• Wir sind dabei, den Suchindex des Forums neu aufzubauen. Bis ca. 6 Uhr morgens kann die Qualität der Suchergebnisse variieren.
  • Hardwareluxx führt derzeit die Hardware-Umfrage 2025 (mit Gewinnspiel) durch und bittet um eure Stimme.

Telekom VDSL + VOIP - Ausgehende Ports

T

Tr4c3rt

Enthusiast
Thread Starter
Mitglied seit
21.09.2013
Beiträge
1.677
Ort
Dortmund
Hallo,

ich betreibe für meine Telefonie hinter einer Sophos UTM, einen Cisco Voip Gate.

Nun habe ich die entsprechenden Ports aus und eingehend freigeschaltet, wie der Telekomseite entnommen:

Code: 
    UDP (out): Ports 5060, 30000-31000, 40000-41000, 3478, 3479
    UDP (in): Ports 5070, 5080, 30000-31000, 40000-41000
    TCP (out): Port 80, 443

Die Numnmer wird auch anständig registriert und eingehende Anrufe werden signalisiert.


Nur leider kann ich nicht telefonieren, weil sobald das Gespräch angenommen wird, reißt es ab.

Im Firewall log konnte ich nachvollziehen, dass vom dem SPA ausgehende Verbindungen geblockt wurden, allerdings liegen die auch auf Zielports die garnicht im freizuschaltenden Bereichen lagen. (Und vor Allem waren es bei jedem Anruf andere Ports)

Nur wenn ich dem SPA ausgehend Alle UDP Verbindungen erlaube konnte ich telefonieren.

Woran liegt das und kann man irgendwelche weiteren Einschränkungen vornehmen?

Vielen Dank
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
a) Sicherheit
b) Kann unter anderem auch gegen botnetze oder bei Virenbefall Helfen. In Firmennetzen wuerde ich es sowieso machen.

Ich habe meine Ausgehenden Ports nicht blockiert aber als ich vor eine weile meine Asterisk eingerichtet hatte, wollte glaube ich standardmaessig ports bis in den bereich 6000 benutzen. Eventuell musst du deine Cisco nachkonfigurieren.
 
Eventuell musst du deine Cisco nachkonfigurieren.
Zum Vergrößern anklicken....

Ich wüsste jetzt nicht wie.
Die Ports waren weder ausgehend noch eingehend in irgendeiner Weise einzuschränken und lagen bei 4-5 Versuchen im nahezu kompletten Spektrum. (Der erste um die 6000, mehrfach 16xxx, einmal 48xxx)

Das Ganze betrifft übrigens sowohl ausgehende, als auch eingehende Anrufe.
Sobald angenommen wird ist das Gespräch weg.
 
Zuletzt bearbeitet:
Ist das Eine Cisco/Sipura SPA die auch als router fungieren kann?
 
Ich habe leider ne andere.
Ich hatte meine nie direkt mit der Telekom knofiguriert, aber aber du solltest die Ports anpassen koennen.
Bei der SPA 3102 kannst du in den Router eigenschaften die Systemports anpassen. (Das ist dann wahrscheinlich keine Option bei dir)

Aber wenn es klingelt und die Gespraeche aufgebaut werden tippe ich mal dass es Probleme bei der RTP Verbindung gibt. Diese laeuft normalerweise ueber UDP und ist bei meiner SPA konfigurierbar.

Um diese aber zu sehen musst du das Webinterface zuerst in den advanced mode schalten. Bei mir ist dazu oben rechts ein Link.
Im advanced mode gehe in die Voice konfiguration und waehle den SIP Tab.
Dort sollten jetzt die RTP parameter konfigurierbar sein inklusive min port und max port.
 
In welche Bereiche muss ich die denn dann legen?
Ich vermute mal 30000-31000 und 40000-41000

Wenn ich zuhause bin schaue ich mal nach ob ich das ändern kann!
 
dirk11 schrieb:
Weil es "sicherer" ist?
a) Unfug
b) siehe a)
Zum Vergrößern anklicken....

Schritt 1 Verbiete ausgehendes http und https
Schritt 2 Richte einen Proxy fuer deine Nutzer ein und erlaube diesem ausgehendes http und https
Schritt 3 verbite alle anderen ausgehenden Verbindungen ausser denen die explizit gebraucht werden.

Und schon ist einiges an moderner malware ausser gefecht gesetzt selbst wenn es zu einer infektion kommt. Soweit ich weiss gibt es auch kryptlocker Varianten die nichts machen wenn sie keine Verbindung zum Control Server bekommen.
 
skelleton schrieb:
Schritt 1 Verbiete ausgehendes http und https
Schritt 2 Richte einen Proxy fuer deine Nutzer ein und erlaube diesem ausgehendes http und https
Schritt 3 verbite alle anderen ausgehenden Verbindungen ausser denen die explizit gebraucht werden.

