[Gelöst] VoIP mit Fritz im VPN, oder Alternativen

[PeterPawn]

@Micha aussem pott:
Welcher normale Internet-Benutzer (und die FRITZ!Box ist immer noch ein Consumer-Gerät) betreibt in seinem LAN ein NMS? Ist das jetzt ein "must have"? Gehören dann IDS und IPS auch noch dazu? Möglichst auch noch der Proxy, der gleich mal wieder TLS-Verbindungen aufbricht und einer DPI unterzieht? Man muß halt auch die Zielgruppe der Geräte im Auge behalten.

Und wenn Du der Ansicht bist, daß irgendjemand beim Provider in einer fremden Box (sofern diese korrekt konfiguriert ist) über TR-064 irgendetwas ausrichten kann, dann liegst Du halt falsch. Das ist dann nämlich wirklich der Teil, der zu TR-069 gehört und man kann - jedenfalls in einer eigenen FRITZ!Box - auch beide Protokolle abschalten.

Im Gegensatz zu einem SNMP-Stack werden aber die von Dir aufgezählten zusätzlichen Funktionen in einer FRITZ!Box tatsächlich auch von den Kunden genutzt ... da wären wir dann wieder bei der generellen Diskussion über AIO oder nicht AIO.

Selbstverständlich haben diese Dienste auch ihre Lücken und Schwächen (ich denke, ich habe einige davon selbst aufzeigen können) ... aber das führt ja noch nicht dazu, daß die Leute bei fehlendem oder abgeschaltetem Media-Server nun auf einmal mit einem SNMP-Stack irgendetwas anfangen könnten. Die Ablehnung des einen Ansatzes muß also nicht zwangsläufig dazu führen, daß man nun den anderen bejubelt - ein SNMP-Stack wird ja nicht deshalb automatisch zu einem kleineren, potentiellen Problem, weil es noch ganz andere Sicherheitsprobleme/-lücken geben könnte (und gibt).

 

[Micha aussem pott]

Welcher normale Internet-Benutzer (und die FRITZ!Box ist immer noch ein Consumer-Gerät) betreibt in seinem LAN ein NMS?

Weniger. Aber nicht niemand.

Oder warum gibt es sonst openWRT, merlin & Co?

Und das nutzen mehr als zwei Leute …

Im Gegensatz zu einem SNMP-Stack werden aber die von Dir aufgezählten zusätzlichen Funktionen in einer FRITZ!Box tatsächlich auch von den Kunden genutzt ... da wären wir dann wieder bei der generellen Diskussion über AIO oder nicht AIO.

Erwähnst Du jetzt schon zum 2. mal, sollte mal suchen, ob ich so etwas hier finde, sicher spassig zu lesen.

Selbstverständlich haben diese Dienste auch ihre Lücken und Schwächen (ich denke, ich habe einige davon selbst aufzeigen können) ... aber das führt ja noch nicht dazu, daß die Leute bei fehlendem oder abgeschaltetem Media-Server nun auf einmal mit einem SNMP-Stack irgendetwas anfangen könnten. Die Ablehnung des einen Ansatzes muß also nicht zwangsläufig dazu führen, daß man nun den anderen bejubelt - ein SNMP-Stack wird ja nicht deshalb automatisch zu einem kleineren, potentiellen Problem, weil es noch ganz andere Sicherheitsprobleme/-lücken geben könnte (und gibt).

Tja, darum fand ich den Ansatz von Freetz eigentlich ganz interessant, als ich angefangen habe, mich da einzulesen.
Man baut sich nur ein, was man wirklich braucht.
OK; das ist wie ein Linux Kernel. Auf meinen root im Datacenter laufen die jeweiligen Stock kernel, da fehlt mir Zeit, Geduld und ein Sinn drin, die alle manuell zu pflegen.
Aber in einer VM gönne ich mir immer noch ein Gentoo für den Desktop, mit handgebautem Kernel

Die SIP-Problematik verschiebe ich auf nächste Woche, werde mich jetzt erst mal auf die neue Hardware vorbereiten


Edit:

OK, hat mir doch keine Ruhe gelassen.

Und es geht, super einfach, verstehe echt nicht, dass keiner hier mir das aus dem FF hinschmeissen konnte.

Zoiper funktioniert, tadellos. <= War mein Fehler, falsche IP eingetragen.

Also, die FW hält die SIP-Verbindung offen, respektive die Fritz macht das, dadurch, dass sie bei den Registraren (Telekom & SipGate) eingebucht ist.

Für die Verbindung im LAN muss ich also exakt gar nichts machen, Zoiper wählt raus, und nimmt Anrufe entgegen, auch wenn es im Hintergrund liegt.

Übrigens, Zoiper zickt nicht, wenn man nicht im WLAN eingebucht ist.

Damit ich mich via LTE/externem WLAN einbuchen kann, benötige ich lediglich eine Portweiterleitung im Router.

Je nach router kann die Nomenklatur natürlich variieren.

Ich habe zwei "Services" angelegt,
SIP, UDP 5060 bis 5062
RTP, UDP 20000 bis 40000

Dann eine "Service Group", da sind SIP und RTP drin, habe ich "VoIP" genannt.

Eine Firewall Regel erstellt:

Source RED (WAN IP) => Destination NAT => <IP.Adresse.Fritz> als Protocol meine "VoIP" Gruppe.

Und schon funktioniert es.

Mit den IP Adressen, das ist natürlich Fehlerträchtig, und vor allem geht der Traffic im LAN jetzt erst mal bis zum WAN-Interface, und dann durch das NAT zur Fritz.

Um den Umweg zu sparen, mache ich das via DNS.

Ich habe für meine "HomeDomain" 2 primäre DNS, einen bei meinem normalem Registrar, der löst nun u.a. sip.domain.net auf meine WAN IP auf.

Zusätzlich einen DNS fürs LAN, der löst sip.domain.net auf die IP der Fritz auf.

Das wars. Handy im LAN => geht auf die fritz.
Hand nicht im LAN, also "Umweg" über die offizielle Domain, kommt über mein WAN rein.

Also wenn man sich mit dem Kram Auskennt 10 Minuten.

Edit2: Ach ja, in den Firewall-Einstellungen der ipfire gibt es unter ALG (Application Layer Gateways) die Möglichkeit, das zu aktivieren und zu deaktivieren, ich habe keinen Unterschied festgestellt, forsche aber auch nicht nach, weil Morgen eh die Cisco den Job übernimmt.

Edit3:

Der Unterschied, warum es am Anfang nicht ging, war, dass ich die Teleffone mit irgendeinem Assistenten angelegt hatte:
"Dieses IP-Telefon wird durch ein Heimnetz-Programm verwaltet. Die Kennwortvergabe erfolgt durch das Programm."
Der hatte also gar kein Kennwort für den IP-Client

 

[Micha aussem pott]

So, ich habe oben die Lösung reineditiert, bekommt nur keiner eine Benachrichtigung, wenn es nur ein Edit ist, oder?
Also, darum sorry fürs "schieben".