Telekom VoIP hinter Firewall

denkis · ‎22.06.2020

Hallo Zusammen, Guten Abend.

meine Frage wird in gefühlt hunderten Forenbeiträgen behandelt, jedoch gibt es nirgendwo eine verbindliche Aussage, welche Firewallports für VoIP zu konfigurieren sind.

IST Stand:

Telekomanschluss: C&S IP - ADSL

Router: Lancom 1781A

VLAN für Telefon: ja

Endgerät: Gigaset C430 IP - meldet sich direkt beim Registrar der Telekom - Anmeldung ist laut Konfigurationsoberfläche erfolgt.

Konfigurierte Ports:

UDP ausgehend 3478-3479, 5060, 5070, 9000-27000, 30000-30005

TCP ausgehend 80, 443, 5060-5061

UDP eingehend 5060, 5070, 5080, 9000-27000, 30000-30005

- Telefone klingeln, ein- wie ausgehend,

- Gespräche sind nicht möglich - wenn etwas übertragen wird, ist es abgehackt und bricht nach ca. 20-30 Sekunden ab.

Die großen Portranges sind nur aus Verzweiflung offen. Sie standen in einem PDF Dokument der Telekom, welches Sip Trunks für Business Kunden behandelte. Meines wissens haben die Homeanschlüsse jedoch Einzelrufnummern, keine Sip Trunks.

Offenbar fehlen noch Ports für die Sprachübertragung und das halten der Verbindung.

Nur welche?

Vielen Dank für Eure Unterstützung.

mfg

deki

denkis · ‎23.06.2020

Hallo Zusammen...

und ein herzliches Dankeschön an Alle für die Unterstützung.

@Gelöschter NutzerSTUN hatte ich konfiguriert, sowohl im Telefon als auch in der Firewall

@talkdie UDP Ports 5004 - 5008 hatte ich probiert inkl. Weiterleitung ein- wie ausgehend und inkl. direktem Forwarding von außen nach innen - leider ohne Erfolg

@fdija ich verfolge ein "Deny all" Strategie und muss hier einen kleinen Dateiserver schützen. Da Telekomboxen und FritzCo's wenig mit VLAN können, hab ich mich dafür entschieden. So kann ich auch mein Netz von dem meiner Mitbewohner abschirmen. Sehr komfortabel

@muc80337_2das Problem bestand ein- wie ausgehend

@viper.dedu hattest den richtigen Tip - "Sip ALG" ist die Lösung! Vielen Dank.

@Caox auch Dir vielen Dank für Screenshot.

Lösung:

- Auf der Lancom im Menübaum

--> "Sonstige Dienste" wählen

--> Bereich "SIP Application Layer Gateway" suchen

--> Checkbox "SIP-ALG aktiviert" einschalten

--> Checkbox "Firewall-Sperrregeln für weitergeleitete SIP-Pakete ignorieren" einschalten

Danach hab ich alle Firewallregeln dazu entfernt, ebenso wie alle eingehenden Portforawardings.

Und es funzt.

Vielen Dank.

Beste Grüße

denkis

Lösung in ursprünglichem Beitrag anzeigen

Caox · ‎22.06.2020

Hi ,

wie @viper.de schon beschrieben hat :

schau mal ob du das findest - ich kenne den 1781 A auch nicht von der Konfig her, müsste aber doch ähnlich sein.

oder in der web-gui

Lösung in ursprünglichem Beitrag anzeigen

viper.de · ‎22.06.2020

Hallo @denkis

der 1781A ist ja schon etwas betagt. Gibt es in LanConfig einen Eintrag SIP ALG und ist der aktiviert? Wenn ja, ebenfalls „Firewall-Sperregeln für weitergeleitete SIP-Pakete ignorieren“ eingeschaltet?

