- Beitrag abonnieren
- Beitrag stummschalten
- Beitrag als ungelesen kennzeichnen
- Beitrag als gelesen kennzeichnen
Firewalleinstellungen SIP-Trunk
18.06.2019 18:39
Hallo.
Wir würden gerne die Firewalleinstellungen für den Zugriff auf den Telekom SIP-Trunk gerne etwas restriktiver gestalten als derzeit. Leider haben wir anhand der Firewall Logs festgestellt, dass die Angaben zu Port-Ranges in dem Dokument "DeutschlandLAN SIP-Trunk | Technische Unterlage" vom 23.10.2018 nicht ganz zu stimmen scheinen.
Gibt es diesbezüglich aktuelle Angaben bzw. gibt es darüber hinaus Angaben zu IP-Subnetzen der Telekom VoIP Server um den Zugriff zu beschränken? Was wir festellen konnten ist, dass bisher alle RTP Sitzungen von/zu Servern aus dem Netz 217.0.132.0/24 aufgebaut werden.
Vielen Dank
Gelöst! Gehe zu Lösung.
19.07.2019 14:23 Zuletzt bearbeitet: 19.07.2019 15:31 durch den Autor
Hallo @wdo362,
ich habe eine Antwort von unserem Support für Sie bekommen.
Nach Rücksprache mit den entsprechenden Experten wurde in Kapitel 5.8 „Benutzte Ports und Übertragungsprotokolle“ der Text angepasst und in Kapitel 11.3 „IP & Port-Ranges“ der Verweis auf das Kapitel 5.8 korrigiert.
Ich hoffe, dass die neueste Unterlage Ihnen weiterhilft. Hier noch einmal der Link dazu:
Viele Grüße
Kerstin Si.
18.06.2019 18:50
Im Prinzip brauchst du nur Port 5060/UDP auf die IP deiner Telefonanlage und zu tel.telekom.de beschränken
18.06.2019 19:03
Hallo Stefan,
danke für deine Antwort.
Leider können wir das so nicht bestätigen.
Der SIP-Trunk der Telekom unterstützt lediglich SIP über TCP und nicht über UDP (anders als die Privatkundenprodukte). Des weiteren folgen die SIP Server alle dem Namensschema "*.sip-trunk.telekom.de" (das liefert die SRV Namensauflösung zurück). Leider sind die Server von/zu denen dann RTP Verbindungen aufgebaut werden andere. Diese befnden sich wie gesagt bisher alle im angegebene /24er Netz.
Viele Grüße
18.06.2019 19:14
Damit ist die Sache doch eindeutig: Die Firewall muss die DNS SRV Requests berücksichtigen und von welchen Servern die eingehenden Verbindungen kommen, das wird doch bei der SIP - Registrierung mitgeteilt. Eine Beschränkung auf bestimmte IP-Adressbereiche ist nicht sinnvoll und wird auch von der Telekom als unerwünscht betitelt.
18.06.2019 19:15
rtp ist unschädlich - wenn du 5060 (dann halt TCP; oder den abweichenden Port falls es einen gibt) unterbindest langt dies
Evtl beschreibst du genauer eure Konfiguration
Theoretisch langt sogar eine Regel alle LAN Adressen ausser Telefoananlage auf Port 5060 (oder was auch immer) zu blocken
Dann kann kein lokales Gerät mehr zu einem SIP Server verbinden und der Telefonanlage traut ihr doch hoffentlich
18.06.2019 19:25
@Kalle2014 schrieb:Damit ist die Sache doch eindeutig: Die Firewall muss die DNS SRV Requests berücksichtigen und von welchen Servern die eingehenden Verbindungen kommen, das wird doch bei der SIP - Registrierung mitgeteilt. Eine Beschränkung auf bestimmte IP-Adressbereiche ist nicht sinnvoll und wird auch von der Telekom als unerwünscht betitelt.
Das dachten wir zuerst auch. Die Server der DNS SRV Response sind leider nur diejenigen über welche anschließend SIP läuft. Die RTP Streams laufen dann leider über andere Server.
18.06.2019 20:11
@Stefan schrieb:Theoretisch langt sogar eine Regel alle LAN Adressen ausser Telefoananlage auf Port 5060 (oder was auch immer) zu blocken
Dann kann kein lokales Gerät mehr zu einem SIP Server verbinden und der Telefonanlage traut ihr doch hoffentlich
Naja trauen tue ich ihr schon aber darum geht es mir eigentlich weniger.
Vom Sicherheitsaspekt ist es eben wünschenswert die Kommuniktion so weit es geht einzuschränken.
To-Any-IP & To-Any-UDP-Port ist eben nicht wirklich optimal.
Gut ist schon mal dass der SIP-Tunk Symmetrisches RTP unterstützt wenn man STUN eliminiert. Dann braucht man zumindest keine Port-Forwarding.
