Telekom Business Community

Telekom hilft Community

Business customers

Telekom Shops

Contact

 

Solved

IP-Adressen/ Ports für Telekom-SIP-Accounts, Firewall-Einstellungen

5 years ago

Hallo allerseits,

der neue DeutschlandLAN -IP-Anschluss ist in Betrieb gegangen 😀.

 

Am Router (Draytek: Router + Hardware-Firewall) hängt eine SIP-Telefonanlage (Auerswald Compact-5200), welche die SIP-Accounts ansteuern soll und verwaltet. Die Einrichtung der Accounts funktioniert soweit mit diversen Konfigurationshilfen:

https://www.auerswald.de/de/support/voip-anbieter 
https://www.telekom.de/hilfe/festnetz-internet-tv/ip-basierter-anschluss/einstellungen-fuer-die-ip-telefonie-mit-anderen-clients?samChecked=true

https://telekomhilft.telekom.de/t5/Geraete-Zubehoer/Zugangsdaten-fuer-die-Einrichtung-von-SIP-Geraeten/td-p/2585255

DeutschlandLAN -SIP-Trunk-Einstellungen-fuer-die-IP-basierte/ta-p/2484571" target="_blank">https://telekomhilft.telekom.de/t5/Telefonie-Internet/ DeutschlandLAN -SIP-Trunk-Einstellungen-fuer-die-IP-basierte/ta-p/2484571

 

Für die Firewall benötige ich die IP-Adressen und Ports, die die Telekom für die SIP-Telefonie nutzt,  da in der Firewall auch ausgehend nur explizite Server/ Ports freigegeben werden.

 

Wer kann helfen?

 

Danke + Gruß!

16014

0

20

    • 5 years ago

      Dann hast du ein Problem, denn die IP-Telefonie wird bei der Telekom über DNS SRV Requests gesteuert.

      0

      3

      Answer

      from

      5 years ago

      Die SIP-Registrierung wird von der Auerswald-TK gemacht, der Router hat damit nichts zu tun:

      https://www.draytek.de/aktuelle-news-lesen/items/rundschreiben-telekom-thema-srv.html

      Und die Auerswald-5200 beherrscht DNS-SRV.

       

      Mir geht es darum, den IP-Adressenpool auf die Telekom-SIP-Server einzuschränken, gerne auch für DNS-SRV.

      0

      Answer

      from

      5 years ago

      Das muss dann die Firewall können.

      0

      Answer

      from

      5 years ago

      Eine Liste wirst Du nicht bekommen.

      Srv wird verwendet, um sehr schnell auf Probleme oder Bedrohungen reagieren zu können.

       

      0

      Unlogged in user

      Answer

      from

    • 5 years ago

      @gaenserich 

      - Für die Firewall benötige ich die IP-Adressen und Ports, die die Telekom für die SIP-Telefonie nutzt,  da in der Firewall auch ausgehend nur explizite Server/ Ports freigegeben werden.

      Warum so kompliziert.

      Du erlaubst einfach deiner TK-Anlage ausgehend alles.

       

       

      0

      12

      Answer

      from

      5 years ago

      Dann erklär das doch mal den Leuten bei bintec.

      Dann erklär das doch mal den Leuten bei bintec.

      Dann erklär das doch mal den Leuten bei bintec.


      Wo ist das Problem? Selbstverständlich muss die TK-Anlage eingehend auf SIP - Verbindungen reagieren. Aber das erfolgt kontrolliert und nur auf den bereits bestehenden Verbindungen.

      Soll man die Abweisungsmeldungen ausblenden, damit der Anwender sich keine Sorgen macht?

      0

      Answer

      from

      5 years ago

      @Gelöschter Nutzer 

      Fakt ist doch, dass es im SIP-Protokoll auf Kundenseite nicht einen Verbindung gibt, die aus dem WAN ins LAN aufgebaut wird.

      Lustig wird es doch erst, wenn jemand versucht ein Telefon von außen auf seiner z.B: im Betrieb stehende Telefonanlage zu schalten und meint ein VPN wäre total überbewertet und das SIP-Gerätepasswort 123456 mehr als ausreichend - damit man es sich leicht merken kann.

       

      Hat er dann eine Telefonrechnung von 5000€ am Monatsende wird auf die Telekom geschimpft.

      0

      Answer

      from

      5 years ago

      Kalle2014

      Dann erklär das doch mal den Leuten bei bintec. Dann erklär das doch mal den Leuten bei bintec. Dann erklär das doch mal den Leuten bei bintec. Wo ist das Problem? Selbstverständlich muss die TK-Anlage eingehend auf SIP - Verbindungen reagieren. Aber das erfolgt kontrolliert und nur auf den bereits bestehenden Verbindungen.

      Dann erklär das doch mal den Leuten bei bintec.

      Dann erklär das doch mal den Leuten bei bintec.

      Dann erklär das doch mal den Leuten bei bintec.


      Wo ist das Problem? Selbstverständlich muss die TK-Anlage eingehend auf SIP - Verbindungen reagieren. Aber das erfolgt kontrolliert und nur auf den bereits bestehenden Verbindungen.

       

      Kalle2014

      Dann erklär das doch mal den Leuten bei bintec.

