sipper3000
Goto Top

Minimale VOIP Ports für TK Anlage?

Angenommen folgender Aufbau:

VOIP Provider -------- Firewall ------ Lokale VOIP TK ------- IP Telefone (lokales Netzwerk)

Was sind die minimal freizuschaltenden INCOMING Ports in der Firewall?
Müssen SIP 5060(UDP) und RTP (z.B. 9000-9100 UDP) beide als INCOMING in der Firewall erlaubt (allow rule) werden?

Kann ich bei den SIP bzw. RTP Ports eine Filterrung der Source IP vornehmen? Kommen alle Anfragen nur von der IP des VOIP Provider oder auch direkt von den Gesprächspartnern (Anrufer)?

Ps: Es wird kein STUN, SIP-ALG, etc genutzt.

Content-ID: 563736

Url: https://administrator.de/contentid/563736

Ausgedruckt am: 13.11.2024 um 07:11 Uhr

aqui
aqui 08.04.2020 um 11:41:28 Uhr
Goto Top
Siehe hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Kapitel: VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:
Dort steht alles was du wissen musst.
Kann ich bei den SIP bzw. RTP Ports eine Filterrung der Source IP vornehmen?
SIP ja, denn das regelt nur den Aufbau. Die RTP Verbindungen werden dann aber direkt mit den Teilnehmer IPs der Endgeräte gemacht.
Guckst du dazu auch hier:
VoIP-Telefonie über SIP-Client "Zoiper" (FritzBox 7560 als Router)
Sipper3000
Sipper3000 08.04.2020 aktualisiert um 12:22:35 Uhr
Goto Top
Die Links hatte ich mir angesehen. Allerdings werden dort meistens sehr viele Ports freigegeben. Ich interessiere mich eher für die minimal nötigen. Nach meinen Tests läuft die Sprachtelefonie bereits, wenn ich INCOMING 5060 und die RTP-Ports (INCOMING) von jeder Source-IP an die IP der TK Anlage freigebe.

Meine Frage war ob man da noch restriktiver sein kann. Beispielsweise die Source-IP für SIP kann ich noch einfügen. Kann ich noch mehr Restriktionen einfügen? Müssen 5060 und RTP-Ports beide als INCOMING freigeschaltet sein oder wird eventuell SIP oder RTP immer von der TK initiiert, sodass OUTGOING Regeln reichen würden? Ich nutze wie gesagt kein STUN oder ähnliche zusätzliche NAT Umgehungen.
Walter1337
Walter1337 08.04.2020 um 13:33:52 Uhr
Goto Top
Hallo Sipper3000,

wenn wir die Firewall für Kunden konfiguriert haben, war immer das übliche Vorgehen, beim SIP Provider anzufragen welche Ports incoming und outgoing benötigt werden. Ich habe hier schon die Erfahrung gemacht, dass manche Provider spezielle Ports zur Qualitätssicherung o.ä. verwenden.
Desweiteren haben wir nach dem SIP Server (DNS Name oder IP) gefragt und die Regel ausschließlich für diese Adresse (Oder Adresspool) freigegeben.

Damit fährst du denke ich in Punkto Sicherheit am Besten.