Lösung in ursprünglichem Beitrag anzeigen

fdi · ‎22.06.2020

@denkis

dein Lancom-Router darf die von der Telefonie-Box genutzten Ports NICHT nach außen NATten, d.h. der SIP Port 5060 muss auch so im WAN raus gehen. Das Gleiche für die RTP-Ports. Und die Ports müssen vom innen "offen" gehalten werden durch Einstellung eines Keep-Alive in der Telefonie-Box. Da die Telekom für Telefonie ein Symetrisches Verfahren nutzt, müssen im Normalfall auch keinerlei Portweiterleitungen eingerichtet werden.

denkis · ‎22.06.2020

Hi fdi,

Ich habe keine Telefoniebox. Das IP Telefon meldet sich direkt beim Provider an.

Grundsätzlich sollte das so erfüllt sein. Die Regel lautet:

Source Telefon, Dienste alle -> Destination beliebig, Dienste wie Eingangs beschrieben.

Was ich nicht verstehe: "NICHT nach außen NATten"

Ich muss ja mindestens mindestens die IP NATn?

Grüße

denkis

fdi · ‎22.06.2020

Ja, die IP schon, aber nicht die verwendeten Portnummern.

OK, dann die genannte Einstellung im Telefon für das jeweilige Konto.

muc80337_2 · ‎22.06.2020

@denkis schrieb:
Konfigurierte Ports:

UDP ausgehend 3478-3479, 5060, 5070, 9000-27000, 30000-30005

TCP ausgehend 80, 443, 5060-5061

UDP eingehend 5060, 5070, 5080, 9000-27000, 30000-30005

Wo hast Du das her, dass man ausgehend Ports öffnet?

Wenn, dann eingehend.

Ausgehend gibt es vielleicht geöffnete Ports, die man offen halten muss.

https://www.telekom.de/hilfe/festnetz-internet-tv/ip-basierter-anschluss/einstellungen-fuer-die-ip-t...

denkis · ‎22.06.2020

Siehe Anlage,

Die geschwärzten Felder sind VorwahlRufnummer ohne Länderkennzeichen

Beste Grüße

denkis

muc80337_2 · ‎22.06.2020

Probier mal wie da

https://telekomhilft.telekom.de/t5/Telefonie-Internet/VOIP-Einstellungen-Gigaset-C430A-Go/td-p/36347...

denkis · ‎22.06.2020

@muc80337_2

Hi und guten Abend,

vielen Dank für die Nachfrage.

Wie beschrieben ist im Moment einiges aus Verzweiflung konfiguriert worden.

Ein Quelle ist hier Punkt 5.8 :

https://geschaeftskunden.telekom.de/internet-dsl/tarife/festnetz-internet-dsl/deutschlandlan-sip-tru...

Ich hatte jedoch auch eingangs erwähnt, das bei mir wahrscheinlich keine Sip Trunk Einstellungen greifen.

Dein verlinkten Beitrag kenne ich. Dort wird jedoch bei der Frage nach Ports auf den Hersteller verwiesen. Bisher habe ich dazu nichts brauchbares gefunden.

Beste Grüße

denkis

muc80337_2 · ‎22.06.2020

Zuerst würde ich mal damit anfangen, im Router KEINE Weiterleitungen einzurichten.

viper.de · ‎22.06.2020

Hallo @denkis

der 1781A ist ja schon etwas betagt. Gibt es in LanConfig einen Eintrag SIP ALG und ist der aktiviert? Wenn ja, ebenfalls „Firewall-Sperregeln für weitergeleitete SIP-Pakete ignorieren“ eingeschaltet?

denkis · ‎22.06.2020

Hallo @viper.de

Ja, der hat schon etwas weg.

Es gibt leider diesen Eintrag auch nicht, trotz relativ junger Firmware 10.32

Was würde dieser Eintrag machen?

Beste Grüße

denkis

denkis · ‎22.06.2020

@muc80337_2

hab ich probiert. Anmeldung beim Provider passt. Das Fehlerbild ist unverändert. Neustart der Basisstation hab ich natürlich gemacht.

Grüße

denkis

Gelöschter Nutzer · ‎22.06.2020

STUN-Server konfiguriert?

