ich bin noch recht neu auf dem Gebiet die FW-Regeln... daher meine Bitte an die Leser hier, mal zu beurteilen, ob ich sicherheitstechnisch groben Mist gebaut habe, oder ob das so in Ordnung ist. Funktionieren tut mein Telefon jetzt zumindest Die drei Regeln habe alle die Prio 2.
Hardware: Lancom 1781vaw und ein Gigaset N510 IP PRO mit Gigaset SL400 DECT Telefon
VDSL von der Telekom und auch der VOIP Telefonanschluss.
Das im Lancom (8.82.0100) verbaute SIP-ALG hat leider gar nicht funktioniert. Ist deaktiviert. STUN ist auch deaktiviert.
Vielen Dank für ein kurzes Feedback und herzliche Grüße aus Hamburg,
Alex.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Oh, schade - schon über 50 Hits und kein Kommentar...
Ich würde mich wirklich sehr über ein kurzes Feedback freuen - einfach Daumen hoch oder runter.
Meine Lernkurve ist noch recht steil - möchte hier nichts vorgekaut haben, nur ein paar Tips für die richtige Richtung.
prinzipiell OK, da du eine Deny-All-Regel benutzt und nur das freigibst, was du auch nutzen willst.
Nur bei der ALLOW_RTP_OUT-Regel solltest du in der Quelle den Port 5060 entfernen, denn sonst matcht die ggf. auf den SIP-Signalisierungs-Traffic (wenn dein Telefon, diesen Port als Absenderport für die Signalisierung nutzt). Du könntest in dieser Regel auch noch Mindestbandbreiten (80kBit/s pro Session) anlegen, damit ein Telefonat nicht ins stottern kommt, wenn du gerade mal es was saugst - oder was meist schlimmer ist, irgendwas hochlädst.
Bei der Regel ALLOW_SIP_OUT ist der Port 5060 auf der falschen Seite - er gehört ans Ziel, da der Quellport i.A. zufällig gewählt wird. Diese Regel sollte auch eine höhere Prio bekommen, als die ALLOW_RTP_OUT-Regel, damit für die Signalisierung keine 80kBit/s (s.o.) reserviert werden, wenn das Telefon für die Signalisierung zufällig einen der Ports als Quellport wählt, auf den die ALLOW_RTP_OUT-Regel reagiert. Zusätzlich solltest du auch für die Signalisierung eine geringe Mindestbandbreite von 1kBit/s reservieren, damit die Signalisierung gegenüber einem Upload bevorzugt erfolgt.
Die ALLOW_RTP_IN-Regel kannst du dir sparen, weil die Firewall "stateful" ist und somit auch die Gegenrichtung funktioniert, sobald eine Session von innen aufgemacht wurde.
Das einzige, worauf du noch achten solltest ist, daß der UDP-Timeout von Firewall und Maskireung (unter IP-Router -> Maskierung -> UDP-Aging) größer ist, als der Registrierungstimeout des Telefons. Aber beachte, daß du den Timeout nicht zu hoch setzten solltest, weil sonst mit einfachen DNS-Anfragen die Maskierungstabelle volläuft. Ein guter Kompromiss dürfte bei etwa einer Minute liegen - hier mußt du ggf. auch nochmal dien Telefon umkonfigurieren.
vielen Dank für die Antwort! Super Sache - habe Deine Tips so umgesetzt und das Telefon geht immer noch!
Gut zu wissen, dass ich vom Prinzip her in der richtigen Richtung unterwegs war... Die (für mich) recht heftige Investition in einen Lancom Router ist auch dazu gedacht gewesen, mich intensiv mit der Thematik Internetsicherheit zu befassen und quasi als Feierabend-Selbststudium in dem Bereich fit zu werden.
Für alle, die auch gerade anfangen und eine Telekom VoIP Telefon hinter dem Router betreiben wollen hier nochmal meine aktuellen Einstellungen.
Viele Grüße,
Alex.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
AlexS hat geschrieben:...Das im Lancom (8.82.0100) verbaute SIP-ALG hat leider gar nicht funktioniert...
seit der Firmware-Version 8.82.0125 funktioniert der SIP-ALG für den "normalen" Anwendungsfall ( Sip-PBX <-> Lancom <-> Internet <-> Sip-Provider ). Aber es gibt noch Probleme mit den RTCP-Port's wenn diese nicht auf RTP-Port +1 treffen, siehe auch RFC 6128 u.a.
Wie die Funktionalität aussieht, wenn sich Sip-Telefone von extern an die Sip-PBX anmelden wollen, habe ich noch nicht getestet. Das werde ich noch bei Gelegenheit mal tun.
Du kannst Dir ja mal beim Support eine aktuelle Beta für Deinen Lancom anfordern und dann den SIP-ALG aktivieren und berichten.
Die drei Regeln habe alle die Prio 2.