Und schon ist einiges an moderner malware ausser gefecht gesetzt selbst wenn es zu einer infektion kommt. Soweit ich weiss gibt es auch kryptlocker Varianten die nichts machen wenn sie keine Verbindung zum Control Server bekommen.
Zum Vergrößern anklicken....
Was ist denn das für eine Art, Schlangenöl einzusetzen? Wenn "Malware" ausgehenden traffic erzeugt, hat man wohl vorher schon irgendwo mal was richtig verkackt.
 
Passiert leider immer wieder.
Die Frage ist eher warum solte man den ausgehenden traffic nicht filtern wenn man weiss was raus gehen soll.
 
Tr4c3rt schrieb:
Stellt bitte nicht mein Sicherheitskonzept in Frage, das wird hier langsam OT.
Zum Vergrößern anklicken....
"Alles dichtmachen" und dann nicht wissen, was man benötigt, ist aber kein "Sicherheitskonzept", sondern Augenwischerei, die vollkommen zu Recht in Frage gestellt wird. Aber Wunsch ist Wunsch, ich sag da mal nichts weiter zu.
 
dirk11 schrieb:
"Alles dichtmachen" und dann nicht wissen, was man benötigt, ist aber kein "Sicherheitskonzept", sondern Augenwischerei, die vollkommen zu Recht in Frage gestellt wird. Aber Wunsch ist Wunsch, ich sag da mal nichts weiter zu.
Zum Vergrößern anklicken....

Ja ich weiß auch bei Allen anderen Anwendungen und Geräten genau was gebraucht wird und habe das System entsprechend angepasst.
Aber das Verhalten der VOIP Telefonie der Telekom ist so nirgends dokumentiert und da die Ports ständig wechseln kann ich auch mithilfe der Logs keine Abhilfe schaffen.

Genau daher habe ich mich hier an euch gewandt, aber statt Kritik und dem Vorschlag $iptables -p outpout Accept kam von Dir Nichts was mich irgendwie weitergebracht hätte.

ich sag da mal nichts weiter zu.
Zum Vergrößern anklicken....
Ist vielleicht besser so!
 
Zuletzt bearbeitet:
Ich war auch mal der Meinung, den ausgehenden Datenverkehr filtern zu können. Mittlerweile bin ich aber dirk11's Meinung, dass das völlig unpraktisch ist (in meinem LAB zumindest), und dass es zudem nicht wirklich funktioniert. Selbst wenn das http über einen Proxy läuft. Schade eigentlich, wär echt nice, wenn man das wirklich machen könnte,...

Um das Problem einzugrenzen würde ich halt die ausgehende Firewall mal temporär deaktivieren ;)
 
Zuletzt bearbeitet:
Ich könnte mir vorstellen, dass wenn du den Port TCP5060 freigegeben hast, sich die Freigabe nicht richtig verhält.
An dieser Stelle muss man als Dienst SIP via TCP auswählen, dann weiss die FW welcher Port jeweils von ihr geöffnet werden muss.
 
Romek schrieb:
Ich könnte mir vorstellen, dass wenn du den Port TCP5060 freigegeben hast, sich die Freigabe nicht richtig verhält.
An dieser Stelle muss man als Dienst SIP via TCP auswählen, dann weiss die FW welcher Port jeweils von ihr geöffnet werden muss.
Zum Vergrößern anklicken....

Der Port 5060 ist definitiv auf, die Nummern werden ja auch richtig registriert.

Um das Problem einzugrenzen würde ich halt die ausgehende Firewall mal temporär deaktivieren
Zum Vergrößern anklicken....
Hab ich für das entsprechende Endgerät auch gemacht, ich kann ja nicht 2 Wochen ohne Telefon bleiben...
Funktioniert natürlich 1A so im Moment.
 
Ich habe gemeint, dass das Freigeben vom Port TCP 5060 nicht das gleiche ist, wie den Dienst SIP freizugeben. Obwohl erstmal SIP den selben Port nutzt.

SIP macht noch mehr, wie andere Ports für die Kommunikation aushandeln. Eine Firewall, die mit SIP umgehen kann, öffnet die im SIP Protokoll ausgehandelten Ports.

https://de.wikipedia.org/wiki/Session_Initiation_Protocol
 
Zuletzt bearbeitet:
Hier im Thread steht auch UDP, nicht TCP. Davon ab sollte man die Zitat-Quelle auch vollständig zitieren:

Bei Einsatz einer Firewall oder eines Routers sind für die IP-Telefonie folgende Portfreischaltungen erforderlich:

UDP (out): Ports 5060/5061 (hier auch TCP möglich), 30000-31000, 40000-41000, 3478, 3479
UDP (in): Ports 5070, 5080, 30000-31000, 40000-41000
TCP (out): Port 80, 443
Ggf. müssen die folgenden Ports zudem freigeschaltet werden: 3478 (STUN), 53 (DNS), 123 (NTP) (bitte prüfen Sie in Ihrer Anleitung zu Ihrem eingesetzten Client, ob diese Ports freigeschaltet werden müssen)
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh