Willkommen in der Business Community

Die Telekom Community für Geschäftskunden

Aktueller Hinweis

Alle TCP/IP Ports nutzbar nach Umstieg auf IP Anschluß?

Hallo,

 

sind nach dem Umstieg auf einen IP-Anschluß alle TCP/IP Ports frei nutzbar oder sind einige für die Telefonie (SIP) reserviert?

 

Hintergrund der Frage: In unserem Netz müssen einige bestimmte Ports von außen erreichbar sein und auf interne Server umgeleitet werden.

 

Viele Grüße - Ingo

@ingo275

Natürlich sind die Ports für die Telekom IP-Telefonie von der Telekom vorgegeben - also extern. Niemand zwingt einen allerdings, die IP-Telefonie der Telekom zu nutzen.

 

Intern kann man abhängig vom Router sowieso auf andere Ports umsetzen.

@ingo275

 

Es kommt drauf an, wie weit das eigene Vertständnis reicht!

Das was bei der VOIP Telefonie gerne bemängelt wird, ist dass der Port 5060 von aussen nicht weiter geleitet werden kann.

 

Dabei übersehen die Hobby Administratoren allerdings, dass dies sozusagen in 0% der Fälle  am DSL Anschluss überhaupt sinnvoll ist.

 

Eine funktionierende VOIP Installation benötigt keine eingehende Verbindung auf Port 5060 - der Port wird nur ausgehend verwendet.

 

Denn Port eingehend zu öffnen, stellt den eigenen Telefonieserver frei ins Internet. Dies eröffnet zahlreichen Hackern Einfallstore um mit deiner Rufnummer z.B. kostenpflichte Mehrwertdienste in Übersee anzurufen.

 

Eingehend werden maximal die RTP Ports der Telefonie weitergeleitet und diese sind frei konfigurierbar.

 

Gelöschter Nutzer

Stefan schrieb:

Eine funktionierende VOIP Installation benötigt keine eingehende Verbindung auf Port 5060 - der Port wird nur ausgehend verwendet.

 

Das wäre mit jetzt neu, erklär mal und lass uns nicht dumm sterben.

Nach dem Problem mit den 900.000 Telekom Routern wurden die TR069 Ports bei der Telekom gesperrt.

 

Wäre es nicht ggf. sinnvoll, die Umstellung zu nutzen und statt mit weitergeleiteten Ports mit VPN zu arbeiten?

 

Und wenn die Ports weitergeleitet werden im Router, können sie ja auch umgeleitet werden, zum beispiel von einem 5000er auf einen 50.000er.

Bei unseren Anschlüssen handelt es sich um Telekom Anlagenanschlüsse. Wir müssen/wollen die Telefonie der Telekom also sehr wohl nutzen. 

 

Und zu dem verbiegen der Ports: Die externen Ports werden uns vorgeschrieben. Daher ja auch meine Frage. Wenn ich die frei wählen könnte, hätte ich die Frage gar nicht erst gestellt.

 

Gruß Ingo

Das ist mit dem passenden Router kein Problem. Kritisch wird es nur, wenn die Anforderung kommt, "alle Ports" weiterzuleiten. Denn dann kann die Telefonie nicht mehr funktionieren.

Was genau ist gemeint mit "Das ist kein Problem"?

 

Gibt es feste/nicht nutzbare Ports, die von der Telekom für die Telefonie blockiert/benutzt werden oder nicht?

 

Gruß Ingo

Gelöschter Nutzer

Das hängt vom Endgerät ab.

Ok. Von unserer Telekom Ansprechpartnerin wurde uns ein LANCOM R883VAW bzw. R884VA empfohlen. 

 

Wären bei den Geräten bestimmt Ports fest vorgesehen für die Telefonie?


@ingo275 schrieb:

Ok. Von unserer Telekom Ansprechpartnerin wurde uns ein LANCOM R883VAW bzw. R884VA empfohlen.


Die 883 /884 Geräte sind providermodifizierte Geräte ähnlich wie 1&1 aus einer Fritz!Box eine 1&1-Box macht.

