Starface Cloud, Firewall und Sprachqualität

  • Hallo alle zusammen.


    wir setzten mittlerweile sehr gerne die Starface-Cloud bei unseren Kunden ein.
    Leider findet man nur sehr wenig Informationen über technische vorraussetzungen zu diesem Thema.


    Wir haben immer wieder bei den Kunden folgende Problem:
    - Gespräche haben abbrüche (Ton setzt aus)
    - Verzehrte Gespräche


    Wir setzten bei unseren Kunden die Sophos Firewall ein. Sowohl die SG als auch die XG Variante.
    Da ich leider mit meinem Latein am Ende bin, möchte ich euch kurz zu der Erfahrung mit der Starface Cloud fragen.
    Läuft das System bei euren Kunden so gut wie eine lokale Anlage?


    Ich habe schon viele Einstellungen bei der Firewall versucht:
    - SIP ALG ausgeschaltet.
    - UPD Session Timeouts auf 150, 180 und 3600 Sekunden(Default bei Yealing Telefonen nach Provisionierung) gesetzt.
    - QOS für die Datenpakete zur Sophos Cloud konfiguriert
    - UPS für die Cloudpakete ausgestellt
    - Firewalls neu konfiguriert und teils sogar ausgetauscht.


    Die Kunden haben eigentlich potente WAN Verbindungen (VDSL 100 usw.). Ich habe sogar eine eigene SDSL leitung für die Telefone Konfiguriert, die keine Besserung brachte.


    Habt ihr noch Tipps oder Erfahrungen mit der Starface Cloud vieleicht in Verbindung mit UTM Firewalls?


    Über einen Erfahrungsaustausch hier würde ich mich sehr freuen!


    Gruß:
    Lukas Kampa

  • Hallo Lukas,


    bitte keine UTM-Funktionen auf VoIP-Verbindungen anwenden (also kein DPI/keine Inhaltsanalysen, nichts)! Das führt zu Jitter -- und den hört man.
    Schickst Du die RTP-Pakete mit höchster Prio auf die WAN-Strecke? Denn das ist eigentlich die Empfehlung und reicht in der Regel aus.

  • Ergänzend zu Fabians Ausführungen möchte ich sagen, dass der Betrieb der Starface im Rechenzentrum (so machen wir das für viele Kunden) eher Vor- als Nachteile bringt. Die beschriebenen Probleme sollte es nicht geben. Ich spreche hier zwar für unsere eigene Lösung im RZ und nicht die Starface Cloud, aber das sollte sich im Grunde nicht viel nehmen.

  • Hallo Lukas,


    bitte keine UTM-Funktionen auf VoIP-Verbindungen anwenden (also kein DPI/keine Inhaltsanalysen, nichts)! Das führt zu Jitter -- und den hört man.
    Schickst Du die RTP-Pakete mit höchster Prio auf die WAN-Strecke? Denn das ist eigentlich die Empfehlung und reicht in der Regel aus.


    Hallo Fabian,


    ich hatte bereits jegliche UTM Funktionen für den Host Verkehr zur Starface Cloud deaktiviert. Sowohl IPS, als auch Inhaltsfilterung usw.
    Leider habe ich Kundenunabhängig immer wieder die selben Probleme.


    Aber danke für den Tipp. Wie ist denn deine Erfahrung mit der Starface Cloud?
    Ich kann den angebundenen SIP-Trunk ausschließen, da die beschriebenen Probleme sogar bei internen Gesprächen auftauchen.

  • Ergänzend zu Fabians Ausführungen möchte ich sagen, dass der Betrieb der Starface im Rechenzentrum (so machen wir das für viele Kunden) eher Vor- als Nachteile bringt. Die beschriebenen Probleme sollte es nicht geben. Ich spreche hier zwar für unsere eigene Lösung im RZ und nicht die Starface Cloud, aber das sollte sich im Grunde nicht viel nehmen.


    Hallo Ulf,


    ich sehe das genau so wie du. DIe Vorteile einer Cloud Lösung überwiegen. Deswegen setzten wir Sie auch sehr gerne ein. Der Vorteil bei der Starface-Cloud Variante ist die Lizensierung die monatlich abgerechnet wird.
    Leider habe ich aktuelle die beschriebenen Probleme und bekomme Sie nicht in den Griff bei unseren Kunden.
    Hast du noch ein Tipp? Ich vermeide bei unseren Kunden doppeltes Nat und versuche alle möglichen Probleme auszuschließen, leider komme ich aktuell keinen Schritt weiter.


