10
SIP Port ändert sich
Hallo,
wir haben seit gut 2 Monaten eine neue Telefonanlage (3CX) und bei dem eingehenden SIP Trunk ändert sich permanent in unterschiedlichen Abständen der Anfrageport des SIP´s
Anhand des Log´s am Router sehe ich dass der SIP-Trunk vom Anbieter aus am Port 5060 raus geht aber bei uns bei einem anderen Port anfragt, zwischen 39000 - 60000
jetzt muss ich jedesmal die NAT Regel ändern damit wir wieder für eingehende Anrufe erreichbar sind laut SIP Provider ist das "normal"
ist es wirklich normal dass sich die Ports ändern - noch dazu in unterschiedlichsten Zeitabständen (zwischen Stunden und mehreren Tagen)?
Beispiele
Jul 25 06:17:12.996: %SEC-6-IPACCESSLOGP: list 104 permitted udp IP-SIP-Anbieter (5060) -> meineöffent.IP(54737)
Jul 24 13:57:11.279: %SEC-6-IPACCESSLOGP: list 104 permitted udp IP-SIP-Anbieter(5060) -> meineöffent.IP(59781)
Jun 27 13:01:00.684: %SEC-6-IPACCESSLOGP: list 104 permitted udp IP-SIP-Anbieter(5060) -> meineöffent.IP(44553)
Jun 20 06:17:41.891: %SEC-6-IPACCESSLOGP: list 104 permitted udp IP-SIP-Anbieter(5060) -> meineöffent.IP(43703)
Eine Möglichkeit dies irgendwie abzufangen gibt es mir bekanntlich nicht, kann schlecht jeden Port in diesem Bereich auf 5060 NATen
An der FW kann es nicht liegen da die IP des SIP-Anbieters pauschal freigegeben ist
Falls es irgendwie wichtig ist - die Telefonanlage hängt hinter einem CISCO 881 Router auf dem auch die Firewall läuft.
wir haben seit gut 2 Monaten eine neue Telefonanlage (3CX) und bei dem eingehenden SIP Trunk ändert sich permanent in unterschiedlichen Abständen der Anfrageport des SIP´s
Anhand des Log´s am Router sehe ich dass der SIP-Trunk vom Anbieter aus am Port 5060 raus geht aber bei uns bei einem anderen Port anfragt, zwischen 39000 - 60000
jetzt muss ich jedesmal die NAT Regel ändern damit wir wieder für eingehende Anrufe erreichbar sind laut SIP Provider ist das "normal"
ist es wirklich normal dass sich die Ports ändern - noch dazu in unterschiedlichsten Zeitabständen (zwischen Stunden und mehreren Tagen)?
Beispiele
Jul 25 06:17:12.996: %SEC-6-IPACCESSLOGP: list 104 permitted udp IP-SIP-Anbieter (5060) -> meineöffent.IP(54737)
Jul 24 13:57:11.279: %SEC-6-IPACCESSLOGP: list 104 permitted udp IP-SIP-Anbieter(5060) -> meineöffent.IP(59781)
Jun 27 13:01:00.684: %SEC-6-IPACCESSLOGP: list 104 permitted udp IP-SIP-Anbieter(5060) -> meineöffent.IP(44553)
Jun 20 06:17:41.891: %SEC-6-IPACCESSLOGP: list 104 permitted udp IP-SIP-Anbieter(5060) -> meineöffent.IP(43703)
Eine Möglichkeit dies irgendwie abzufangen gibt es mir bekanntlich nicht, kann schlecht jeden Port in diesem Bereich auf 5060 NATen
An der FW kann es nicht liegen da die IP des SIP-Anbieters pauschal freigegeben ist
Falls es irgendwie wichtig ist - die Telefonanlage hängt hinter einem CISCO 881 Router auf dem auch die Firewall läuft.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 477506
Url: https://administrator.de/contentid/477506
Printed on: April 24, 2024 at 22:04 o'clock
10 Comments
Latest comment
Hallo,
das ist normal, dass diese Anfragen über dynamische Ports zurückkommen. Dies muss ordentlich eingerichtet werden, dann gibt es kein Problem.
Woher habt Ihr die 3cx denn bezogen? Der, der die eingerichtet hat, sollte das auch "rund" machen können, ansonsten schreib uns gerne.
Viele Grüße,
Christian
das ist normal, dass diese Anfragen über dynamische Ports zurückkommen. Dies muss ordentlich eingerichtet werden, dann gibt es kein Problem.
Woher habt Ihr die 3cx denn bezogen? Der, der die eingerichtet hat, sollte das auch "rund" machen können, ansonsten schreib uns gerne.
