[Problem] AVM Firewall-Modifikation per default deny führt zu VOIP-Erreichbarkeitsproblem

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
W

wallfirear7

Guest
Guten Tag werte Forumsmitglieder!
Bislang lediglich lesenderweise hier unterwegs, möchte ich mich heute mit meinem ersten Beitrag an Euch wenden.
Wie der Titel bereits aussagt, habe ich mich mit der Modifikation der AVM-Firewall meiner Fritzbox 7170 (Firmware 29.04.57) befasst und bin hierbei auf folgendes Problem gestoßen:

Setze ich, wie im angefügten Auszug meiner ar7.cfg, die Standard-Policy in der "Internet-Passage" auf "deny", belasse jedoch die Einstellung in der darauffolgenden "VOIP-Passage" unangetastet auf "permit", so wirkt sich das gesetzte "deny" trotzdem negativ auf die Registrierung meiner VOIP-Rufnummer aus.
Diese lässt sich dann nichtmehr registrieren und wird erst dann wieder aktiv, wenn ich in der Acesslist der "Internet-Passage" explizit UDP-Freigaben für Port 5060, 7078 und den erweiterten RTP-Portbereich 16384 bis 32767 setze - hierbei ergeben sich jedoch erhebliche Funktionseinschränkungen, weil die Internetrufnummer nur noch sporadisch von Aussen erreichbar ist.

Die Firewallfreigaben oder -sperren werden ja in Ketten und somit nacheinander abgearbeitet, würde es also Sinn machen, die "VOIP-Passage" im Editor auszuschneiden und komplett vor die "Internet-Passage" zu setzen, so dass für VOIP uneingeschränkt die Standard-Policy "permit" gilt und erst danach in der "Internet-Passage" ein "deny" wirkt!? <--- gerade ausprobiert, funktioniert nicht!

Fallen Euch zur benannten Problematik andere Ansätze ein, wie sich in der "Internet-Passage" per default "deny" verwenden lässt, so dass auch die VOIP-Funktionalität ohne Einschränkungen vorhanden bleibt - zur Klärung dieses Problems habe ich nach ausgiebiger Suche hier im Forum und dem Netz bislang keine zufriedenstellende Antwort gefunden?!

Ich hoffe nun auf zahlreiche konstruktive Beitrage und bedanke mich für diese bereits im Voraus!

Code: 
        dslifaces {
                enabled = yes;
                name = "internet";
                dsl_encap = dslencap_inherit;
                dslinterfacename = "dsl";
                no_masquerading = no;
                no_firewall = no;
                pppoevlanauto = no;
                pppoevlanauto_startwithvlan = no;
                ppptarget = "internet";
                etherencapcfg {
                        use_dhcp = yes;
                        ipaddr = 0.0.0.0;
                        netmask = 0.0.0.0;
                        gateway = 0.0.0.0;
                        dns1 = 0.0.0.0;
                        dns2 = 0.0.0.0;
                        mtu = 0;
                }
                is_mcupstream = yes;
                stay_always_online = yes;
                only_route_when_connected = no;
                redial_delay_after_auth_failure = 1m;
                redial_limit = 3;
                redial_after_limit_reached = 10m;
                redial_after_limit_reached_variance = 5m;
                redial_delay_after_low_error = 10s;
                routes_only_for_local = no;
                ripv2receiver_enabled = no;
                dsldpconfig {
                        security = dpsec_firewall;
                        lowinput {
                                policy = "deny";
                                accesslist = 
                                             "permit ip any any connection outgoing-related";
                        }
                        lowoutput {
                                policy = "permit";
                        }
                        highinput {
                                policy = "permit";
                        }
                        highoutput {
                                policy = "deny";
                                accesslist =  
                                             "permit tcp host 192.168.178.10 any eq 80", 
                                             "permit tcp host 192.168.178.10 any eq 443", 
                                             "permit tcp host 192.168.178.5 any", 
                                             "permit udp any any eq 53", 
                                             "permit udp any any eq 123", 
                                             "permit udp any any eq 5060", 
                                             "permit udp any any eq 7078", 
                                             "permit udp any any range 16384 32767";
                        }
                        shaper = "globalshaper";
                }
        } {
                enabled = yes;
                name = "voip";
                dsl_encap = dslencap_inherit;
                dslinterfacename = "dsl";
                no_masquerading = no;
                no_firewall = no;
                pppoevlanauto = no;
                pppoevlanauto_startwithvlan = no;
                ppptarget = "voip";
                etherencapcfg {
                        use_dhcp = yes;
                        ipaddr = 0.0.0.0;
                        netmask = 0.0.0.0;
                        gateway = 0.0.0.0;
                        dns1 = 0.0.0.0;
                        dns2 = 0.0.0.0;
                        mtu = 0;
                }
                is_mcupstream = no;
                stay_always_online = yes;
                only_route_when_connected = no;
                redial_delay_after_auth_failure = 1m;
                redial_limit = 3;
                redial_after_limit_reached = 10m;
                redial_after_limit_reached_variance = 5m;
                redial_delay_after_low_error = 10s;
                routes_only_for_local = no;
                tcclassroutes = "sipdns", "sip", "rtp";
                ripv2receiver_enabled = no;
                dsldpconfig {
                        security = dpsec_firewall;
                        lowinput {
                                policy = "permit";
                                accesslist = "permit udp any any", 
                                             "permit icmp any any", 
                                             "deny ip any host 255.255.255.255", 
                                             "reject ip any any";
                        }
                        lowoutput {
                                policy = "permit";
                        }
                        highinput {
                                policy = "permit";
                        }
                        highoutput {
                                policy = "permit";
                                accesslist = "permit udp any any", 
                                             "reject ip any any";
                        }
                        shaper = "globalshaper";
                }
        }
 