 

Details hierzu:

http://lancom-wiki.de/index.php?title=LANCOM_883_VoIP

http://lancom-wiki.de/index.php?title=LANCOM_884_VoIP

@Gelöschter Nutzer

Alle Verbindungen werden vom Client zum Server aufgebaut.

Dafür verwendet der Client den Zielport 5060 auf dem Server

- diese Verbindung ist ausgehend - der vom Client verwendete lokale Port ist hierbei irrelevant. Hier mal ein Live Mittschnitt

 

09:35:35.541771 IP 192.168.1.251.5160 > 217.0.23.100.5060: UDP, length 464

09:35:35.554799 IP 217.0.23.100.5060 > 192.168.1.251.5160: UDP, length 473

 

Sobald ausgehend ein Paket die Router Firewall passiert hat, werden eingehende Pakete zu dieser Verbindung automatisch an die richtige IP weitergeleitet. Die eingehenden Pakete im o.G. Beispiel gehen aber wie man sieht nicht auf Port 5060 sondern hier auf 5160 (könnte aber auch jeder andere dynamisch vergebenen Port sein).

Da das eingehende Paket sowieso nicht auf 5060 ankommt wird auch keine Weiterleitung gebraucht. Auch wird keine Weiterleitung für 5160 gebraucht, denn natürlich lässt die Firewall eingehende Antworten auf eine von innen nach außen geöffnete Verbindung zu.

 

Das ist bei allen Protokollen so.

Sonst könnten z.B. nie zwei unterschiedliche Rechner im LAN im Internet gleichzeitig surfen.  Jeder Browser verwendet beim öffnen einer Verbindung als Server Zielport 80, aber als internen Port einen dynamisch vergebenen.

 

Über Port 5060 werden sowieso nur die Verbindungsinformationen ausgetauscht. die Gesprächsdaten kommen über zwei aufeinanderfolgende RTP Ports - die über das SIP Protokoll ausgehandelt werden. Die zu verwendenden RTP Ports können praktisch in jeder Anwendung eingestellt werden, eben damit unterschiedliche Telefonie Endgeräte im LAN verwendet werden können. Einzig der Port 5070 (STUN) kann eingehend noch einen Sinn ergeben, wenn sich die öffentliche IP des Clients ändert - kann der Client dies darüber abfragen und seine Registrierung anpassen.

 

Bei mir laufen zweitweise (zu testzwecken) drei VOIP Anlagen im LAN gleichzeitig und sind bei der Telekom registriert. Würde eingehend ein Port 5060 gebraucht werden, wäre dies ja nicht möglich.

 

Ich kann sogar jeden nur NOCH EINMAL WARNEN die zu tun. Wird der Port weitergeleitet, dann kann sich, bei zu schwachem Passwort auf dem SIP Endpunkt, ein unbefugter Dritter registrieren und beliebige Telefonate führen. Hat einen bekannten 9000€ gekostet.

 

 

 

 

 

 

 

 

Bezogen auf den Zielport beim SIP - Server gibt es übrigens auch noch eine Neuerung die zumindestens bei der Digitalisierungsbox angewendet wird: Der Router fragt über DNS SRV nach dem Port.

Das lässt sich am Port 0 in der SIP - Providerkonfiguration erkennen.

 


@Stefan schrieb:

Ich kann sogar jeden nur NOCH EINMAL WARNEN die zu tun. Wird der Port weitergeleitet, dann kann sich, bei zu schwachem Passwort auf dem SIP Endpunkt, ein unbefugter Dritter registrieren und beliebige Telefonate führen. Hat einen bekannten 9000€ gekostet.

 


Sehe ich genau so.

