SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen
Moderator: Lancom-Systems Moderatoren
SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen
Hallo an Alle,
wie sieht Ihr das? Ich wäre für die Einführung der "SIP-Client-Anmeldung per WAN" in der ALL-IP Option.
Begründung:
Eine direkte Anmeldung von SIP-Clients per WAN benötigt keine VPN-Verbindung zum Lancom, welche bei mobilen Geräten nicht immer möglich ist. Weiter wird weniger Daten-Bandbreite für eine Verbindung bei direkter SIP-Client-Anmeldung per WAN, als mit dem VPN-Overhead benötigt, was vor allem bei nicht LTE oder UMTS Verbindungen wichtig ist.
Würde die "neue" ALL-IP Option jetzt auch den Codec GSM unterstützen und zwischen diesem und G.711 wandeln können, so könnte man schon mit HSDPA+ und EDGE wunderbar von unterwegs über seinen Festnetzt-Anschluß telefonieren. Kann die ALL-IP Option das vielleicht sogar schon? Dazu könnte sich ja mal ein Entwickler äußern.
Auch SIP-Anbindungen aus dem Ausland (wo VPN nicht erlaubt ist bzw. blockiert wird) wären dann möglich.
Sicherheit:
Die Sicherheit kann jeder selber über passende sichere Passwortlängen herstellen, sollte somit kein Problem sein.
Grüße
Cpuprofi
wie sieht Ihr das? Ich wäre für die Einführung der "SIP-Client-Anmeldung per WAN" in der ALL-IP Option.
Begründung:
Eine direkte Anmeldung von SIP-Clients per WAN benötigt keine VPN-Verbindung zum Lancom, welche bei mobilen Geräten nicht immer möglich ist. Weiter wird weniger Daten-Bandbreite für eine Verbindung bei direkter SIP-Client-Anmeldung per WAN, als mit dem VPN-Overhead benötigt, was vor allem bei nicht LTE oder UMTS Verbindungen wichtig ist.
Würde die "neue" ALL-IP Option jetzt auch den Codec GSM unterstützen und zwischen diesem und G.711 wandeln können, so könnte man schon mit HSDPA+ und EDGE wunderbar von unterwegs über seinen Festnetzt-Anschluß telefonieren. Kann die ALL-IP Option das vielleicht sogar schon? Dazu könnte sich ja mal ein Entwickler äußern.
Auch SIP-Anbindungen aus dem Ausland (wo VPN nicht erlaubt ist bzw. blockiert wird) wären dann möglich.
Sicherheit:
Die Sicherheit kann jeder selber über passende sichere Passwortlängen herstellen, sollte somit kein Problem sein.
Grüße
Cpuprofi
- stefanbunzel
- Beiträge: 1404
- Registriert: 03 Feb 2006, 13:30
- Wohnort: endlich VDSL-250
Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen
Hallo,
auch ich wünsche mir unbedingt wieder die SIP-Benutzer-Anmeldung über WAN - auch ohne VPN!
Bezüglich der Sicherheit sollte diese Option per Default auf "AUS" stehen. Desweiteren könnte man ja als erweiterte Default-Schutzmaßnahme unter Setup - Config - Zugriffstabelle - WAN einen Eintrag für SIP-Login mit Default "NEIN" einpflegen.
Und wenn man aus dem Produkt-Management noch mehr Sicherheitsmaßnahmen wünscht, dann wird der WAN-SIP-Zugriff nur für SIP-Benutzer erlaubt, bei denen ein Passwort, ggf. mit Forderung von bestimmter Passwortlänge, hinterlegt ist.
Edit: Weitere Sicherheitsmaßnahme, analog zu WLAN: SIP-IDS-Option integrieren!
Dann braucht auch der Hilfe-Text im WebInterface nicht mehr korrigiert werden, da dieser noch diese wohl in letzter Minute noch verbannte Option nach wie vor beschreibt.
Viele Grüße,
Stefan
auch ich wünsche mir unbedingt wieder die SIP-Benutzer-Anmeldung über WAN - auch ohne VPN!
Bezüglich der Sicherheit sollte diese Option per Default auf "AUS" stehen. Desweiteren könnte man ja als erweiterte Default-Schutzmaßnahme unter Setup - Config - Zugriffstabelle - WAN einen Eintrag für SIP-Login mit Default "NEIN" einpflegen.
Und wenn man aus dem Produkt-Management noch mehr Sicherheitsmaßnahmen wünscht, dann wird der WAN-SIP-Zugriff nur für SIP-Benutzer erlaubt, bei denen ein Passwort, ggf. mit Forderung von bestimmter Passwortlänge, hinterlegt ist.
Edit: Weitere Sicherheitsmaßnahme, analog zu WLAN: SIP-IDS-Option integrieren!
