XMPP / Openfire Verbindung funktioniert nicht

Schritt-für-Schritt-Anleitung

  1. Firewall Log prüfen ob hier Pakete die den Port 5222 betreffen geblockt werden
  2. Intrusion Prevention Log prüfen
  3. Application Control prüfen ob aktiviert ("Web Protection" -> "Application Control")
  4. Application-Control-Regeln prüfen ("Web Protection" -> "Application Control"->"Application-Control-Regel")

Gesprächsqualität bricht ab 3 Gesprächen ein

Wir hatten diese Fall in dem Ticket TFCUST-112220 hier wurde die Qualität durch die Intrusion Prevention verursacht.

  1. Auf der Firewall links auf der Seite zu den Einstellungen "Intrusion Prevention" (Network Protection→ Intrusion Prevention) wechseln
  2. Dort prüft man den Reiter "Anti-DoS/Flooding wenn hier die "UDP Flood Protection" aktiviert ist muss man eine Ausnahem für unser Netz eintragen.
  3. Wechseln auf Reiter "Exceptions"
  4. Am besten man trägt hier gleich eine Ausnahme für alle IPS Funktionen ein siehe Beispiel
    Beispiel anhand von vpn1.teamfon.com
  5. Danach muss man die Regel noch aktivieren.

Hier ist unser Netz mit "Cloudphone (TF)" benannt.

Firwall Einstellungen über die CLI

Bitte beachten Sie, dass die Befehle nicht für jede Version der Firewall gelten und demnach abweichen können.

Bitte informieren Sie sich vor Änderungen an der Firewall über diese Funktionsweise und die möglichen Einstellungen.

Wir übernehmen keine Haftung.


UDP Timeout

Problem

Wenn keine Fehler in der SIP-Konfiguration vorliegen, sind VoIP-Probleme normalerweise auf den UDP-Timeout-Wert zurückzuführen.

Die Sophos Firewall hat einen Standard-UDP-Timeout-Wert von 60 Sekunden, der für eine zuverlässige VoIP-Kommunikation in der Regel zu niedrig ist. In der Regel empfiehlt Ihr VoIP-Anbieter einen UDP-Timeout-Wert von 120-150 Sekunden.

Lösung

So ändern Sie den aktuellen UDP-Zeitüberschreitungswert über die Befehlszeilenschnittstelle (CLI)

  1. Geben Sie ein: show advanced-firewall
    Die Ausgabe zeigt den aktuellen UDP-Zeitüberschreitungswert neben dem UDP-Zeitüberschreitungsstrom an.
  2. Geben Sie ein: set advanced-firewall udp-timeout-stream 150
    Dieser Befehl erhöht die UDP-Zeitüberschreitung auf 150 Sekunden.

SIP ALG/ SIP Server

Das SIP-Modul ist standardmäßig aktiviert und bietet die folgenden Funktionen für den SIP-Verkehr:

Verwendet den UDP-Port 5060.
Übersetzt lokale IP-Adressen in öffentliche IP-Adressen, wobei der SIP-Header aktualisiert wird.
Aktiviert einen dynamischen Sprachkanal, indem es eine erwartete Sprachverbindung in der Firewall einrichtet.

Problem

Aus Erfahrung zeigt sich dass diese Feature ehr Probleme verursacht anstatt sie zu lösen.

Wir empfehlen daher diese Funktion an der Sophos zu deaktivieren.

Lösung

  1. Ein- und Ausschalten des SIP-Moduls über die Befehlszeilenschnittstelle (CLI)
    Melden Sie sich über Telnet oder SSH bei der Befehlszeile an. Sie können auch über admin > Konsole in der oberen rechten Ecke der Webadministrationskonsole darauf zugreifen.
  2. Verwenden Sie die folgenden Befehle.
    1. SIP-Modul einschalten: system system_modules sip load
    2. SIP-Modul ausschalten: system system_modules sip unload
  3. SIP-Modul Status anzeigen lassen: system system_modules show
    SIP Not Loaded.

Die Befehle bleiben erhalten, auch wenn die Sophos Firewall neu gestartet wird.


Ausnahme Regel für anti-DoS eingerichtet.png