Auf einem nagelneuen Internetanschluss (1h nach Freischaltung) habe ich im Log 'portscan 2' mehrere Zugriffsversuche registriert. und die IP aus 'porscan.png' versucht es immer wieder. Da habe ich schon hunderte Warnungen bekommen. Interesaant ist die Location der 155er IP bei utrace.de

 

 

Die Lösung wäre eine Deckelung der Kosten entweder in der Telefonanlage oder beim Provider.  Sagen wir mal 50 EUR und ab dieser Grenze sind nur noch Gespräche ins Festnetz und in deutsche Handynetze möglich. Werden Auslandsgespräche benötigt, kann das ja der Nutzer/Admin am Montag früh freischalten, aber die teuren Anrufe am Sa./So wenn keiner in der Fa. ist, sind dann mit 50EUR gedeckelt. Quasi Prepaid-Festnetz-Anschluss.

Gelöschter Nutzer

@Stefan ,

 

alles korrekt in Deinem Szenario, Du hast das Endgerät hinter dem Router. Ich möchte jetzt mal wetten, der jeweilige SIP UA lauscht  trotzdem an einem Port, den wie sonst könnte er einen Invite annehmen. Das ist mir in Deiner Beschreibung nämlich nicht klar. Oder anders gesagt, wie kann Dich jemand anrufen, wenn Du nicht lauscht. Die Tatsache, daß der Client mit Keep Alives die Verbindung offenhalten kann gilt ja jetzt nur für die Firewall des Gateways/Routers.

Und ja der Unterschied zwischen Quell/Zielport ist mir schon geläufig.

Korrigiert micht, wenn ich falsch liege.

Gelöschter Nutzer

@ingo275 schrieb:

Ok. Von unserer Telekom Ansprechpartnerin wurde uns ein LANCOM R883VAW bzw. R884VA empfohlen. 

 

Wären bei den Geräten bestimmt Ports fest vorgesehen für die Telefonie?


Die Frage müsste das Handbuch/der Support von Lancom beantworten. Es gibt da wohl auch mehrere Szenarien, eingebautes VoIP mit angeschlossenen Analog/ISDN Telefonen oder VoIP Anlage dahinter. Auf jeden Fall scheint das Gerät schon mal einen SIP proxy zu besitzen. Ob der abschaltbar ist, weiß ich nicht, ob der parametrierbar ist auch nicht.


@Gelöschter Nutzer schrieb:

[...] Handbuch/der Support von Lancom [...]

kleine Ergänzung. Aktuelle Versionen:

 

https://www.lancom-systems.de/docs/config/de/refmanual/

 

https://www.lancom-systems.de/download/documentation/software/?id=9f75ab7fea7b90d22e7ef47b95e9633d&file=LCOS-REFMANUAL-924-DE.pdf

 

(Google verlinkt gerne auf ältere Versionen, weil diese noch vor Kurzem DIE richtigen Links waren).

Natürlich "lauscht" der Client - auf der von ihm selbst geöffneten Verbindung (also im konkreten Beispiel auf Port 5160) - lauschen ist allerdings bei UDP Verbindungen nicht der ganz korrekte Term.

 

Der SIP Server der Telekom hält ja die Verbindung 5060 <-> 5160 in seiner Sessiontable auch offen  und weiss daher auf welche IP und Port er seinen "Invite" absetzen muss. 

 

Der Vorgang hat nichts mit der Firewall zu tun - diese hält UDP Verbindungen so lange offen, bis kein Traffic mehr verzeichnet wird und die Zeit dann abgelaufen ist.

 

Wenn kein NAT im Spiel ist - weil der Client eine öffentliche IP hat, brauchst du ja erst recht keine Weiterleitung

 

Vielen Dank für die vielen Antworten. Leider bringen die (bei mir) aber nicht das erhoffte Licht ins Dunkle.

 

Ich beschreibe mal kurz den Ist-Zustand und den Soll-Zustand.

 

Aktuell haben wir an unseren Standorten jeweils zwei Anlagenanschlüsse an denen dann eine NetPhone Anlage hängt. Auf einen der Anlagenanschlüsse ist dann jeweils ein DSL-Anschluß über den der Internetzugäng der jeweiligen Filiale erfolgt. 

