3
Minimale VOIP Ports für TK Anlage?
Angenommen folgender Aufbau:
VOIP Provider -------- Firewall ------ Lokale VOIP TK ------- IP Telefone (lokales Netzwerk)
Was sind die minimal freizuschaltenden INCOMING Ports in der Firewall?
Müssen SIP 5060(UDP) und RTP (z.B. 9000-9100 UDP) beide als INCOMING in der Firewall erlaubt (allow rule) werden?
Kann ich bei den SIP bzw. RTP Ports eine Filterrung der Source IP vornehmen? Kommen alle Anfragen nur von der IP des VOIP Provider oder auch direkt von den Gesprächspartnern (Anrufer)?
Ps: Es wird kein STUN, SIP-ALG, etc genutzt.
VOIP Provider -------- Firewall ------ Lokale VOIP TK ------- IP Telefone (lokales Netzwerk)
Was sind die minimal freizuschaltenden INCOMING Ports in der Firewall?
Müssen SIP 5060(UDP) und RTP (z.B. 9000-9100 UDP) beide als INCOMING in der Firewall erlaubt (allow rule) werden?
Kann ich bei den SIP bzw. RTP Ports eine Filterrung der Source IP vornehmen? Kommen alle Anfragen nur von der IP des VOIP Provider oder auch direkt von den Gesprächspartnern (Anrufer)?
Ps: Es wird kein STUN, SIP-ALG, etc genutzt.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 563736
Url: https://administrator.de/contentid/563736
Ausgedruckt am: 22.11.2024 um 17:11 Uhr
3 Kommentare
Neuester Kommentar
Siehe hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Kapitel: VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:
Dort steht alles was du wissen musst.
Guckst du dazu auch hier:
VoIP-Telefonie über SIP-Client "Zoiper" (FritzBox 7560 als Router)
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Kapitel: VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:
Dort steht alles was du wissen musst.
Kann ich bei den SIP bzw. RTP Ports eine Filterrung der Source IP vornehmen?
SIP ja, denn das regelt nur den Aufbau. Die RTP Verbindungen werden dann aber direkt mit den Teilnehmer IPs der Endgeräte gemacht.Guckst du dazu auch hier:
VoIP-Telefonie über SIP-Client "Zoiper" (FritzBox 7560 als Router)
Die Links hatte ich mir angesehen. Allerdings werden dort meistens sehr viele Ports freigegeben. Ich interessiere mich eher für die minimal nötigen. Nach meinen Tests läuft die Sprachtelefonie bereits, wenn ich INCOMING 5060 und die RTP-Ports (INCOMING) von jeder Source-IP an die IP der TK Anlage freigebe.
Meine Frage war ob man da noch restriktiver sein kann. Beispielsweise die Source-IP für SIP kann ich noch einfügen. Kann ich noch mehr Restriktionen einfügen? Müssen 5060 und RTP-Ports beide als INCOMING freigeschaltet sein oder wird eventuell SIP oder RTP immer von der TK initiiert, sodass OUTGOING Regeln reichen würden? Ich nutze wie gesagt kein STUN oder ähnliche zusätzliche NAT Umgehungen.
Meine Frage war ob man da noch restriktiver sein kann. Beispielsweise die Source-IP für SIP kann ich noch einfügen. Kann ich noch mehr Restriktionen einfügen? Müssen 5060 und RTP-Ports beide als INCOMING freigeschaltet sein oder wird eventuell SIP oder RTP immer von der TK initiiert, sodass OUTGOING Regeln reichen würden? Ich nutze wie gesagt kein STUN oder ähnliche zusätzliche NAT Umgehungen.
Hallo Sipper3000,
wenn wir die Firewall für Kunden konfiguriert haben, war immer das übliche Vorgehen, beim SIP Provider anzufragen welche Ports incoming und outgoing benötigt werden. Ich habe hier schon die Erfahrung gemacht, dass manche Provider spezielle Ports zur Qualitätssicherung o.ä. verwenden.
Desweiteren haben wir nach dem SIP Server (DNS Name oder IP) gefragt und die Regel ausschließlich für diese Adresse (Oder Adresspool) freigegeben.
Damit fährst du denke ich in Punkto Sicherheit am Besten.
wenn wir die Firewall für Kunden konfiguriert haben, war immer das übliche Vorgehen, beim SIP Provider anzufragen welche Ports incoming und outgoing benötigt werden. Ich habe hier schon die Erfahrung gemacht, dass manche Provider spezielle Ports zur Qualitätssicherung o.ä. verwenden.
Desweiteren haben wir nach dem SIP Server (DNS Name oder IP) gefragt und die Regel ausschließlich für diese Adresse (Oder Adresspool) freigegeben.
Damit fährst du denke ich in Punkto Sicherheit am Besten.
