8
Mit Home Talk durch die Firewall
Guten Morgen,
kurz zur Infrastruktur:
Telekom Speedport --> pfsense --> Kasade an APs
Das Problem:
Ich möchte die Home Talk App von der Telekom nutzen, dann spare ich mir mehrere Dect-Repeater und muss kein zweites Telefon mit mir herumschleppen.
Mit dieser Scheunentorregel funktioniert alles spitze.
Hier ausgegraut zu sehen meine bisherigen versuche:
Ich fühle mir wie ein Klempner, der wild Löcher in die Wand bohrt und hofft so irgendwann die Wasserleitung zu finden.
Könnt ihr mir sagen, wo ich bohren muss?
Gruß Doc
kurz zur Infrastruktur:
Telekom Speedport --> pfsense --> Kasade an APs
Das Problem:
Ich möchte die Home Talk App von der Telekom nutzen, dann spare ich mir mehrere Dect-Repeater und muss kein zweites Telefon mit mir herumschleppen.
Mit dieser Scheunentorregel funktioniert alles spitze.
Hier ausgegraut zu sehen meine bisherigen versuche:
Ich fühle mir wie ein Klempner, der wild Löcher in die Wand bohrt und hofft so irgendwann die Wasserleitung zu finden.
Könnt ihr mir sagen, wo ich bohren muss?
Gruß Doc
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 380290
Url: https://administrator.de/contentid/380290
Ausgedruckt am: 24.11.2024 um 09:11 Uhr
8 Kommentare
Neuester Kommentar
- Was ist eine "Kasade an APs" ??
- Ist der Speedport als NUR Modem eingerichtet oder als Router Kaskade mit doppeltem NAT ?
- WAS ist "Goldeneradlerbridge" ?? Ist das das lokale LAN und warum "Bridge" machst du da irgendeine Art von Bridging ?
Mit dieser Scheunentorregel funktioniert alles spitze.
An welchem Port der Firewall ??- Lokales LAN ? ("Goldeneradlerbridge" Segment, was auch immer das ist ?!)
- WAN Port ?
- Speedport ?
Ich fühle mir wie ein Klempner, der wild Löcher in die Wand bohrt und hofft so irgendwann die Wasserleitung zu finden.
Das würde ein kundiger Klempner niemals machen, denn der nimmt einen Hand Metalldetektor, findet in Sekunden genau die Wasserleitung, markiert diese und und bohrt entsprechend die Löcher.Nur ein völlig unkundiger Frickler geht so vor wie du es beschreibst, ein richtiger Klempner der weiss was er tut ganz sicher nicht.
Da deine Beschreibung recht laienhaft und oberflächlich ist musst du ein paar mehr und bessere Infos liefern als das von oben:
- WAS willst du erreichen ?
- WO sollen diese Regeln greifen ? WAN Port, Kaskaden Port, lokaler LAN Port
- WIE ist das Netz, bzw. die Kaskade eingerichtet ? Modem, Roter NAT Kaskade
- Ist entsprechends Port Forwarding auf dem Speedport generiert wenn es eine doppelte NAT Router Kaskade ist ?
- Was hat es mit der "Bridge" auf sich ?
- Welche TCP und UDP Ports nutzt deine "Home Talk App" zur Kommunikation ?
Was ist eine "Kasade an APs" ??
Es sind 5 AP die miteinander verbunden sind.
Ist der Speedport als NUR Modem eingerichtet oder als Router Kaskade mit doppeltem NAT ?
Am Speedport habe ich nichts verändert von daher Router?
WAS ist "Goldeneradlerbridge" ?? Ist das das lokale LAN und warum "Bridge" machst du da irgendeine Art von Bridging ?
Die Brücke verbindet den ethernetport (ab dem die 5APs hängen )der pfsense mit dem von der pfsense ausgehenden wlan.
An welchem Port der Firewall ??
Lokales LAN bzw. Bridge von Lan + wifi
WAS willst du erreichen ?
