlaubt (oder eben die any Regel wenn alles offen ist), da kann man "Application Control" anklicken. Die Watchguard "kennt" dann verschiedene Dienste wie SIP, RTP, SRTP, FTP, .....
Vielleicht gehts damit dann.

 

[Pitt_G.]

ich glaub das ist gar nicht so kompliziert, erst neulich welche mit ner ASA gehabt die statt mit einer internen IP anzukommen die externe NAT IP vom Internet Zugriff drin hatten.

 

[t-6]

Das Problem könnte sein, dass die beiden VoIP-Telefone nicht miteinander kommunizieren dürfen. Die Telefonanlage macht quasi kurz Vermittlung zwischen den beiden VoIP-Telefonen, danach findet das Gespräch aber direkt zwischen den beiden Telefonen statt.
Beim Anruf von VoIP->extern wird für die Kommunikation die Telefonanlage genutzt.

Was sagt denn das Firewall-Log zwischen den beiden Telefonen, wenn versucht wird ein Telefonat zu führen?

Sind die beiden VoIP-Telefone denn überhaupt im selben IP-Adressbereich? Wird der VPN-Tunnel über eine separate Box hergestellt in der die Telefone von den HomeOfficelern eingesteckt werden?

(lies: "VoIP-Telefon" = PC auf dem das SoftPhone läuft)