    Ich habe auch schon überlegt, ob wir auf einem Server bei Starface liegen, der evtl. Probleme macht und es deswegen bei allen Kunden zu dem selben Problem kommt.


  • Aber danke für den Tipp. Wie ist denn deine Erfahrung mit der Starface Cloud?
    Ich kann den angebundenen SIP-Trunk ausschließen, da die beschriebenen Probleme sogar bei internen Gesprächen auftauchen.


    Ich habe prozentual wie auch absolut nicht so viele Kunden in der STARFACE Cloud (meine Lieblingskunden betreiben eigene Rechenzentren und virtualisieren ;)), aber von denen, die ich habe, höre ich eigentlich nichts -- was ein gutes Zeichen ist.
    Aussetzer und Verzerrungen werden fast immer durch Paketverluste oder übermäßigen Jitter verursacht. Und da kommen neben der Internetanbindung an sich natürlich primär die eigenen Aktivkomponenten im Netzwerk als Ursache in Frage.
    Ich lese beispielsweise heraus, dass es sich vorliegend um ein Multi-WAN-Szenario handelt (VDSL + SDSL). Eine mögliche Ursache wäre dann noch ein Wechsel des WAN-Interfaces auf Gatewayseite.
    Wirklich aufschlussreich ist jedoch nur eine Analyse von Netzwerktraces, aus denen das Problem ersichtlich ist.

  • Hallo,
    für eine Analyse empfiehlt es sich einen TCPDump zu erstellen und anschließend mit Wireshark auszuwerten. Auch bei den Clouds gibt es die Möglichkeit, obwohl auf die Clouds kein SSH Zugriff besteht. Die Option findet sich unter Admin > Systemstatus > Diagnose. Mit Wireshark sollte sich feststellen lassen, an welcher Stelle die Sprachqualität schlecht wird.

  • Hallo Lukas,


    ich spring dir mal etwas zur Seite: Ich habe bei zwei Kunden ebenfalls mit der Konstellation Starface Cloud <-> Sophos SG Probleme mit Gesprächsabbrüchen, die ich bei anderen Cloud-Kunden ohne Sophos nie habe.


    Bei einem Kunden habe ich nun vor 2 Wochen mal alles deaktiviert, was entbehrlich ist und den SIP Helper aktiviert. Bis auf die Firewall und einen IPsec Tunnel ist alles deaktiviert. Mit diesen Einstellungen scheinen aktuell keine Probleme mehr aufzutreten. Bei dem Kunden handelt es sich allerdings um eine Arztpraxis. Heißt selbst wenn ich mal jemanden ran bekomme, um nach Problemen zu Fragen, ist es jedes mal irgend eine andere nette junge Dame, die keine Ahnung hat was ich meine :)

    Viele Grüße,


    Andreas Stein
    IT Fabrik Systemhaus GmbH & Co. KG


    STARFACE Excellence PLUS Partner

  • Bei dem Kunden handelt es sich allerdings um eine Arztpraxis. Heißt selbst wenn ich mal jemanden ran bekomme, um nach Problemen zu Fragen, ist es jedes mal irgend eine andere nette junge Dame, die keine Ahnung hat was ich meine :)


    Nett? Jung? Wo sitzen die? Ich bin Privatpatient :D

  • Hallo Lukas,


    ich spring dir mal etwas zur Seite: Ich habe bei zwei Kunden ebenfalls mit der Konstellation Starface Cloud <-> Sophos SG Probleme mit Gesprächsabbrüchen, die ich bei anderen Cloud-Kunden ohne Sophos nie habe.


    Bei einem Kunden habe ich nun vor 2 Wochen mal alles deaktiviert, was entbehrlich ist und den SIP Helper aktiviert. Bis auf die Firewall und einen IPsec Tunnel ist alles deaktiviert. Mit diesen Einstellungen scheinen aktuell keine Probleme mehr aufzutreten. Bei dem Kunden handelt es sich allerdings um eine Arztpraxis. Heißt selbst wenn ich mal jemanden ran bekomme, um nach Problemen zu Fragen, ist es jedes mal irgend eine andere nette junge Dame, die keine Ahnung hat was ich meine :)


    Hallo Andreas,


    schön von einem Mitbetroffenen zuhören. Ich danke dir erstmal für den Tipp. Ich habe bischer immer verscuht den Sip Helper/Sip ALG zu vermeiden und habe diese Dienste per Console ausgeschaltet.
    Eine Frage noch: Baust du die Firewall/Ausnahmen IPS anhand des DNS Names des Cloduservers (kundename.starface-cloud.com) oder anhand der IP Adresse des Servers?
    Bei der Sophos XG kann man für einzelne Firewallregeln WEb Protection, IPS, QOS an oder ausschalten. Das ist eigentlich eine sehr schöne Funktion, da man sich damit sicher sein kann, dass der Verkehr nicht durch einen UTM Dienst blockiert/gestoppt wird.

