Seite 1 von 2 12 LetzteLetzte
Zeige Ergebnis 1 bis 15 von 21

Thema: Firewall-Konfiguration für den erfolgreichen Betrieb von STARFACE

  1. #1
    STARFACE Expert
    Benutzerbild von Philipp
    Registriert seit
    08.01.2007
    Ort
    Karlsruhe
    Beiträge
    1.782

    Idee Firewall-Konfiguration für den erfolgreichen Betrieb von STARFACE

    Folgende Ports müssen in der Firewall geöffnet werden:

    • 4569 (UDP) für IAX-Pakete -> benötigt für z.B. Webphone / IAX-Telefone
    • 5060 (UDP) für SIP-Pakete -> benötigt für SIP-Telefone
    • 10000 bis 20000 (UDP) für RTP-Pakete -> benötigt für die Sprachpakete
    • 5222 (TCP) für unverschlüsselte XMPP-Pakete -> für z.B. WinClient / Jabber-Client
    • 5223 (TCP) für verschlüsselte XMPP-Pakete -> für z.B. WinClient / Jabber-Client


    Bitte berücksichtigen Sie diese Informationen auch bei Hosted-PBX

  2. #2
    STARFACE Admin
    Benutzerbild von mfehleisen
    Registriert seit
    14.02.2007
    Ort
    71364 Winnenden
    Beiträge
    117

    Standard

    Hmpf, deswegen läuft bei uns der Winclient nicht ... heut Abend gleich mal testen ;-)

    -Matthias
    Starface Excellence Partner & plusnet Exklusive Partner
    Kontakt: 07141-23999-0 (Telefon) / -99 (Fax) / URL: www.ucs-team.de / Mail: info@ucs-team.de
    NGN-Pakete für Starface - bitte kontaktieren
    - auch SIP-Trunks für Starface Cloud!

  3. #3
    STARFACE User
    Benutzerbild von Patrick
    Registriert seit
    27.02.2007
    Beiträge
    23

    Standard Erfahrung mit einer ZyWall5

    Hier mal ein kleiner Erfahrungsbericht mit einer Zywall 5 von Zyxel:

    Es gibt in den erweiterten Einstellungen unter ALG einen Häckchen das man setzen kann: "SIP ALG".

    Erläutertug ALG laut Zywall-Hilfe:
    The ZyWALL can function as an Application Layer Gateway (ALG) to allow certain NAT un-friendly applications (such as SIP) to operate properly through the ZyWALL.

    So setzte ich dieses Häckchen erwartungsvoll, bis ich bemerkte das die Voicemail-Ansagen nicht mehr abgespielt werden wenn jemand anruft. Hacken wieder rausgenommen, und siehe da, die Ansagen waren wieder hörbar. Allerdings funktionierte nun die Rufumleitung nicht mehr.

    Also einfach die Ports 5060 und 10000-20000 UDP per PortForwarding geöffnet, und dann hats funktioniert, ohne den Hacken bei SIP ALG.

    An dieser Stelle auch nochmal herzlichen Dank an die StarfaceCrew die mir hier mit vollster Unterstützung beistanden!
    Du kannst mit Deinem Rechner alles machen, was du willst, allerdings musst du erstmal rausfinden, wie das geht.

  4. #4
    STARFACE User

    Registriert seit
    11.04.2007
    Beiträge
    7

    Standard

    Stehe gerade ein bischen auf dem Schlauch...

    Die Ports müssen doch nicht nur an der FW geöffent sein sonder auch an die Lokale IP Adresse des Starface Server weitergeleitet (forwarding) werden oder ? Danke !

    Der konfuse bAng !

  5. #5
    STARFACE Expert
    Benutzerbild von Philipp
    Registriert seit
    08.01.2007
    Ort
    Karlsruhe
    Beiträge
    1.782

    Standard

    Genau ! Port-Forwarding ist hier das richtige Stichwort

  6. #6
    STARFACE Crew
    Benutzerbild von caryon
    Registriert seit
    05.01.2007
    Beiträge
    136

    Standard

    @bAng:
    Der STARFACE Server ist so eingestellt, dass natürlich alle Port durchgehen, die für VoIP und einwandfreien Betrieb notwendig sind. Alle anderen werden duch eine interne Firewall geblockt.

  7. #7
    STARFACE Expert
    Benutzerbild von thomas.hertli
    Registriert seit
    30.05.2007
    Ort
    Arisdorf (CH)
    Beiträge
    987

    Frage Tunneling-Verfahren ?

    Hallo zusammen

    Gibt es dazu noch keine Möglichkeit dies zu umgehen ?

    Das Öffnen der Ports auf der Firewall mag gut und recht sein, wenn in einem statischen Umfeld gearbeitet wird.

    Wir sind allerdings grossteils "Mobil" veranlagt, resp. in den Netzen bei Kunden, Partnern, Hotels unterwegs. Ich kann doch nicht überall die Firewall öffnen lassen.

