Willkommen in der Business Community

Die Telekom Community für Geschäftskunden

Aktueller Hinweis

Firewalleinstellungen SIP-Trunk

Gelöst

Hallo.

 

Wir würden gerne die Firewalleinstellungen für den Zugriff auf den Telekom SIP-Trunk gerne etwas restriktiver gestalten als derzeit. Leider haben wir anhand der Firewall Logs festgestellt, dass die Angaben zu Port-Ranges in dem Dokument "DeutschlandLAN SIP-Trunk | Technische Unterlage" vom 23.10.2018 nicht ganz zu stimmen scheinen.

 

Gibt es diesbezüglich aktuelle Angaben bzw. gibt es darüber hinaus Angaben zu IP-Subnetzen der Telekom VoIP Server um den Zugriff zu beschränken? Was wir festellen konnten ist, dass bisher alle RTP Sitzungen von/zu Servern aus dem Netz 217.0.132.0/24 aufgebaut werden.

 

Vielen Dank

1 AKZEPTIERTE LÖSUNG
Lösung
Telekom hilft Team

Hallo @wdo362,

ich habe eine Antwort von unserem Support für Sie bekommen.

Nach Rücksprache mit den entsprechenden Experten wurde in Kapitel 5.8 „Benutzte Ports und Übertragungsprotokolle“ der Text angepasst und in Kapitel 11.3 „IP & Port-Ranges“ der Verweis auf das Kapitel 5.8 korrigiert.

Ich hoffe, dass die neueste Unterlage Ihnen weiterhilft. Hier noch einmal der Link dazu:



Viele Grüße
Kerstin Si.

Lösung in ursprünglichem Beitrag anzeigen  

Im Prinzip brauchst du nur Port 5060/UDP auf die IP deiner Telefonanlage und zu tel.telekom.de beschränken

Hallo Stefan,

 

danke für deine Antwort.

Leider können wir das so nicht bestätigen.

Der SIP-Trunk der Telekom unterstützt lediglich SIP über TCP und nicht über UDP (anders als die Privatkundenprodukte). Des weiteren folgen die SIP Server alle dem Namensschema "*.sip-trunk.telekom.de" (das liefert die SRV Namensauflösung zurück). Leider sind die Server von/zu denen dann RTP Verbindungen aufgebaut werden andere. Diese befnden sich wie gesagt bisher alle im angegebene /24er Netz.

 

Viele Grüße

Damit ist die Sache doch eindeutig: Die Firewall muss die DNS SRV Requests berücksichtigen und von welchen Servern die eingehenden Verbindungen kommen, das wird doch bei der SIP - Registrierung mitgeteilt. Eine Beschränkung auf bestimmte IP-Adressbereiche ist nicht sinnvoll und wird auch von der Telekom als unerwünscht betitelt.

rtp ist unschädlich - wenn du 5060 (dann halt TCP; oder den abweichenden Port falls es einen gibt) unterbindest langt dies

Evtl beschreibst du genauer eure Konfiguration 

 

Theoretisch langt sogar eine Regel alle LAN Adressen ausser Telefoananlage auf Port 5060 (oder was auch immer) zu blocken

Dann kann kein lokales Gerät mehr zu einem SIP Server verbinden und der Telefonanlage traut ihr doch hoffentlich


@Kalle2014  schrieb:

Damit ist die Sache doch eindeutig: Die Firewall muss die DNS SRV Requests berücksichtigen und von welchen Servern die eingehenden Verbindungen kommen, das wird doch bei der SIP - Registrierung mitgeteilt. Eine Beschränkung auf bestimmte IP-Adressbereiche ist nicht sinnvoll und wird auch von der Telekom als unerwünscht betitelt.


Das dachten wir zuerst auch. Die Server der DNS SRV Response sind leider nur diejenigen über welche anschließend SIP läuft. Die RTP Streams laufen dann leider über andere Server.


@Stefan  schrieb:

Theoretisch langt sogar eine Regel alle LAN Adressen ausser Telefoananlage auf Port 5060 (oder was auch immer) zu blocken

Dann kann kein lokales Gerät mehr zu einem SIP Server verbinden und der Telefonanlage traut ihr doch hoffentlich


Naja trauen tue ich ihr schon aber darum geht es mir eigentlich weniger.

Vom Sicherheitsaspekt ist es eben wünschenswert die Kommuniktion so weit es geht einzuschränken.

To-Any-IP & To-Any-UDP-Port ist eben nicht wirklich optimal.

Gut ist schon mal dass der SIP-Tunk Symmetrisches RTP unterstützt wenn man STUN eliminiert. Dann braucht man zumindest keine Port-Forwarding.

man braucht sowieso nie ein Portforwarding, da beide RTP Ports immer von innen nach aufgebaut werden 


@Stefan  schrieb:

man braucht sowieso nie ein Portforwarding, da beide RTP Ports immer von innen nach aufgebaut werden 


So grundsätzlich ist das leider nich zutreffend. Einen Blick in die technischen Infos zum SIP-Trunk der Telekom kann ich nur empfehlen. Wenn dann noch alles stimmen würde was dort steht (wie die Port Ranges die leider nicht (mehr) stimmen) wäre es wirklich super.