Lässt die Firewall sowas wie Telefon ausgehend alles erlauben zu ?

talk · ‎22.06.2020

Hallo zusammen,

wenn es um ein Gigaset IP-Telefon geht, würde ich die UDP-Ports 5004 - 5008 eingehend freigeben.

cu talk

fdi · ‎22.06.2020

Viele Router-Firewalls bliocken WAN eingehend alles, was nicht explizit erlaubt wird und erlauben LAN ausgehend alles was nicht explizit geblockt wird. Ob die LanCom diesem Ansatz folgt, keine Ahnung.

Ich benötige bei mir in der pfSense keinerlei Portweiterleitungen und auch keinen STUN, nur eine Outbound NAT Static Rule für das Telefon als Source und das Keep-Alive im Telefon. Damit funktionieren SIP und RTP.

muc80337_2 · ‎22.06.2020

Das Fehlerbild war

@denkis schrieb:

- Telefone klingeln, ein- wie ausgehend,

- Gespräche sind nicht möglich - wenn etwas übertragen wird, ist es abgehackt und bricht nach ca. 20-30 Sekunden ab.

D.h. das Problem besteht sowohl beim Raustelefonieren als auch bei ankommenden Gesprächen?

fdi · ‎22.06.2020

Mal eine andere Frage, was hast du das alles in deinem LAN-Netzwerk angeschlossen, was unbedingt den Einsatz einer LanCom, noch dazu dieser sehr alten Version, notwendig macht? Wäre ein Ersatz durch einen "gängigen" Router nicht dann einfacher für dein Nutzungsrahmen?

viper.de · ‎22.06.2020

@denkis schrieb:
Hallo @viper.de
Ja, der hat schon etwas weg.
Es gibt leider diesen Eintrag auch nicht, trotz relativ junger Firmware 10.32
Was würde dieser Eintrag machen?

Der würde vereinfacht gesagt bewirken, dass keinerlei Konfiguration der Firewall benötigt wird. Wir haben an einem SIP Trunk Anschluss einen mit Zusatz VA als Mediagateway, da gibt es diese Konfig Optionen, bei Deinem Gerät fehlt mir die Ahnung.
Nachtrag: Du schriebst was von Vlan für Telefonie, was soll das bewirken? Ist das intern und portbasiert?

Caox · ‎22.06.2020

Hi ,

wie @viper.de schon beschrieben hat :

schau mal ob du das findest - ich kenne den 1781 A auch nicht von der Konfig her, müsste aber doch ähnlich sein.

oder in der web-gui

Gelöschter Nutzer · ‎23.06.2020

Zum Stichwort abgehackt fällt mir eine ausgelastete Leitung ein.

Über was genau für eine Geschwindigkeit reden wir?

QoS dürfte im Router dann auch ein Thema sein.

denkis · ‎23.06.2020

Hallo Zusammen...

und ein herzliches Dankeschön an Alle für die Unterstützung.

@Gelöschter NutzerSTUN hatte ich konfiguriert, sowohl im Telefon als auch in der Firewall

@talkdie UDP Ports 5004 - 5008 hatte ich probiert inkl. Weiterleitung ein- wie ausgehend und inkl. direktem Forwarding von außen nach innen - leider ohne Erfolg

@fdija ich verfolge ein "Deny all" Strategie und muss hier einen kleinen Dateiserver schützen. Da Telekomboxen und FritzCo's wenig mit VLAN können, hab ich mich dafür entschieden. So kann ich auch mein Netz von dem meiner Mitbewohner abschirmen. Sehr komfortabel

@muc80337_2das Problem bestand ein- wie ausgehend

@viper.dedu hattest den richtigen Tip - "Sip ALG" ist die Lösung! Vielen Dank.

@Caox auch Dir vielen Dank für Screenshot.

Lösung:

- Auf der Lancom im Menübaum

--> "Sonstige Dienste" wählen

--> Bereich "SIP Application Layer Gateway" suchen

--> Checkbox "SIP-ALG aktiviert" einschalten

--> Checkbox "Firewall-Sperrregeln für weitergeleitete SIP-Pakete ignorieren" einschalten

Danach hab ich alle Firewallregeln dazu entfernt, ebenso wie alle eingehenden Portforawardings.

Und es funzt.

Vielen Dank.

Beste Grüße

denkis

Telekom VoIP hinter Firewall

Social Media