    Gruss
    Thomas Hertli
    STARFACE Certified Partner

    Gruss
    Thomas

    hertli ¦ IT
    hertli Informatik+Treuhand

    eMail: briefkasten ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, STARFACE-Telefonanlagen, Managed Services, Security

  8. #8
    STARFACE User
    Benutzerbild von Schwaendi79
    Registriert seit
    27.06.2007
    Beiträge
    8

    Standard

    Ich habe bei uns im Geschäft die Ports welche am Anfang erwähnt worden sind freigeschaltet.

    Bei mir zuhause musste ich auf meiner Firewall (Netgear) keine weiteren Konfigurationen vornehmen damit ich via Webbrowser übers Geschäft telefonieren konnte.
    ___________________________________
    Wär Rächtschreibefähler findet darf Sie behalten

  9. #9
    STARFACE Expert
    Benutzerbild von thomas.hertli
    Registriert seit
    30.05.2007
    Ort
    Arisdorf (CH)
    Beiträge
    987

    Standard

    Wie gesagt sind wir an unterschiedlichen Orten, wo wir Zugang auf die Starface benötigen.

    Aktuell sind wir in einem Projekt an einem Standort im Kundennetz, wo nicht mal das Telefonieren über das Web-Frontend möglich ist.

    Es ist nun mal nicht überall möglich die Ports der Firewall freizugeben, weil man darauf keinen Zugriff hat.

    Ich stelle mir das eigentlich so vor, dass wenn im Web-Frontend gearbeitet wird, die Kommunikation über das http oder https Protokoll zum Starface-Server getunnelt wird.

    Dass auf der Server-Seite gewisse Ports freigegeben werden müssen, kann ich nachvollziehen; dass das aber auf der Client-Seite für eingehende Verbindungen auch notwendig ist, ist unbefriedigend und schränkt mächtig ein
    STARFACE Certified Partner

    Gruss
    Thomas

    hertli ¦ IT
    hertli Informatik+Treuhand

    eMail: briefkasten ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, STARFACE-Telefonanlagen, Managed Services, Security

  10. #10
    STARFACE Admin
    Benutzerbild von Martin
    Registriert seit
    10.01.2007
    Beiträge
    151

    Standard

    vielleicht liegt hier ein Missverständnis vor.
    Die Starface-PBX Software als Server betrieben, benötigt die Portforwardings.

    Die Clients verwenden natürlich auch die erwähnten Ports, allerdings ist es so, dass ausgehende Verbindungen allermeistens von Seiten des Betreibers freigeschaltet sind. Als Minimallösung kann man Port 4569 für iax2 freischalten lassen und das Plugin-Phone verwenden (= ein einziger Port).
    $df # root hat immernoch Platz
    Filesystem 1K-blocks Used Avail Capacity Mounted on
    /dev/ad0a 7984374 7750796 -405170 106% /
    devfs 1 1 0 100% /dev

  11. #11
    STARFACE Expert
    Benutzerbild von thomas.hertli
    Registriert seit
    30.05.2007
    Ort
    Arisdorf (CH)
    Beiträge
    987

    Standard

    [QUOTE=Martin;598]vielleicht liegt hier ein Missverständnis vor.
    Die Starface-PBX Software als Server betrieben, benötigt die Portforwardings.[/QOUTE]

    Wir verwenden die hosted PBX; ich gehe mal davon aus, dass das dort entsprechend konfiguriert ist


    Zitat Zitat von Martin Beitrag anzeigen
    Die Clients verwenden natürlich auch die erwähnten Ports, allerdings ist es so, dass ausgehende Verbindungen allermeistens von Seiten des Betreibers freigeschaltet sind. Als Minimallösung kann man Port 4569 für iax2 freischalten lassen und das Plugin-Phone verwenden (= ein einziger Port).
    Immer noch keine schöne Lösung. Es gibt nun mal Umgebungen, wo keine Möglichkeit besteht (aus welchen Gründen auch immer) Ports freischalten zu lassen.

    Im Webbrowser laufend heisst bei mir, dass ich Clientseitig ausschliesslich http resp. https benötige. Der ganze Rest ist Serversache und interessiert mich auf dem Client nicht.

    Mein Client ist der Browser und der Kommuniziert mit dem Server über http/https; da braucht's doch eigentlich keine zusätzlichen Protokolle und Ports.

    Das gleiche Problem stellt sich übrigens auch beim Winclient. Auch da wäre eine Kommunikation des Winclients mit dem Starface-Server über http/https wünschenswert, da diese beiden Protokolle in 99,99% auch verfügbar sind.

    Wenn aktuell nicht möglich, nehmt das doch bitte als Feature-Request für eine zukünftige Version auf
    STARFACE Certified Partner

    Gruss
    Thomas

    hertli ¦ IT
    hertli Informatik+Treuhand

    eMail: briefkasten ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, STARFACE-Telefonanlagen, Managed Services, Security

  12. #12
    STARFACE Admin

    Registriert seit
    23.05.2007
    Beiträge
    126

    Standard

    Wenn, wie es in großen Firmen heutzutage üblich ist, ein Proxy wie z.B. squid verwendet wird um den Zugriff aufs Internet zu (ver)bieten/regulieren, ist es IMHO nicht möglich da irgendwas vernünftig drüber zu tunneln, schon gar nicht Sprache.

