Willkommen in der Business Community

Die Telekom Community für Geschäftskunden

Aktueller Hinweis

IP-Adressen/ Ports für Telekom-SIP-Accounts, Firewall-Einstellungen

Gelöst

Hallo allerseits,

der neue DeutschlandLAN-IP-Anschluss ist in Betrieb gegangen 😀.

 

Am Router (Draytek: Router + Hardware-Firewall) hängt eine SIP-Telefonanlage (Auerswald Compact-5200), welche die SIP-Accounts ansteuern soll und verwaltet. Die Einrichtung der Accounts funktioniert soweit mit diversen Konfigurationshilfen:

https://www.auerswald.de/de/support/voip-anbieter 
https://www.telekom.de/hilfe/festnetz-internet-tv/ip-basierter-anschluss/einstellungen-fuer-die-ip-t...

https://telekomhilft.telekom.de/t5/Geraete-Zubehoer/Zugangsdaten-fuer-die-Einrichtung-von-SIP-Geraet...

https://telekomhilft.telekom.de/t5/Telefonie-Internet/DeutschlandLAN-SIP-Trunk-Einstellungen-fuer-di...

 

Für die Firewall benötige ich die IP-Adressen und Ports, die die Telekom für die SIP-Telefonie nutzt,  da in der Firewall auch ausgehend nur explizite Server/ Ports freigegeben werden.

 

Wer kann helfen?

 

Danke + Gruß!

1 AKZEPTIERTE LÖSUNG
Lösung

Mach was du willst, eine korrekte Antwort gib es in der Form auf deine Frage nicht.

Die Telekom garantiert keine IP der SIP Server in ihrem Netz.

Jede Regel wäre morgen möglicherweise bereits fehlerhaft.

Da die Server über NAPTR Records zugewiesen werden, kann die IP des Zielservers von einer auf die andere Sekunde wechseln.

Eben weil aufgrund einer Störung/Überlastung eines der Rechenzentren gerade depriorisiert wurde.

Natürlich könnte man dir irgend etwas generisches mitteilen

 

Nach Hause telefoniert wird in 99% der Fälle auf http(s)

 

Die Migration der kompletten Telefonieinfrasruktur in die Cloud ist aktuell im vollen Gange

 

Definiere einfach:

 

Quell-IP: Auerswald IP

Ziel-IP: Any

Protokoll: Any

Port: Any

Lösung in ursprünglichem Beitrag anzeigen  

Dann hast du ein Problem, denn die IP-Telefonie wird bei der Telekom über DNS SRV Requests gesteuert.

Die SIP-Registrierung wird von der Auerswald-TK gemacht, der Router hat damit nichts zu tun:

https://www.draytek.de/aktuelle-news-lesen/items/rundschreiben-telekom-thema-srv.html

Und die Auerswald-5200 beherrscht DNS-SRV.

 

Mir geht es darum, den IP-Adressenpool auf die Telekom-SIP-Server einzuschränken, gerne auch für DNS-SRV.

Das muss dann die Firewall können.

@gaenserich 

- Für die Firewall benötige ich die IP-Adressen und Ports, die die Telekom für die SIP-Telefonie nutzt,  da in der Firewall auch ausgehend nur explizite Server/ Ports freigegeben werden.

Warum so kompliziert.

Du erlaubst einfach deiner TK-Anlage ausgehend alles.

 

 

Gelöschter Nutzer

Eine Liste wirst Du nicht bekommen.

Srv wird verwendet, um sehr schnell auf Probleme oder Bedrohungen reagieren zu können.

 

Ja, das habe ich gemacht.

Erlaubt werden sollen aber nur die eingehenden zur Telekom gehörigen Anfragen/ Antworten, keine anderen/ fremden Server.

Oder blockt dies die Firewall sowieso, da die Request nicht durch die Auerswald initiiert wurden?

