‎IP-Adressen/ Ports für Telekom-SIP-Accounts, Firewall-Einstellungen

Telekom Business Community

Telekom hilft Community

Geschäftskunden

Telekom Shops

Kontakt

Gelöst

IP-Adressen/ Ports für Telekom-SIP-Accounts, Firewall-Einstellungen

vor 5 Jahren

Hallo allerseits,

der neue DeutschlandLAN -IP-Anschluss ist in Betrieb gegangen 😀.

Am Router (Draytek: Router + Hardware-Firewall) hängt eine SIP-Telefonanlage (Auerswald Compact-5200), welche die SIP-Accounts ansteuern soll und verwaltet. Die Einrichtung der Accounts funktioniert soweit mit diversen Konfigurationshilfen:

https://www.auerswald.de/de/support/voip-anbieter
https://www.telekom.de/hilfe/festnetz-internet-tv/ip-basierter-anschluss/einstellungen-fuer-die-ip-telefonie-mit-anderen-clients?samChecked=true

https://telekomhilft.telekom.de/t5/Geraete-Zubehoer/Zugangsdaten-fuer-die-Einrichtung-von-SIP-Geraeten/td-p/2585255

DeutschlandLAN -SIP-Trunk-Einstellungen-fuer-die-IP-basierte/ta-p/2484571" target="_blank">https://telekomhilft.telekom.de/t5/Telefonie-Internet/ DeutschlandLAN -SIP-Trunk-Einstellungen-fuer-die-IP-basierte/ta-p/2484571

Für die Firewall benötige ich die IP-Adressen und Ports, die die Telekom für die SIP-Telefonie nutzt, da in der Firewall auch ausgehend nur explizite Server/ Ports freigegeben werden.

Wer kann helfen?

Danke + Gruß!

15952

vor 5 Jahren
Dann hast du ein Problem, denn die IP-Telefonie wird bei der Telekom über DNS SRV Requests gesteuert.
3
Antwort
von
vor 5 Jahren
Die SIP-Registrierung wird von der Auerswald-TK gemacht, der Router hat damit nichts zu tun:
https://www.draytek.de/aktuelle-news-lesen/items/rundschreiben-telekom-thema-srv.html
Und die Auerswald-5200 beherrscht DNS-SRV.

Mir geht es darum, den IP-Adressenpool auf die Telekom-SIP-Server einzuschränken, gerne auch für DNS-SRV.
Antwort
von
vor 5 Jahren
Das muss dann die Firewall können.
Antwort
von
vor 5 Jahren
Eine Liste wirst Du nicht bekommen.
Srv wird verwendet, um sehr schnell auf Probleme oder Bedrohungen reagieren zu können.

Uneingeloggter Nutzer
Antwort
von
vor 5 Jahren
@gaenserich

- Für die Firewall benötige ich die IP-Adressen und Ports, die die Telekom für die SIP-Telefonie nutzt, da in der Firewall auch ausgehend nur explizite Server/ Ports freigegeben werden.

Warum so kompliziert.

Du erlaubst einfach deiner TK-Anlage ausgehend alles.

12
Antwort
von
vor 5 Jahren
Ja, das habe ich gemacht.

Erlaubt werden sollen aber nur die eingehenden zur Telekom gehörigen Anfragen/ Antworten, keine anderen/ fremden Server.

Oder blockt dies die Firewall sowieso, da die Request nicht durch die Auerswald initiiert wurden?

Umweg zu den Telekom-Telefonie-Servern:

https://www.andysblog.de/ip-adressen-der-telekom-telefonie-server-ermitteln
Antwort
von
vor 5 Jahren
lies Dir mal unsere 6 Jahre alte Diskussion bis zum Ende durch. Dort habe ich auch eine Liste gepostet, Du wirst ggf. erkennen, dass Dein Vorhaben unnötig ist.

https://telekomhilft.telekom.de/t5/Telefonie-Internet/liste-sip-server/td-p/378848

Antwort
von
vor 5 Jahren
@gaenserich

Nimm es mir nicht krumm, aber deine Anfrage lässt darauf schließen, dass du wenig Ahnung über Netzwerkkonfigurationen hast.