    Die Ports sehe ich hier als beste Lösung, auch im Hinblick auf den Administrationsaufwand.

    Ach ja: Port forwarding geht immer irgendwie, sonst wäre in keiner Firma ein Programm möglich welches z.B. mit PgSQL, MySQL oder MSSQL arbeitet - an DATEV z.B. will ich da gar nicht denken ... nur ordentlich gesichert muss die Sache sein.

  13. #13
    STARFACE Expert
    Benutzerbild von Philipp
    Registriert seit
    08.01.2007
    Ort
    Karlsruhe
    Beiträge
    1.782

    Standard

    VoIP-Traffic komplett über Port 80 / Port 443 abzuwickeln ist schwierig bis unmöglich. SIP benötigt ja von Haus aus mehr als einen offenen Port.

    Die beste Lösung ist es, wenn man sich z.B. vom Hotel aus per VPN-Tunnel in die Firma einwählt und die Calls über den Gateway in der Firma initiiert.

    Gruß
    Philipp

  14. #14
    STARFACE User

    Registriert seit
    18.07.2007
    Beiträge
    7

    Standard

    Denke auch das hier ein Missverständnis vorliegt. Es ging ja um eingehende Verbindungen bei dem eigenen Server "zuhause". Da sollte man die im ersten Post angegebenen Ports schon öffnen und auf Starface weiterleiten können, sonst kann wohl nur noch zum Hosted PBX greifen.

    Die andere Seite des Blattes ist ja von unterwegs auch darauf zu kommen, also ob ausgehende Verbindungen geblockt/gefiltert werden oder niciht.
    Bei mir in der Hochschule läuft z.B. ein Transparent Proxy der auch nur die wichtigsten Ports durchlässt: TCP 21, 22, 80, 443.

    Daher verbinde ich mich per VPN ins Heimnetz. Früher über IPSec, aber das ist unnötig kompliziert und es gibt mir zuviele unterschiedliche (teils proprietäre) Implementationen - außerdem werden auch nicht überall ESP und GRE Pakete durchgelassen (bei SoHo Geräten "IPSec Forwarding" oder so ähnlich). Heute bevorzuge ich also OpenVPN, da das Setup weitaus einfacher und flexibler ist.
    Zudem braucht man nur einen Port zuhause öffnen der auch noch frei wählbar ist.
    Sprich: Momentan ist es bei mir TCP 21. D.h. überall (Kundennetze) wo man auf FTP Server im Internet zugreifen darf braucht man nur den Tunnel aufbauen und greift so auf Starface zu wie im internen Netz...

    Was will man mehr?

  15. #15
    STARFACE Newbie Benutzerbild von bncsystems
    Registriert seit
    07.07.2008
    Ort
    Radeburg
    Beiträge
    3

    Standard Ports öffnen für "Unterwegs"

    So nun möchte ich auch mal

    Also wenn man viel beim Kunden unterwegs ist, so wie ich auch dann lass doch Dein Mobil Telefon über UMTS oder WLan mit deinem Server kommunizieren. Das ganze natürlich getunnelt entweder über OpenVPN oder PPTP das können die meisten Geräte und entsprechende Firewalls. Das ganze über ein D-Link, ZyXEL oder AVM Router abzuwickeln halte ich für eine Firma sowieso für etwas gewagt. Nimm einen einergemassen stabilen Rechner (muss nicht mal neu sein. Ich verwende da auch gerne Leasingrückläufer) und darauf IPCop oder etwas schicker weil Multi-WAN-fähig eine Clark Connect Gateway / Firewall. Dazu ein Nokia E65 und eine UMTS Flatrate und die Handykosten schmelzen dahin.

Ähnliche Themen

  1. ISDN-Konfiguration nach Update
    Von slu im Forum STARFACE Einrichtung & Administration
    Antworten: 2
    Letzter Beitrag: 20.08.2009, 15:41
  2. Voicemail im Nur Ansage-Betrieb
    Von janek im Forum STARFACE Einrichtung & Administration
    Antworten: 2
    Letzter Beitrag: 23.02.2009, 15:39
  3. Konfiguration Linksys PAP2T für Analogfax?
    Von giang im Forum STARFACE Einrichtung & Administration
    Antworten: 14
    Letzter Beitrag: 11.08.2008, 10:37
  4. Firewall nachkonfigurieren
    Von lordmike1503 im Forum STARFACE Einrichtung & Administration
    Antworten: 3
    Letzter Beitrag: 26.05.2008, 20:00
  5. Konfiguration bei Anlagenanschluss
    Von lordmike1503 im Forum STARFACE Einrichtung & Administration
    Antworten: 4
    Letzter Beitrag: 10.08.2007, 15:54

Stichworte

Lesezeichen

Forumregeln

  • Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
  • Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
  • Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
  • Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
  •