FRITZBox 7070 hinter Watchguard Firewall/Router

[voip1u1]

Hallo Leute,

habe folgendes schon oft beleuchtetes Problem :

Internetzugang über Watchguard Firewall/Router
FRITZ!BoxFon 7170 WLAN über LAN-Port "A" angeschlossen für Internettelefonie mit 1&1

Nach Freigabe folgender UDP-Ports (Empfangs- und Senderichtung) für die IP-Adresse der FRITZ!Box registrieren sich die VoIP-Rufnummern in der FRITZ!Box und ich kann ein abgehendes Telefonat über VoIP aufbauen. Der angerufene kann mich nicht, ich aber ihn hören.

Liegt es an der fehlenden Portweiterleitung ?

Folgende Ports habe ich freigeschaltet :

UDP 1033 (ist wohl überflüssig, wurde von der Firewall
als geblockt angezeigt)
UDP 5060 (lt. "Firewall-Anzeige")
UDP 5070 (lt. 1&1)
UDP 5072 (lt. 1&1)
UDP 3478 (lt. 1&1)
UDP 30.000 - 30.019 (lt. 1&1)

Kann mir jemand definitiv sagen welche Ports ich freischalten muß ?

Kann mir jemand definitiv sagen welche Ports ich weiterleiten ?

Die FRITZ!Box verlangt bei 1&1 VoIP-Rufnummern nur die Rufnummer und das PW. Alles andere ist bereits hinterlegt.
Muß ich mich dennoch um STUN-Server etc. kümmern ?

Vielen Dank für Eure Antworten !!!

... (obwohl diese Fragen sicher schon öfter gestellt wurden)

 

[frank_m24]

Hallo,

die Ports sind fürs 1&1 Softphone, aber nicht für die Fritzbox. Das Endgerät entscheidet nämlich, welche Ports benötigt werden.

Um auch mehrere Telefonate gleichzeitig führen zu können, solltest du zwei Portranges freischalten (eingehend wie ausgehend):
UDP 5060 - 5069 (SIP)
UDP 7077 - 7087 (RTP)

Alternativ kann eine gescheite STUN Konfiguration funktionieren, solange die Watchguard Firewall kein symmetrisches NAT macht. Dafür brauchst du die Ports UDP 3478 -3479 ausgehend.

Viele Grüße

Frank

 

[voip1u1]

Hallo Frank,

lt. 1&1 sind die 30.000er Ports aber auch bei der FRITZ!Box für die Sprachübertragung (RTP) notwendig !?

In der sehr ausführlichen Beschreibung von <susanne> die sich auf die FRITZ!Box hinter einem Router bezieht sind auch (mehr oder weniger) die Ports angegeben die ich genannt habe.

Aber: es funktioniert bei mir ja nicht (keine Sprachübertragung abgehend).

Liegt das an der fehlenden Portweiterleitung ?

Was ist wenn die Watchguard Firewall kein symmetrisches NAT macht ?

In der FRITZ!Box werden bei 1&1 VoIP-Rufnummern keine STUN-Konfigurationen eingetragen (evtl. "automatisch" hinterlegt).

Ich bin für jede Hilfe / Info dankbar !!!

 

[doc456]

Hallo,
bei meiner Fortinet muß ich einen virtuellen Server einrichten und die Ports dann weiterleiten (PC). Vielleicht ist das bei Watchguard ähnlich, oder du muss eine virtuelle IP einrichten. Du hast ja den Weg nach aussen, aber nicht zurück, wenn ich es richtig interpretiere.

 

[voip1u1]

Hallo Horst,

Port forwarden = Port weiterleiten = virtueller Server ?

Ist das korrekt so ( je nach Firewall ) ?

Ich hab den "Weg nach außen" zum signalisieren des Gesprächs.

Verstehen konnte ich aber nur den Angerufenen ( => Sprachkanal "nach innen" ), er konnte mich nicht verstehen.

Es geht mir aber auch darum zu erfahren welche Ports ich definitiv bei der FRITZ!Box 7170 benötige.

Einige der von mir oben gennanten Ports sind anscheinend nur für die "SoftPhone"-Lösung von 1&1 nötig.

Wer kann mir dazu noch was sagen ?

Danke !!!

 

[doc456]

Du hast doch oben schon die Einstellungen von 1&1 gepostet. Sorry, aber den Link dazu bei 1&1 hab ich im anderen Büro!
Ich kann nur für meine Fortinet sprechen: Diese Einstellungen müßte ich alle in der Fortinet beim virtuellen Server eintragen mit Portweiterleitung zum PC/Softphone.
Wie das jetzt bei der Watchguard ist erfährst du wahrscheinlich nur, wenn du das Handbuch liest oder beim Watchguard-Support nachfragst.

 

[frank_m24]

Hallo,

ich hab selbst mal meine 7050 hinter meine 7170 gehängt und dann einen Paketmittschnitt angefertigt, den ich mit Wireshark (fka Ethereal) analysiert: Die Box benutzt definitiv die Ports 5060 (und von da aufwärts für mehrere Gespräche) für SIP und Ports zwischen 7077 und 7087 für RTP (Sprache). Die Ports werden - wie gesagt - eingehend wie ausgehend benötigt.

Wie du die Portweiterleitungen für eingehende Ports und Portöffnungen für ausgehende Ports in deiner Firewall realisierst, weiß ich nicht, da ich das Produkt nicht kenne, aber das sollte in der Bedienungsanleitung beschrieben sein.

Wenn die Firewll kein symmetrisches NAT macht, dann kannst du auch einen STUN Server angeben. Macht sie symmetrisches NAT, dann ist STUN kontraproduktiv, und der STUN Server sollte unbedingt entfernt werden aus der VoIP Konfiguration. Da die Box beim "vorgefertigten" VoIP Provider 1&1 diese Möglichkeit nicht bietet, sollte man dafür den CSS Stil deaktivieren und alles entfernen, was STUN und Proxy heißt.

Viele Grüße

Frank

 

[voip1u1]

Hallo Frank,

ich hab noch ne Frage zu STUN :

wenn ich in der FRITZ!Box den STUN-Server lösche ("andere Anbieter") meldet die FRITZ!Box meine IP-Rufnummer nicht mehr bei 1&1 an.

Was ist in diesem Fall zu tun (wenn STUN z.B. wegen symmetrischem NAT nicht funktioniert) ?

Ich habe in der Firewall testweise alle Sperren "aufgehoben", es geht trotzdem nicht.

 

[frank_m24]

Hallo,

das die Box einen korrekten Zugang zum Internet hat, setze ich mal voraus, da es mit STUN ja geht.
Ohne STUN ist sicherzustellen, dass die Box auf den Ports 5060 - 5069 und 7077 - 7087 UDP ein- wie ausgehend kommunizieren kann. D.h., diese Ports müssen von der Firewall ausgehend durchgelassen werden und eingehend in Form von Portweiterleitungen eingerichtet werden.

Viele Grüße

Frank