7
Braucht man bei VoIP hinter einem NATRouter oder Firewall Portforwarding?
Gruß in die Runde,
kurz vorab: ich bin Anfänger in Sachen VoIP, interessiere mich aber gern für neue Dinge.
Hab mir mal 3cx als TK-Anlage angeschaut. Gefällt mir alles sehr gut.
Es wird aber immer wieder darauf hingewiesen, dass der "Firewall-Checker"
von 3cx erfolgreich durchlaufen muss bzw. die genannten Ports des Firewall-Checkers vom Router zur TK-Anlage geleitet werden müssen.
Ist das wirklich so? Ist doch ein Sicherheitsrisiko, wenn man keine separaten VLANs mit Regeln baut..
Hat es jemand mal ohne Portweiterleitungen zum Laufen gebracht? Geht sowas überhaupt ohne Portforwarding oder ist das zwingend?
Eine fritzbox hinter dem IPfire macht seine Aufgabe als TK-Anlage ohne weitergeleitete Ports auch super, also muss es ja ohne gehen, oder?
.
Schönen Tag noch
kurz vorab: ich bin Anfänger in Sachen VoIP, interessiere mich aber gern für neue Dinge.
Hab mir mal 3cx als TK-Anlage angeschaut. Gefällt mir alles sehr gut.
Es wird aber immer wieder darauf hingewiesen, dass der "Firewall-Checker"
von 3cx erfolgreich durchlaufen muss bzw. die genannten Ports des Firewall-Checkers vom Router zur TK-Anlage geleitet werden müssen.
Ist das wirklich so? Ist doch ein Sicherheitsrisiko, wenn man keine separaten VLANs mit Regeln baut..
Hat es jemand mal ohne Portweiterleitungen zum Laufen gebracht? Geht sowas überhaupt ohne Portforwarding oder ist das zwingend?
Eine fritzbox hinter dem IPfire macht seine Aufgabe als TK-Anlage ohne weitergeleitete Ports auch super, also muss es ja ohne gehen, oder?
.
Schönen Tag noch
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3065798803
Url: https://administrator.de/contentid/3065798803
Ausgedruckt am: 25.11.2024 um 03:11 Uhr
7 Kommentare
Neuester Kommentar
Auch einen schönen Tag.
Nein, man braucht nicht zwingend ein Portforwarding.
Moderne Anlagen wie Swyx z.B. verbinden sich über Connectoren von Innen nach Außen, so dass keine Forwards notwendig sind. Wie das bei 3cx ist, weiß ich leider nicht. Hier schaust du am Besten mal in ein Ablauf-/Blockdiagramm in der Anlagendokumentation.
Da der Verbindungsaufbau über TCP (SIP) funktioniert, ist das auch bei allem häufig vorherrschenden Schlamassel das kleinste Problem. Eher hakt es an der korrekten Übertragung der Sprachpakete, die über RTP (basiert auf UDP) erfolgt.
Je nach Komplexität des Netzwerks, kann man Tage mit der Fehlersuche verbringen, weil die Pakete falsch geroutet werden. Und da rede ich nicht mal von Anfängerfehlern wie z.B. NAT auf internen Interfaces.
Risiko? Ja, wie bei allem. Man muss, abhängig von der Risikoaversion, den Mittelweg zwischen Paranoia und Scheunentor finden. VLAN/Segmentierung sind eine sinnvolle Maßnahme, müssen aber administriert und verstanden werden.
Eine TK in einem segmentierten Netz mit Anbindung von Außenstellen "mal eben so" einzurichten --> vergiss es.
Es braucht behutsame Schritte. Du findest hier exzellente Tutorials, die beim Grundverständnis von Netzwerken anfangen und weiter gehen bis zu den feinsten Spezialtäten. Aber du wirst viel Zeit und eine hohe Frustrationsresistenz brauchen.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Im unteren Teil sind etliche Tutorials verlinkt.
Nein, man braucht nicht zwingend ein Portforwarding.
Moderne Anlagen wie Swyx z.B. verbinden sich über Connectoren von Innen nach Außen, so dass keine Forwards notwendig sind. Wie das bei 3cx ist, weiß ich leider nicht. Hier schaust du am Besten mal in ein Ablauf-/Blockdiagramm in der Anlagendokumentation.