Dann braucht auch der Hilfe-Text im WebInterface nicht mehr korrigiert werden, da dieser noch diese wohl in letzter Minute noch verbannte Option nach wie vor beschreibt.
Viele Grüße,
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
LCS WLAN
-
- Beiträge: 577
- Registriert: 16 Jul 2005, 18:25
- Wohnort: Irgendwo zwischen Hamburg, Hannover und Bremen
Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen
Hi,
aktuell nutze ich es nicht, aber hatte auch schon Situationen wo ich es genutzt habe.
LANCOM ist steht ja meiner Meinung nach für viele Funktionen und sehr flexibel einsetzbar. Alleine aus dem Grund würde ich auch sagen, dass dieses konfigurierbar sein sollte.
Viele Grüße
Stefan
aktuell nutze ich es nicht, aber hatte auch schon Situationen wo ich es genutzt habe.
LANCOM ist steht ja meiner Meinung nach für viele Funktionen und sehr flexibel einsetzbar. Alleine aus dem Grund würde ich auch sagen, dass dieses konfigurierbar sein sollte.
Viele Grüße
Stefan
- langewiesche
- Beiträge: 1255
- Registriert: 27 Apr 2005, 11:28
- Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
- Kontaktdaten:
Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen
sehe ich auch so
Es gruesst Lars
--
Zwischen einen NAT-Router hinter einen Nat-Router und vor einen NAT-Router passt immer noch ein NAT-Router
--
Zwischen einen NAT-Router hinter einen Nat-Router und vor einen NAT-Router passt immer noch ein NAT-Router
Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen
hallo,
ich fände eine optionale SIP Anmeldung über WAN ebenfalls hilfreich.
Neben den bestehenden Argumenten werfe ich noch die Stichwörter "Labor" und "Schulungen" in den Raum, für welche das Feature hilfreich ist!
Gruß hyperjojo
ich fände eine optionale SIP Anmeldung über WAN ebenfalls hilfreich.
Neben den bestehenden Argumenten werfe ich noch die Stichwörter "Labor" und "Schulungen" in den Raum, für welche das Feature hilfreich ist!
Gruß hyperjojo
Zuletzt geändert von hyperjojo am 07 Jun 2019, 17:02, insgesamt 1-mal geändert.
Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen
Hallo hyperjojo,
die "Telekom" hätte zumindest die "Macht" dieses bei LANCOM durchzusetzen!
Vielleicht gelingt auf diesem Weg ja die "Wiedereinführung" der "SIP-Client-Anmeldung per WAN"...
Grüße
Cpuprofi
die "Telekom" hätte zumindest die "Macht" dieses bei LANCOM durchzusetzen!
Vielleicht gelingt auf diesem Weg ja die "Wiedereinführung" der "SIP-Client-Anmeldung per WAN"...
Grüße
Cpuprofi
Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen
Hallo,
ich kann das auch nur dringend befürworten. Im Moment migriere ich meinen 1724 auf einen neuen 1784, da der 1724 memory-mäßig aus allen Löchern pfeift.
Gerade musst eich feststellen, dass eine WAN-seitige SIP Anmeldung nun nicht mehr möglich ist. Das zerhagelt einem jetzt den ganzen Use-Case.
Gruß
Dirk
ich kann das auch nur dringend befürworten. Im Moment migriere ich meinen 1724 auf einen neuen 1784, da der 1724 memory-mäßig aus allen Löchern pfeift.
Gerade musst eich feststellen, dass eine WAN-seitige SIP Anmeldung nun nicht mehr möglich ist. Das zerhagelt einem jetzt den ganzen Use-Case.
Gruß
Dirk
Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen
auch wenn ich darin ein sicherheitsrisiko sehe
mir wurde schon mahl ein 1821 darüber gehackt und durch minütliche anrufe nach spanien meine telefonrechnung hochgetrieben
nuja aus genau solcen wie von euch beschribenen gründen hab ich mich inzwischen weitgehenst von dem lancom routern verabschiedet
und bin zimlich in den open sorce bereich abgerutscht
da geht so einiges auch mit besseren sicherheitsmechanismen
und wen ihr ne vernünftige tk anlage habt könnt ihr euch von extern via vpn oder port forwarding inkl certifikat anmelden
viel spass beim hacken
mir wurde schon mahl ein 1821 darüber gehackt und durch minütliche anrufe nach spanien meine telefonrechnung hochgetrieben
nuja aus genau solcen wie von euch beschribenen gründen hab ich mich inzwischen weitgehenst von dem lancom routern verabschiedet
und bin zimlich in den open sorce bereich abgerutscht
da geht so einiges auch mit besseren sicherheitsmechanismen
und wen ihr ne vernünftige tk anlage habt könnt ihr euch von extern via vpn oder port forwarding inkl certifikat anmelden
viel spass beim hacken
Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen
Moin garfield0815!