  • ich sehe das genau so wie du. DIe Vorteile einer Cloud Lösung überwiegen. Deswegen setzten wir Sie auch sehr gerne ein. Der Vorteil bei der Starface-Cloud Variante ist die Lizensierung die monatlich abgerechnet wird.


    Die monatliche Abrechnung (und Kündbarkeit) geht auch jenseits der Starface Cloud - das machen wir bei allen bei uns im RZ gehosteten Kunden so.


    Zitat

    Leider habe ich aktuelle die beschriebenen Probleme und bekomme Sie nicht in den Griff bei unseren Kunden.
    Hast du noch ein Tipp? Ich vermeide bei unseren Kunden doppeltes Nat und versuche alle möglichen Probleme auszuschließen, leider komme ich aktuell keinen Schritt weiter.


    Ich habe auch schon überlegt, ob wir auf einem Server bei Starface liegen, der evtl. Probleme macht und es deswegen bei allen Kunden zu dem selben Problem kommt.


    Das könnte man gegebenenfalls auch testen, in dem man mal temporär eine Testinstallation in einem anderen RZ vornimmt - sowas ist ja halbwegs schnell initiiert, das kann ich gegebenenfalls anbieten (allerdings erst aus aktuell organistorischen Gründen ab Ende kommender Woche). Ich vermute aber, dass das Problem woanders liegt - generelle Störungen auf einem bestimmten Host auf dem auch viele andere Kunden liegen, würden superschnell auffallen (würde ich meinen).

  • Nett? Jung? Wo sitzen die? Ich bin Privatpatient :D


    Sorry, ich teile nicht gerne ;)


    Eine Frage noch: Baust du die Firewall/Ausnahmen IPS anhand des DNS Names des Cloduservers (kundename.starface-cloud.com) oder anhand der IP Adresse des Servers?
    Bei der Sophos XG kann man für einzelne Firewallregeln WEb Protection, IPS, QOS an oder ausschalten. Das ist eigentlich eine sehr schöne Funktion, da man sich damit sicher sein kann, dass der Verkehr nicht durch einen UTM Dienst blockiert/gestoppt wird.


    Gute Frage, Lukas! Wie erwähnt war mein letzter Schritt die Holzhammer-Methode, der die Sophos zu 'nem Speedlink degradiert hat. Ich kann nicht einmal mit Sicherheit sagen, ob der SIP-Helper überhaupt notwendig ist, wenn der Rest der UTM-Dienste abgeschaltet ist. Wie's so ist, will man den schon strapazierten Kunden nun aber nicht noch weiter als Versuchkaninchen missbrauchen, sodass ich im Moment eher auf eine Gelegenheit setze, in der ich das Ganze in einem Neuprojekt in gleicher Konstellation weiter eingrenzen kann.


    PS: Bleib mir bloß mit der XG weg. Der letzte Schrott! Sowas unfertiges, verbuggtes hab ich schon lange nicht mehr administrieren müssen.

    Viele Grüße,


    Andreas Stein
    IT Fabrik Systemhaus GmbH & Co. KG


    STARFACE Excellence PLUS Partner

  • PS: Bleib mir bloß mit der XG weg. Der letzte Schrott! Sowas unfertiges, verbuggtes hab ich schon lange nicht mehr administrieren müssen.


    Na da scheint sich wohl jemand die XG in frühen Zeiten (V15 und frühe v16-Versionen) angeschaut zu haben und da stehen geblieben zu sein. Für die aktuellen Versionen V17.1 ist diese Aussage allerdings nicht korrekt wenn nicht schon unqualifiziert.

    Gruss
    Thomas


    hertli ¦ IT
    hertli Informatik+Treuhand


    eMail: mail ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

  • Na da scheint sich wohl jemand die XG in frühen Zeiten (V15 und frühe v16-Versionen) angeschaut zu haben und da stehen geblieben zu sein. Für die aktuellen Versionen V17.1 ist diese Aussage allerdings nicht korrekt wenn nicht schon unqualifiziert.


