Page tree
Skip to end of metadata
Go to start of metadata

Benötigte Ports & Einstellungen für VoIP Dienst (alle Firewall Modelle)

Für VoIP Home, myKMU und VoIP Trunk

Telefonanlage oder Telefon-Endgeräte im LAN des Kunden

SIPPort 5060 UDP auf IPs 212.25.7.70 & 185.185.32.60, ein- sowie ausgehend
RTPPorts 40000 – 50000 UDP auf IPs 212.25.7.71 & 212.25.7.72, ein- sowie ausgehend
UDP Timeoutmind. 300s 
SIP-ALGdeaktivieren

Für iWay hosted 3CX

3CX-Apps für Android/iOS-Handys / PCs und Macs
  • Port 5090 (ein- und ausgehend, UDP und TCP) für den 3CX-Tunnel
  • Port 443 oder 5001 (ein- und ausgehend, TCP, HTTPS) für Präsenzanzeige und Telefon-Provisionierung; alternativ der von Ihnen festgelegte HTTPS-Port
  • Port 443 (eingehend, TCP) für Push-Benachrichtigungen von Google Android
  • Port 2195 und 2196 (eingehend, TCP) für Push-Benachrichtigungen von Apple iOS
IP-Telefone per direkte SIP-Verbindung
  • Port 5060 (ausgehend, UDP und TCP), Port 5061 (ausgehend, TCP, bei Verwendung von Secure SIP)
  • Port 9000 bis 10499 (ausgehend, UDP) für RTP-Kommunikation (= Ports, welche auf der Seite der 3CX verwendet werden)
  • Port 443 oder 5001 (ausgehend, TCP, HTTPS) zur Provisionierung von Telefonen (außer bei Nutzung benutzerdefinierter Ports)
 3CX WebMeeting
  • Port 443 (eingehend, TCP) für webmeeting.3cx.net. Da die IP-Adresse sich unter Umständen ändern kann, sollten Sie vorzugsweise Verbindungen mit dem FQDN zulassen, sofern möglich.
  • Weiterleitung von Port 443 oder 5001 (ausgehend, TCP) bzw. dem von Ihnen vorgegebenen HTTPS-Port.
SIP-ALGdeaktivieren

Für iWay hosted VPBX

SIPPorts 5060 UDP & 5061 TCP (für Videokonferenzen) auf die IP Ihrer VPBX*, ein- sowie ausgehend
RTPPorts 10000 – 20000 UDP auf die IP Ihrer VPBX*, ein- sowie ausgehend
CTI-ClientsPorts 443, 3333, 5050, 8080 (alle TCP) auf die IP Ihrer VPBX*, ein- sowie ausgehend
UDP Timeoutmind. 300s
SIP-ALGdeaktivieren

* Die IP Ihrer VPBX finden Sie auf deren Webinterface unten links:

Zusätzliche Einstellungen für einzelne Firewall Modelle

Hier eine mehr allgemein gehaltene Anleitung von Studerus: https://www.studerus.ch/de/support/download/60069_1?viewtype=inline

Fortigate (Fortinet)

Es empfiehlt sich, folgender Anleitung zu folgen: http://kb.fortinet.com/kb/documentLink.do?externalID=FD33271

How to disable SIP-ALG (SIP Helper) on Fortinet

Open the Fortigate CLI from the dashboard. Enter the following commands in FortiGate’s CLI:

  config system settings
  set sip-helper disable
  set sip-nat-trace disable
  reboot the device

Reopen the FortiGate CLI and enter the following commands (do not enter the text after //)

  config system session-helper
  show // you need to find the entry for SIP, usually 12, but it may vary
  delete 12 // or the number that you identified from the previous command

Create a rule and set it like in the picture above Reboot the device and you should be ready

Disable RTP processing as follows

  config voip profile
  edit default
  config sip
  set rtp disable

Je nachdem was als Basis-Unterstützung konfiguriert ist, kann die SIP-Unterstützung komplett ausgeschaltet werden.
Folgend wird der SIP Sessionhelper als "Basis"-Unterstützung gesetzt und gelöscht.
Hiermit kann die Fortigate keine SIP-Unterstützung mehr bieten, da der Sessionhelper, auf den Sie konfiguriert ist, nicht mehr existiert.

Basis-Unterstützung auf den Sessionhelper (kernel-helper-based) setzen:

  config system settings
  set default-voip-alg-mode kernel-helper-based
  end

SIP Sessionhelper löschen (wie oben):

  config system session-helper
  show
     ...
edit <id>
set name sip
set protocol 17
set port 5060
next
...
delete <id>
end


Eine Komplette Anleitung zur VoIP Konfiguration für FortiOS 5.6 finden Sie in diesem Dokument:
https://docs.fortinet.com/uploaded/files/3611/fortigate-sip-56.pdf
 

 Sonicwall

Zyxel

Studerus empfiehlt, bei ZyWall Firewalls mit Firmware Version 4.25 und höher "Enable SIP ALG" einzuschalten: https://www.studerus.ch/de/support/knowledgebase/detail/3254

Folgendes ZyWall-Script funktioniert ebenfalls:

configure terminal 
session timeout udp-deliver 300
session timeout udp-connect 300 
no alg sip transformation 
no alg sip inactivity-timeout 
no alg sip 
write

Hier kann man es herunterladen: noSipAlgAndUDP.zysh


pfSense

Nach bisherigen Angaben ist hier keine spezielle Konfiguration für VoIP nötig. Falls dem nicht so ist, scheiben Sie doch bitte ein E-Mail an voip@iway.ch.


Sophos

SIP-ALG deaktivieren auf einer Sophos XG125:

When disabled, it will not flush the connections when IPSec tunnels come up.

Dies gilt nicht nur für den VPN Tunnel sondern für alle interfaces.

set vpn conn-remove-tunnel-up disable