Anmeldung über VPN geht auch beim LANCOM. Und die Anmeldung direkt aus dem WAN steht und fällt mit der Sicherheit der vom Administrator vergebenen Passwörter. Sicherer, als seinerzeit beim LANCOM, bekommen deine OS-Gerätschaften das auch nicht hin.
Ciao, Georg
Anmeldung über VPN geht auch beim LANCOM. Und die Anmeldung direkt aus dem WAN steht und fällt mit der Sicherheit der vom Administrator vergebenen Passwörter. Sicherer, als seinerzeit beim LANCOM, bekommen deine OS-Gerätschaften das auch nicht hin.
Ciao, Georg
Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen
nuja sip mit certifikat sollte schon sicherer sein als irgend ein vom admin vergebenes passwort
oder auch die bandelung an eine bestimte mac adresse
kann das der lancom auch ?
und ihr wollt ja kein vpn dazwischen schalten
aber trotz alle dehm würde ich kein sip mehr direkt keine direkte wan anmeldung mer zulassen
oder auch die bandelung an eine bestimte mac adresse
kann das der lancom auch ?
und ihr wollt ja kein vpn dazwischen schalten
aber trotz alle dehm würde ich kein sip mehr direkt keine direkte wan anmeldung mer zulassen
Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen
Hallo,
Einfach ein "ausreichende sicheres Passwort" vergeben und gut ist es !!!
Also ich und auch andere würden die Möglichkeit einer SIP-Anmeldung per WAN an den LANCOM sehr begrüßen! Die triftigen Gründe dafür sind ja schon oben genannt worden.
Grüße
Cpuprofi
welcher SIP-Provider bietet Dir das denn an?garfield0815 hat geschrieben:...nuja sip mit certifikat sollte schon sicherer sein als irgend ein vom admin vergebenes Passwort...
Nochmals die gleiche Frage: Welcher SIP-Provider bietet Dir das denn an?garfield0815 hat geschrieben:...oder auch die bandelung an eine bestimte mac Adresse...
Bei jedem SIP-Provider erfolgt die "Anmeldung" über "Benutzername" und "passend sichere" Passwörter und die sehen dieses NICHT als "Sicherheitsrisiko" an, warum sollte das dann bei LANCOM Geräten ein "Sicherheitsrisiko" sein???garfield0815 hat geschrieben:...aber trotz alle dehm würde ich kein sip mehr direkt keine direkte wan anmeldung mer zulassen
Ja, dann hattest Du anscheinend KEIN sicheres Passwort verwendet! Und gegen eigene Dummheit kann auch LANCOM nichts machengarfield0815 hat geschrieben:...mir wurde schon mahl ein 1821 darüber gehackt und durch minütliche anrufe nach spanien meine telefonrechnung hochgetrieben...
Einfach ein "ausreichende sicheres Passwort" vergeben und gut ist es !!!
Also ich und auch andere würden die Möglichkeit einer SIP-Anmeldung per WAN an den LANCOM sehr begrüßen! Die triftigen Gründe dafür sind ja schon oben genannt worden.
Grüße
Cpuprofi
Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen
Hallo zusammen,
@Georg/MoinMoin: endlich mal eine Ansage, so gefällt mir das!
Viele Grüße
Jirka
@Georg/MoinMoin: endlich mal eine Ansage, so gefällt mir das!
Erstens kann man MAC-Adressen extrem schnell fälschen und zweitens, hast Du schon mal die MAC-Adresse von einem SIP-Client gesehen, der per WAN angeschlossen ist?!garfield0815 hat geschrieben:oder auch die bandelung an eine bestimte mac adresse
kann das der lancom auch ?
Würde ich Dir bei einem 08/15-Passwort auch nicht empfehlen.garfield0815 hat geschrieben:aber trotz alle dehm würde ich kein sip mehr direkt keine direkte wan anmeldung mer zulassen
Viele Grüße
Jirka
Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen
@ cpuprofi
wir reden hir doch über wan anmeldung an deine "eigene" tk anlage bzw lankom
oder ?????
versuch doch mahl bei einem nicht telekom anschluss die an deine telekom tlefon nummer anzumelden
soweit ich das weis geht es nicht da die tkom ihre nummern an den ensprechenden anschluss bandelt (warum auch immer )
nfone macht soweit ich weis inzwischen viel über vpn
und klahr man kann passwörter so gestalten das sie vermutlich nicht knackbar sind nur meistens sind dan diese nicht praxistauglich oder werden irgendwie auf diversen geräten gespeicert oder via mail verschickt
tk die mir certifikat arbeiten hmm asterisk
mac bündelung asterisk ......
klahr jeder soll seinen anschluss nach seinen vorstellungen einstellen egel ob es nun ein lankom oder sonstiges gerät ist
nur man sollte nicht nur die vorteile sehen sondern auch mahl die risiken erleutern
und es gibt heutzutage genügend programme die passwörter knacken und wenn sie nur wochen lang diverse kombinationen versuchen
auch wenn mir dahmahls der anschluss gehäckt wurde es war ja nicht nur das passwort sonder die musten ja auch noch die passende sip id herausfinden
das sich da keiner hinsetzen wird und dies manuell tut dürfte auch klahr sein
und solange die configs der lancoms gespeicert werden können und von überall aus geöffnet werden können und anschliesend über drucken die passwörter im klartext stehen
selbst die vpn config schrebt alles im klahrtext
nuja
wir reden hir doch über wan anmeldung an deine "eigene" tk anlage bzw lankom
oder ?????
versuch doch mahl bei einem nicht telekom anschluss die an deine telekom tlefon nummer anzumelden
soweit ich das weis geht es nicht da die tkom ihre nummern an den ensprechenden anschluss bandelt (warum auch immer )
nfone macht soweit ich weis inzwischen viel über vpn
und klahr man kann passwörter so gestalten das sie vermutlich nicht knackbar sind nur meistens sind dan diese nicht praxistauglich oder werden irgendwie auf diversen geräten gespeicert oder via mail verschickt
tk die mir certifikat arbeiten hmm asterisk
mac bündelung asterisk ......
klahr jeder soll seinen anschluss nach seinen vorstellungen einstellen egel ob es nun ein lankom oder sonstiges gerät ist
nur man sollte nicht nur die vorteile sehen sondern auch mahl die risiken erleutern
und es gibt heutzutage genügend programme die passwörter knacken und wenn sie nur wochen lang diverse kombinationen versuchen
auch wenn mir dahmahls der anschluss gehäckt wurde es war ja nicht nur das passwort sonder die musten ja auch noch die passende sip id herausfinden
das sich da keiner hinsetzen wird und dies manuell tut dürfte auch klahr sein
und solange die configs der lancoms gespeicert werden können und von überall aus geöffnet werden können und anschliesend über drucken die passwörter im klartext stehen
selbst die vpn config schrebt alles im klahrtext
nuja
Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen
Hi garfield0815
letztendlich bringt dir ein (ggf. selbst signiertes) Zertifikat keine größerte Sicherheit als ein sicheres Paßwort... Und bete, daß der PC, auf dem das Zertifikat erstellt wurde, einen guten Zufallsgenerator hat - denn sonst fährst du selbst mit einem unsicheren Paßwort besser
Gruß
Backslash
das hat aber nichts mit dem Thema hier zu tun - es geht um Anmeldung vom WAN und da kannst du eine MAC-Bindung vergessen (bzw. es darf jeder rein, wenn du die MAC-Adresse des Gateways einbträgst).mac bündelung asterisk ......
sobald du mit dem Zertifikat aber das machst:tk die mir certifikat arbeiten hmm asterisk
dann hast du das gleiche Problem, wie bei einem sicheren Paßwort... (auch wenn du das Zertifikat in einen PKCS12 Container packst, dann mußt du dem Container auch ein sicheres Paßwort geben, daß du irgendwie übermitteln mußt)oder werden irgendwie auf diversen geräten gespeicert oder via mail verschickt
letztendlich bringt dir ein (ggf. selbst signiertes) Zertifikat keine größerte Sicherheit als ein sicheres Paßwort... Und bete, daß der PC, auf dem das Zertifikat erstellt wurde, einen guten Zufallsgenerator hat - denn sonst fährst du selbst mit einem unsicheren Paßwort besser
Gruß
Backslash
Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen
Hallo,
Eine x stellige SIP-ID + 15 oder mehr stelligen Passwort (Buchstaben, Zahlen, Sonderzeichen) sollte "locker" als ausreichend "Sicher" gelten.
SIP-ID: 10 + Passwort: 10 sind auf jedem Fall nicht sicher...
Grüße
Cpuprofi
dann teile uns doch bitte mal mit, wie Deine "damalige" SIP-ID und PW aufgebaut waren? So dass diese "gehackt" wurden...garfield0815 hat geschrieben:...auch wenn mir dahmahls der anschluss gehäckt wurde es war ja nicht nur das passwort sonder die musten ja auch noch die passende sip id herausfinden...
Eine x stellige SIP-ID + 15 oder mehr stelligen Passwort (Buchstaben, Zahlen, Sonderzeichen) sollte "locker" als ausreichend "Sicher" gelten.
SIP-ID: 10 + Passwort: 10 sind auf jedem Fall nicht sicher...
Grüße
Cpuprofi