AGFEO elements am ALL-IP Anschluss hinter einer Firewall

Mittlerweile stellen immer mehr Kunden Ihre Anschlüsse auf All-IP um. Um bestehende Telefonanlagen weiter nutzen zu können, kommen oft Router mit internen S0 (ISDN) Anschlüssen zum Einsatz. Das ist aber gar nicht immer nötig, da viele moderne Telefonanlagen bereits direkt an SIP Anschlüssen funktionieren. Wenn bereits eine Firewall im Einsatz ist möchte man wahrscheinlich davor auch gar keinen Router haben. Das spart unnötige Hardware, mehrfache Signalumwandlungen beziehungsweise Portweiterleitungen im Router.

Das hier skizzierte Beispiel basiert auf einem All-IP Anschluss der T-Com, einer AGFEO elements 516 und einer Securepoint UTM Firewall.

Damit die Telefonanlage mit dem SIP Provider kommunizieren kann, muss die Netzwerkkonfiguration durchgeführt werden. Wichtig dabei ist eine feste IP Adresse, dazu passend Gateway und DNS Server:

Zur Kommunikation nach außen müssen natürlich auch die benötigten Ports in der Firewall freigegeben werden. Die Einstellung der benutzten Ports kann ebenfalls in der elements unter „Hardware -> SIP Server / ASIP Server“ geprüft werden:

Pro Sip Account werden 2 Ports genutzt. 10 Sip Ports sind in den AGFEO elements 5xx maximal verfügbar, wie unter „SIP Extern -> Lokaler SIP-Port (Startport)“ zu sehen nutzt die Anlage als ersten lokalen Port 5064. Es müssen also Port 5064 – 5083 UDP freigegeben werden.  Als RTP Ports für die Sprachübertragung werden bei 5 IP Kanälen Port 5004-5013 UDP genutzt. Die 2 Portbereiche lege ich in der Securepoint unter „Firewall -> Portfilter – Dienste“ an und fasse diese dann zu einer Gruppe (AGFEO-Ports) zusammen:

Daraus wird dann die Firewall Regel mit dem vorher erstellten Netzwerkobjekt „server-elements“erstellt:

Nun geht die Einrichtung auf der Telefonanlage weiter, unter „SIP Konten -> SIP Extern“ kann über das Zahnrad ein Konto vom Typ „SIP Extern“ angelegt werden.

Der Name ist frei wählbar. Die restlichen Parameter ergeben sich wie folgt:

  • Benutzer: die jeweilige MSN (Telefonnummer) inklusive Vorwahl
  • Passwort: kann bei T-Com Anschlüssen leer bleiben
  • Authentifizierungsname: Zugangsnummer bzw. T-Online Nummer, gegebenenfalls ergänzt um „@t-online.de“
  • Registrar: kann über das Menü ausgewählt werden (tel.t-online.de)
  • STUN Server: kann über das Menü ausgewählt werden (stun.t-online.de)
  • STUN Port: 3478
  • MSN -> Standort auswählen, Rufnummer: die MSN ohne Vorwahl
  • Name: frei wählbar

Diese Prozedur muss für jede vorhandene MSN wiederholt werden, so das am Ende meist „SIP extern“ 1-3 vorhanden sind. Dabei ändert sich pro Eintrag die Zeile Benutzer, wo die jeweilige Telefonnummer + Ortsvorwahl steht, sowie die MSN Zeile.

Nachdem die Einstellungen übernommen wurden sollte sich die Farbe des Symbols nach blau ändern und der Status nach „Angemeldet [200]“ wechseln. 

Nun brauchen meist nur noch die jeweiligen Rufnummern in der Rufverteilung (Rufe von Extern -> Externe Linien) angepasst zu werden:

Bedarfsweise sind noch die abgehenden Nummern sowie andere Kleinigkeiten anzupassen, dann sollte die Telefonie wieder wie gewohnt funktionieren.

Edit 12.04.2018:

Folgende Änderungen / Erweiterungen sollten an einem Telekom Anschluss noch vorgenommen werden, damit die Telefonie stabil funktioniert:

  • die Anlage muss eine ausgehende Verbindung zum STUN Server auf Port 3478(UDP) herstellen können
  • Portforwarding in der Firewall auf die entsprechenden Ports (5064 – 5083, 5004-5013 UDP) der AGFEO Anlage
  • falls bei einer Securepoint UTM Verbindungsprobleme auftreten, deaktivieren der NAT Helper der Firewall:

Als Admin auf dem CLI ausführen:

debug kmod unload module nf_nat_sip
debug kmod unload module nf_nat_h323
debug kmod unload module nf_conntrack_sip
debug kmod unload module nf_conntrack_h323

Ein Kommentar

  1. Hallo Herr leuschner,
    tolle Anleitung! So ähnlich musste ich meinen Lancom Router konfigurieren, bevor eine Verbindung möglich war, die Standardaktivierung der All-IP Funktion -wie im LANCOM Hanbuch beschrieben- . reichte nicht aus…
    Dazu eine Fragen,
    ich sehe nur eine Regel mit der ES IP als Quelle und Internet als Ziel.
    – reicht das aus, bzw. was ist mit ankommenden rufen?
    ( ich hatte zunächst Quelle und Ziel umgekehrt eingestellt)
    => hat sich erledigt, gerade im Handbuch dafür noch mal die Bestätigung gelesen. Alles Gut!

    Grüße,
    gp

Schreibe einen Kommentar zu Gerd Peter Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert