mimemmm
Goto Top

Alle VOIP Ports in Firewall öffnen?

Ich nutze eine Fritzbox als VOIP Telefonanlage hinter meiner Pfsense und hatte Ärger damit sie zum Laufe zu kriegen.

Nach dieser Anleitung hat es funktioniert: https://blog.root32.eu/2017/01/voip-mit-fritzbox-und-pfsense/

Die öffnet allerdings auch alle eingehenden Ports 7078-7109 und 5060 in der Firewall und lässt somit alle ankommenden UDP Packete zur Fritzbox durch(Filter rule association: Pass). Deswegen mache ich mir doch Gedanken ob das Setup wirklich eine gute Idee ist

An der Fritte selbst hängen IP Telefone und sie ist gleichzeitig auch Wlan AP für das interne Netz.

Ist das so sicher?

Content-ID: 563535

Url: https://administrator.de/contentid/563535

Ausgedruckt am: 26.11.2024 um 15:11 Uhr

cykes
cykes 08.04.2020 um 06:55:42 Uhr
Goto Top
Moin,

sicher ist es, sofern in der FritzBox ordentliche Passwörter vergeben wurde, damit sich keine Telefoniegeräte von außen andocken können.
Diese Einstellungen in der pfSense müssen vorgenommen werden, damit die TK-Anlage in der FitzBox funktioniert. Das trifft aber auf jegliche VoIP-TK-Anlage zu, ist die Firewall dicht, geht keine Telefonie. Bspw. bringt 3cx noch eine eigene Firewall mit, die bei x fehlgeschlagenen Loginversuchen die IP sperrt. Momentan beobachtet man auf den 3cx Systemen, die wir verwalten, wieder verstärkt CallThrough und allgemeine Loginversuche von (vermnutlich) Bots.

Gruß

cykes
Looser27
Looser27 08.04.2020 um 09:39:26 Uhr
Goto Top
Moin,

als erstes packst Du die gesamte Telefonie mal in ein separates VLAN. Für Dein WLAN brauchst Du dann aber einen neuen AP.....
Dann ist zumindest mal nur in diesem VLAN eine großzügigere Firewall möglich (ist aber eigentlich nicht erforderlich).
Dann gibt es vom Kollegen @aqui eine tolle Anleitung hier im Forum zum Thema VOIP und pfSense. Einfach mal suchen.

Gruß

Looser
aqui
Lösung aqui 08.04.2020 aktualisiert um 11:46:57 Uhr
Goto Top
hinter meiner Pfsense und hatte Ärger damit sie zum Laufe zu kriegen.
Guckst du hier:
Minimale VOIP Ports für TK Anlage?
Du musst ohne STUN Server diese Ports zwangsweise öffnen, denn RTP nutzt dynamische Ports wie man als Netzwerker ja weiss. Du kannst also niemals wissen welchen UDP Port der RTP Port Range dein Provider für die Voice Daten zu deiner Anlage öffnet. Da der Provider das initiiert bist du davon abhängig.
Gute Provider geben aber immer die Port Range an so das man die Firewall entsprechend strikter customizen kann.
Sinnvoller, und bei VoIP auch üblich, ist aber immer ein STUN Server.