Die Home Talk App nutzen ohne Scheunentorregel
WO sollen diese Regeln greifen ? WAN Port, Kaskaden Port, lokaler LAN Port
Das ist meine Frage, wo muss ich welche Regel erstellen damit die App funktioniert
Ist entsprechends Port Forwarding auf dem Speedport generiert wenn es eine doppelte NAT Router Kaskade ist ?
Nein
Was hat es mit der "Bridge" auf sich ?
Die Brücke verbindet den ethernetport (an dem die 5APs hängen )der pfsense mit dem wlan, was direkt von der pfsense gesendet wird.
Welche TCP und UDP Ports nutzt deine "Home Talk App" zur Kommunikation ?
Das weiß ich nicht. Müsste ich aber für die FW-Regeln wissen.
Es sind 5 AP die miteinander verbunden sind.
Ist der Speedport als NUR Modem eingerichtet oder als Router Kaskade mit doppeltem NAT ?
Am Speedport habe ich nichts verändert von daher Router?
WAS ist "Goldeneradlerbridge" ?? Ist das das lokale LAN und warum "Bridge" machst du da irgendeine Art von Bridging ?
Die Brücke verbindet den ethernetport (ab dem die 5APs hängen )der pfsense mit dem von der pfsense ausgehenden wlan.
An welchem Port der Firewall ??
Lokales LAN bzw. Bridge von Lan + wifi
WAS willst du erreichen ?
Die Home Talk App nutzen ohne Scheunentorregel
WO sollen diese Regeln greifen ? WAN Port, Kaskaden Port, lokaler LAN Port
Das ist meine Frage, wo muss ich welche Regel erstellen damit die App funktioniert
Ist entsprechends Port Forwarding auf dem Speedport generiert wenn es eine doppelte NAT Router Kaskade ist ?
Nein
Was hat es mit der "Bridge" auf sich ?
Die Brücke verbindet den ethernetport (an dem die 5APs hängen )der pfsense mit dem wlan, was direkt von der pfsense gesendet wird.
Welche TCP und UDP Ports nutzt deine "Home Talk App" zur Kommunikation ?
Das weiß ich nicht. Müsste ich aber für die FW-Regeln wissen.
Hi,
Dann aktiviere doch logging entweder auf der Scheunentorregel oder auf einer deny all Regel (bevorzugt).
Dann mußt du nur noch die Logs prüfen und ggf. die Ports entsprechend erlauben.
CH
Welche TCP und UDP Ports nutzt deine "Home Talk App" zur Kommunikation ?
Das weiß ich nicht. Müsste ich aber für die FW-Regeln wissen.
Das weiß ich nicht. Müsste ich aber für die FW-Regeln wissen.
Dann aktiviere doch logging entweder auf der Scheunentorregel oder auf einer deny all Regel (bevorzugt).
Dann mußt du nur noch die Logs prüfen und ggf. die Ports entsprechend erlauben.
CH
Hallo,
ok, zusammenfassend der Beitragsersteller hat mittels
Internetzugang erfolgt über eine Telekom Speedport, welches Modell auch immer.?!
Wie der Speedport konfiguriert ist, wissen wir nicht, der Beitragsersteller anscheinend auch nicht (so) genau.?!
Also alles in allem ziemlich viel gebastel.
Gruss Penny
ok, zusammenfassend der Beitragsersteller hat mittels
Kasade an APs
ein WLAN-Netz gespannt. Damit meint er wohl Kaskade an Access Points.?! Diese besteht laut späterer Antwort aus 5 Access PointsGoldeneradlerbridge
scheint der Name des Netzwerkes (WLAN, LAN) zu sein.Internetzugang erfolgt über eine Telekom Speedport, welches Modell auch immer.?!
Wie der Speedport konfiguriert ist, wissen wir nicht, der Beitragsersteller anscheinend auch nicht (so) genau.?!
Also alles in allem ziemlich viel gebastel.
Gruss Penny
@ChriBo
ich habe jetzt zwei Anrufe geloggt. Werde aber nicht klug daraus. Es scheinen jedes mal andere Ports zu sein. Das Handy hatte die IP x.x.x.107
ich habe jetzt zwei Anrufe geloggt. Werde aber nicht klug daraus. Es scheinen jedes mal andere Ports zu sein. Das Handy hatte die IP x.x.x.107
scheint der Name des Netzwerkes (WLAN, LAN) zu sein.
