VoIP von FRITZ!Box über Juniper SSG Firewall

Ich habe bei mir zu Hause die AVM FRITZ!Box als alleinigen Router abgelöst und durch eine Juniper SSG 5 Firewall ersetzt. Die FRITZ!Box ist trotzdem noch vorhanden und steht als IP-Client hinter der Firewall, primär um die Internettelefonie zu 1&1 bereitzustellen. Leider hat es etwas gedauert, bis ich die richtigen Einstellungen herausgefunden hatte, damit die Telefonie auch wirklich in beide Richtungen funktionierte.

Von “es geht gar nichts” über “es kann nur einer reden” bis hin zu “meine Frau kann endlich wieder telefonieren” gab es mehrere Stufen. Und um es gleich vorweg zunehmen: Ich bin mir nicht überall zu 100 % sicher, ob ich die Probleme richtig erkannt und gelöst habt. Fakt ist aber, dass es jetzt funktioniert. 😉 Ich habe aber nicht noch mehr recherchiert. Hier folgt mein Endstand. Die Software Version der SSG ist 6.3.0r17.0.

Problem

Das Problem schien wohl zu sein, dass

  1. die SSG keinen ALG für RTP (sondern nur für SIP und RTSP) hat, bzw. dass
  2. die FRITZ!Box nicht korrekt die nötigen Verbindungen für SIP und RTP offen halten kann, obwohl es hier so beschrieben ist.

Ich hatte dann eine Weile mit den Einstellungen in der FRITZ!Box sowie den ALGs der SSG herumexperimentiert. Leider sieht man auf der SSG ja nicht wirklich, welche Verbindungen von außen blockiert werden. Unter anderem hatte ich das hier von Juniper getestet. Allerdings lief bei mir nie eine Verbindung in diese Regel rein. Es schien ohnehin mehr ein Problem von RTP und weniger von SIP zu sein. (?) Diesen Blogpost hatte ich dann gefunden, der direkt schreibt, dass die SSG keinen ALG für RTP hat.

Lösung

Wie es jetzt läuft:

  • Den 30 Sekunden Keepalive auf der FRITZ!Box aktiviert (Telefonie -> Eigene Rufnummern -> Anschlusseinstellungen -> Sprackpakete).
  • Die ALGs für SIP und RTSP auf der SSG ausgeschaltet (damit es ein definierter Zustand von “die SSG macht nichts Intelligentes” ist).
  • Auf der SSG ein “Port-Forwarding”, also die VIP und Policies für SIP (UDP 5060) und RTP (UDP 7078-7097, scheint FRITZ!Box spezifisch zu sein) eingerichtet, so wie es hier alternativ beschrieben ist. Diese Ports werden also an die FRITZ!Box weitergereicht.

Übersicht der weitergeleiteten Ports:

VoIP Fritzbox über SSG - Port-Forwarding

Und hier ein paar Screenshots. Man kann gut beobachten, dass pro Telefonat genau zwei RTP/RTSP Sessions aufgemacht werden. Bei einem ausgehenden Telefoncall werden die Verbindungen eingehend (!) geöffnet. Bei einem eingehenden Anruf dann entsprechend ausgehen. Außerdem interessant ist der immer erkannte “Fragmented Traffic” am Anfang eines jeden Telefonats. Ich habe während den Gesprächen zwar nichts gemerkt, aber es tritt immer auf. Siehe Bild-Beschreibungen für mehr Infos:

 

Und hier noch ein Teil der CLI Konfiguration der SSG, welche ja leider für jeden Service der VIP einen einzelnen Eintrag braucht. Nerv.

10 thoughts on “VoIP von FRITZ!Box über Juniper SSG Firewall

  1. Hello,

    Thanks you for your interesting post, I may ask you to do the translation in English or French please ?

    Thanks in advance,

    1. Hi Lyacine,
      since the FRITZ!Box is only present in Germany, I wrote this post in German. You can try to use the Google translator. 😉
      However, the short version is, that the SSG firewall has no ALG for RTP and therefore problems when using VoIP behind it.
      I configured a few port-forwardings (VIP + policies) on the SSG to forward the ports to the VoIP-Gateway (FRITZ!Box). See the figure and screenshots for some information.
      (Hope that helps…)
      Regards, Johannes

      1. Hallo Johannes,
        Finde das einen super Blog. Habe auch eine Fritzbox 7390-CH Version.
        Allerdings steht die nicht hinter einer Juniper, sondern einer Fortinet60D.
        Habe da auch SIP Helper, SIP und RTP Alg deaktiviert. Auch den Signalsierungsport 5060 plus RTP Ports 10000 – 20000 entsprechend auf die FB geforwarded. Ich habe das Problem, dass man mich beim Telefonieren sehr leise hört.
        Woran könnte das noch liegen? Ports und RTP (UDP 7078-7097 habe ich allerdings nicht weitergeleitet.
        Danke für Deinen Tipp.
        Gruss

        Andy

        1. Hi Andy,

          hm, also als Netzwerker würde ich ganz klar sagen, dass das nicht am Netzwerk liegt, da eine Verbindung ja klappt. Die Lautstärke muss doch am Layer 7 irgendwo liegen.
          Kannst du verifizieren, dass es wirklich an dem Konstrukt mit der FortiGate liegt? Das würde mich nämlich echt wundern in dem Kontext.
          P.S.: Du kennst die VoIP Funktionen von Wireshark? Schneide mal eine Weile mit, telefoniere etwas, und schau dir dann in Wireshark über Telephony -> VoIP Calls mal die Details an. Da kannst du sogar direkt mithören, was gesagt wurde. 😉

  2. set vip multi-port könnte hier eine Lösung für die Anzahl der VIP Ports sein. VG, Reiner

  3. Ich habe überlegt, ähnliches mit einer PA-200 zu machen. Leider fehlen bei PAN so ein paar Features, die an einem deutschen VDSL-Anschluss funktionsimplizit wären. Argh.

Leave a Reply

Your email address will not be published. Required fields are marked *