Registrierung Externer SIP-Benutzer verbieten?

Forum zu LANCOM Systems VoIP Router/Gateways und zur LANCOM VoIP Option

Moderator: Lancom-Systems Moderatoren

klabar
Beiträge: 5
Registriert: 18 Mär 2022, 21:51

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von klabar »

Ich hatte versucht kurz und knapp zu formulieren, aber es war vielleicht etwas zu knapp.

Zuerst Thema Internet und Routing
Ich hatte schon sehr früh einen ISDN-Anschluß (Anlagen-Anschluß) und Internet über ISDN mit meinen eigenen IP-Adressen.

Dann wurde DSL eingeführt und ISDN wurde zu langsam, also habe ich damals umgestellt auf Lancom mit DSL (Telekom) und einer Auerswald Telefonanlage und meinen eigenen IP-Adressen. Das lief alles über meinen Provider (Provider B).

Dann arbeitet Provider B nicht mehr mit der Telekom zusammen und hatte einen neuen Partner. Der Partner konnte aber bei mir (geographisch) kein DSL anbieten. Also hatten wir als Lösung gefunden, dass ich nicht nur das Kabel der Telekom nehme sondern auch die Internet-Anbindung, natürlich jetzt mit NAT. Damals waren eigene IP-Adressen bei der Telekom sehr teuer. Um weiter meine eigenen IP-Adressen geroutet zu bekommen, mussten sie weiter über Provider B laufen aber natürlich ohne NAT. Deshalb der VPN-Tunnel für meine eigenen Adressen zum Provider B.

Die Telekom konnte bei mir aber auch nur 7000kBit/sec liefern. Später wurde vor der Haustür Glasfaser verlegt. Aber nicht von der Telekom sondern von TEUTEL. Als Ergebnis habe ich jetzt:

- Telekom-Anschluss NAT (7000kbit/sec)
- Teutel-Anschluss NAT (Glasfaser)
- Provider B VPN ohne NAT für meine IP-Adressen

Keine schöne Lösung aber geht im Moment nicht anders.

Thema Telefon
Wie oben geschrieben liefen meine Telefone über meine Auerswald Telefonanlage über S0. Als dann die Telekom endlich auch SIP-Trunk konnte, wollte sie auch schnellstens alles umstellen. Deshalb blieb mir nur die Möglichkeit den Lancom-Router durch einen 1783VAW zu ersetzen. Der 1783VAW meldet sich jetzt am SIP-Trunk an und gibt zur Auerswald S0 weiter. Mein Auerswald Modell kann fast alle SIP-Trunks aber nicht Telekom, deshalb geht es nur so.
Da ich noch 10 analoge Telefone habe, geht auch VCM alleine nicht.

Zur Eingrenzung eines anderen Fehlers hatte ich einige Testverbindungen aufgebaut. Deshalb so viele Einträge.

Warum "WAN erlaubt" ist, habe ich jetzt zufällig verstanden. Wenn ein SIP-Anruf kommt, weiß der VCM noch nicht, welcher Eintrag passt, also erlaubt er erst einmal alles. Wenn er dann den richtigen Eintrag gefunden hat, übernimmt er die Werte "WAN nicht erlaubt" aus dem passenden Eintrag.

Gruß
Klaus
klabar
Beiträge: 5
Registriert: 18 Mär 2022, 21:51

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von klabar »

Ich stelle jetzt einmal einige Behauptungen auf. Könnt ihr man prüfen, ob das okay ist?


- der Lancom Firewall beherrscht keine inbound Regeln, also kann ich über den Firewall den Port 5060 nicht einschränken (Aussage Georg)

- der VCM nimmt alle Pakete für Port 5060 erst einmal an und entscheidet dann weiter, auch ob WAN und VPN akzeptiert werden

- Der VCM kann nicht unterscheiden zwischen WAN1 und WAN2 und auch nicht zwischen VPN1 und VPN2, also entweder alle WANs oder keins.

- ist das nicht ein Scheunentor für DDoS Attacken?

Ich werde diese Angriffe wohl nicht verhindern können. :x :(

wäre es nicht sinnvoll den VCM in die DMZ logisch zu legen? Dann könnte man besser kontrollieren.

Gruß
Klaus
DanLo
Beiträge: 65
Registriert: 08 Jan 2019, 12:44

Re: Registrierung Externer SIP-Benutzer verbieten?

Beitrag von DanLo »

Ich kann nur etwas zu Punkt 1 sagen, und den kann ich halb bestätigen: Die Firewall im LCOS kann bei IPv4 aktuell kein Inbound. Bei IPv6 kann sie es.
Antworten