Extreme Qualitätsprobleme bei VoIP Telefonie mit Vodafone SBC

  • Hallo Starface Community,


    seit unserer Implementierung am 10.1.2020 der LWL Anbindung (100Mbit, synchron) haben wir mit der Telefonie sehr starke Qualitätsprobleme:


    Wir verwenden eine Sophos UTM9 Firewall und STARFACE PBX Server VM Edition in der Version 6.7.0.18.
    Außerdem wird die Authentifizierung bei Vodafone über IP druchgeführt. Das bedeutet, dass die Starface eine interne IP hat, jedoch nach außen mit der externen auftritt. Das Routing dazu übernimmt die Firewall.


    Das Problem äußert sich wie folgt:
    - Knacken, Roboterstimme, Teilnehmer kann entweder nur hören oder nur sprechen, Gesprächsabbrüche
    - Bei Nutzung weniger Sprachkanälen (6-8) funktioniert es, bei weiteren treten die Probleme vermutlich in jedem Kanal auf
    - Die Vodafone meldet, dass nur die von uns kommenden Pakete fehlerhaft sind. Eine Beschreibung des Fehlers haben wir nicht
    Auffällig war bei einem Vergleich, dass die TK-Anlage mehrere Invites gesendet hat, jedoch bei Vodafone nur eines angekommen ist.
    Das hört sich für mich nach Firewall an, kann es aber nicht mit Sicherheit sagen, da Vodafone mir nicht mitteilt was genau an den Paketen defekt ist.


    Geprüft ist folgendes:
    - EF Flag in den Paketen (Ist korrekt)
    - QoS (Platinrate) bei Vodafone (65% der Bandbreite)
    - MTU (1472)
    - Alle TK-Einstellungen (Leitungseinstellungen)
    - TCP/UDP
    - Erlaubte Protokolle (g722,alaw,ulaw)
    - Typ: sipconnect
    - Andere Anwendungen wie Skype, Teams oder auch WLAN-Telefonie über das Handy funktionieren problemlos
    - Es wird nur eine Internetleitung verwendet, die Backupleitung ist inaktiv
    - In der Firewall ist die TK-Anlage und der Vodafone SBC (testweise) ohne jede Einschränkung konfiguriert
    - VoIP (SIP) ist auch im internen Netz entsprechend konfiguriert und priorisiert
    - Es existieren keinerlei Einschränkungen bei der internen Telefonie
    - SIP und RTP ist auf der Firewall konfiguriert


    Meine Fragen lauten daher: Hat sonst noch jemand ähnliche Erfahrungen gemacht? Hat jemand eine Idee, warum wir dennoch unverändert diese Probleme haben?


    Vielen Dank schonmal.

    2 Mal editiert, zuletzt von ipf ()

  • Wie hoch ist die Serverauslastung (Starface) bei Auftreten des Problems? Hört sich so an, als könnten die der VM vergebenen Ressourcen am Ende sein.
    RTP-Ports müssen nicht weitergeleitet werden, wenn keine externen Geräte zur Telefonie verwendet werden (bzw. mache ich es per VPN). Wird extern nichts verwendet, dann reicht es, wenn der Port 5060 zur Starface geöffnet wird. Um die Firewall der Starface zu entlasten sollte man für diesen Port nur die IP des Providers zulassen (die IP findest du in der Whitelist der Starface).
    Die VM bekommt eine eigene IP oder teilt sich eine mit dem Host? Die sollte sich direkt eine eigene IP vom DHCP-Server holen sollen.
    Um es etwas strukturierter zu haben, habe ich meine Starface-VM und die Telefone in ein eigenes VLAN gesteckt. Seltsamerweise nahmen damit die Probleme der nicht Erreichbarkeit bei mir stark ab.


    Ich würde aber als erstes auf die Ressourcen tippen.

  • Hallo Schubbie,


    Danke für deine Antwort!


    Wir haben nun das Problem an anderer Stelle identifizieren können. Es lag tatsächlich an der Sophos --> Network Protection --> Intrusion Prevention --> UDP Flood Protection. Da dies nicht im Firewall Log zu finden ist, war es auch nicht direkt aufgefallen. Außerdem ist die TK Anlage durch eine unglückliche Konstellation nicht davon ausgenommen gewesen. Über eine Exeption konnte das Problem behoben werden. Es wird sich hierbei wohl um einen Einzelfall bei uns handeln.


    Ein eigenes VLAN ist so oder so sinnvoll wenn die Umgebung zu groß sein sollte. Wir machen jeweils separate VLANs für Telefon, Drucker, Server und Clientgeräte.


    Schönes Wochenende!

  • Moin,
    schön, dass das Problem von Dir gelöst werden konnte.
    Nur für mich zum Verständnis. Den Port 5060 haben so viele Bots bombardiert, dass es bei deiner Firewall zu Problemen kam? Hast du diesen nun auf die SIP-Provider begrenzt?


    VLANs habe ich nur zu Hause eingerichtet, da ich da selbst investieren darf. In der Firma ist nicht so viel Spielkram installiert ;)


    Ebenfalls ein schönes Wochenende.


    Mit freundlichem Gruß
    Andreas

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!