 

Umweg zu den Telekom-Telefonie-Servern:

https://www.andysblog.de/ip-adressen-der-telekom-telefonie-server-ermitteln

lies Dir mal unsere 6 Jahre alte Diskussion bis zum Ende durch. Dort habe ich auch eine Liste gepostet, Du wirst ggf. erkennen, dass Dein Vorhaben unnötig ist.

https://telekomhilft.telekom.de/t5/Telefonie-Internet/liste-sip-server/td-p/378848

 

@gaenserich 

Nimm es mir nicht krumm, aber deine Anfrage lässt darauf schließen, dass du wenig Ahnung über Netzwerkkonfigurationen hast.

Du versuchst hier etwas besonders sicher  zu konfigurieren, Meine Erfahrung sagt mir aber, dass du vermutlich genau das Gegenteil erreichen wirst.

 

Keep it simple 

oder lass es eine Profi machen.

Gelöschter Nutzer

@Stefan 

An meiner be.ip logge ich permanent Register-Requests. Die Häufigkeit liegt derzeit bei 10..20 pro Tag. War aber auch schon eine Potenz höher.

Da ist von Hause auch der Zugriff auf 5060 erlaubt. Ich hatte da auch mal einen Workaround laufen, um den Adressbereich einzuschränken. Aber es blieb ein Workaround und war Wartungsintensiv.

@Gelöschter Nutzer 

Das ist ja das was mich meine.

Was meinst du wie viele Firewalls ich bereits gesehen habe, wo der Port 5060 eingehend freigeschaltet war. 

Mal mit mehr mal mit weniger guten IP-Filtern.

 

Es braucht für SIP-Telefonie genau 0 eingehende Regeln und ausgehend nur dann wenn man per default alles sperrt.

 

Gelöschter Nutzer

Dann erklär das doch mal den Leuten bei bintec. Die halten sich bestimmt für Profi's und bewerben ja auch die besondere Sicherheit des Systems.

Das dürfte beim Telekom-Pendant analog sein.

Die Pakete werden vor der userkonfigurablen Firewall ausgeschleust.


@Gelöschter Nutzer  schrieb:

Dann erklär das doch mal den Leuten bei bintec.


Wo ist das Problem? Selbstverständlich muss die TK-Anlage eingehend auf SIP - Verbindungen reagieren. Aber das erfolgt kontrolliert und nur auf den bereits bestehenden Verbindungen.

Soll man die Abweisungsmeldungen ausblenden, damit der Anwender sich keine Sorgen macht?

@Gelöschter Nutzer 

Fakt ist doch, dass es im SIP-Protokoll auf Kundenseite nicht einen Verbindung gibt, die aus dem WAN ins LAN aufgebaut wird.

Lustig wird es doch erst, wenn jemand versucht ein Telefon von außen auf seiner z.B: im Betrieb stehende Telefonanlage zu schalten und meint ein VPN wäre total überbewertet und das SIP-Gerätepasswort 123456 mehr als ausreichend - damit man es sich leicht merken kann.

 

Hat er dann eine Telefonrechnung von 5000€ am Monatsende wird auf die Telekom geschimpft.

Gelöschter Nutzer

@Kalle2014  schrieb:

@Gelöschter Nutzer  schrieb:

Dann erklär das doch mal den Leuten bei bintec.


Wo ist das Problem? Selbstverständlich muss die TK-Anlage eingehend auf SIP - Verbindungen reagieren. Aber das erfolgt kontrolliert und nur auf den bereits bestehenden Verbindungen.

 


Du erklärst mir gerade, dass ich offenen Verbindungen nach aller Herren Länder habe?

 

 


@Gelöschter Nutzer  schrieb:


Du erklärst mir gerade, dass ich offenen Verbindungen nach aller Herren Länder habe?

 

 


Nein, das habe ich nicht. Du interpretierst wohl die Meldungen der be.IP plus falsch.

Es braucht für SIP-Telefonie genau 0 eingehende Regeln und ausgehend nur dann wenn man per default alles sperrt.

 

Genau das ist hier der Fall, es sind ausgehend nur notwendig Standardports ausgehend freigegeben, 53, 80,443 usw..

