‎IP-Adressen/ Ports für Telekom-SIP-Accounts, Firewall-Einstellungen

Telekom Business Community

Telekom hilft Community

Geschäftskunden

Telekom Shops

Kontakt

Gelöst

IP-Adressen/ Ports für Telekom-SIP-Accounts, Firewall-Einstellungen

vor 5 Jahren

Hallo allerseits,

der neue DeutschlandLAN -IP-Anschluss ist in Betrieb gegangen 😀.

Am Router (Draytek: Router + Hardware-Firewall) hängt eine SIP-Telefonanlage (Auerswald Compact-5200), welche die SIP-Accounts ansteuern soll und verwaltet. Die Einrichtung der Accounts funktioniert soweit mit diversen Konfigurationshilfen:

https://www.auerswald.de/de/support/voip-anbieter
https://www.telekom.de/hilfe/festnetz-internet-tv/ip-basierter-anschluss/einstellungen-fuer-die-ip-telefonie-mit-anderen-clients?samChecked=true

https://telekomhilft.telekom.de/t5/Geraete-Zubehoer/Zugangsdaten-fuer-die-Einrichtung-von-SIP-Geraeten/td-p/2585255

DeutschlandLAN -SIP-Trunk-Einstellungen-fuer-die-IP-basierte/ta-p/2484571" target="_blank">https://telekomhilft.telekom.de/t5/Telefonie-Internet/ DeutschlandLAN -SIP-Trunk-Einstellungen-fuer-die-IP-basierte/ta-p/2484571

Für die Firewall benötige ich die IP-Adressen und Ports, die die Telekom für die SIP-Telefonie nutzt, da in der Firewall auch ausgehend nur explizite Server/ Ports freigegeben werden.

Wer kann helfen?

Danke + Gruß!

15824

vor 5 Jahren
Dann hast du ein Problem, denn die IP-Telefonie wird bei der Telekom über DNS SRV Requests gesteuert.
3
Antwort
von
vor 5 Jahren
Die SIP-Registrierung wird von der Auerswald-TK gemacht, der Router hat damit nichts zu tun:
https://www.draytek.de/aktuelle-news-lesen/items/rundschreiben-telekom-thema-srv.html
Und die Auerswald-5200 beherrscht DNS-SRV.

Mir geht es darum, den IP-Adressenpool auf die Telekom-SIP-Server einzuschränken, gerne auch für DNS-SRV.
Antwort
von
vor 5 Jahren
Das muss dann die Firewall können.
Antwort
von
vor 5 Jahren
Eine Liste wirst Du nicht bekommen.
Srv wird verwendet, um sehr schnell auf Probleme oder Bedrohungen reagieren zu können.

Uneingeloggter Nutzer
Antwort
von
vor 5 Jahren
@gaenserich

- Für die Firewall benötige ich die IP-Adressen und Ports, die die Telekom für die SIP-Telefonie nutzt, da in der Firewall auch ausgehend nur explizite Server/ Ports freigegeben werden.

Warum so kompliziert.

Du erlaubst einfach deiner TK-Anlage ausgehend alles.

12
Antwort
von
vor 5 Jahren

Du erklärst mir gerade, dass ich offenen Verbindungen nach aller Herren Länder habe?

Du erklärst mir gerade, dass ich offenen Verbindungen nach aller Herren Länder habe?

Du erklärst mir gerade, dass ich offenen Verbindungen nach aller Herren Länder habe?

Nein, das habe ich nicht. Du interpretierst wohl die Meldungen der be.IP plus falsch.
Antwort
von
vor 5 Jahren
Es braucht für SIP-Telefonie genau 0 eingehende Regeln und ausgehend nur dann wenn man per default alles sperrt.

Genau das ist hier der Fall, es sind ausgehend nur notwendig Standardports ausgehend freigegeben, 53, 80,443 usw..
Auf ausgehend freigegebenen Sonderports sind zudem die Ziel-IPs vergeben, damit nicht authorisierte Programme diesen Port nicht zum 'Nach-Hause-telefonieren' nutzen können.
Eingehend oder als Portweiterleitung ist nichts offen.

Deshalb nochmals die Frage:
Welche Ports und Ziel-IPs braucht die Auerswald, damit Telekom-SIP funktioniert?

Danke + Gruß
Antwort
von
vor 5 Jahren
Mach was du willst, eine korrekte Antwort gib es in der Form auf deine Frage nicht.