    Sorry, kann ich so nicht stehen lassen. Habe mehrere VM's auf aktuellster Firmware laufen. Nenn mir mal bitte einen Browser, bei dem ich nicht an irgendeiner Stelle im Web-UI im Ladelogo hängenbleibe. Firefox, Chrome, IE, Edge. Egal was ich nehme, irgendwo bleibt jeder hängen. Ich mach also standardmäßig schonmal mehrere Browser auf, wenn ich 'ne Fernwartung auf eine XG machen muss. Und ich mach echt nichts kompliziertes mit den Kisten.


    Das ist nur der Hauptpunkt der mich am meisten auf die Palme bringt. Der Rest sind teilw. Kleinigkeiten, die für mich in der Summe die XG aber weit hinter die SG stellen. Das fängt bei einer fehlenden VLAN-Tag-Option für's WAN-Interface an (muss man umständlich über ein extra VLAN-Interface selbst zusammenbauen) und hört mit fehlenden Einstellungsmöglichkeiten wie IPsec-Routen auf. Dafür muss man dann wieder zum CLI wechseln.

    Viele Grüße,


    Andreas Stein
    IT Fabrik Systemhaus GmbH & Co. KG


    STARFACE Excellence PLUS Partner

  • Danke erstmal für die rege Teilnahme an der Diskussion hier allen.
    Mal abgesehen von Glaubensfragen ob XG oder SG, hat jemand konkret Kunden in Verbindung Sophos (SG/XG) und der Starface-Cloud am laufen und kann mir etwas über die Konfiguration sagen?

  • Hallo, ich möchte zu diesem Thema auch etwas Mitteilen.


    Der Beitrag zum Thema schlechte Gesprächsverbindung und Abbrüche liegt nun schon einig Zeit zurück und der Beitragsverlauf hat augenscheinlich keine wirkliche Lösung gebracht.


    Bei mir verbrennen aktuell die Kunden, weil die Störungen so unerträglich häufig auftreten, dass es für den Businessbetrieb nicht tragbar ist.
    Da ich kein IT-Spezi bin und aus der TK-Ecke komme, habe ich das Konzept der Trennung von Daten und Sprache verfolgt. Somit habe ich Kunden mit Starface Cloud ausschließlich über eine eigene DSL-Strecke angebunden.
    Es gibt lediglich den Router des Netzbetreibers, einen Lancom-Switch mit PoE und die Telefone.
    Darüber hinaus keine weiteren PC´s oder sonstiges Datenequipment.


    Das Ergebnis ist widererwartend eine Katastrophe!
    Die im Beitrag beschriebenen Effekte von Aussetzern und schlechte Gesprächsqualität sind an der Tagesordnung.


    Interessant ist, dass das nicht immer so war. Als wir damit im vergangenen Jahr angefangen haben, lief das soweit alles ganz gut. Nach und nach ist die Situation immer schlechter geworden.
    Wir haben Anschlüsse von Rockenstein ADSL im Einsatz. Bei den meisten Kunden haben wir den Trunk bei der DTSTD angebunden, nun haben wir jüngst auch über die DTSTD SDSL bestellt und eingesetzt. Leider ohne Erfolg. Die gleichen Störungen.


    Von den Neztbetreibern heißt es immer, die Leitung ist super in Ordnung synchron, stabil und kurze Pingzeiten. Von Starface heißt es, dass sind Netzwerkprobleme. Damit stehen wir im Wald und schauen in das Mündungsloch des Kunden.


    Mitschnitte auf der Starface zeigen, dass Gespräche auf der Starface noch in Ordnung und ohne Aussetzer sind. Da, wie auch im Quellbeitrag erwähnt, interne Gespräche davon betroffen sind, tritt das Problem zwischen Starface und dem Kundenstandort auf.


    Als Anfang September der Zustand für alle Beteiligten nicht mehr tragbar war, wurde es auf einmal ruhig. Die Störungsmeldungen gingen um 85% zurück. Wir haben uns gewundert, dachten aber, dass die Kunden müde geworden sind da sich am Zustand eh nichts ändert.
    Daraufhin nachgefragt, sagten die Kunden, dass die Störung lange nicht mehr so häufig bis gar nicht auftreten würde und das etwa seit Donnerstag oder Freitag der Vorwoche. Dann bin ich über eine eMail von Starface gestolpert, die ein paar Tage zuvor eingetroffen war und plötzlich einen zeitlichen Zusammenhang herstellte.


