VoIP: Firewall und Router für Voice-Over-IP richtig einrichten

In den meisten Fällen klappt es mit dem Voipen, dem Telefonieren über das Internet wie am Schnürchen. Einmal angeschlossen und eingerichtet funktioniert das Internet-Telefon genau so zuverlässig wie man es vom herkömmlichen Telefon kennt. Aber: Was schief gehen kann, geht häufig durchaus auch einmal schief. Das ist auch bei der Internet-Telefonie so.

Das häufigste Problem, aber auch das am einfachsten zu lösende: Wenn in Sachen Telefonie gar nichts klappt. Kein Freizeichen, kein Rufton, von glasklaren Gesprächen ganz zu schweigen. Eine andere Variante: Das Telefon klingelt zwar, sobald Sie aber abheben herrscht in der Leitung Totenstille. Häufigste Ursache ist eine falsche eingerichtete Firewall. Einmal die richtigen Werte eingestellt und schon klappt’s wieder mit dem Telefonieren.

Das Softphone ist korrekt eingerichtet, das Internet-Telefon auch - und trotzdem kommt nichts als ein Tuten aus dem Telefon? Oder eine Fehlermeldung á la “Login fehlgeschlagen” im Softphone-Fenster? Dann ist meist die Firewall schuld, die VoIP einfach blockiert und nicht durchlässt. Oder nur das Klingeln durchlässt, nicht aber das Gespräch. Damit es endlich klappt, gibt es zwei elegante Lösungen.

Wenn Sie für den Internetzugang eine FRITZ!Box Fon oder einen anderen VoIP-fähigen DSL-Router einsetzen, sind Sie fein raus. Diese Router sind optimal auf die Internet-Telefonie vorbereitet und lassen VoIP-Gespräche ungehindert durch. Änderungen an der Konfiguration sind hier nicht erforderlich. Bei “normalen” Routern ist hingegen die interne Firewall des Routers zu “scharf” eingestellt. Zwei Lösungen bieten sich dann an:

- UPnP - Universal Plug and Play
Einige DSL-Router unterstützen das so genannte Universal Plug and Play (UPnP) für Netzwerkgeräte. Das sorgt dafür, dass sich die Firewall praktisch selbst umkonfiguriert und VoIP-Gespräche durchlässt.

- STUN - Trickreich an der Firewall vorbei
Die gängigste und zuverlässigste Methode bietet STUN. Es ermöglicht das Telefonieren durch eine Firewall ganz ohne Änderung an den Firewall-Einstellungen.

Der Plug-and-Play-Mechanismus UPnP (Universal Plug and Play) ist eine feine Sache - sofern er funktioniert. Ziel der “Anschließen-und-Loslegen"-Lösung ist es, dass sich Netzwerkgeräte und Firewall gegenseitig einfach selbst konfigurieren.

Und das geht so: Das VoIP-Telefon fragt beim Router nach, über welche IP-Adressen und Ports es nach draußen telefonieren darf. Das Telefon verwendet dann in Zukunft nur noch die “zugelassenen” Ports. Im Gegenzug leitet die Firewall eingehende Gespräche direkt an das Telefon weiter. Telefon und Firewall einigen sich praktisch selbst auf ein geeignetes Verfahren.

Die Krux an der Sache: Damit UPnP funktioniert, müssen beide Partner - Telefon und Router - das Universal Plug and Play unterstützen. Hierzu gehören beispielsweise die VoIP-Telefone von snom oder das Softphone X-Lite. Achten Sie darauf, dass sowohl am Router als auch beim Internet-Telefon das Universal Plug and Play (UPnP) aktiviert ist. Übrigens: Sicherheitsexperten betrachten UPnP als unkontrollierbare Sicherheitslücke und raten vom Einsatz ab. In vielen Geräten ist daher UPnP von Hause aus deaktiviert. Verwenden Sie im Zweifelsfall statt UPnP besser die ebenso elegante Lösung STUN.

Der eleganteste und einfachste Weg durch die Firewall bietet STUN (Simple Traversal of UDP Through NATs). Dahinter verbirgt sich eine clevere Technik, um ohne Änderungen an der Firewallkonfiguration VoIP-Telefongespräche zu führen.

Der Trick: Beim VoIP-Anbieter steht ein so genannter STUN-Server. Das VoIP-Telefon sendet eine Testnachricht an den STUN-Server des VoIP-Anbieters. Der wiederum nimmt die Nachricht entgegen und erkennt darin sofort, über welche Adresse und welchen Port die Nachricht gekommen ist - welcher Port praktisch für VoIP offen ist. Und genau die Informationen verwendet Ihr VoIP-Anbieter während des kompletten Gesprächs.

Das hört sich simpel an. Ist es auch. Mittlerweile besitzt fast jeder VoIP-Anbieter einen eigenen STUN-Server, um den Firewalltrick anwenden zu können. Wie die Adresse des STUN-Servers lautet, erfahren Sie auf den Webseiten Ihres VoIP-Anbieters. Sie müssen beim Konfigurieren Ihres VoIP-Telefons nur noch darauf achten, dass Sie die Adresse des STUN-Servers Ihres VoIP-Providers korrekt eintragen. Und schon klappt es auch durch die Firewall.