Die Telekom garantiert keine IP der SIP Server in ihrem Netz.

Jede Regel wäre morgen möglicherweise bereits fehlerhaft.

Da die Server über NAPTR Records zugewiesen werden, kann die IP des Zielservers von einer auf die andere Sekunde wechseln.

Eben weil aufgrund einer Störung/Überlastung eines der Rechenzentren gerade depriorisiert wurde.

Natürlich könnte man dir irgend etwas generisches mitteilen

Nach Hause telefoniert wird in 99% der Fälle auf http(s)

Die Migration der kompletten Telefonieinfrasruktur in die Cloud ist aktuell im vollen Gange

Definiere einfach:

Quell-IP: Auerswald IP

Ziel-IP: Any

Protokoll: Any

Port: Any
Uneingeloggter Nutzer
Antwort
von
Akzeptierte Lösung
akzeptiert von
vor 5 Jahren
Mach was du willst, eine korrekte Antwort gib es in der Form auf deine Frage nicht.

Die Telekom garantiert keine IP der SIP Server in ihrem Netz.

Jede Regel wäre morgen möglicherweise bereits fehlerhaft.

Da die Server über NAPTR Records zugewiesen werden, kann die IP des Zielservers von einer auf die andere Sekunde wechseln.

Eben weil aufgrund einer Störung/Überlastung eines der Rechenzentren gerade depriorisiert wurde.

Natürlich könnte man dir irgend etwas generisches mitteilen

Nach Hause telefoniert wird in 99% der Fälle auf http(s)

Die Migration der kompletten Telefonieinfrasruktur in die Cloud ist aktuell im vollen Gange

Definiere einfach:

Quell-IP: Auerswald IP

Ziel-IP: Any

Protokoll: Any

Port: Any
0
vor 5 Jahren
Hallo @gaenserich,

vielen Dank für Ihren Beitrag.

Hier sind ja schon viele hilfreiche Hinweise eingegangen. Auch Sie selbst haben ja schon die passenden Konfigurationshilfen genannt.

Dem allen und vor allen dem letzten Hinweis von Stefan kann ich nur zustimmen und nichts hinzufügen.

Viele Grüße
Angela G.
0

vor 2 Jahren

Bei mir funktionieren folgende Regeln, wobei ich das Telekom-Netz mit /13 sehr großzügig gewählt habe, faktisch sollte auch ein /20 reichen.

Ich habe bereits tcp neben udp ergänzt, so dass auch verschlüsselte Verbindungen klappen sollten:

# Telekom VoIP
#
ipt iptables -A FORWARD -s 217.0.0.0/13 -d $FRITZBOXIP/32 -i ppp256 -p udp -m multiport --dport 5060:5061 -j ACCEPT
ipt iptables -A FORWARD -s 217.0.0.0/13 -d $FRITZBOXIP/32 -i ppp256 -p tcp -m multiport --dport 5060:5061 -j ACCEPT
ipt iptables -A FORWARD -s 217.0.0.0/20 -d $FRITZBOXIP/32 -i ppp256 -p udp -m multiport --dport 7078:7109 -j ACCEPT
ipt iptables -A FORWARD -s 217.0.0.0/20 -d $FRITZBOXIP/32 -i ppp256 -p tcp -m multiport --dport 7078:7109 -j ACCEPT
#



# Telekom VoIP
#
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m multiport --dport 5060:5061 -j MARK --set-xmark 0x10000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m udp --sport 5060 -j MARK --set-xmark 0x10000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m udp --sport 5061 -j MARK --set-xmark 0x10000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m multiport --dport 5060:5061 -j MARK --set-xmark 0x10000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m tcp --sport 5060 -j MARK --set-xmark 0x10000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m tcp --sport 5061 -j MARK --set-xmark 0x10000000/0xf0000000


ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m udp --dport 3478 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m udp --sport 3478 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m tcp --dport 3478 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m tcp --sport 3478 -j MARK --set-xmark 0x20000000/0xf0000000

ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m multiport --dport 7078:7109 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m multiport --sport 7078:7109 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m multiport --dport 7078:7109 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m multiport --sport 7078:7109 -j MARK --set-xmark 0x20000000/0xf0000000

Wie man sieht betreibe ich eine Fritzbox als SIP-Gateway hinter einem Router, hier also statt $FRITZBOXIP die entsprechende LAN-IP der SIP-Telefonanlage eintragen.