      Dann erklär das doch mal den Leuten bei bintec.

      Dann erklär das doch mal den Leuten bei bintec.


      Wo ist das Problem? Selbstverständlich muss die TK-Anlage eingehend auf SIP - Verbindungen reagieren. Aber das erfolgt kontrolliert und nur auf den bereits bestehenden Verbindungen.

       


      Du erklärst mir gerade, dass ich offenen Verbindungen nach aller Herren Länder habe?

       

       

      0

      Unlogged in user

      Answer

      from

    • Accepted Solution

      accepted by

      5 years ago

      Mach was du willst, eine korrekte Antwort gib es in der Form auf deine Frage nicht.

      Die Telekom garantiert keine IP der SIP Server in ihrem Netz.

      Jede Regel wäre morgen möglicherweise bereits fehlerhaft.

      Da die Server über NAPTR Records zugewiesen werden, kann die IP des Zielservers von einer auf die andere Sekunde wechseln.

      Eben weil aufgrund einer Störung/Überlastung eines der Rechenzentren gerade depriorisiert wurde.

      Natürlich könnte man dir irgend etwas generisches mitteilen

       

      Nach Hause telefoniert wird in 99% der Fälle auf http(s)

       

      Die Migration der kompletten Telefonieinfrasruktur in die Cloud ist aktuell im vollen Gange

       

      Definiere einfach:

       

      Quell-IP: Auerswald IP

      Ziel-IP: Any

      Protokoll: Any

      Port: Any

      0

    • 5 years ago

      Hallo @gaenserich,

      vielen Dank für Ihren Beitrag.

      Hier sind ja schon viele hilfreiche Hinweise eingegangen. Auch Sie selbst haben ja schon die passenden Konfigurationshilfen genannt.

      Dem allen und vor allen dem letzten Hinweis von Stefan kann ich nur zustimmen und nichts hinzufügen.

      Viele Grüße
      Angela G.

      0

      0

    • 2 years ago

      Bei mir funktionieren folgende Regeln, wobei ich das Telekom-Netz mit /13 sehr großzügig gewählt habe, faktisch sollte auch ein /20 reichen.

      Ich habe bereits tcp neben udp ergänzt, so dass auch verschlüsselte Verbindungen klappen sollten:

       

      # Telekom VoIP
#
ipt iptables -A FORWARD -s 217.0.0.0/13 -d $FRITZBOXIP/32 -i ppp256 -p udp -m multiport --dport 5060:5061 -j ACCEPT
ipt iptables -A FORWARD -s 217.0.0.0/13 -d $FRITZBOXIP/32 -i ppp256 -p tcp -m multiport --dport 5060:5061 -j ACCEPT
ipt iptables -A FORWARD -s 217.0.0.0/20 -d $FRITZBOXIP/32 -i ppp256 -p udp -m multiport --dport 7078:7109 -j ACCEPT
ipt iptables -A FORWARD -s 217.0.0.0/20 -d $FRITZBOXIP/32 -i ppp256 -p tcp -m multiport --dport 7078:7109 -j ACCEPT
#



# Telekom VoIP
#
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m multiport --dport 5060:5061 -j MARK --set-xmark 0x10000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m udp --sport 5060 -j MARK --set-xmark 0x10000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m udp --sport 5061 -j MARK --set-xmark 0x10000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m multiport --dport 5060:5061 -j MARK --set-xmark 0x10000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m tcp --sport 5060 -j MARK --set-xmark 0x10000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m tcp --sport 5061 -j MARK --set-xmark 0x10000000/0xf0000000


ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m udp --dport 3478 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m udp --sport 3478 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m tcp --dport 3478 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m tcp --sport 3478 -j MARK --set-xmark 0x20000000/0xf0000000

ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m multiport --dport 7078:7109 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m multiport --sport 7078:7109 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m multiport --dport 7078:7109 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m multiport --sport 7078:7109 -j MARK --set-xmark 0x20000000/0xf0000000

      Wie man sieht betreibe ich eine Fritzbox als SIP-Gateway hinter einem Router, hier also statt $FRITZBOXIP die entsprechende LAN-IP der SIP-Telefonanlage eintragen.

       

      0

      0

    Unlogged in user

    Ask

    from

    This could help you too

    Solved
    Gleiche Ports für 2 Geräte freischalten

    7 years ago

    in  

    Festnetz & Internet

    1915

    0

    2

    Reservierte Ports freischalten/umgehen

    5 years ago

    in  

    Festnetz & Internet

    695

    0

    4

    Solved
    Die selben Ports für mehrere Geräte freigeben

    5 years ago

    in  

    Festnetz & Internet

    2533

    0

    2

    smart3 Ports freischalten

    2 years ago

    in  

    Festnetz & Internet

    537

    0

    2

    Solved
    Bestimmte Ports freigeben

    8 years ago

    in  

    Festnetz & Internet

    3426

    0

    3

    You might also be interested in

    • Buying advice

      Do you need personal purchasing advice? Telekom's business customer team will be happy to advise you.

      Buying advice

    • View offers

      Informieren Sie sich über unsere aktuellen Internet-Angebote.

      View offers
     

    Social Media

    Telekom FacebookTelekom InstagramTelekom X