Firewall-Konfiguration für den erfolgreichen Betrieb von STARFACE

  • Folgende Ports müssen in der Firewall geöffnet werden:

    • 4569 (UDP) für IAX-Pakete -> benötigt für z.B. Webphone / IAX-Telefone
    • 5060 (UDP) für SIP-Pakete -> benötigt für SIP-Telefone
    • 10000 bis 20000 (UDP) für RTP-Pakete -> benötigt für die Sprachpakete
    • 5222 (TCP) für unverschlüsselte XMPP-Pakete -> für z.B. WinClient / Jabber-Client
    • 5223 (TCP) für verschlüsselte XMPP-Pakete -> für z.B. WinClient / Jabber-Client

    Bitte berücksichtigen Sie diese Informationen auch bei Hosted-PBX

    Gruß / Regards
    Philipp

  • Hier mal ein kleiner Erfahrungsbericht mit einer Zywall 5 von Zyxel:

    Es gibt in den erweiterten Einstellungen unter ALG einen Häckchen das man setzen kann: "SIP ALG".

    Erläutertug ALG laut Zywall-Hilfe:
    The ZyWALL can function as an Application Layer Gateway (ALG) to allow certain NAT un-friendly applications (such as SIP) to operate properly through the ZyWALL.

    So setzte ich dieses Häckchen erwartungsvoll, :D bis ich bemerkte das die Voicemail-Ansagen nicht mehr abgespielt werden wenn jemand anruft. Hacken wieder rausgenommen, und siehe da, die Ansagen waren wieder hörbar. Allerdings funktionierte nun die Rufumleitung nicht mehr.:confused:

    Also einfach die Ports 5060 und 10000-20000 UDP per PortForwarding geöffnet, und dann hats funktioniert, ohne den Hacken bei SIP ALG.:cool:

    An dieser Stelle auch nochmal herzlichen Dank an die StarfaceCrew die mir hier mit vollster Unterstützung beistanden!:)

    Du kannst mit Deinem Rechner alles machen, was du willst, allerdings musst du erstmal rausfinden, wie das geht.

  • Stehe gerade ein bischen auf dem Schlauch...

    Die Ports müssen doch nicht nur an der FW geöffent sein sonder auch an die Lokale IP Adresse des Starface Server weitergeleitet (forwarding) werden oder ? Danke !

    Der konfuse bAng :rolleyes: !

  • bAng:
    Der STARFACE Server ist so eingestellt, dass natürlich alle Port durchgehen, die für VoIP und einwandfreien Betrieb notwendig sind. Alle anderen werden duch eine interne Firewall geblockt.

    There is no place like 127.0.0.1

  • Hallo zusammen

    Gibt es dazu noch keine Möglichkeit dies zu umgehen ?

    Das Öffnen der Ports auf der Firewall mag gut und recht sein, wenn in einem statischen Umfeld gearbeitet wird.

    Wir sind allerdings grossteils "Mobil" veranlagt, resp. in den Netzen bei Kunden, Partnern, Hotels unterwegs. Ich kann doch nicht überall die Firewall öffnen lassen.:confused:

    Gruss
    Thomas Hertli

    Gruss
    Thomas

    hertli ¦ IT
    hertli Informatik+Treuhand

    eMail: mail ( a t ) hertli.ch
    Internet: https://www.hertli.ch

    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

  • Ich habe bei uns im Geschäft die Ports welche am Anfang erwähnt worden sind freigeschaltet.

    Bei mir zuhause musste ich auf meiner Firewall (Netgear) keine weiteren Konfigurationen vornehmen damit ich via Webbrowser übers Geschäft telefonieren konnte.

    ___________________________________
    Wär Rächtschreibefähler findet darf Sie behalten :p

  • Wie gesagt sind wir an unterschiedlichen Orten, wo wir Zugang auf die Starface benötigen.

    Aktuell sind wir in einem Projekt an einem Standort im Kundennetz, wo nicht mal das Telefonieren über das Web-Frontend möglich ist.

    Es ist nun mal nicht überall möglich die Ports der Firewall freizugeben, weil man darauf keinen Zugriff hat.

    Ich stelle mir das eigentlich so vor, dass wenn im Web-Frontend gearbeitet wird, die Kommunikation über das http oder https Protokoll zum Starface-Server getunnelt wird.