Viele Grüße,
Christian
Hallo Christian,
die 3CX hab ich selbst aufgesetzt - nur die Lizenz wurde extern bezogen.
Die FW wurde dann von einem unserer externen EDV-Partner "eingerichtet" - der uns auch nach jeder Port-Änderung den neuen Port NATet
die 3CX hab ich selbst aufgesetzt - nur die Lizenz wurde extern bezogen.
Die FW wurde dann von einem unserer externen EDV-Partner "eingerichtet" - der uns auch nach jeder Port-Änderung den neuen Port NATet
Liegt dann wohl eher am Provider? Für die 3CX steht hier was anderes: https://www.3cx.com/docs/manual/firewall-router-configuration/#h.tv64ako ...
Zitat von @bloodstix:
Liegt dann wohl eher am Provider? Für die 3CX steht hier was anderes: https://www.3cx.com/docs/manual/firewall-router-configuration/#h.tv64ako ...
Liegt dann wohl eher am Provider? Für die 3CX steht hier was anderes: https://www.3cx.com/docs/manual/firewall-router-configuration/#h.tv64ako ...
Liegt allgemein, was, wie eingerichtet wurde. Natürlich ist SIP/VoIP auch nicht ganz trivial.
Zeigt das der EDV Partner wenig bis keinerlei Ahnung von Netzwerk Technik hat. Normal geht das Application Gateway in der Firewall damit korrekt um wenn man es denn richtig einrichtet. Aber auch mit eine simplen stateful Konfig klappt es fehlerlos wenn Stun aktiviert ist.
Wie man so ein zentral wichtiges Element wie eine Firewall an Fremde „outsourcen“ kann ist so oder so völlig unverständlich. Was dabei rauskommt wenn Fachfremde sowas unter ihren Fingern haben sieht man ja. Im heutigen Standard VoIP Umfeld ist sowas mittlerweile ein Allerwelts Standard.
Grundlagen dazu auch hier
VoIP-Telefonie über SIP-Client "Zoiper" (FritzBox 7560 als Router)
Wie man so ein zentral wichtiges Element wie eine Firewall an Fremde „outsourcen“ kann ist so oder so völlig unverständlich. Was dabei rauskommt wenn Fachfremde sowas unter ihren Fingern haben sieht man ja. Im heutigen Standard VoIP Umfeld ist sowas mittlerweile ein Allerwelts Standard.
Grundlagen dazu auch hier
VoIP-Telefonie über SIP-Client "Zoiper" (FritzBox 7560 als Router)
Unterstützt euer Provider SIP über TCP?
Wenn ja, einfach TCP benutzen.
In jedem Fall den Registrierungs-Intervall an eurer Anlage verringern (so 180-300 Sekunden), damit auch die kiebigste Firewall merkt, dass die Verbindung noch lebt.
Port-Forwarding ist dann auch nicht mehr nötig...
Falls die Anlage Möglichkeiten hat, Keepalive für SIP zu aktivieren, sollte das auf jeden Fall aktiviert werden.
Wenn ja, einfach TCP benutzen.
In jedem Fall den Registrierungs-Intervall an eurer Anlage verringern (so 180-300 Sekunden), damit auch die kiebigste Firewall merkt, dass die Verbindung noch lebt.
Port-Forwarding ist dann auch nicht mehr nötig...
Falls die Anlage Möglichkeiten hat, Keepalive für SIP zu aktivieren, sollte das auf jeden Fall aktiviert werden.
wir sind eine kleine Steuerberatungskanzlei - da spielt sich ein echter IT-Techniker leider nicht
Stun wird nicht verwendet weil der Telefonserver im Haus steht.
soweit ich das jetzt kurz nachgelesen hab müsste es an der FW die Möglichkeit geben die RTP Ports zusammen zu fassen
Dann müssen wir mal schauen ob der CISCO 881 das überhaupt unterstützt.
Stun wird nicht verwendet weil der Telefonserver im Haus steht.
soweit ich das jetzt kurz nachgelesen hab müsste es an der FW die Möglichkeit geben die RTP Ports zusammen zu fassen
Dann müssen wir mal schauen ob der CISCO 881 das überhaupt unterstützt.
Was meinst du damit
Was ist euer EDV-Partner dann?
wir sind eine kleine Steuerberatungskanzlei - da spielt sich ein echter IT-Techniker leider nicht
Was ist euer EDV-Partner dann?
das war eigentlich als Antwort gedacht - weil es es für dich unverständlich ist das wir die FW von "Fremden" machen lassen
Nein, für @aqui, wir betreuen für unsere Kunden auch die FW.