Du versuchst hier etwas besonders sicher zu konfigurieren, Meine Erfahrung sagt mir aber, dass du vermutlich genau das Gegenteil erreichen wirst.

Keep it simple

oder lass es eine Profi machen.
Uneingeloggter Nutzer
Antwort
von
Akzeptierte Lösung
akzeptiert von
vor 5 Jahren
Mach was du willst, eine korrekte Antwort gib es in der Form auf deine Frage nicht.

Die Telekom garantiert keine IP der SIP Server in ihrem Netz.

Jede Regel wäre morgen möglicherweise bereits fehlerhaft.

Da die Server über NAPTR Records zugewiesen werden, kann die IP des Zielservers von einer auf die andere Sekunde wechseln.

Eben weil aufgrund einer Störung/Überlastung eines der Rechenzentren gerade depriorisiert wurde.

Natürlich könnte man dir irgend etwas generisches mitteilen

Nach Hause telefoniert wird in 99% der Fälle auf http(s)

Die Migration der kompletten Telefonieinfrasruktur in die Cloud ist aktuell im vollen Gange

Definiere einfach:

Quell-IP: Auerswald IP

Ziel-IP: Any

Protokoll: Any

Port: Any
0
vor 5 Jahren
Hallo @gaenserich,

vielen Dank für Ihren Beitrag.

Hier sind ja schon viele hilfreiche Hinweise eingegangen. Auch Sie selbst haben ja schon die passenden Konfigurationshilfen genannt.

Dem allen und vor allen dem letzten Hinweis von Stefan kann ich nur zustimmen und nichts hinzufügen.

Viele Grüße
Angela G.
0

vor 2 Jahren

Bei mir funktionieren folgende Regeln, wobei ich das Telekom-Netz mit /13 sehr großzügig gewählt habe, faktisch sollte auch ein /20 reichen.

Ich habe bereits tcp neben udp ergänzt, so dass auch verschlüsselte Verbindungen klappen sollten:

# Telekom VoIP
#
ipt iptables -A FORWARD -s 217.0.0.0/13 -d $FRITZBOXIP/32 -i ppp256 -p udp -m multiport --dport 5060:5061 -j ACCEPT
ipt iptables -A FORWARD -s 217.0.0.0/13 -d $FRITZBOXIP/32 -i ppp256 -p tcp -m multiport --dport 5060:5061 -j ACCEPT
ipt iptables -A FORWARD -s 217.0.0.0/20 -d $FRITZBOXIP/32 -i ppp256 -p udp -m multiport --dport 7078:7109 -j ACCEPT
ipt iptables -A FORWARD -s 217.0.0.0/20 -d $FRITZBOXIP/32 -i ppp256 -p tcp -m multiport --dport 7078:7109 -j ACCEPT
#



# Telekom VoIP
#
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m multiport --dport 5060:5061 -j MARK --set-xmark 0x10000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m udp --sport 5060 -j MARK --set-xmark 0x10000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m udp --sport 5061 -j MARK --set-xmark 0x10000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m multiport --dport 5060:5061 -j MARK --set-xmark 0x10000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m tcp --sport 5060 -j MARK --set-xmark 0x10000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m tcp --sport 5061 -j MARK --set-xmark 0x10000000/0xf0000000


ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m udp --dport 3478 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m udp --sport 3478 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m tcp --dport 3478 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m tcp --sport 3478 -j MARK --set-xmark 0x20000000/0xf0000000

ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m multiport --dport 7078:7109 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m multiport --sport 7078:7109 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m multiport --dport 7078:7109 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m multiport --sport 7078:7109 -j MARK --set-xmark 0x20000000/0xf0000000

Wie man sieht betreibe ich eine Fritzbox als SIP-Gateway hinter einem Router, hier also statt $FRITZBOXIP die entsprechende LAN-IP der SIP-Telefonanlage eintragen.