[Sammlung] T-Com Loadbalancer & Funktionierende sip.conf (Juni 2014)

chsvat · 4 Jun 2014

Hatte das Problem, dass bei Anrufen "sending fake auth rejection" in den Logs kam... lag daran, dass die T-Com versuchte, den Anruf über einen "neuen" Loadbalancer reinzuschicken, der aber noch nicht in meiner Liste in der sip.conf eingetragen war.

Hier eine geupdatete Liste (Stand 04.06.13) und meine aktuell problemlos funktionierende config (sip.conf):

[ wie man sieht verwende ich nirgendwo "nat=yes" - als nat angeschaltet war, hatte ich Probleme mich selbst auf einer anderen Nummer anzurufen - scheinbar brauch man es nicht, wenn man "externhost" angibt, außerdem habe ich die Ports 5060-5080, sowie 10000-20000 und die Telekom Ports 30000-31000 und 40000-41000 in meinem pfsense Router auf den Asterisk Server weitergeleitet (portforward) - (Habe hier nur interne SIP Endgeräte)
DNS Manager ist eingeschaltet, mit einem "refresh" von 30 Sekunden ]

Asterisk Version 1.4 auf Debian 7

Code:

;
[general]
allowguest=no
alwaysauthreject=yes
autocreatepeer=no
pedantic=no
context=default
bindport=5060
bindaddr="lokale IP des Asterisk Servers"
externhost="dyndns oder no-ip etc. Adresse"
externrefresh=5
localnet=192.168.xxx.0/255.255.255.0
srvlookup=no
disallow=all
allow=ulaw
allow=alaw
allow=gsm
language=de
defaultexpirey=240
maxexpirey=3600
allowoverlap=yes
;
; DTAG-IP -> Registrierung der Rufnummern
;
register => "Ortsvorwahl+Rufnummer":"Kennwort":"Zugangsnummer"@tel.t-online.de/"Ortsvorwahl+Rufnummer"
register => "Ortsvorwahl+Rufnummer":"Kennwort":"Zugangsnummer"@tel.t-online.de/"Ortsvorwahl+Rufnummer"
register => "Ortsvorwahl+Rufnummer":"Kennwort":"Zugangsnummer"@tel.t-online.de/"Ortsvorwahl+Rufnummer"
;
; Ankommende Registrierung
;
[external-standard](!)
trustrpid=no
canreinvite=no
context=ankommend
type=peer
insecure=port,invite
usereqphone=no
t38pt_udptl=no
disallow=all
allow=ulaw
allow=alaw
allow=gsm
dtmfmode=rfc2833
;
; Abgehende Registrierung
;
[DTAG-IP](external-standard)
allow=alaw
allow=gsm
defaultuser="Zugangsnummer"@t-online.de
authuser="Zugangsnummer"@t-online.de
username="Zugangsnummer"
secret="Kennwort"
remotesecret="Kennwort"
host=tel.t-online.de
fromdomain=tel.t-online.de
qualify=yes
call-limit=3 ;(maximal 3 abgehende Telefongespräche)
;
; Telekom Loadbalancer
;
[DTAG-IP_IN16_026](external-standard)
allow = alaw
allow = gsm
host = 217.0.16.26
trustrpid=no
;
[DTAG-IP_IN16_035](external-standard)
allow = alaw
allow = gsm
host = 217.0.16.35
trustrpid=no
;
[DTAG-IP_IN16_090](external-standard)
allow = alaw
allow = gsm
host = 217.0.16.90
trustrpid=no
;
[DTAG-IP_IN16_102](external-standard)
allow = alaw
allow = gsm
host = 217.0.16.102
trustrpid=no
;
[DTAG-IP_IN16_106](external-standard)
allow = alaw
allow = gsm
host = 217.0.16.106
trustrpid=no
;
[DTAG-IP_IN16_154](external-standard)
allow = alaw
allow = gsm
host = 217.0.16.154
trustrpid=no
;
[DTAG-IP_IN16_163](external-standard)
allow = alaw
allow = gsm
host = 217.0.16.163
trustrpid=no
;
[DTAG-IP_IN16_166](external-standard)
allow = alaw
allow = gsm
host = 217.0.16.166
trustrpid=no
;
[DTAG-IP_IN16_167](external-standard)
allow = alaw
allow = gsm
host = 217.0.16.167
trustrpid=no
;
[DTAG-IP_IN16_170](external-standard)
allow = alaw
allow = gsm
host = 217.0.16.170
trustrpid=no
;
[DTAG-IP_IN16_230](external-standard)
allow = alaw
allow = gsm
host = 217.0.16.230
trustrpid=no
;
[DTAG_IP_IN16_231](external-standard)
allow = alaw
allow = gsm
host = 217.0.16.231
trustrpid=no
;
[DTAG-IP_IN17_026](external-standard)
allow = alaw
allow = gsm
host = 217.0.17.26
trustrpid=no
;
[DTAG-IP_IN17_035](external-standard)
allow = alaw
allow = gsm
host = 217.0.17.35
trustrpid=no
;
[DTAG-IP_IN17_090](external-standard)
allow = alaw
allow = gsm
host = 217.0.17.90
trustrpid=no
;
[DTAG-IP_IN17_102](external-standard)
allow = alaw
allow = gsm
host = 217.0.17.102
trustrpid=no
;
[DTAG-IP_IN17_106](external-standard)
allow = alaw
allow = gsm
host = 217.0.17.106
trustrpid=no
;
[DTAG-IP_IN17_154](external-standard)
allow = alaw
allow = gsm
host = 217.0.17.154
trustrpid=no
;
[DTAG-IP_IN17_163](external-standard)
allow = alaw
allow = gsm
host = 217.0.17.163
trustrpid=no
;
[DTAG-IP_IN17_166](external-standard)
allow = alaw
allow = gsm
host = 217.0.17.166
trustrpid=no
;
[DTAG-IP_IN17_170](external-standard)
allow = alaw
allow = gsm
host = 217.0.17.170
trustrpid=no
;
[DTAG-IP_IN17_227](external-standard)
allow = alaw
allow = gsm
host = 217.0.17.227
trustrpid=no
;
[DTAG-IP_IN17_230](external-standard)
allow = alaw
allow = gsm
host = 217.0.17.230
trustrpid=no
;
[DTAG-IP_IN19_026](external-standard)
allow = alaw
allow = gsm
host = 217.0.19.26
trustrpid=no
;
[DTAG-IP_IN19_035](external-standard)
allow = alaw
allow = gsm
host = 217.0.19.35
trustrpid=no
;
[DTAG-IP_IN19_090](external-standard)
allow = alaw
allow = gsm
host = 217.0.19.90
trustrpid=no
;
[DTAG-IP_IN19_102](external-standard)
allow = alaw
allow = gsm
host = 217.0.19.102
trustrpid=no
;
[DTAG-IP_IN19_106](external-standard)
allow = alaw
allow = gsm
host = 217.0.19.106
trustrpid=no
;
[DTAG-IP_IN19_154](external-standard)
allow = alaw
allow = gsm
host = 217.0.19.154
trustrpid=no
;
[DTAG-IP_IN19_163](external-standard)
allow = alaw
allow = gsm
host = 217.0.19.163
trustrpid=no
;
[DTAG-IP_IN19_166](external-standard)
allow = alaw
allow = gsm
host = 217.0.19.166
trustrpid=no
;
[DTAG-IP_IN19_170](external-standard)
allow = alaw
allow = gsm
host = 217.0.19.170
trustrpid=no
;
[DTAG-IP_IN19_230](external-standard)
allow = alaw
allow = gsm
host = 217.0.19.230
trustrpid=no
;
[DTAG-IP_IN20_026](external-standard)
allow = alaw
allow = gsm
host = 217.0.20.26
trustrpid=no
;
[DTAG-IP_IN20_035](external-standard)
allow = alaw
allow = gsm
host = 217.0.20.35
trustrpid=no
;
[DTAG-IP_IN20_090](external-standard)
allow = alaw
allow = gsm
host = 217.0.20.90
trustrpid=no
;
[DTAG-IP_IN20_102](external-standard)
allow = alaw
allow = gsm
host = 217.0.20.102
trustrpid=no
;
[DTAG-IP_IN20_106](external-standard)
allow = alaw
allow = gsm
host = 217.0.20.106
trustrpid=no
;
[DTAG-IP_IN20_154](external-standard)
allow = alaw
allow = gsm
host = 217.0.20.154
trustrpid=no
;
[DTAG-IP_IN20_163](external-standard)
allow = alaw
allow = gsm
host = 217.0.20.163
trustrpid=no
;
[DTAG-IP_IN20_166](external-standard)
allow = alaw
allow = gsm
host = 217.0.20.166
trustrpid=no
;
[DTAG-IP_IN20_170](external-standard)
allow = alaw
allow = gsm
host = 217.0.20.170
trustrpid=no
;
[DTAG-IP_IN20_230](external-standard)
allow = alaw
allow = gsm
host = 217.0.20.230
trustrpid=no

