Starface Cloud, Yealink RPS, Zero Touch und schizo Firewall, welche IP/Ports?

  • Ein Kunde hat seinen Firewall so zugesperrt dass vernünftiges arbeiten nicht so spassig ist. Ausgehende Verbindungen (LAN->WAN) sind per Default gesperrt und müssen einzeln freigeschaltet werden. Er will es so.
    Telefon Yealink T46G im LAN, Starface Server im Internet, gehostet bei Starface in Deutschland. Achtung: Starface Anlage befindet sich nicht im LAN. Im LAN ist nur ein Telefon. Die üblichen knowledge.starface.de Seiten beziegen sich nicht auf das Cloud Szenario!



    Welche Ports und IP Adressen müsssen dem Firewall beigebracht werden, damit ein Yealink T46S von Zero Touch bis Normalbetrieb an einer Starface.de Cloud Anlage funktioniert?



    Sehr salop ausgedrückt und wahrscheinlich nicht 100% in Detail korrekt, hier der Vorgang:
    Wenn ein T46 ohne Konfiguration das erste Mal startet (nur IP Konfiguration per lokalem DHCP, keine lokalen tftp Server), dann"telefoniert es erst mal nach Hause", sprich, es kontaktiert den Yealink Redirect Server (RPS) und fragt an:
    "Hey, meine MAC Adresse ist xx:xx:xx:xx:xx:xx. Sag mal, wo ist mein Provisionierungsserver?"


    (Natürlich habe ich meine Hausaufgaben vorher gemacht und per Starface Partnerportal, Cloud Management die entsprechende MAC Adresse einer bestehenden Cloud Instanz zugeweisen. Nennen wir sie der Einfachheit halber anlage.starface-cloud.com mit IP 37.1.2.3)


    Frage 1: Wie lautet die IP Adresse und/oder der IP Addressbereich, sowie die Ports für den Yealink RPS?



    Der RPS teilt dem Yealink mit dass sein Provisionierungsserver wie folgt ist:


    http://37.1.2.3/:50080/ap/yealink/



    Frage 2: Wird immer die unverschlüsselte Verbindung angeboten oder auch https://37.1.2.3/:50081/ap/yealink/ ? "Weiss" das T46S dass an Port 50081 HTTPS zur Verfügung steht, oder wird das dem T46S nach der ersten Kontaktaufnahme mitgeteilt wenn "Verschlüsselung zu unterstützten Telefonen aktivieren:" aktiviert ist? Versteht Yealink T46G verschlüsselte Provisionierung? Hier wird nur Snom und OpenStabe erwähnt.



    Das T46 nimmt nun also mit http://37.1.2.3/:50080/ap/yealink/ Kontakt auf und erhält seine Provisionierung.



    Wenn es dann alles erhalten hat, dann werden die folgenden IP und Ports benötigt (gemäss https://knowledge.starface.de/…ge.action?pageId=17269634 mit Anpassungen für den Cloud Betrieb). Korrekturen willkommen...


    Ausgehend (LAN to WAN to Starface)

    • 5060(UDP/TCP)
    • 5222(TCP) für UCC
    • 50080(TCP) für Provisionierung (50081(TCP) falls Yealink TLS unterstützt?)
    • 10000-20000(UDP) für RTP



    Ausgehend (LAN to WAN to Yealink)

    • IP oder IP Range vom Yealink RPS Server und Port (beides unbekannt)



    Eingehend (Starface to WAN to LAN

    • keine speziellen Ports. Das T46 hat die entsprechenden TCP und UDP Sessions geöffnet.



    Bin ich in etwa richtig?


    Danke
    Daniel

  • Hallo Daniel


    Die RPS-Server von Yealink (rps.yealink.com) sind auf einer Plattform Namens "AliCloud IPR". Diese haben einen IP-Range von: 47.89.128.0 - 47.89.191.255.


    Der Port 50080 ist nach mir immer die erste Ansprechstelle von Telefonen bei der Starface, während der Provisionierung wir der Provisionierungs-URL am Lokalen Telefon gesetzt/ersetzt.
    In dem Zusammenhang werden die Unterstützen Telefone auch automatisch mit einem 50081 URL versehen.


    Der Ausgehende Portnutzungsbereich für RTP Daten wurde übrigens von 20'000-65535 zu 1.025-65.535 geändert.


    MfG


    Fabian

  • Hallo Daniel


    Die RPS-Server von Yealink (rps.yealink.com) sind auf einer Plattform Namens "AliCloud IPR". Diese haben einen IP-Range von: 47.89.128.0 - 47.89.191.255.


    Vielen Dank Fabian.
    47.89.128.0/18


    Jetzt bräuchte ich nur noch den Bereich für SNOM Telefone (sraps.snom.com ?). Kennst du den ev. auch?


    Was meinst du:
    [root@apus firehol]# dig sraps.snom.com +noall +answer



    ; <<>> DiG 9.9.4-RedHat-9.9.4-74.el7_6.1 <<>> sraps.snom.com +noall +answer
    ;; global options: +cmd
    sraps.snom.com. 300 IN CNAME d21x2045w4zc4s.cloudfront.net.
    d21x2045w4zc4s.cloudfront.net. 60 IN A 13.224.96.20
    d21x2045w4zc4s.cloudfront.net. 60 IN A 13.224.96.15
    d21x2045w4zc4s.cloudfront.net. 60 IN A 13.224.96.96
    d21x2045w4zc4s.cloudfront.net. 60 IN A 13.224.96.33


    Snom liegt nach ARIN im Amazon Netz. Ich denke nicht dass 13.224.96.0/24 applizierbar wäre...





    Übrigens:
    [root@apus firehol]# dig rps.yealink.com +noall +answer



    ; <<>> DiG 9.9.4-RedHat-9.9.4-74.el7_6.1 <<>> rps.yealink.com +noall +answer
    ;; global options: +cmd
    rps.yealink.com. 416 IN A 52.71.103.102
    rps.yealink.com. 416 IN A 47.89.187.0


    Da schneit noch eine IP 52.71.103.102...



    Daniel

  • Hallo Daniel


    52.71.103.102 ist in einem Amazon Subnetz: 52.64.0.0 - 52.79.255.255


    So wie du gesagt hast, der 13.224.96.X ist ebenfalls Amazon. Der Bereich gemäss RIPE: 13.224.0.0 - 13.227.255.255


    MfG


    Fabian


  • Ausgehend (LAN to WAN to Starface)


    • ...
    • 10000-20000(UDP) für RTP


    Der Bereich 10000-20000 wird für eingehende und nicht für ausgehende RTP-Verbindungen benötigt.


    Für ausgehend werden die Ports 1025-65535 (war mal 20000-65535) benötigt.

    Gruss
    Thomas


    hertli ¦ IT
    hertli Informatik+Treuhand


    eMail: mail ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

  • Die Bereiche sind zu gross für eine Firewallregel. Da könnte ja jeder kreti und pleti...

    Ich werde mal die folgenden Adressen konfigurieren:


    #sraps.snom.com
    13.224.96.20
    13.224.96.15
    13.224.96.96
    13.224.96.33


    #rps.yealink.com
    52.71.103.102
    47.89.187.0





    Daniel





  • Zur Info: im Snom Forum habe ich folgende Antwort erhalten (Test steht noch aus):

    Zitat


    if you want to allow phones to communicate with SRAPS you have to open the port 80 and 443 to 52.28.89.237 (secure-provisioning.snom.com)
    if you want to allow also the XML-RPC api you have to open the port 8080 to 52.28.89.237


    Daniel

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!