Auf ausgehend freigegebenen Sonderports sind zudem die Ziel-IPs vergeben, damit nicht authorisierte Programme diesen Port nicht zum 'Nach-Hause-telefonieren' nutzen können.

Eingehend oder als Portweiterleitung ist nichts offen.

 

Deshalb nochmals die Frage:

Welche Ports und Ziel-IPs braucht die Auerswald, damit Telekom-SIP funktioniert?

 

Danke + Gruß

Lösung

Mach was du willst, eine korrekte Antwort gib es in der Form auf deine Frage nicht.

Die Telekom garantiert keine IP der SIP Server in ihrem Netz.

Jede Regel wäre morgen möglicherweise bereits fehlerhaft.

Da die Server über NAPTR Records zugewiesen werden, kann die IP des Zielservers von einer auf die andere Sekunde wechseln.

Eben weil aufgrund einer Störung/Überlastung eines der Rechenzentren gerade depriorisiert wurde.

Natürlich könnte man dir irgend etwas generisches mitteilen

 

Nach Hause telefoniert wird in 99% der Fälle auf http(s)

 

Die Migration der kompletten Telefonieinfrasruktur in die Cloud ist aktuell im vollen Gange

 

Definiere einfach:

 

Quell-IP: Auerswald IP

Ziel-IP: Any

Protokoll: Any

Port: Any

Telekom hilft Team
Hallo @gaenserich,

vielen Dank für Ihren Beitrag.

Hier sind ja schon viele hilfreiche Hinweise eingegangen. Auch Sie selbst haben ja schon die passenden Konfigurationshilfen genannt.

Dem allen und vor allen dem letzten Hinweis von Stefan kann ich nur zustimmen und nichts hinzufügen.

Viele Grüße
Angela G.

Bei mir funktionieren folgende Regeln, wobei ich das Telekom-Netz mit /13 sehr großzügig gewählt habe, faktisch sollte auch ein /20 reichen.

Ich habe bereits tcp neben udp ergänzt, so dass auch verschlüsselte Verbindungen klappen sollten:

 

# Telekom VoIP
#
ipt iptables -A FORWARD -s 217.0.0.0/13 -d $FRITZBOXIP/32 -i ppp256 -p udp -m multiport --dport 5060:5061 -j ACCEPT
ipt iptables -A FORWARD -s 217.0.0.0/13 -d $FRITZBOXIP/32 -i ppp256 -p tcp -m multiport --dport 5060:5061 -j ACCEPT
ipt iptables -A FORWARD -s 217.0.0.0/20 -d $FRITZBOXIP/32 -i ppp256 -p udp -m multiport --dport 7078:7109 -j ACCEPT
ipt iptables -A FORWARD -s 217.0.0.0/20 -d $FRITZBOXIP/32 -i ppp256 -p tcp -m multiport --dport 7078:7109 -j ACCEPT
#



# Telekom VoIP
#
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m multiport --dport 5060:5061 -j MARK --set-xmark 0x10000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m udp --sport 5060 -j MARK --set-xmark 0x10000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m udp --sport 5061 -j MARK --set-xmark 0x10000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m multiport --dport 5060:5061 -j MARK --set-xmark 0x10000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m tcp --sport 5060 -j MARK --set-xmark 0x10000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m tcp --sport 5061 -j MARK --set-xmark 0x10000000/0xf0000000


ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m udp --dport 3478 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m udp --sport 3478 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m tcp --dport 3478 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m tcp --sport 3478 -j MARK --set-xmark 0x20000000/0xf0000000

ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m multiport --dport 7078:7109 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m multiport --sport 7078:7109 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m multiport --dport 7078:7109 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m multiport --sport 7078:7109 -j MARK --set-xmark 0x20000000/0xf0000000

Wie man sieht betreibe ich eine Fritzbox als SIP-Gateway hinter einem Router, hier also statt $FRITZBOXIP die entsprechende LAN-IP der SIP-Telefonanlage eintragen.