18.06.2019 20:32
man braucht sowieso nie ein Portforwarding, da beide RTP Ports immer von innen nach aufgebaut werden
18.06.2019 21:04
@Stefan schrieb:man braucht sowieso nie ein Portforwarding, da beide RTP Ports immer von innen nach aufgebaut werden
So grundsätzlich ist das leider nich zutreffend. Einen Blick in die technischen Infos zum SIP-Trunk der Telekom kann ich nur empfehlen. Wenn dann noch alles stimmen würde was dort steht (wie die Port Ranges die leider nicht (mehr) stimmen) wäre es wirklich super.
Dort findest Du auf Seite 14:
Hierfür muss die TK-Anlage symmetrisches RTP unterstützen, d.h. bei ein- und ausgehenden Gesprächen muss die TK-Anlage den RTP-Strom selbst als erstes aufbauen. Nach drei eingegangen RTP-Paketen erkennt die Plattform den Datenstrom und baut ihrerseits zur selben Port (und IP) eine RTP-Verbindung auf.
Wenn STUN zum Einsatz kommt, muss aus jeden Fall sichergestellt sein, dass eingehende RTP-Verbindungen akzeptiert werden, da die Plattform kein symmetrisches RTP anwendet.
19.06.2019 09:01
herzlich willkommen in unserer Community. Schön, dass Sie mit Ihrem Anliegen den Weg zu uns gefunden haben.
Vielen Dank für die Nachfrage zum DeutschlandLAN SIP-Trunk.
Ich frage nach ob sich dazu Änderung ergeben habe und melde mich in der nächsten Woche wieder.
Lieben Gruß, Melanie B.
27.06.2019 18:52
leider habe ich bislang noch keine Antwort für Sie.
Ich melde mich in der nächsten Woche erneut.
Lieben Gruß, Melanie B.
04.07.2019 13:41
es tut mir wirklich leid. Leider habe ich noch immer keine Rückmeldung erhalten.
Ich melde mich dazu in der nächsten Woche erneut.
Lieben Gruß, Melanie B.
12.07.2019 17:33
leider habe ich noch keine Neuigkeiten.
Ich melde mich in der nächsten Woche erneut.
Lieben Gruß, Melanie B.
19.07.2019 14:23 Zuletzt bearbeitet: 19.07.2019 15:31 durch den Autor
Hallo @wdo362,
ich habe eine Antwort von unserem Support für Sie bekommen.
Nach Rücksprache mit den entsprechenden Experten wurde in Kapitel 5.8 „Benutzte Ports und Übertragungsprotokolle“ der Text angepasst und in Kapitel 11.3 „IP & Port-Ranges“ der Verweis auf das Kapitel 5.8 korrigiert.
Ich hoffe, dass die neueste Unterlage Ihnen weiterhilft. Hier noch einmal der Link dazu:
Viele Grüße
Kerstin Si.
19.07.2019 14:48
Vielen Dank für die Rückmeldung.
Leider kann ich in Ihrer Antwort keinen Link finden. Die Suche über den Dokumentnamen liefert leider nur das alte Dokument.
Viele Grüße
19.07.2019 15:33
ich habe die Datei in meinem Beitrag korrigiert und hoffe, dass es jetzt klappt.
Viele Grüße
Kerstin Si.
19.07.2019 15:45
Vielen Dank, das hat geklappt.
Die Portangaben im neuen Dokument machen definitiv mehr Sinn.
Schade dass die Telekom nach wie vor keine Angaben zu verwendeten Sub-Netzen gibt.
Viele Grüße
19.07.2019 16:12 Zuletzt bearbeitet: 19.07.2019 16:14 durch den Autor
@wdo362 schrieb:
Schade dass die Telekom nach wie vor keine Angaben zu verwendeten Sub-Netzen gibt.
Das ist doch logisch, denn IP-Adressen können sich ändern. Der richtige Weg zur SIP - Registrierung für eine TK-Anlage ist ein DNS SRV Request.
Bintec elmeg hat das Thema mit den Anforderungen an den Grenzrouter sehr schön beschrieben:
Nachtrag: Dem Link fehlt ein ) am Ende. Leider ist das ein Bug des Editors.
19.07.2019 16:42
Mit verlaub aber das ist überhaupt nicht logisch.
IP-Adressen ändern sich, das ist selbstverständlich.
Sub-Netze von Carriern, und darauf bezog sich meine Anmerkung, eher selten.
Andere Carrier geben in Verbindung mit der Nutzung von SIP Trunks ebenfalls Netze an um Firewalls entsprechend konfigurieren zu können. Dass man die Verbindungseinstellungen nicht auf Basis von IP-Adressen vornimmt ist hingegen in der Tat logisch.
Vieke Grüße
19.07.2019 16:47
19.07.2019 16:52
@Kalle2014 schrieb:
Die Telekom hat viele Sub-Netze und wird sich nicht auf einige davon festlegen wollen.
Andere Carrier auch, sie tun es aber trotzdem. Und normalerweise folgt die Nutzung von Subnetzem einem Konzept, d.h. die Telekom wird nicht alle Sub-Netze welche sie besitzt im Zusammenhang mit SIP-Trunks verwenden, sondern nur bestimmte für diese Nutzug verwenden.
Aber in letzter Konsequenz haben Sie vermutlich Recht, die Telekomm wird dazu wohl keine Aussage treffen.
Viele Grüße