    Dass auf der Server-Seite gewisse Ports freigegeben werden müssen, kann ich nachvollziehen; dass das aber auf der Client-Seite für eingehende Verbindungen auch notwendig ist, ist unbefriedigend und schränkt mächtig ein

    Gruss
    Thomas

    hertli ¦ IT
    hertli Informatik+Treuhand

    eMail: mail ( a t ) hertli.ch
    Internet: https://www.hertli.ch

    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

  • vielleicht liegt hier ein Missverständnis vor.
    Die Starface-PBX Software als Server betrieben, benötigt die Portforwardings.

    Die Clients verwenden natürlich auch die erwähnten Ports, allerdings ist es so, dass ausgehende Verbindungen allermeistens von Seiten des Betreibers freigeschaltet sind. Als Minimallösung kann man Port 4569 für iax2 freischalten lassen und das Plugin-Phone verwenden (= ein einziger Port).

    $df # root hat immernoch Platz
    Filesystem 1K-blocks Used Avail Capacity Mounted on
    /dev/ad0a 7984374 7750796 -405170 106% /
    devfs 1 1 0 100% /dev

  • vielleicht liegt hier ein Missverständnis vor.
    Die Starface-PBX Software als Server betrieben, benötigt die Portforwardings.[/QOUTE]

    Wir verwenden die hosted PBX; ich gehe mal davon aus, dass das dort entsprechend konfiguriert ist


    [quote='Martin','http://dragon-675.myforum.community/forum/thread/?postID=598#post598']Die Clients verwenden natürlich auch die erwähnten Ports, allerdings ist es so, dass ausgehende Verbindungen allermeistens von Seiten des Betreibers freigeschaltet sind. Als Minimallösung kann man Port 4569 für iax2 freischalten lassen und das Plugin-Phone verwenden (= ein einziger Port).

    Immer noch keine schöne Lösung. Es gibt nun mal Umgebungen, wo keine Möglichkeit besteht (aus welchen Gründen auch immer) Ports freischalten zu lassen.

    Im Webbrowser laufend heisst bei mir, dass ich Clientseitig ausschliesslich http resp. https benötige. Der ganze Rest ist Serversache und interessiert mich auf dem Client nicht.

    Mein Client ist der Browser und der Kommuniziert mit dem Server über http/https; da braucht's doch eigentlich keine zusätzlichen Protokolle und Ports.

    Das gleiche Problem stellt sich übrigens auch beim Winclient. Auch da wäre eine Kommunikation des Winclients mit dem Starface-Server über http/https wünschenswert, da diese beiden Protokolle in 99,99% auch verfügbar sind.

    Wenn aktuell nicht möglich, nehmt das doch bitte als Feature-Request für eine zukünftige Version auf

    Gruss
    Thomas

    hertli ¦ IT
    hertli Informatik+Treuhand

    eMail: mail ( a t ) hertli.ch
    Internet: https://www.hertli.ch

    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

  • Wenn, wie es in großen Firmen heutzutage üblich ist, ein Proxy wie z.B. squid verwendet wird um den Zugriff aufs Internet zu (ver)bieten/regulieren, ist es IMHO nicht möglich da irgendwas vernünftig drüber zu tunneln, schon gar nicht Sprache.

    Die Ports sehe ich hier als beste Lösung, auch im Hinblick auf den Administrationsaufwand.

    Ach ja: Port forwarding geht immer irgendwie, sonst wäre in keiner Firma ein Programm möglich welches z.B. mit PgSQL, MySQL oder MSSQL arbeitet - an DATEV z.B. will ich da gar nicht denken ... nur ordentlich gesichert muss die Sache sein.

  • VoIP-Traffic komplett über Port 80 / Port 443 abzuwickeln ist schwierig bis unmöglich. SIP benötigt ja von Haus aus mehr als einen offenen Port.

    Die beste Lösung ist es, wenn man sich z.B. vom Hotel aus per VPN-Tunnel in die Firma einwählt und die Calls über den Gateway in der Firma initiiert.

    Gruß
    Philipp

    Gruß / Regards
    Philipp

  • Denke auch das hier ein Missverständnis vorliegt. Es ging ja um eingehende Verbindungen bei dem eigenen Server "zuhause". Da sollte man die im ersten Post angegebenen Ports schon öffnen und auf Starface weiterleiten können, sonst kann wohl nur noch zum Hosted PBX greifen.

    Die andere Seite des Blattes ist ja von unterwegs auch darauf zu kommen, also ob ausgehende Verbindungen geblockt/gefiltert werden oder niciht.
    Bei mir in der Hochschule läuft z.B. ein Transparent Proxy der auch nur die wichtigsten Ports durchlässt: TCP 21, 22, 80, 443.