Da der Verbindungsaufbau über TCP (SIP) funktioniert, ist das auch bei allem häufig vorherrschenden Schlamassel das kleinste Problem. Eher hakt es an der korrekten Übertragung der Sprachpakete, die über RTP (basiert auf UDP) erfolgt.
Je nach Komplexität des Netzwerks, kann man Tage mit der Fehlersuche verbringen, weil die Pakete falsch geroutet werden. Und da rede ich nicht mal von Anfängerfehlern wie z.B. NAT auf internen Interfaces.
Risiko? Ja, wie bei allem. Man muss, abhängig von der Risikoaversion, den Mittelweg zwischen Paranoia und Scheunentor finden. VLAN/Segmentierung sind eine sinnvolle Maßnahme, müssen aber administriert und verstanden werden.
Eine TK in einem segmentierten Netz mit Anbindung von Außenstellen "mal eben so" einzurichten --> vergiss es.
Es braucht behutsame Schritte. Du findest hier exzellente Tutorials, die beim Grundverständnis von Netzwerken anfangen und weiter gehen bis zu den feinsten Spezialtäten. Aber du wirst viel Zeit und eine hohe Frustrationsresistenz brauchen.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Im unteren Teil sind etliche Tutorials verlinkt.
Da der Verbindungsaufbau über TCP (SIP) funktioniert
Solche gravierenden Fehler die dann Anfänger bewusst falsch informiert sollte man aber in einem Administrator Forum nun wirklich nicht machen!https://de.wikipedia.org/wiki/Session_Initiation_Protocol
Lesenswert zu dem Thema:
VoIP-Telefonie über SIP-Client "Zoiper" (FritzBox 7560 als Router)
Pfsense mit easybell VoIP Cloud Anlage
VOIP hinter pfsense ohne(!) Portfreigaben (und auch ohne STUN und SIP-ALG)
Mea culpa. Natürlich wird UDP auch benötigt für den Rufaufbau.
Ja, das war eine Fehlinformation und sollte hier nicht vorkommen.
Ja, das war eine Fehlinformation und sollte hier nicht vorkommen.
Zitat von @148523:
Da der Verbindungsaufbau über TCP (SIP) funktioniert
Solche gravierenden Fehler die dann Anfänger bewusst falsch informiert sollte man aber in einem Administrator Forum nun wirklich nicht machen!Wieso? SIP über TCP ist doch sogar insbesondere bei NAT die stabilere Methode?
Empfehle ich immer wo es möglich ist
1Zitat von @LordGurke:
Wieso? SIP über TCP ist doch sogar insbesondere bei NAT die stabilere Methode?
Empfehle ich immer wo es möglich ist
Zitat von @148523:
Da der Verbindungsaufbau über TCP (SIP) funktioniert
Solche gravierenden Fehler die dann Anfänger bewusst falsch informiert sollte man aber in einem Administrator Forum nun wirklich nicht machen!Wieso? SIP über TCP ist doch sogar insbesondere bei NAT die stabilere Methode?
Empfehle ich immer wo es möglich ist
Also für Swyx und QCS als Registrar kann ich das genauso bestätigen.
Bei uns wird kein UDP für den Rufaufbau benötigt.
Gibt aber wohl Anbieter, die das erfordern.
Jeder sollte seine Gedanken und Meinung diesbezüglich einmal mit Blick auf ipv6 überprüfen.
Nat hat nichts mit Sicherheit zu tun.
Nat hat nichts mit Sicherheit zu tun.
Zitat von @2423392070:
Jeder sollte seine Gedanken und Meinung diesbezüglich einmal mit Blick auf ipv6 überprüfen.
Nat hat nichts mit Sicherheit zu tun.
Jeder sollte seine Gedanken und Meinung diesbezüglich einmal mit Blick auf ipv6 überprüfen.
Nat hat nichts mit Sicherheit zu tun.
Absolut richtig.
Allerdings sind hier in erster Linie mal die Hersteller gefordert.
Selbst im Jahre 2022 unterstützt Swyx/Enreach noch immer kein IPv6.
