[Frage] Trunk Einstellungen Telekom + sipgate

[ktw2003]

Du hast nicht alle möglichen Peers des Providers bekannt gemacht, entsprechend wird hier geblockt (vier Zeilen über Deiner roten Markierung, ist ein FreePBX-Feature). Du kannst ja mal Testweise (!) unter Settings / "Asterisk SIP Settings" anonyme (Allow Anonymous Inbound SIP Calls) Anrufe erlauben.

 

[magicamun]

Anonymous war ein guter Tipp - damit gehts - aber das ist ja nicht im Sinne des Erfinders oder?

Wie mache ich denn "alle Peers möglichen Peers" der Telekom bekannt? In FreePBX?

Vom Security-Standpunkt her ist es so, dass die Firewall vor dem Asterisk von extern eh nur den Telekom-Bereich weiterleitet - der Rest wird verworfen. Dazu gab es im Netz entsprechende Hinweise.

 

[rentier-s]

Testweise (!) unter Settings / "Asterisk SIP Settings" anonyme (Allow Anonymous Inbound SIP Calls) Anrufe erlauben.

Warum testweise? Ich habe die Aufregung noch nie verstanden, allowguest=yes in Asterisk bzw. "Allow Anonymous Inbound SIP Calls" in FreePBX entspricht dem Standardverhalten aller gängigen VoIP Router. Solange im zugehörigen Context nur die eigenen Rufnummern definiert sind besteht nicht der geringste Grund zur Sorge.

Für alle, die trotzdem Bedenken haben, empfehle ich den Umstieg auf chan_pjsip, dort kann man mit match ankommende Anrufe für ganze IP-Adressbereiche freigeben, nicht nur einzelne Adressen wie in chan_sip's host Parameter.

Wie mache ich denn "alle Peers möglichen Peers" der Telekom bekannt?

Du müsstest für alle Load Balancer der Telekom ein Peer anlegen. Leider gibt es keine offiziellen Listen der Server, außerdem können die sich ohne Vorwarnung ändern. Ich finde, das ist nicht im Sinne des Erfinders.

 

[magicamun]

Du müsstest für alle Load Balancer der Telekom ein Peer anlegen. Leider gibt es keine offiziellen Listen der Server, außerdem können die sich ohne Vorwarnung ändern. Ich finde, das ist nicht im Sinne des Erfinders.

Das kann nicht im Sinne des Erfinders sein.... Ich hör meine bessere Hälfte schon motzen, wenn's "mal wieder" nicht geht... hab eh schon galama im Moment, weil seit dem Umstieg das ganze nur sehr holprig bis garnicht geht.

Wenn ich das richtig sehe, habe ich ja 3 Alternativen:
1. Host-Listen pflegen (scheidet für mich aus)
2. chan_sip mit Anonymous = yes und zur erhöhung der Sicherheit in der FW ausschlieslich den Telekom-Adresssbereich durchlassen - der dürfte einigermßen "stabil" sein (Wo gibt es dazu Offizielle Informationen"
3. chan_pjsip einsetzen und dann das gleiche wie unter 2 - nur, dass ich zusätzlich zur Blockung in der FW auch noch im SIP IP-Bereiche blocke - denn ganz an die frische Luft des Internet setze ich den FreePBX nicht"
Die Box wird immer hinter der FW stehen und nur den Traffic bekommen aus dem I-Net, den man für SIP benötigt und im Moment auch nur den aus dem Telekom-Netz - wobei ich da schon zwei verschiedene Bereiche gesehen habe, die bei mir in der FW aufgeschlagen sind (hab im Moment die Adressen nicht im Kopf und keinen Zugriff aufs System)

 

[ktw2003]

Wenn du die Firewall nur auf den Providerbereich einschränkst bist du relativ sicher und brauchst dir um irgendwelche weiteren Peers keine Gedanken machen. Bei mir ist das auch auf yes - ich habe aber den Code an dieser Stelle überschrieben (kann nur gerade nicht nachschauen). Es gab hier im Forum mal den Vorschlag einfach den angesprochenen Host vom SIP Anruf abzufragen und wenn dieser deinem Provider entspricht, durchlassen, sonst Anonymous-Verhalten. Das klappt bei mir sehr gut.

 

[rentier-s]

chan_sip mit Anonymous = yes und zur erhöhung der Sicherheit in der FW ausschließlich den Telekom-Adresssbereich durchlassen - der dürfte einigermßen "stabil" sein (Wo gibt es dazu Offizielle Informationen"

Welche offiziellen Informationen meinst Du? Eine Server-Liste wird die Telekom vermutlich nicht freiwillig veröffentlichen.