TK-Anlage mit internem SIP hinter pfsense
-
Hallo,
ich betreibe eine TK- Anlage hinter der pfsense. Die TK-Anlage kann SIP- Nebenstellen zur Verfügung stellen. Intern funktioniert auch alles, ich habe auf meinem Smartphone eine App (Zoiper) und kann mit solange ich mich im WLAN bewege, mein Smartphone als Nebenstelle der Anlage benutzen.
Ich würde mein Smartphone auch gerne im Garten als Nebenstelle nutzen, doch leider reicht mein WLAN dort nicht mehr hin. In der TK-Anlage kann ich auch SIP-Nebenstellen aus anderen Netzen freigeben. Ich habe eine feste IP, mit der ich meinen Webserver, auch hinter der pfsense erreichen kann.intern ist die TK- Anlage mein SIP-Server: 172.29.x.x:5060
Smartphone(D2) mit Zioper –> feste IP --> WAN-Interface --> pfsense --> LAN-Interface -->TK-Anlage
ich denke extern müsste es meine feste IP sein.
SIP-Server: feste IP:5060Welche Ports muss ich über NAT noch freigeben.
Brauche ich in der pfsense eine Zusatzsoftware für SIP?Danke Christian
-
Bitte nicht ::) Nie, niemals solltest du freiwillig deine IP-Anlage aus dem Internet ohne VPN erreichbar haben. Google mal zu tausenden von Euro Telefonrechnung durch Sicherheitslücken in IP-Anlagen.
Falls du nicht hören willst: 5060 (Signalisierung) und 10000 - 20000 für RTP. Das sollte reichen, sofern nichts anderes definiert wurde.
-
Zumal selbst wenn du alle feischaltest kann es sein das es nicht geht.
SIP und NAT sind nicht die besten Freunde.
Es kann sein das wenn der IP Header und der SIP Header nicht überein stimmen das die Anlage das einfach ablehnt. Musst du testen.Ansonsten auch wie tpf schon sagt.
Mach es doch mit VPN OpenVPN oder ähnliches. Dann kann es aber sein das du mit einem STUN arbeiten musst um die RTP Pakete zur VPN Adresse leiten zu können. -
und wenn Du schon SIP direkt ins Internet hängst, nimm einen anderen Port als 5060, z.B. 6060.
-
und wenn Du schon SIP direkt ins Internet hängst, nimm einen anderen Port als 5060, z.B. 6060.
In Zeiten, in denen NMap und ZMap durch bessere Algorithmen locker in Sekunden ganze IPs komplett abgescannt haben, bringt dieses Portverbiegen à la "Security through Obscurity" auch nichts mehr. Wenn jemand ernsthaft nach SIP scannt, scannt er nicht nur stumpf IP/Port sondern schaut sich ggf. IP Header und Paketheader an. Natürlich hilft das erstmal gegen total stumpfe Bots oder Kiddies, nur sich damit sicher(er) zu fühlen ist komplett falsch. Zudem gibt es leider genug Hardware/Gegenstellen, die SIP auf einem anderen Port gar nicht erst aushandeln wollen.