- Beitrag abonnieren
- Beitrag stummschalten
- Beitrag als ungelesen kennzeichnen
- Beitrag als gelesen kennzeichnen
IP-Adressen/ Ports für Telekom-SIP-Accounts, Firewall-Einstellungen
04.10.2020 10:32 Zuletzt bearbeitet: 04.10.2020 10:33 durch den Autor
Hallo allerseits,
der neue DeutschlandLAN-IP-Anschluss ist in Betrieb gegangen 😀.
Am Router (Draytek: Router + Hardware-Firewall) hängt eine SIP-Telefonanlage (Auerswald Compact-5200), welche die SIP-Accounts ansteuern soll und verwaltet. Die Einrichtung der Accounts funktioniert soweit mit diversen Konfigurationshilfen:
https://www.auerswald.de/de/support/voip-anbieter
https://www.telekom.de/hilfe/festnetz-internet-tv/ip-basierter-anschluss/einstellungen-fuer-die-ip-t...
Für die Firewall benötige ich die IP-Adressen und Ports, die die Telekom für die SIP-Telefonie nutzt, da in der Firewall auch ausgehend nur explizite Server/ Ports freigegeben werden.
Wer kann helfen?
Danke + Gruß!
Gelöst! Gehe zu Lösung.
05.10.2020 08:40 Zuletzt bearbeitet: 05.10.2020 10:16 durch den Autor
Mach was du willst, eine korrekte Antwort gib es in der Form auf deine Frage nicht.
Die Telekom garantiert keine IP der SIP Server in ihrem Netz.
Jede Regel wäre morgen möglicherweise bereits fehlerhaft.
Da die Server über NAPTR Records zugewiesen werden, kann die IP des Zielservers von einer auf die andere Sekunde wechseln.
Eben weil aufgrund einer Störung/Überlastung eines der Rechenzentren gerade depriorisiert wurde.
Natürlich könnte man dir irgend etwas generisches mitteilen
Nach Hause telefoniert wird in 99% der Fälle auf http(s)
Die Migration der kompletten Telefonieinfrasruktur in die Cloud ist aktuell im vollen Gange
Definiere einfach:
Quell-IP: Auerswald IP
Ziel-IP: Any
Protokoll: Any
Port: Any
04.10.2020 10:35
04.10.2020 10:39 Zuletzt bearbeitet: 04.10.2020 10:39 durch den Autor
Die SIP-Registrierung wird von der Auerswald-TK gemacht, der Router hat damit nichts zu tun:
https://www.draytek.de/aktuelle-news-lesen/items/rundschreiben-telekom-thema-srv.html
Und die Auerswald-5200 beherrscht DNS-SRV.
Mir geht es darum, den IP-Adressenpool auf die Telekom-SIP-Server einzuschränken, gerne auch für DNS-SRV.
04.10.2020 10:42
04.10.2020 10:42
- Für die Firewall benötige ich die IP-Adressen und Ports, die die Telekom für die SIP-Telefonie nutzt, da in der Firewall auch ausgehend nur explizite Server/ Ports freigegeben werden.
Warum so kompliziert.
Du erlaubst einfach deiner TK-Anlage ausgehend alles.
04.10.2020 10:43 Zuletzt bearbeitet: 04.10.2020 10:46 durch den Autor
Eine Liste wirst Du nicht bekommen.
Srv wird verwendet, um sehr schnell auf Probleme oder Bedrohungen reagieren zu können.
04.10.2020 10:48 Zuletzt bearbeitet: 04.10.2020 10:49 durch den Autor
Ja, das habe ich gemacht.
Erlaubt werden sollen aber nur die eingehenden zur Telekom gehörigen Anfragen/ Antworten, keine anderen/ fremden Server.
Oder blockt dies die Firewall sowieso, da die Request nicht durch die Auerswald initiiert wurden?