Ich gebe hiermit keine Garantie auf Vollständigkeit sowie keinerlei Garantie für eine "sichere" Konfiguration!

the.neon · 4 Jun 2014

Danke , hab meine Liste mal aktualisiert.

Gibt es eigentlich ne Möglichkeit ohne die IP Liste ? Kann sich ja immer wieder ändern ... ist so ja nicht ideal

rentier-s · 5 Jun 2014

Heißt allowguest und wurde hier bereits diskutiert.

steve123 · 5 Jun 2014

Wenn man in der Firewall den IP-Range auf die Loadbalancer einschränken will (oder auf die Idee kommt einen ganzen Range in die Sip.conf aufzunehmen) wird man nach einer Suche der bekannten Loadbalancer in der RIPE Datenbank darauf kommen das die IPs alle im Netz DTAG-DIAL13 liegen. Die Telekom schreibt dazu: " Diese IP-Adressen stellen wir unseren Kunden für deren Internetzugang dynamisch zur Verfügung". Das bedeutet das alle Kunden in diesem Netz (sofern daraus IP's zugeteilt werden) quasi freie Bahn durch die Firewall für einen Portscan und die bekannten Tools haben.

Ob es sich die Telekom leisten kann ein ganzes Netz mit über fünfhunderttausend IPs (217.0.0.0/13) aus der dynamischen vergabe an Kunden zu sperren? Leider äußert sich die Telekom dazu nicht-ganz im gegensatz zu Sipgate. Jedenfalls sollte man sich nicht in falscher Sicherheit wiegen...

Languages

Suche

Languages

Suche

[Sammlung] T-Com Loadbalancer & Funktionierende sip.conf (Juni 2014)

chsvat

Neuer User

the.neon

Neuer User

rentier-s

Guest

steve123

Neuer User

Zurzeit aktive Besucher

Neueste Beiträge

Statistik des Forums