Telefonanlage hinter Fritzbox

[dehein2]

Hallo zusammen,

wir bekommen für unsere kleine Firma eine neue Ip Telefonanlage (Telekommunikationssystem Innovaphone IP511 On-Premise). Wir nutzen bisher nur eine Fritzbox und ich habe ein Frage bzgl. der Ports. Der Anbeiter möchte, dass ich folgende Ports freigebe;

STUN/TURN: udp/tcp/3478
HTTPS/WSS: tcp/443
H.323: tcp/1300
LDAPS: tcp/636
RTP: (16384-32767, udp/50000-50299)

Die ersten 4 sind für verchiedene Zwecke (u.a. die App der Telefonanlage um von außen zugreifen zu können), soweit OK. Nun sollen aber alle RTP Ports freigegeben werden und hier bin ich etwas spektisch. Erstens dürfte das mit der FB nicht so ohne weiteres gehen. Außerdem kommt es mit etwas komisch vor riesige Port-Ranges einfach nach außen freizugeben? Ist das wirklich nötig?

Vielen Dank

 

[chrsto]

In der Regel nicht. Um welchen Provider geht es?

 

[Erforderlich]

RTP/UDP-Ports sind i.A. die einzigen Ports, die man für TK-Anlagen eingehend freigeben sollte. Die real erforderlichen Portranges kann man ausrechnen und muss nicht unbedingt den meist etwas übertriebenen Vorgaben folgen.

 

[freshprince2002]

Über 16.000 Ports für RTP ist blödsinn.
Port 3478 für STUN kann ich mir auch nicht vorstellen, dass das eingehend weiter geleitet werden muss.
Wenn STUN genutzt wird, dann wird ein externer Server genutzt und nicht die TK-Anlage, das macht gar keinen Sinn.

Bei den Angaben stimmt vorne und hinten nichts.

 

[chrsto]

RTP/UDP-Ports sind i.A. die einzigen Ports, die man für TK-Anlagen eingehend freigeben sollte.

Das ist Unsinn. Bei VoIP werden - bis auf wenige Ausnahmen - die Sprachverbindungen von der Telefonanlage aus aufgebaut; sind also ausgehend. Auch bei eingehenden Telefonaten.

 

[Erforderlich]

Also irren sich alle Telefonie-Anbieter und TK-Anlagen-Hersteller.

 

[freshprince2002]

Ja und nein.
Teils werden solche Infos tatsächlich auch falsch wiedergegeben.
Teils werden sie nur missverständlich kommuniziert.

Meistens bekommt man die Aussage "Port x muss freigegeben werden" zu hören.
Gemeint sind damit keine eingehenden Portweiterleitungen, sondern dass Port x abgehend erreichbar sein muss.
Je nach Firewallkonzept müssen solche Dinge auch für abgehende Verbindungen konfiguriert werden.
Im Falle einer Fritzbox und "normalen" Routern aber irrelevant.

Für die reine Verbindung zum ITSP sind keine eingehenden Portweiterleitungen nötig.
Technisch sind das immer abgehende Verbindungen.
(Irgendwelche Exoten, die irgendeinen anderen Unsinn treiben, schließe ich mal aus.)

Wenn man irgendwelche proprietären anlagenspezifischen Extras nutzt, wie z.B. eine App auf dem Handy, die sich mit der TK-Anlage verbindet, dann sieht das natürlich anders aus.
Was da benötigt wird, definiert aber auch nicht der Anbieter/ITSP, sondern nur der TK-Anlagen Hersteller.
Da sind aber 16.000 RTP Ports Blödsinn, genauso STUN eingehend.
Die zweite Angabe mit 50.000-50.299 klingt realistisch.

 

[sonyKatze]

Innovaphone IP511

Wie schon geschrieben, um welchen Telefonie-Anbieter geht es? Problem ist, dass die Telefon-Anlage auch die Verbindung aufrecht erhalten muss. Daher wäre die eigentliche Frage wäre, wo jene Anlage herkommt. Denn normal kommt Innovaphone nur mit einem Mensch genannt „Einrichter“ zusammen. Oder habt Ihr jene Anlage auf einer Gebrauchtbörse erstanden?

 

[freshprince2002]

Problem ist, dass die Telefon-Anlage auch die Verbindung aufrecht erhalten muss.

1. Das ist kein Problem.
2. Was hat das mit dem Rest zu tun?

Aber ich stimme zu, es muss ja jemanden geben, der die Anlage einrichtet.
Der ist eigentlich der Ansprechpartner für dieses Thema hier.

Vermutlich ist mit "Der Anbieter" im Eingangspost genau dieser gemeint und nicht der ITSP.
Wenn der aber meint, man soll Port 3478 weiterleiten und 16384-32767, dann hat er einige Dinge nicht verstanden.

 

[chrsto]

Die zweite Angabe mit 50.000-50.299 klingt realistisch.

Selbst das würde ich mithilfe von VPN umgehen.

wie z.B. eine App auf dem Handy,

Hier bieten diverse Hersteller (z.B. Mitel und Auerswald, aber auch andere) für deren Apps Lösungen an, die den Verbindungsaufbau unter Zuhilfenahme von Cloud-Lösungen realisieren, sodass nach wie vor nur ausgehende Verbindungen notwendig sind.

 

[dehein2]

Danke für eure Antworten!!

Die Anlage kommt neu von einem Anbieter und der hat mir die oben genannten Ports genannt was ich nochmal hinterfragen wollte. (Ja der Anbieter der Telefonanlage ist gemeint). Daher schon mal danke für eure Antworten.

Unser "Telefonie-Anbeiter" ist die Telekom. Hier haben wir bisher Internet/Telefon via ISDN genutzt.

 

[chrsto]

Für die Telekom sind keinerlei Portweiterleitungen ins lokale Netz notwendig.

 

[dehein2]

Danke. Es hat sich auch geklärt denke ich. Die RTP Portfreigaben werden nur benötigt wenn man die mit der App telefonieren möchte und sich nicht im LAN befindet.