Umweg zu den Telekom-Telefonie-Servern:
https://www.andysblog.de/ip-adressen-der-telekom-telefonie-server-ermitteln
04.10.2020 11:00
lies Dir mal unsere 6 Jahre alte Diskussion bis zum Ende durch. Dort habe ich auch eine Liste gepostet, Du wirst ggf. erkennen, dass Dein Vorhaben unnötig ist.
https://telekomhilft.telekom.de/t5/Telefonie-Internet/liste-sip-server/td-p/378848
04.10.2020 11:32
Nimm es mir nicht krumm, aber deine Anfrage lässt darauf schließen, dass du wenig Ahnung über Netzwerkkonfigurationen hast.
Du versuchst hier etwas besonders sicher zu konfigurieren, Meine Erfahrung sagt mir aber, dass du vermutlich genau das Gegenteil erreichen wirst.
Keep it simple
oder lass es eine Profi machen.
04.10.2020 11:58
An meiner be.ip logge ich permanent Register-Requests. Die Häufigkeit liegt derzeit bei 10..20 pro Tag. War aber auch schon eine Potenz höher.
Da ist von Hause auch der Zugriff auf 5060 erlaubt. Ich hatte da auch mal einen Workaround laufen, um den Adressbereich einzuschränken. Aber es blieb ein Workaround und war Wartungsintensiv.
04.10.2020 12:14
@Gelöschter Nutzer
Das ist ja das was mich meine.
Was meinst du wie viele Firewalls ich bereits gesehen habe, wo der Port 5060 eingehend freigeschaltet war.
Mal mit mehr mal mit weniger guten IP-Filtern.
Es braucht für SIP-Telefonie genau 0 eingehende Regeln und ausgehend nur dann wenn man per default alles sperrt.
04.10.2020 12:18
Dann erklär das doch mal den Leuten bei bintec. Die halten sich bestimmt für Profi's und bewerben ja auch die besondere Sicherheit des Systems.
Das dürfte beim Telekom-Pendant analog sein.
Die Pakete werden vor der userkonfigurablen Firewall ausgeschleust.
04.10.2020 12:24
@Gelöschter Nutzer schrieb:Dann erklär das doch mal den Leuten bei bintec.
Wo ist das Problem? Selbstverständlich muss die TK-Anlage eingehend auf SIP - Verbindungen reagieren. Aber das erfolgt kontrolliert und nur auf den bereits bestehenden Verbindungen.
Soll man die Abweisungsmeldungen ausblenden, damit der Anwender sich keine Sorgen macht?
04.10.2020 12:32
@Gelöschter Nutzer
Fakt ist doch, dass es im SIP-Protokoll auf Kundenseite nicht einen Verbindung gibt, die aus dem WAN ins LAN aufgebaut wird.
Lustig wird es doch erst, wenn jemand versucht ein Telefon von außen auf seiner z.B: im Betrieb stehende Telefonanlage zu schalten und meint ein VPN wäre total überbewertet und das SIP-Gerätepasswort 123456 mehr als ausreichend - damit man es sich leicht merken kann.
Hat er dann eine Telefonrechnung von 5000€ am Monatsende wird auf die Telekom geschimpft.
04.10.2020 13:27
@Kalle2014 schrieb:
@Gelöschter Nutzer schrieb:Dann erklär das doch mal den Leuten bei bintec.
Wo ist das Problem? Selbstverständlich muss die TK-Anlage eingehend auf SIP - Verbindungen reagieren. Aber das erfolgt kontrolliert und nur auf den bereits bestehenden Verbindungen.
Du erklärst mir gerade, dass ich offenen Verbindungen nach aller Herren Länder habe?
04.10.2020 13:55
@Gelöschter Nutzer schrieb:Du erklärst mir gerade, dass ich offenen Verbindungen nach aller Herren Länder habe?
Nein, das habe ich nicht. Du interpretierst wohl die Meldungen der be.IP plus falsch.
05.10.2020 08:16 Zuletzt bearbeitet: 05.10.2020 08:17 durch den Autor
Es braucht für SIP-Telefonie genau 0 eingehende Regeln und ausgehend nur dann wenn man per default alles sperrt.
Genau das ist hier der Fall, es sind ausgehend nur notwendig Standardports ausgehend freigegeben, 53, 80,443 usw..