    Daher verbinde ich mich per VPN ins Heimnetz. Früher über IPSec, aber das ist unnötig kompliziert und es gibt mir zuviele unterschiedliche (teils proprietäre) Implementationen - außerdem werden auch nicht überall ESP und GRE Pakete durchgelassen (bei SoHo Geräten "IPSec Forwarding" oder so ähnlich). Heute bevorzuge ich also OpenVPN, da das Setup weitaus einfacher und flexibler ist.
    Zudem braucht man nur einen Port zuhause öffnen der auch noch frei wählbar ist.
    Sprich: Momentan ist es bei mir TCP 21. D.h. überall (Kundennetze) wo man auf FTP Server im Internet zugreifen darf braucht man nur den Tunnel aufbauen und greift so auf Starface zu wie im internen Netz...

    Was will man mehr?

  • So nun möchte ich auch mal :)

    Also wenn man viel beim Kunden unterwegs ist, so wie ich auch dann lass doch Dein Mobil Telefon über UMTS oder WLan mit deinem Server kommunizieren. Das ganze natürlich getunnelt entweder über OpenVPN oder PPTP das können die meisten Geräte und entsprechende Firewalls. Das ganze über ein D-Link, ZyXEL oder AVM Router abzuwickeln halte ich für eine Firma sowieso für etwas gewagt. Nimm einen einergemassen stabilen Rechner (muss nicht mal neu sein. Ich verwende da auch gerne Leasingrückläufer) und darauf IPCop oder etwas schicker weil Multi-WAN-fähig eine Clark Connect Gateway / Firewall. Dazu ein Nokia E65 und eine UMTS Flatrate und die Handykosten schmelzen dahin.

  • Ja ganz so einfach ist es nicht. Unser Netz ist nicht das Problem; da sind die Standorte über Viprinet Wan-Loadbalancer vebunden, welche dann auf eine "grosse" Firewall laufen.

    Handys sind bei uns zum telefonieren (über GSM) da und nicht um damit Netzwerk-Verbindungen herzustellen. Wir verzichten bei unseren Geräten bewusst auf diesen Schnickschnack.

    Das Problem liegt nach wie vor, wenn wir in Kundennetzen unterwegs sind. Die Verbindung zur Starface soll dann über ein Softphone welches auf dem Notebook installiert ist, hergestellt werden.

    Müssen halt damit auskommen, dass wir unsere Starface nicht von überall her erreichen, da wir in den Kundennetzen weder die Portfreigabe für Starface noch diejenige für die VPN-Verbindung beeinflussen können.

    Gruss
    Thomas

    hertli ¦ IT
    hertli Informatik+Treuhand

    eMail: mail ( a t ) hertli.ch
    Internet: https://www.hertli.ch

    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

  • Oder baue mit deinem Notebook per UMTS-Karte eine eigene Verbindung ins Internet auf.
    Die Geschwindigkeit reicht im Normalfall auch für ein VoIP-Gespräch aus.l

    Gruß
    Philipp

    UMTS in der Schweiz ???
    Kann sein, dass UMTS in Deutschland flächendeckend vorhanden ist. In der Schweiz sind wir diesbezüglich noch Entwicklungsland, insbesondere wenn man mit gewissen Anbietern einfach nichts zu tun haben will.

    Gruss
    Thomas

    hertli ¦ IT
    hertli Informatik+Treuhand

    eMail: mail ( a t ) hertli.ch
    Internet: https://www.hertli.ch

    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

  • Hallo,

    die angegebenen Portweiterleitungen funktionieren ja prima, aber ...

    Wie müssen die Portweiterleitungen aussehen, wenn man die Starface in der DMZ und die Telefone im internen Firmennetz betreiben möchte?

    Ist meine folgende Annahme richtig?

    UDP 5060 (SIP):
    - vom Internet in die DMZ
    - aus der DMZ ins Firmennetz

    UDP 10000-20000 (RTP):
    - von Internet direkt ins Firmennetz ????
    - aus der DMZ ins Firmennetz, wegen inbound über ISDN

    Also die Frage ist die Weiterleitung der RTP Pakete, müssen diese zum Starface Server in der DMZ oder direkt in das interne Firmennetz?
    Oder müssen vielleicht noch weitere Dinge beachtet werden?

    Danke,
    Stefan

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!