Das könnte Sie auch interessieren
Kaufberatung
Sie benötigen eine persönliche Kaufberatung? Das Geschäftskundenteam der Telekom berät Sie gerne.
Angebote anzeigen
Informieren Sie sich über unsere aktuellen Internet-Angebote.
Sie benötigen eine persönliche Kaufberatung? Das Geschäftskundenteam der Telekom berät Sie gerne.
Informieren Sie sich über unsere aktuellen Internet-Angebote.
vor 6 Jahren
Beim technischen Original, der be.IP plus kann über die Zugriffsfilter tatsächlich entsprechend agiert werden.
Die Firewall der GUI sitzt in der Abarbeitungskette zu weit hinten - ist somit ungeeignet für diesen Fall.
Ein Restart für eine neue IP scheint bei Dir kein Weg zu sein - hast Du eine Fix-IP?
Achtung: Die Zugriffsregeln haben das Potential, sich komplett auszusperren. Vor Experimenten halte bitte ein Konfigurationsbackup vor.
Ich hatte mal in einem Thread - ich glaube im IP-Phone-Forum meine Vorgehensweise dokumentiert. Leider finde ich den Thread aus 2017 aber nicht wieder.
Damals hatte ich eine Basisregel angelegt: Alle Pakete für 5060 verwerfen - ausser.....
Das wird über die Reihenfolge der Einträge erreicht. Die letzte Regel lehnt alles ab und die davor bilden die Aussnahmen. Vorsicht: Die Reihenfolge in der GUI bildete damals die Reihenfolge der Regelkette nicht korrekt ab. Die Listbox für die Regelkettenauswahl im "Verschieben"-Dialog hatte aber die richtige Reihenfolge.
1
Antwort
von
vor 6 Jahren
Die Digibox hat eine feste IP, ein Neustart alleine hilft daher leider nicht weiter.
Ich hatte jetzt zwei Zugriffsfilter mit Dienst „sip“ (Port 5060 TCP und UDP) und der entsprechenden IPv4-Quelladresse.
Diese dann in einer neuen Regelkette aneinandergehängt mit „Verweigern, wenn Filter paßt“.
Die Regelkette habe ich zunächst der Schnittstelle ethoa35-5 zugewiesen und später ethoa35-5-1 – hier ergab sich keine Änderung.
Bei Zuweisung zu „Germany - Telekom Entertain“ habe ich mich dann plötzlich komplett selbst ausgesperrt.
Das ist nicht nur sehr ärgerlich, sondern auch komplett unverständlich, da die Regeln sowohl auf Port 5060 als auch die Quell-IP eingeschränkt waren!
Was läuft denn da schief auf der Digibox?
Uneingeloggter Nutzer
Antwort
von
vor 6 Jahren
vielen Dank für Ihren Beitrag. Ich reiche Ihre Fragestellung gerne einmal an unsere technische Fachseite weiter. Sobald ich von dort eine Rückmeldung habe, melde ich mich hier wieder.
Viele Grüße und noch einen schönen Sonntag Abend
Angela G.
4
Antwort
von
vor 6 Jahren
Ich hatte zuerst. Blacklisting versucht.
Die Liste wurde sehr schnell sehr lang und unübersichtlich. Selbst als ich ganze netzbereiche sperrte, wuchs die Liste weiter.
Danach Whitelisting.
Telekom gibt z.b. keine info über die zulässigen ip- Bereiche.
Bei mehr Providern wirds anstrengend. Und wenn dann mal was nicht funzt bei der Telefonie - was ist als erstes auszuschließen?
Habe es aufgegeben. Ist aber auch "nur" ein privatanschluss.
Antwort
von
vor 6 Jahren
Aha, guter Hinweis mit der letzten Regel als Whitelisting! In der Doku ist dies auch erwähnt, sehe ich gerade (Benutzerhandbuch S. 259). Das teste ich bei nächster Gelegenheit.
Antwort
von
vor 6 Jahren
https://www.ip-phone-forum.de/threads/be-ip-plus-firewall-konfigurieren.296876/#post-2243187
Uneingeloggter Nutzer
Antwort
von
Akzeptierte Lösung
akzeptiert von
vor 6 Jahren
ich springe einmal für meine Kollegin Angela ein. Es liegt uns nun eine Rückmeldung der technischen Fachseite vor.
Die BAC ist die Bandwidth Admission Control, worüber auch die Schnittstellenbindungen für die SIP-Accounts verwaltet wird. Die Meldung deutet darauf hin, dass sich eine für Sie unbekannte IP-Adresse versucht bei Ihnen zu registrieren.
Die Registrierungsversuche werden von dieser IP-Adresse fünf Minuten geblockt.
Bei weiteren Fragen melden Sie sich gern wieder hier.
Herzliche Grüße
Tanja R.
4
Antwort
von
vor 6 Jahren
Soweit ich weiß nicht.
Sollte Dich das nerven geht es nur über die Zugriffskontrolle. Und wie Du richtig erkannt hast
Blacklisting ist unpraktisch
Whitelisting geht. Dazu müsstest Du im einfachsten Fall alle Netzbereiche Deine(s)(r) SIP-Provider eruieren und in die Liste aufnehmen. Dann hast Du schlagartig Ruhe.
Andererseits: Die automatische Sperre für 5 Minuten verhindert zumindest wirkungsvoll BruteForce-Attacken.
Antwort
von
vor 6 Jahren
Hier noch kurz das Feedback zum Test, falls andere User das gleiche Problem haben:
Man benötigt tatsächlich ein Whitelisting als letzten Zugriffsfilter in einer Regelkette, damit man die Schnittstelle nicht versehentlich für alle Zugriffe sperrt. Also Dienst=any, Quelle/Ziel=beliebig und in der Regelkette „Zulassen, wenn Filter paßt”.
Beachten sollte man auch, daß die Zugriffsregeln und Regelketten frei definiert werden können, aber sobald Regelketten einer Schnittstelle zugewiesen werden, sind sie auch sofort aktiv. Man sollte also vor der Zuweisung an die Schnittstelle die Konfiguration speichern, damit man notfalls den alten Zustand mit einem Reboot wiederherstellen kann.
Antwort
von
vor 6 Jahren
Ergänzung: Bei meiner be.ip stimmte angezeigte Reihenfolge im GUI nicht nach diversen Verschiebeaktionen.
Ob das in aktuellen Firmwareversionen behoben wurde weiß ich nicht. Deshalb nochmal der Link zu dem Artikel wo ich genauer drauf einging: https://www.ip-phone-forum.de/threads/be-ip-plus-firewall-konfigurieren.296876/post-2244034
Uneingeloggter Nutzer
Antwort
von
Uneingeloggter Nutzer
Frage
von