Auf ausgehend freigegebenen Sonderports sind zudem die Ziel-IPs vergeben, damit nicht authorisierte Programme diesen Port nicht zum 'Nach-Hause-telefonieren' nutzen können.
Eingehend oder als Portweiterleitung ist nichts offen.
Deshalb nochmals die Frage:
Welche Ports und Ziel-IPs braucht die Auerswald, damit Telekom-SIP funktioniert?
Danke + Gruß
05.10.2020 08:40 Zuletzt bearbeitet: 05.10.2020 10:16 durch den Autor
Mach was du willst, eine korrekte Antwort gib es in der Form auf deine Frage nicht.
Die Telekom garantiert keine IP der SIP Server in ihrem Netz.
Jede Regel wäre morgen möglicherweise bereits fehlerhaft.
Da die Server über NAPTR Records zugewiesen werden, kann die IP des Zielservers von einer auf die andere Sekunde wechseln.
Eben weil aufgrund einer Störung/Überlastung eines der Rechenzentren gerade depriorisiert wurde.
Natürlich könnte man dir irgend etwas generisches mitteilen
Nach Hause telefoniert wird in 99% der Fälle auf http(s)
Die Migration der kompletten Telefonieinfrasruktur in die Cloud ist aktuell im vollen Gange
Definiere einfach:
Quell-IP: Auerswald IP
Ziel-IP: Any
Protokoll: Any
Port: Any
07.10.2020 11:40
vielen Dank für Ihren Beitrag.
Hier sind ja schon viele hilfreiche Hinweise eingegangen. Auch Sie selbst haben ja schon die passenden Konfigurationshilfen genannt.
Dem allen und vor allen dem letzten Hinweis von Stefan kann ich nur zustimmen und nichts hinzufügen.
Viele Grüße
Angela G.
09.02.2023 10:56
Bei mir funktionieren folgende Regeln, wobei ich das Telekom-Netz mit /13 sehr großzügig gewählt habe, faktisch sollte auch ein /20 reichen.
Ich habe bereits tcp neben udp ergänzt, so dass auch verschlüsselte Verbindungen klappen sollten:
# Telekom VoIP
#
ipt iptables -A FORWARD -s 217.0.0.0/13 -d $FRITZBOXIP/32 -i ppp256 -p udp -m multiport --dport 5060:5061 -j ACCEPT
ipt iptables -A FORWARD -s 217.0.0.0/13 -d $FRITZBOXIP/32 -i ppp256 -p tcp -m multiport --dport 5060:5061 -j ACCEPT
ipt iptables -A FORWARD -s 217.0.0.0/20 -d $FRITZBOXIP/32 -i ppp256 -p udp -m multiport --dport 7078:7109 -j ACCEPT
ipt iptables -A FORWARD -s 217.0.0.0/20 -d $FRITZBOXIP/32 -i ppp256 -p tcp -m multiport --dport 7078:7109 -j ACCEPT
#
# Telekom VoIP
#
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m multiport --dport 5060:5061 -j MARK --set-xmark 0x10000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m udp --sport 5060 -j MARK --set-xmark 0x10000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m udp --sport 5061 -j MARK --set-xmark 0x10000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m multiport --dport 5060:5061 -j MARK --set-xmark 0x10000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m tcp --sport 5060 -j MARK --set-xmark 0x10000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m tcp --sport 5061 -j MARK --set-xmark 0x10000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m udp --dport 3478 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m udp --sport 3478 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m tcp --dport 3478 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m tcp --sport 3478 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m multiport --dport 7078:7109 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p udp -m multiport --sport 7078:7109 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m multiport --dport 7078:7109 -j MARK --set-xmark 0x20000000/0xf0000000
ipt iptables -t mangle -A FWD_FILTER_LIST -d 217.0.0.0/13 -p tcp -m multiport --sport 7078:7109 -j MARK --set-xmark 0x20000000/0xf0000000
Wie man sieht betreibe ich eine Fritzbox als SIP-Gateway hinter einem Router, hier also statt $FRITZBOXIP die entsprechende LAN-IP der SIP-Telefonanlage eintragen.