Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    TK-Anlage mit internem SIP hinter pfsense

    Scheduled Pinned Locked Moved Deutsch
    5 Posts 5 Posters 1.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • B
      be1001
      last edited by

      Hallo,

      ich betreibe eine TK- Anlage hinter der pfsense. Die TK-Anlage kann SIP- Nebenstellen zur Verfügung stellen. Intern funktioniert auch alles, ich habe auf meinem Smartphone eine App (Zoiper) und kann mit solange ich mich im WLAN bewege, mein Smartphone als Nebenstelle der Anlage benutzen.
      Ich würde mein Smartphone auch gerne im Garten als Nebenstelle nutzen, doch leider reicht mein WLAN dort nicht mehr hin. In der TK-Anlage kann ich auch SIP-Nebenstellen aus anderen Netzen freigeben. Ich habe eine feste IP, mit der ich meinen Webserver, auch hinter der pfsense erreichen kann.

      intern ist die TK- Anlage mein SIP-Server: 172.29.x.x:5060

      Smartphone(D2) mit Zioper  –> feste IP --> WAN-Interface --> pfsense --> LAN-Interface -->TK-Anlage

      ich denke extern müsste es meine feste IP sein.
      SIP-Server: feste IP:5060

      Welche Ports muss ich über NAT noch freigeben.
      Brauche ich in der pfsense eine Zusatzsoftware für SIP?

      Danke Christian

      1 Reply Last reply Reply Quote 0
      • T
        tpf
        last edited by

        Bitte nicht  ::) Nie, niemals solltest du freiwillig deine IP-Anlage aus dem Internet ohne VPN erreichbar haben. Google mal zu tausenden von Euro Telefonrechnung durch Sicherheitslücken in IP-Anlagen.

        Falls du nicht hören willst: 5060 (Signalisierung) und 10000 - 20000 für RTP. Das sollte reichen, sofern nichts anderes definiert wurde.

        10 years pfSense! 2006 - 2016

        1 Reply Last reply Reply Quote 0
        • F
          flix87
          last edited by

          Zumal selbst wenn du alle feischaltest kann es sein das es nicht geht.
          SIP und NAT sind nicht die besten Freunde.
          Es kann sein das wenn der IP Header und der SIP Header nicht überein stimmen das die Anlage das einfach ablehnt. Musst du testen.

          Ansonsten auch wie tpf schon sagt.
          Mach es doch mit VPN OpenVPN oder ähnliches. Dann kann es aber sein das du mit einem STUN arbeiten musst um die RTP Pakete zur VPN Adresse leiten zu können.

          1 Reply Last reply Reply Quote 0
          • D
            dkrizic
            last edited by

            und wenn Du schon SIP direkt ins Internet hängst, nimm einen anderen Port als 5060, z.B. 6060.

            1 Reply Last reply Reply Quote 0
            • JeGrJ
              JeGr LAYER 8 Moderator
              last edited by

              und wenn Du schon SIP direkt ins Internet hängst, nimm einen anderen Port als 5060, z.B. 6060.

              In Zeiten, in denen NMap und ZMap durch bessere Algorithmen locker in Sekunden ganze IPs komplett abgescannt haben, bringt dieses Portverbiegen à la "Security through Obscurity" auch nichts mehr. Wenn jemand ernsthaft nach SIP scannt, scannt er nicht nur stumpf IP/Port sondern schaut sich ggf. IP Header und Paketheader an. Natürlich hilft das erstmal gegen total stumpfe Bots oder Kiddies, nur sich damit sicher(er) zu fühlen ist komplett falsch. Zudem gibt es leider genug Hardware/Gegenstellen, die SIP auf einem anderen Port gar nicht erst aushandeln wollen.

              Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

              If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.