    Es ging um den Spectre-NG Foreshadow. Hat mich bis dahin erstmal nicht so interessiert und die Maßnahmen dazu hatten, bis auf einen Kunden, keine Auswirkungen auf den Tagesbetrieb. Was aber damit verbunden war, war der Neustart der Server im Rechenzentrum. Da es ab diesen Zeitpunkt bei allen Problemfällen (Kunden) eine deutliche Besserung gab, zwingt sich der Verdacht auf, dass es hier einen tatsächlichen Zusammenhang geben muss.


    Ich kann das physisch/technisch nicht deuten und weiß auch nicht was da wirklich die Veränderung gebracht haben soll, inzwischen haben sich die Störungen auch wieder hochgeschaukelt und wir sind wieder an dem Punkt, dass die Starface Cloud am Ende des Tages keine Lösung ist.


    In der Konstellation ist es nicht möglich, dass SIP-Verbindungen auf der Standortleitung in das Rechenzentrum zu Starface qualitativ überwacht und priorisiert werden. Dies kann nur geschehen, wenn der Rufnummern Hoster und der Router (nebst DSL-Leitung) vom selben Anbieter kommen.
    Damit lässt sich für die Starface Cloud keine konsistente Verbindung zum Kundenstandort herstellen und wird immer ein Problem sein.


    So, nun bin ich mal gespannt, ob es hier jemanden gibt, (und bis hier gelesen hat) der ohne Diskussion über Firewall xy, Datentrafik usw. (gibt es alles nicht) eine denkbare Lösung vorschlagen kann.
    So wie bisher geht es auf jeden Fall nicht weiter.


    Danke für euer Interesse.
    Volkmar

    Besten Gruß


    Volkmar Hösel
    Phone-Garage Hamburg

    Einmal editiert, zuletzt von vhoesel ()

  • Guten Tag Volkmar


    Wir haben aktuell 64 Starface-Cloud Anlagen in Betrieb, von denen keine das Besagte Problem aufzeigt.


    Wir hatten aber in der Vergangenheit aber auch schon einen Problemfall, bei dem die Gesprächsqualität, und Aussetzer über Zeit zugenommen hatten.
    Wir haben schlussendlich eine neue Cloud-VM angefordert, ein Backup der alten Anlage gezogen und auf der neuen VM eingespielt, danach war das Problem verschwunden.


    MfG


    Fabian

  • Hi Volkmar,


    Ich kann die Probleme genau so bestätigen.
    Wir haben 5 Starface Cloud Kunden im Einsatz.
    Mir werden bei 3 Kunden immer wieder dieselben Probleme mitgeteilt.
    Von UTM Firewalls bis Fritzboxen können mir alle Kunden das selbe Problem bestätigen.
    Ich habe in diese Problemmatik schon so viel Zeit reingesteckt, dass ich mittlerweile kapituliert habe es in den Griff zu bekommen.
    Wir konnte rausfinden, dass Starface ihren Clouddienst bei Netcup (https://www.netcup.de) hostet.


    Ich habe nun letzte Woche den ersten Kunden von der Cloudanlage in eine selbstgehoste VM mit Starface 365 Lizenzen migriert.
    Ich bin auch fest von überzeugt, dass das Problem am Hosten liegt und nicht beim Kunden.
    Die Kunden haben alle potente Leitungen ab DSL 50000 und kann interne Netzwerkprobleme außschließen.
    Ein Kunde hat die Probleme immer sehr genau protokolliert und meinte, dass die Probleme vormittags sehr viel häufiger auftreten würden als Nachmittags.


    Eigentlich ist es sehr schade, dass die SaaS Lösung von Starface nicht gut läuft.
    Ich habe viele Kunden die genau auf solch eine Lösung setzten würden, ich aber im Moment nicht bereit bin diese in dieser Form weiter zu Vertreiben.


    Sollte sich zukünftig etwas an der Stabilität der Anlagen/Leitungen ändern, wäre es schön wenn wir nochmals Kontaktiert werden würden.


    Fabian:
    Leider kann ich diese Aussage so nicht bestätigen. Wir haben den Support schön öfter zu den Problemen kontatiert und außer dass wir TCP Dumps zusenden sollten, ist bis heute keine Lösung gefunden worden.

    2 Mal editiert, zuletzt von Dr.Dicht ()

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!