Mmmh bedeutet dann das LAN und WLAN gebridged wären, was ja ein fataler Fehler wäre 
Goldener Adler hört sich ja nach nem Gasthof an und dort sollte man ja tunlichst ein WLAN vom LAN trennen wenn es denn ein Gast WLAN ist....aber egal.
OK, zum eigentlichen Thema:
Warum willst du denn überhaupt am lokalen LAN Interface einen Filter installieren ?
Normal ist dort doch das, wie gesagt, "lokale LAN und dort darf man oder der Admin eben alles.
Oder ist das sowas wie ein Gäste Segment wo man eben nicht alles darf ??
Gut, wenns letzteres ist dann muss man natürlich einschränken, das ist richtig.
OK, sehen wir uns mal den obigen Fehlerversuch an was dort testweise mal freigegeben wurde:
- Die ersten beiden Einträge ISAKMP und NAT Traversal würden IPsec Clients aus dem lokalen LAN passieren lassen. Allerdings fehlt zur zum IPsec noch das ESP Protokoll damit es funktioniert. In so fern sind diese 2 Einträge also Blödsinn oder müssten mindestens noch um ESP ergänzt werden wenn man IPsec passieren lassen will.
- Nächster Port TCP 50965 ist irgendwas aber nichts fest von der IANA zugewiesenes. Also mehr oder minder ein sinnfreier Eintrag
- Nächster mit TCP 5353 ebenso sinnfrei
- Dann kommt eine TCP Scheunentor Regel die sämtliche TCP Ports passieren lässt...in dem Kontext dann total sinnfrei.
- Dann als letztes TCP 48447. Wie irgendwelcher Phantasieport den keiner kennt und identisch sinnfrei zu 5353 und 50965. Mal ganz davon abgesehen das diese Einträge niemals mehr abgearbeitet würden wenn DAVOR die TCP Scheunentorregel ist die so oder so alles TCP seitige passieren lässt ! First match wins Regel !!!
Mit andereren Worten, da war ein übler Frickler ohne Fachkenntniss am Werk und kein Klempner mit dem Metalldetektor.
Das getestete Regelwerk ist barer Unsinn und ohne Sinn und Verstand. Klar, das sowas in die Hose geht wenn die erlaubten Ports mehr oder minder nach Würfelglück eingetragen wurden...
Eine sinnvolle Regel sähe so aus:
Zuallererst einmal TCP/UDP 53 erlauben damit überhaupt DNS Anfragen durchkommen und Endgeräte generell Namen zu IP Adressen auflösen können !
Dann TCP 80 erlauben, denn viele Apps nutzen HTTP als Transport. Willst du das ausschliessen, dann geht auch kein Surfen.
Home Talk ist eine Voice App. Man muss also davon ausgehen das sie VoIP nutzt und damit SIP und RTP als Protokolle
SIP ist TCP/UDP 5060
RTP nutzt eine dynamische Port Range UDP 16384 bis 32767
Da sie auch mit jedem x-beliebigen VoIP Client wie Zoiper oder Phoner klappt nutzt sie die klassischen VoIP Ports. Siehe auch hier:
https://www.bessr.de/2013/05/09/android-integrierter-sip-client-fur-tele ...
Sieht so aus als ob die auch zusätzlich XMPP nutzen.
https://de.wikipedia.org/wiki/Extensible_Messaging_and_Presence_Protocol
Folglich müsste also eine minimale Firewall Regel an diesem LAN Port so aussehen:
PASS - Source:goldeneradlerbridge.net Port:any --> Destination: any, Port: TCP/UDP 53
PASS - Source:goldeneradlerbridge.net Port:any --> Destination: any, Port: TCP/UDP 5060
PASS - Source:goldeneradlerbridge.net Port:any --> Destination: any, Port: UDP Range: from16384 to 32767
PASS - Source:goldeneradlerbridge.net Port:any --> Destination: any, Port: TCP 5222
PASS - Source:goldeneradlerbridge.net Port:any --> Destination: any, Port: TCP 5223
Das wäre das Minimum um rein nur Home Talk bzw. VoIP durchzulassen.