Zuletzt bearbeitet von einem Moderator:
wallfirear7 schrieb:
Wie der Titel bereits aussagt, habe ich mich mit der Modifikation der AVM-Firewall meiner Fritzbox 7170 (Firmware 29.04.57) befasst
...
Ich hoffe nun auf zahlreiche konstruktive Beitrage und bedanke mich für diese bereits im Voraus!
Zum Vergrößern anklicken....
Als erstes solltest du dich mit dem Update der Firmware befassen, denn in deiner Version klafft die riesige Sicherheitslücke vom letzten Jahr, von der du bestimmt auch lesenderweise etwas mitbekommen haben solltest.
 
Hallo KunterBunter,
vielen Dank für den liebgemeinten Tipp!
Ich will mich hier als Neuling nicht über meine Kompetenzen hinaus aus dem Fenster lehnen, jedoch ist hier im Foren-Beitrag "Suche Firmware- & Recover-Images" kommuniziert worden, dass die Sicherheitslücke, über die im Februar 2014 alle Medien berichteten, erst ab inklusive der Firmwareversion x.04.67 auftreten soll, weswegen ich einst einen Downgrade auf die jetzige 29.04.57 getätigt habe - der Down- anstatt eines Upgrades hat mit Funktionalitäten zu tun, die in späteren Firmwares ersatzlos entfallen sind.
Es gibt ja auch etliche Fritzboxen, deren EOS bei einem früheren Firmwarestand erreicht wurde und die damals laut AVM kein Sicherheitsupdate benötigten.
 
Zuletzt bearbeitet von einem Moderator:
Willkommen im Forum!

Du hast zwar mit der bestimmten Lücke recht, dennoch geht ein Downgrade wohl in die falsche Richtung.

Was willst De denn mit Deinem deny erreichen?
 
@andiling
Vielen Dank für den Willkommensgruß!

Meine Intention:
Ich möchte durch das "deny" gerne die Accesslist einfacher verwalten können, weil man bei der Standardeinstellung "permit" sämtliche unerwünschte Verbindungen eintragen müsste, die für meine Zwecke bei Weitem die wenigen erwünschten übersteigen.

Mir ist dabei vollkommen klar, dass selbst in der Standardeinstellung eine NAT zwischengeschaltet ist, man also "sicher" unterwegs ist und eingehend nur Verbindungen erlaubt sind, die ausgehend angefordert wurden.

Dennoch wäre es für mich eine erheblich Erleichterung, wenn ich aus o.g. Gründen per default "deny" setzen könnte - deswegen hoffe ich auf zahlreiche Anregungen zwecks jener Problemlösung.
 
Zuletzt bearbeitet von einem Moderator:
Die Beweggründe kann ich gut verstehen; ich ärgere mich auch darüber, dass man in den Profilen der Kindersicherung die Port Firewall nur mit einem Blacklisting konfigurieren kann (also alle unerwünschten Ports angeben, die man sperren möchte und nur die ausnehmen, die man durchlassen möchte). Die vordefinierte "Netwerkanwendung" "alles außer Surfen und Mailen" unter "Filter - Listen" genügt mir nicht. Einen weiteren Port, z.B. 22/tcp SSH, freizuschalten würde den Aufwand verursachen, Ports 1-21 zu sperren und dann 23-79... Gerne würde ich mir hierfür ein Whitelisting wünschen, wie es wallfirear7 wohl gemeint hat (?)

Ich hatte deshalb schon die Idee, den FBEditor zu ertüchtigen, so dass man dort seine Netzwerkanwendungen/Filter als Whitelist pflegen kann und beim Zurückspielen der Konfig das Ganze in die Blacklist Form der Fritzbox umgesetzt wird...
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 693 (Mitglieder: 21, Gäste: 672)

Neueste Beiträge

Statistik des Forums

Themen
246,664
Beiträge
2,255,533
Mitglieder
374,610
Neuestes Mitglied
MJueptnerMH
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück