Seite 2 von 2 ErsteErste 12
Zeige Ergebnis 16 bis 20 von 20

Thema: Einstellungen Sophos UTM für Starface App

  1. #16
    STARFACE Expert
    Benutzerbild von fwolf
    Registriert seit
    28.12.2011
    Ort
    72622 Nürtingen
    Beiträge
    2.397

    Standard

    Hi Thomas,

    Zitat Zitat von thomas.hertli Beitrag anzeigen
    Aber ich muss doch nicht erst ne "Einladung" bereitstellen. Eine Tür die nicht da ist, muss ich auch nicht noch zusätzlich absichern.

    Es macht doch keinen Sinn erst etwas das nie benötigt wird bereit zu stellen um dann den Zugriff darauf wieder einzuschränken.
    Ich glaube da gibt es ein Missverständnis. Es wird ja nicht wirklich bereitgestellt.

    Die STARFACE antwortet auf einen Verbindungsversuch auf einen dieser Ports mit einem ICMP/Port Unreachable – teilt dem Anfragenden also mit, dass kein Dienst auf diesem Port lauscht.
    Wenn Du in der Firewall das ganze per DROP abweist, gibt es keine Antwort, mit einem REJECT in der Firewall ist das Ergebnis das selbe: Es wird per ICMP eine Nichterreichbarkeit angezeigt – standardmäßig, wenn kein Reject-Type angegeben wird, wird (zumindest mit iptables) ebenfalls ein ICMP/Port Unreachable gesendet.

    Das heißt: Die Ports in der Firwall weiterzuleiten oder ein REJECT zu machen ist für den Anfragenden identisch.
    Lediglich beim DROP würde die Anfrage verworfen, ohne eine ICMP-Antwort zu generieren.
    Grüße,
    Fabian

    STARFACE Excellence Partnerwww.fluxpunkt.deinfo@fluxpunkt.de

    Informationen über Fluxpunkt Module für STARFACE
    Produktupdates, Neuigkeiten & sonstiges gezwitscher: Fluxpunkt bei Twitter

  2. #17
    STARFACE Expert
    Benutzerbild von Ulf
    Registriert seit
    06.03.2013
    Ort
    79395 Neuenburg
    Beiträge
    1.765

    Standard

    Hallo Thomas,

    das mit dem "nie benötigt" kann man so pauschal ja leider nicht sagen - ich verstehe aber was Du meinst. wenn Du aber auch nur enen Port für ALLE öffnest statt mehrere Ports für ganz bestimmte Quellen und Ziele zu beschränken, ergibt sich auch kein Vorteil, eher umgekehrt. Ist vermutlich eine Philosophiefrage ...

    Wir hier halten es in der Regel so: soviel wie nötig für genau nur die Parteien, für die das tatsächlich benötigt wird. In Ergänzung zu dem was Fabian aufgeführt hat und was Du für bestimmte Kommnuikationstypen brauchst, hilft Dir die Beschränkung auf bestimmte Quellen/Ziele ja, die Sicherheit ausreichend hoch zu halten. Persönlich würde ich für die externe Anbindng auch das von Dir erwähnte VPN bevorzugen - ansonsten gibt es aber auch ein paar Mechanismen, um externe Zugriffe zumindest - sagen wir mal: "sicherer" zu machen. Ich teile ansonsten Deine Meinung.

    Ergänzung:

    Fabian hat das gerade sehr schön ergänzt ...
    Beste Grüße,
    Ulf

    Starface Certified Partner | Starface Module Creator | Module für Starface

  3. #18
    Ex-STARFACE Crew STARFACE Expert
    Benutzerbild von Niklas
    Registriert seit
    08.12.2014
    Beiträge
    294

    Standard

    Die RTP Ports 10000-20000 sollten eingehend von deinem VoIP-Provider und allen extern angebundenen Teilnehmern erreichbar sein (Portforwarding, DNAT, ...).
    Hinter diesen Ports steckt im Normalfall kein Daemon, eingehende Pakete werden nicht beantwortet.

    Das kann jeder für sich mittels nmap (Industriereferenz für Netzwerkscanner) überprüfen:
    nmap -sC -sU -p U:10000-20000 hostname

    Der Scan läuft bei mir noch, ETA 3 Stunden, nach 30 Minuten (bzw. 8%) noch keine einzige Antwort. Und das obwohl die Ports für mich "offen" sind.

    Warum ist das so?


    Erst wenn eine SIP Session aufgebaut wurde und im SDP die Mediaports ausgehandelt wurden (STARFACE wird einen zufälligen Port zwischen 10000-20000 anbieten)
    wartet hier ein Thread des Asterisk-Daemon auf Sprachpakete und nichts anderes.

    Nur und exklusiv Pakete von der IP Adresse die als Media-Contact im SDP angegeben war werden bearbeitet und beantwortet.

    Warum also forwarden?


    Kurz:
    Sonst kann es dazu kommen, das eine SIP Session aufgebaut wird, die Firewall aber die eingehenden RTP-Pakete verwirft. Man hört sich nicht.

    Ausführlich(er):
    Für die Firewall gibt es erstmal keinen Zusammenhang zwischen der SIP Session und der RTP (Media) Session, die Ports werden nicht in der NAT-Tabelle festgehalten und erreichen den Host (in dem Fall die STARFACE) nicht.
    Also muss man der Firewall sagen, das Pakete auf diese Ports immer für die STARFACE bestimmt sind und umgeleitet werden sollen.


    Ich hoffe ein bisschen Licht in die Sache gebracht zu haben, würde euch aber bitten nun beim Topic zu bleiben.
    Falls Ihr weitere Fragen zu dem Thema habt, macht doch einen eigenen Thread auf.
    Viele Grüße
    Niklas

    - Ex STARFACE Support: 2014-2020 -

  4. #19
    STARFACE Newbie Benutzerbild von WERBESPEZI
    Registriert seit
    16.08.2013
    Ort
    Gera
    Beiträge
    4

    Standard

    Ich muss die Diskussion vom letzten Jahr nochmals aufgreifen und hoffe auf Erkenntnisse.

    Hallo erstmal zusammen!

    Ich kämpfe seit einiger Zeit damit, das ich mit das ich mit dem Starface APP extern nicht telefonieren kann. Im lokalen Netz ist alles i.O.

    Szenario:
    Starface TK Anlage im VM-Ware Umgebung
    Firewall: Sophos UTM
    SIP Provider: SIPGATE / Starface Connect
    Carrier: Vodafone Kabel mit Modem im Bridge Mode
    DNAT Regeln von Any zur TK Anlage für folgende Ports:
    SIP RTP 10000-20000 UDP
    HTTPS 443
    SIP 5060 TCP/UDP
    SIP SSL 5061 TCP
    XMPP 5222 TCP
    XMPP SSL 5223 TCP
    SIP RTP OUT 20001:65535 UDP
    SIP RTP 5004:5020 UDP (sipgate)
    SIP Activity 25060 TCP/UDP (sipgate)
    STUN 3478 UDP
    Timesync 123 UDP
    Autoprovisionierung 50080:50081 TCP
    Anlagenverbund 3090 TCP/UDP

    Firewall Regeln entsprechend aktiv!

    Ich bekomme am App Anrufe signalisiert, aber es findet keine Audioübertragung statt.
    Wenn ich auf der TK Anlage den Portdump mitlaufen lasse, sehe ich im Bereich 10000-20000 auch keinerlei Aktivitäten.

    Kann es sein, das Vodafone Kabel diese Ports trotz Bridge Mode für sich einbehält???

  5. #20
    STARFACE Newbie Benutzerbild von WERBESPEZI
    Registriert seit
    16.08.2013
    Ort
    Gera
    Beiträge
    4

    Lächeln Problem gelöst.

    Zitat Zitat von WERBESPEZI Beitrag anzeigen
    Ich muss die Diskussion vom letzten Jahr nochmals aufgreifen und hoffe auf Erkenntnisse.

    Hallo erstmal zusammen!

    Ich kämpfe seit einiger Zeit damit, das ich mit das ich mit dem Starface APP extern nicht telefonieren kann. Im lokalen Netz ist alles i.O.

    Szenario:
    Starface TK Anlage im VM-Ware Umgebung
    Firewall: Sophos UTM
    SIP Provider: SIPGATE / Starface Connect
    Carrier: Vodafone Kabel mit Modem im Bridge Mode
    DNAT Regeln von Any zur TK Anlage für folgende Ports:
    SIP RTP 10000-20000 UDP
    HTTPS 443
    SIP 5060 TCP/UDP
    SIP SSL 5061 TCP
    XMPP 5222 TCP
    XMPP SSL 5223 TCP
    SIP RTP OUT 20001:65535 UDP
    SIP RTP 5004:5020 UDP (sipgate)
    SIP Activity 25060 TCP/UDP (sipgate)
    STUN 3478 UDP
    Timesync 123 UDP
    Autoprovisionierung 50080:50081 TCP
    Anlagenverbund 3090 TCP/UDP

    Firewall Regeln entsprechend aktiv!

    Ich bekomme am App Anrufe signalisiert, aber es findet keine Audioübertragung statt.
    Wenn ich auf der TK Anlage den Portdump mitlaufen lasse, sehe ich im Bereich 10000-20000 auch keinerlei Aktivitäten.

    Kann es sein, das Vodafone Kabel diese Ports trotz Bridge Mode für sich einbehält???
    Offenbar waren einige DNS Server noch nicht aktualisiert, so das nicht einheitlich die XMPP Domäne erreichbar war.
    Nach Umstellung des Modems in den Bridge Mode, scheint es jetzt dann doch zu funktionieren.

Ähnliche Themen

  1. UCC Proxy-Einstellungen
    Von steffen0377 im Forum STARFACE Beta Archiv
    Antworten: 1
    Letzter Beitrag: 19.10.2016, 08:54
  2. Anbindung mit "Sophos UTM 220"
    Von tdaber im Forum Telekom ALL-IP
    Antworten: 1
    Letzter Beitrag: 25.04.2016, 07:54
  3. Einstellungen und Zugriff auf netvoip.ch
    Von uniko im Forum STARFACE Einrichtung & Administration
    Antworten: 2
    Letzter Beitrag: 24.03.2016, 12:28
  4. Antworten: 0
    Letzter Beitrag: 01.12.2015, 13:37
  5. Rufumleitung Einstellungen 3 verschiedene
    Von Daniel09 im Forum STARFACE Einrichtung & Administration
    Antworten: 3
    Letzter Beitrag: 13.01.2012, 18:00

Stichworte

Lesezeichen

Forumregeln

  • Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
  • Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
  • Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
  • Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
  •