 

Bestimmte (von uns nicht änderbare) Ports werden von extern an bestimmte Server in unserem Netz umgeleitet. 

 

Würden wir jetzt auf IP umstellen, dann würde der Internet-Router ja als erstes am Telekom-Netz hängen und aus dem Router würden dann ja erst die beiden "Anlagenanschlüsse für unsere NetPhone Anlage herausfallen". Und mir hat jemand erzählt, das der Router auf bestimmten Ports von außen für die VoIP Geschichte lauscht und das man diese nicht ändern kann. 

 

Wenn dem so ist und sich die Ports überschneiden, dann hätte ich ein Problem.

@ingo275

 

Dann musst du diese Ports einmal beim Namen nennen.

Vor allem aber überprüfen, dass diese Ports auch wirklich gebraucht werden - da wird nämlich VIEL Unsinn erzählt und auch konfiguriert.

Bei der PS/2 steht auch, dass der Port 80 und 53 (DNS)weitergeleitet werden muss Zwinkernd

 

Ansonsten nimmst du einfach den Router deiner Wahl - es ist ja nun keineswegs so, dass du da in irgend einer Weise beschränkt bist.

 

 

 

 

Wenn Du sicher gehen willst, nimmst Du 2 Anschlüsse. Einen nur mit Internet und einen mit Internet+Telefon.

 

Für Anlagenanschlüsse gibt es von lancom den 1784VA (Telekom 884) für Anlagenanschlüsse .

https://www.lancom-systems.de/produkte/all-ip-voip-vpn-router/multi-site-voip-vpn-router/lancom-1784...

 

Tip: schriftlich Deine Portliste mit Anschreiben usw. an den Kundendienst schicken (musst ja nicht unbedingt hier veröffentlichen) und Dir schriftlich bestätigen lassen, dass Deine genannten Ports nicht betroffen sind.

Ja mit einem zweiten (reinen Internet-) Anschluß könnte man das Problem von vornherein umgehen. Wenn es das Problem aber gar nicht gibt (wovon ich ja ausgehe), dann haben wir unnötig einen zusätzlichen Anschluß.

 

Unsere Telekom Vertrieblerin hat uns den 883 und 884 empfohlen. Auf die Problematik mit den fest benutzten Ports habe ich sie auch angesprochen. Da war sie aber ratlos und wusste offensichtlich auch nicht wen sie dazu in ihrem Hause befragen soll.

 

Ich kann das natürlich auch in den Auftrag schreiben. Nur nützt mir das glaube ich nicht viel, wenn es dann doch Probleme geben sollte.

 

Da es hier bisher aber niemanden gab der jemals etwas von solchen fest bestimmten Ports gehört hat, gehe ich davon aus das es diese einfach gar nicht gibt. 

Ein zweiter Anschluss sprich Redundanz ist im geschäftlichen Umfeld immer sinnvoll - kostet aber zusätzlich Geld.

 

Ganz egal wie - wenn Ihr die Telekom IP-Telefonie nutzt, dann sagt die Telekom Euch welche Ports dafür extern zu verwenden sind. Da kann sich Euer Admin oder Geschäftsführer oder wer auch immer auf den Kopf stellen. Die extern verwendeten Ports ändern sich dadurch nicht.

 

Andererseits kann es eigentlich auch überhaupt nicht sein, dass jemand für VoIP übliche externe Ports für andere Anwendungen verwendet -  so wahnsinnig wird wohl niemand sein. Es gibt einfach gewisse Ports, die üblicherweise im Internet für gewissen Anwendungen verwendet werden. Und die verbiegt man normalerweise nicht.

Ja das die Telekom für uns keine Änderungen vornimmt ist klar. Daher ja die Anfrage hier. 

 

Ich hake das ganze mal ab. Da wir mit recht großen Firmen/Herstellern über die Ports kommunizieren, gehe ich davon aus das es da keine Probleme gibt, da die sonst wohl schon einmal jemand anderes gehabt hätte. 

 

Vielen Dank allen Beteiligten!