Zeige Ergebnis 1 bis 2 von 2

Thema: Appliance im Firmennetz und Homeoffice, Probleme mit Firewall (zywall vs. opnsense)

  1. #1
    STARFACE Expert

    Registriert seit
    13.10.2011
    Beiträge
    324

    Standard Appliance im Firmennetz und Homeoffice, Probleme mit Firewall (zywall vs. opnsense)

    Die Frage richtet wohl sich an jemanden mit opnsense Kenntnissen. Hat jemand da draussen Erfahrung mit Starface Appliance, opnsense, Homeoffice und mobilen UCC Clients?


    Ich habe eine SF 6.7.1.20 am laufen in einem Firmennetz, Verbindung zu zwei Providern, interne Telefone (Yealink, Snom und UCC), Mobile Telefone mit UCC, und auch ein paar Homeoffices mit gleichen Tischtelefonen und/oder UCC, ohne VPN (VPN wär zwar besser, aber geht hier nicht). Das Ganze über eine Zyxel USG Firewall zwischen Firmennetz und Internet, sowie verschiedene Consumer Router/Modems in den Homeoffices.

    Mit der Zyxel als Firewall (natürlich korrekt konfiguriert) funktioniert alles perfekt, keine Ausfälle, keine Timeouts, keine Sprachkanalprobleme, alles toll.

    Nur leider ist die Zyxel Firewall ziemlich primitiv wenn Firewallbeschränkungen etwas enger geschnallt sein sollten. (Hauptproblem sind hier die wechselnden IP Adressen der Homeoffices und mobilen Clients).
    Also habe ich eine opnsense (Firewall anstelle der Zyxel USG) konfiguriert. Die kann mit DynDNS umgehen (siehe Aliases und iptables) und beherrscht GeoIP Einschränkungen und dergleichen.

    Dieser Setup funktioniert soweit auch gut, nur....

    Nach einer Weile werden eingehende Verbindungen, vom Homeoffice oder vom mobilen UCC, nicht mehr durchgelassen. Beheben lässt sich das oft nur mit einem Neustart des Telefons.

    Ich vermute das liegt an den (SIP) UDP timeouts. Leider finde ich in opnsense nicht wirklich eine Möglichkeit diesen Timeout zu steuern. Ich könnte an den Retries in den Telefonen rumschrauben, aber das würde bedeuten dass ich potentiell nach jedem Konfigurieren wieder Hand an die Telefone legen müsste. Geht sowieso nicht für das Starface Mobile UCC.

    Am liebsten wäre mir eine Einstellung in der opnsense. Bei der Zywall USG funktionierts ja schliesslich auch...

    Gemäss diversen Quellen soll bei der opnsense, "Firewall Optimization = conservative" (anstellen default "normal") die UDP timeouts etwas vergrössern, aber ich stelle keine Verbesserung fest.

    Bei der Zyxel lässt sich der SIP UDP Timeout spezifisch festlegen ("SIP Media Inactivity Timeout" und "SIP Signalling Inactivity Timeout"), ist aber eigentlich gar nicht nötig da die Standardvorgaben meistens gut genug (sprich gross genug) sind.

    Hat jemand eine Idee wie ich der opnsense abgewöhnen kann die UDP Sessions ständig abzuwürgen (wenn es denn wirklich dieses Problem ist), ohne dass ich die Retry-Zeiten bei jedem externen Endgerät manuell verkleinern muss? Vielleicht generell ein paar Tips im Zusammenhang mit Starface-Appliance/opnsense/Homeoffice/Mobile-Clients (OPNsense 20.1.3)?

    Danke für alle Tips.

    Dan

  2. #2
    STARFACE Expert

    Registriert seit
    24.04.2015
    Beiträge
    215

    Standard

    Moin,

    ich hatte an anderer Stelle ähnliche Probleme mit OPNSense. Bin deswegen wieder zurück zu pfSense gewechselt und habe derlei Probleme nicht mehr.

    Gruß

    Looser

    P.S.: An alle, die meinen, die beiden Distris verhalten sich gleich.....Nein, tun sie nicht. Die VOIP Probleme gibt es nur mit der OPNSense.

Ähnliche Themen

  1. Starface hinter Firewall - Probleme mit TCP Retransmissions
    Von okoester im Forum STARFACE Einrichtung & Administration
    Antworten: 2
    Letzter Beitrag: 31.12.2017, 10:32
  2. Starface Enterprise Appliance, Sophos SG230 Firewall
    Von woestmar im Forum Hersteller Informationen & Hardware Kompatibilität
    Antworten: 10
    Letzter Beitrag: 16.11.2017, 08:04
  3. Softphone im HomeOffice
    Von StSNoob im Forum STARFACE Einrichtung & Administration
    Antworten: 2
    Letzter Beitrag: 27.11.2015, 11:03
  4. Homeoffice per VPN + Telefon (Snom 370)
    Von rok°! im Forum STARFACE Einrichtung & Administration
    Antworten: 2
    Letzter Beitrag: 13.12.2013, 09:31
  5. Probleme mit Sirrix PCI4S0 + PCI2E1 in Appliance
    Von Herb im Forum STARFACE Installation
    Antworten: 8
    Letzter Beitrag: 24.03.2009, 12:49

Lesezeichen

Forumregeln

  • Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
  • Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
  • Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
  • Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
  •