Telekom IP Tel mit FB: Tel funktioniert nicht mehr wenn allow lan to any inaktiv
-
Aber so lange ich die allow lan to any rule nicht deaktiviere funktioniert die telefonie ja.
Kann also nicht komplett falsch sein oder? War damals so die einzige Einstellung wie ich das ganze überhaupt zum laufen gebracht habe…
-
Dein Satz
Ich hab also per NAT port 5060 an die FB freigegebenmacht mir Angst, weil falscher kann es kaum werden.
Mit so einer Regel stellst du deine Fritzbox ungeschützt ins Internet.
Mittels Brute Force Attacks können sich Gauner an dieser registrieren und auf deine Kosten Telefonieren.
Einziger Schutz ist das Passwort auf deinem SIP-Endpoint welches dann hoffentlich super komplex eingestellt ist.Ich kenne einen Fall, den hat so eine Regel 9000€ gekostet, weil der Gauner 1000ende Mal eine Sex Hotlines in Indien angerufen hat (die er vermutlich auch noch selbst betreibt).
Diverse Warnungen diesbezüglich und Sicherheitsupdates durch AVM gibt es auch, aber würdest du drauf Wetten, dass alle Schwachstellen gefunden wurden?
-
Ich glaub ich verstehe:
Ich hab quasi mit der NAT Rule weil Interface=WAN und Source = ANY Zugang von WAN auf meine interne FB freigegeben, richtig?
Was ich nicht verstehe ist, das bei den Ports die du angegeben hast 5060 gar nicht dabei ist (der SIP port?)
EDIT: Vlt sollt eich noch hinzufügen was ich bei FIREWALL/NAT/OUTBOUND hab: http://imgur.com/bqwA4Dw
-
Der SIP-Port wird nur ausgehend benutzt, eingehend wird nichts extra AUFGEBAUT - daher ist keine Weiterleitung erforderlich. Die Verbindung wird von der Fritzbox zum Telekom Server aufgebaut
und funktioniert dann in beide Richtungen. Natürlich darf keine Regel ausgehenden Datenverkehr zum Telekom Server (217.0.16.0/20 ) VERHINDERN.Eingehend werden nur die RTP Ports verwendet, die Fritzbox 7490 verwendet 7078 und folgende (eigentlich nur jeden zweiten, die ungeraden sind für ausgehende Daten die geraden für eingehende)
Die Anweisung in der Fritzbox sorgt dafür dass diese die Ports mittels Pinholing offen hält
Wenn es nach Anwendung der beiden Regeln noch Probleme gibt, hast du irgendwo sonst was falsch eingestellt. Es funktioniert bei mir mit exakt gleicher Konfiguration
-
Cool funktioniert! Danke!
Welche ports muss ich nun von LAN Net to Any freigeben, damit das ganze auch funzt wenn ich die default allow lan to any disabled habe?
-
@ceofreak hat @parsec doch oben geschrieben. Die SIP Anmeldung bei den Telekom Servern darfst du nicht blocken, ergo muss 5060 abgehend erlaubt sein (zu den Telekom Servern oder wo auch immer du hin verbindest). Ansonsten mal den Port in den Firewall Logs im Auge behalten, da sollten dann ja entsprechende Blocks auftauchen.
-
Von der Theorie her
Destination Ports: 3478, 3479, 5070, 7078-7110 jeweils UDP
Getestet habe ich es nicht
-
Danke! Der Tip mit den Firewall Logs hats gelöst!
Jun 9 18:09:16 LAN 192.168.100.2:7086 217.0.0.207:3478 UDP
Port 3478 UDP von Fritzbox nach 217.0.0.143 freigeben und es geht!!!
Danke euch! Endlich funzt es so wie es soll :))
-
7086 ist einer der RTP Ports, das langt nicht, beim nächsten mal ist es ein anderer
Dann gib wenigsten Source 7078-7110/UDP to any frei -
So: http://imgur.com/ghP4Lk6 ???
-
Nein SOURCE, nicht Destination Port. Deine Ports sind unter Ziel nicht unter Quelle eingetragen. Deine Fritzbox sendet VON den angegebenen Ports nicht AN diese :)
-
Ah,
so dann quasi: http://imgur.com/GzJOJdA
Hatte seit gestern immer mal wieder Abbrüche und knacken in der Leitung usw. Fehlen da noch weitere Ports oder liegt das an der falschen Reihenfolge von eben?
-
Zusätzlich besteht jetzt noch das Problem, wenn ich telefoniere und jemand ruft an, bricht das Gespräch ab und der neue Anruf wird angenommen oO
Die Probleme hatte ich vorher mit der (falschen) 5060 konfiguration nicht..
-
Eigentlich nicht möglich wenn diese Konfiguration wie beschrieben eingehalten wurde.
Dafür gibt es ja die unterschiedlichen RTP Ports - für jedes Gespräch wird ab 7078 ein neues Portpaar belegt.
1. Gespräch 7078 eingehend 7079 ausgehend
2. Gespräch 7080 eingehend 7081 ausgehend
…Da muss irgend eine Regel bei dir über Kreuz gehen.
-
Ich poste jetzt einfach mal die Config wie sie im moment ist.
Default allow lan to any rule ist im moment wieder ENABLED, bis ich das problem so in den griff bekomme.
Firewall / Rules / WAN
http://imgur.com/zJKx1kbFirewall / Rules / LAN
http://imgur.com/qhWFTl7Firewall / NAT / Port Forward
http://imgur.com/oYqdLWaFirewall / NAT / Outbound
http://imgur.com/qioFNmwDas is jetz meine komplette config im endeffekt.
-
Niemand ne Ahnung? :-[
-
Also ich hab jetzt herausgefunden, dass die Gespräche nach ziemlich genau 10 Minuten abbrechen. Woran kann das liegen?