Hilfe bietet hier das Firewall Log !! (NICHT die State Table wie unten schon richtig gesagt !!)
Log erst löschen, dann einen Home Talk Call machen und dann sehen was ggf. noch an der Firewall hängen bleibt ! Das Log loggt das ALLES mit ! Mit den o.a. Ports sollte VoIP seitig jetzt nix mehr hängen bleiben.
Sieht so aus als ob die auch XMPP nutzen.
Um dann z.B. Surfen oder andere Anwendungen noch dazu zu erlauben musst das Regelwerk noch ergänzt werden um:
PASS - Source:goldeneradlerbridge.net Port:any --> Destination: any, Port: TCP 80
PASS - Source:goldeneradlerbridge.net Port:any --> Destination: any, Port: TCP 443
Wenn man schon strikte Regelwerke definiert an der Firewall, was ja auch Sinn macht, dann sollte man auch wenigstens wissen welche TCP und UDP Ports die Applikationen nutzen die man dort erlauben möchte ! Wie sollte man es auch sonst zum Fliegen bekommen ? 65535 Ports erraten zu wollen ist ja nun mal Blödsinn...
Der Klempner kennt auch die Zollmaße aller seiner Rohre ! Inklusive des eigenen ! Frag mal Meister Röhrich oder Werner !
Hi,
das ist die States Table aber kein Log !
Trotzdem: drei Zielports / Protokolle können schon zugeordnet werden: TCP/5222 (XMPP),TCP/5223 (XMPPover SSL) und 3478 (STUN).
Du must jetzt die entsprechenden "Allow" Regeln vor die LOG Regel setzen und dann weiter suchen bis du alle Ports entdeckt hast und Regeln erstellen kannst; du solltest (kannst ggf.) auch die entsprechenden Destination IPs zuordnen und nur die richtigen erlauben.
kein zauberwerk, ist aber ggf nicht in 5 Minuten gemacht.
CH
das ist die States Table aber kein Log !
Trotzdem: drei Zielports / Protokolle können schon zugeordnet werden: TCP/5222 (XMPP),TCP/5223 (XMPPover SSL) und 3478 (STUN).
Du must jetzt die entsprechenden "Allow" Regeln vor die LOG Regel setzen und dann weiter suchen bis du alle Ports entdeckt hast und Regeln erstellen kannst; du solltest (kannst ggf.) auch die entsprechenden Destination IPs zuordnen und nur die richtigen erlauben.
kein zauberwerk, ist aber ggf nicht in 5 Minuten gemacht.
CH
Zitat von @DocSnyder26:
@ChriBo
ich habe jetzt zwei Anrufe geloggt. Werde aber nicht klug daraus. Es scheinen jedes mal andere Ports zu sein. Das Handy hatte die IP x.x.x.107
@ChriBo
ich habe jetzt zwei Anrufe geloggt. Werde aber nicht klug daraus. Es scheinen jedes mal andere Ports zu sein. Das Handy hatte die IP x.x.x.107
Lass mal den Unsinn, bitte. Gebe uns mal mehr Informationen.
Deine Informationen
kurz zur Infrastruktur:
Telekom Speedport --> pfsense --> Kasade an APs
sind etwas dürftig. BITTE gebe uns detailliertere Informationen.Telekom Speedport --> pfsense --> Kasade an APs
@aqui hat Dir schon ein paar zielführende Fragen gestellt.
Umso besser Du diese beantwortest, umso besser bekommst Du Hilfestellung.
Was hast Du?
Was willst Du erreichen? (LAN, WLAN getrennt, usw.)
Ja Du hast geschrieben, daß DU
Home Talk App von der Telekom nutzen,
willst.Aber irgendwie habe ich das Gefühl es fehlen noch Informationen?
Kannst Du uns eine Zeichnung hochladen (Kamerasysmbol links unten am Editorfeld), daß würde ungemein helfen.
Gruss Penny
