Voip-Anlage im LAN einer PFsense von Außen erreichen… (Smartphone)



  • Wir haben in unserem Firmennetz eine Auerswald-Anlage, die VoIP-Nebenstellen ermöglicht.
    Unsere Filliale haben wir über eine zweite PfSense und OpenVPN angeschlossen. Das klappt prima. Auch Voip-Telefone.

    ich hab auch auf dem Androiden hier OpenVPN laufen und kann so per VoIP telefonieren … aber das ist unbefriedigend!
    Das VPN muss die ganze Zeit offen sein und das zieht übelst am Akku.... selbst wenn ich nur abgehende Anrufe führen will.

    Wenn ich aber den Port der Anlage frei gebe, dann brauche ich noch einen STUN-Server, denn hinter NAT geht sonst das nicht ...
    Oder einen Proxy und ich kann dann nicht richtig verhindern, dass irgendwelche Leute versuchen sich einzuloggen ...
    Bei Brute-Force stürzt dann unsere Telefonanlage ab ... auch wenn sich keiner einloggen kann.

    Gibt es einen Proxy für PFSENSE der eine Telefonanlage im LAN vom WAN aus zugänglich machen kann und dabei die Telefonanlage durch eine eigene AUTH schützt?



  • Mir fallen dazu zwei Möglichkeiten ein:

    • SIP-Port von 5060 auf einen anderen legen, z.B. 6060, da müssten die Angriffe wesentlich geringer sein, habe ich bei mir auch gemacht und im Log gibt es keine Angriffe mehr
    • Du könntest einen Asterisk einsetzen, der als Proxy dient. Dazu würde schon ein Rasperry Pi reichen. Der Asterisk lässt sich nicht so leicht aus der Ruhe bringen

  • Moderator

    Es gibt auch noch den SIProxy als Paket, der hier ggf. helfen könnte.



  • soweit ich das verstehe, ist der SIP-proxy für die andere Richtung, also dass die Clients innerhalb des LAN sinnvoll parallel zu externen Providern verbinden können.

    Portfreigabe alleine taugt nicht, weil man dann einen STUN-Server braucht, sonst hört man in eine Richtung nix, hinter einem NAT …
    Und wo bekomme ich einen STUN her?

    VPN geht immerhin... aber da hatte ich auch mal ne Frage dazu gestellt, die bisher keiner beantworten konnte:
    Wie kann ich für VoIP-Trafic innerhalb eines VPN eine bestimmte Bandbreite reservieren? Also ich hab 10Mbit/s Out ... ich möchte 1Mbit/s für Voip frei halten, aber wenn das durch ein VPN raus geht sieht es der Trafix-Shaper nicht mehr als VoIP und damit kann ich das dann nicht machen.

    gruß



  • Stun Server gibt es viele freie im Internet wie z.B.
    STUN-Server: stun.sipgate.net
    STUN-Port: 10000
    Der ist ja Allegmein gültig und nicht nur für Sipgate Kunden.

    Trotzdem ist SIP und NAT manchmal echt schwierig was die Firewall angeht.



  • Und wo bekomme ich einen STUN her?

    Frag doch mal bei Auerswald nach oder nutze wie schon angesprochen einen freien STUN Server am
    Markt. Ich denke jedoch das man so etwas in der Regel umgehen kann bzw. auch aus Sicherheitspolitischer
    Sicht her.

    Einfach eine kleine PBX Appliance in die DMZ packen und gut ist es.
    Dazu kann man auch ruck zuck ein PC Engines APU Board nehmen und mit Askozia oder Asterisk sollte man das
    auch schnell umsetzen können. Auch fix und fertige Sachen wie MobyDick die gleich "ready to go" daher kommen
    sollten keine Probleme machen und schnell zum Erfolg führen.

    Einige Möglichkeiten sind kostenlos bzw. nur die Hardware muss besorgt werden, aber der STUN Server kostet
    immer Geld!

    denn hinter NAT geht sonst das nicht …

    Nicht ganz, man kann ja auch eine DMZ anlegen und dort einen Asterisk "Server"
    platzieren, den man dann nutzt.

    Oder einen Proxy und ich kann dann nicht richtig verhindern, dass irgendwelche Leute versuchen sich einzuloggen …

    Doch per Firewallregeln und oder einem DMZ Radius Server, oder Snort oder,…...