xCAPI hinter einer Barracuda NG Firewall

Heutzutage ist IP-Telefonie zwischen Nebenstelle und der TK-Anlage völlig normal. Es muss kein separates Telefonetz vorbehalten und gewartet werden, sondern kann auf die bestehende Netzwerkinstrastruktur via eines VLAN aufgeschalten werden. Die Flexiblität ist sehr hoch und das Ganze ist bequem zu verwalten. War bisher ein Fax-Server per ISDN-Leitungen angebunden so wird auch hier eine Umstellung stattfinden. In diesem Fall wird Ferrari OfficeMaster in Verbindung mit der Software xCAPI eingesetzt. Die TK-Anlage ist samt den Telefonen in einem VLAN „VOIP“. Der Faxserver mit mit xCAPI läuft im VLAN „Server“. Am gemeinsamen Netzwerkübergang steht eine Barracuda NG Firewall die per Default alles blockt, was nicht erlaubt ist (Deny any).

In den meisten Fällen läuft die Siganlisierung über Standardports wie z.B. 5060 (SIP). Beim Rufbau hingegen weren erst beim Rufbau zwischen Teilnehmer und xCAPI die Ports definiert, welche für RTP genutzt werden sollen. Dieser Bereich erstreckt sich theoretisch über alle Ports. Das ist natürlich für die IT-Administration ein Horrorszenrario, da eigentlich nur notwendige Ports geöffnet werden sollen. In meinen Tests wurde bei jedem Rufbau ein anderer Port gewählt und es lies sich auch nach einigen Versuchen kein (Wiederholungs)Muster festellen.

Der Hersteller von xCAPI hat an dieser Stelle mitgedacht. Es gibt in der Konfiguration des Programmes die Möglichkeit einen Portbereich festzulegen, welcher für RTP-Daten genutzt werden soll. Die Option findet man hier:
xcapi-rtp-ports
Das gelbmarkierte Symbol ist der Expertenmodus. Nur mit dieser Ansicht kann die Konfiguartion vorgenommen werden.

Diesen Portbereich entsprechend per Firewallregeln freigeben und das Risiko ist überschaubar.
xcapi-rtp-firewall-rule

Zuvor den definierte Portbereich in der NG-Firewall als Service Object anlegen:
xcapi-rtp-firewall-object
Falls später eine Anpassung des Portbereichs notwendig sein sollte, kann dies bequem über das Objekt angepasst werden.

Details zu der Berechung der notwendigen Ports könnt ihr beim Hersteller TE-Systems im Supportbereich nachlesen.