 

Dort findest Du auf Seite 14:

 

Hierfür muss die TK-Anlage symmetrisches RTP unterstützen, d.h. bei ein- und ausgehenden Gesprächen muss die TK-Anlage den RTP-Strom selbst als erstes aufbauen. Nach drei eingegangen RTP-Paketen erkennt die Plattform den Datenstrom und baut ihrerseits zur selben Port (und IP) eine RTP-Verbindung auf.

 

Wenn STUN zum Einsatz kommt, muss aus jeden Fall sichergestellt sein, dass eingehende RTP-Verbindungen akzeptiert werden, da die Plattform kein symmetrisches RTP anwendet.

Telekom hilft Team
Hallo @wdo362,

herzlich willkommen in unserer Community. Schön, dass Sie mit Ihrem Anliegen den Weg zu uns gefunden haben.
Vielen Dank für die Nachfrage zum DeutschlandLAN SIP-Trunk.

Ich frage nach ob sich dazu Änderung ergeben habe und melde mich in der nächsten Woche wieder.

Lieben Gruß, Melanie B.
Telekom hilft Team
Hallo @wdo362,

leider habe ich bislang noch keine Antwort für Sie.
Ich melde mich in der nächsten Woche erneut.

Lieben Gruß, Melanie B.
Telekom hilft Team
Hallo @wdo362,

es tut mir wirklich leid. Leider habe ich noch immer keine Rückmeldung erhalten.
Ich melde mich dazu in der nächsten Woche erneut.

Lieben Gruß, Melanie B.
Telekom hilft Team
Hallo @wdo362,

leider habe ich noch keine Neuigkeiten.
Ich melde mich in der nächsten Woche erneut.

Lieben Gruß, Melanie B.
Lösung
Telekom hilft Team

Hallo @wdo362,

ich habe eine Antwort von unserem Support für Sie bekommen.

Nach Rücksprache mit den entsprechenden Experten wurde in Kapitel 5.8 „Benutzte Ports und Übertragungsprotokolle“ der Text angepasst und in Kapitel 11.3 „IP & Port-Ranges“ der Verweis auf das Kapitel 5.8 korrigiert.

Ich hoffe, dass die neueste Unterlage Ihnen weiterhilft. Hier noch einmal der Link dazu:



Viele Grüße
Kerstin Si.

Vielen Dank für die Rückmeldung.

 

Leider kann ich in Ihrer Antwort keinen Link finden. Die Suche über den Dokumentnamen liefert leider nur das alte Dokument.

 

Viele Grüße

Telekom hilft Team
Hallo @wdo362,

ich habe die Datei in meinem Beitrag korrigiert und hoffe, dass es jetzt klappt.

Viele Grüße
Kerstin Si.

Vielen Dank, das hat geklappt.

 

Die Portangaben im neuen Dokument machen definitiv mehr Sinn.

Schade dass die Telekom nach wie vor keine Angaben zu verwendeten Sub-Netzen gibt.

 

Viele Grüße


@wdo362  schrieb:

 

Schade dass die Telekom nach wie vor keine Angaben zu verwendeten Sub-Netzen gibt.

 


Das ist doch logisch, denn IP-Adressen können sich ändern. Der richtige Weg zur SIP - Registrierung für eine TK-Anlage ist ein DNS SRV Request.

 

Bintec elmeg hat das Thema mit den Anforderungen an den Grenzrouter sehr schön beschrieben:

 

http://faq.bintec-elmeg.com/index.php?title=Grundlegende_Informationen_zu_STUN_und_NAT_bei_SIP-Ansch...)

 

Nachtrag: Dem Link fehlt ein ) am Ende. Leider ist das ein Bug des Editors.

Mit verlaub aber das ist überhaupt nicht logisch.

 

IP-Adressen ändern sich, das ist selbstverständlich.

Sub-Netze von Carriern, und darauf bezog sich meine Anmerkung, eher selten.

Andere Carrier geben in Verbindung mit der Nutzung von SIP Trunks ebenfalls Netze an um Firewalls entsprechend konfigurieren zu können. Dass man die Verbindungseinstellungen nicht auf Basis von IP-Adressen vornimmt ist hingegen in der Tat logisch.

 

Vieke Grüße

Die Telekom hat viele Sub-Netze und wird sich nicht auf einige davon festlegen wollen.

@Kalle2014  schrieb:
Die Telekom hat viele Sub-Netze und wird sich nicht auf einige davon festlegen wollen.

Andere Carrier auch, sie tun es aber trotzdem. Und normalerweise folgt die Nutzung von Subnetzem einem Konzept, d.h. die Telekom wird nicht alle Sub-Netze welche sie besitzt im Zusammenhang mit SIP-Trunks verwenden, sondern nur bestimmte für diese Nutzug verwenden.

 

Aber in letzter Konsequenz haben Sie vermutlich Recht, die Telekomm wird dazu wohl keine Aussage treffen.

 

Viele Grüße