Port 5060 auf das Netz des Telefonanbieters begrenzen (Lancom R884VA)

[mindsuk]

Hallo zusammen,

kann mir bitte jemand am Beispiel des Telekomrouters Lancom R884VA erklären, wie ich den Port 5060 auf das Netz der Telekom begrenzen kann?
Ich finde dazu leider nirgends eine Anleitung im WWW!

Danke vorab!

Grüße Tino

 

[fxbastler]

Hallo Tino,

NAT Port Forward wird gemäß Lancom unter Konfiguration / IP-Router / Maskierung / Port-Forwarding Tabelle eingestellt.

Nicht vergessen dort das UDP Aging wg. VOIP hochzusetzen, 240 s kann nicht schaden.

Die NAT Regel Eingrenzung (für IPv4) erfolgt unter Konfiguration / Firewall/QOS / IPv4-Regeln. Dort kommen dann mal mind. zwei Stations-Objekte, ein Dienst-Objekt und mind. 2 Regeln hinzu:

• Stations-Objekt 1: Name 'TelekomSIPProvider' und dort dann die IP Netzwerke der Telekom SIP Trunks hinterlegen
• Stations-Objekt 2: Name '3CX' und dort dann die lokale IP der 3CX hinterlegen
• Dienst Objekt 1: Name 'SIP', bei Dienste dann benutzerdefinierte Protokolle auswählen, dort TCP und UDP oben anhaken und Port 5060 unten eintragen
• Regel 1: Name 'AllowSIPTelekom', Aktion 'Accept', Station Verbindungs-Quelle ist Stations-Objekt 1 'TelekomSIPProvider', Station Verbindungs-Ziel ist Stations-Objekt 2 '3CX', Dienste Quell-Dienste bleibt 'alle...', Dienste Ziel-Dienste ist Dienst Objet 1 'SIP'
• Regel 2 (unter Regel 1!): Name 'DenySIPAll', Aktion 'Reject', Station Verbindungs-Quelle bleibt bei 'alle...', Station Verbindungs-Ziel ist Stations-Objekt 2 '3CX', Dienste Quell-Dienste bleibt 'alle...', Dienste Ziel-Dienste ist Dienst Objet 1 'SIP'

Das mal als simples Beispiel für den Einstieg. Da fehlt noch ganz viel, z.B. die Reihenfolge der Regeln usw. .

Mit der NAT Regel diesen beiden simplen Firewall Regeln kommt man dann nur noch von den im Stations Objekt 1 'TelekomSIPProvider' hinterlegten IP auf die SIP Ports der 3CX, sonst von nirgends. der Firewall Test wird so nicht mehr durchlaufen weil auch diese gesperrt sind. Das Bauen weiterer Regeln wird halt nicht ausbleiben

 

[mindsuk]

Hallo Tino,

NAT Port Forward wird gemäß Lancom unter Konfiguration / IP-Router / Maskierung / Port-Forwarding Tabelle eingestellt.

Nicht vergessen dort das UDP Aging wg. VOIP hochzusetzen, 240 s kann nicht schaden.

Die NAT Regel Eingrenzung (für IPv4) erfolgt unter Konfiguration / Firewall/QOS / IPv4-Regeln. Dort kommen dann mal mind. zwei Stations-Objekte, ein Dienst-Objekt und mind. 2 Regeln hinzu:

• Stations-Objekt 1: Name 'TelekomSIPProvider' und dort dann die IP Netzwerke der Telekom SIP Trunks hinterlegen
• Stations-Objekt 2: Name '3CX' und dort dann die lokale IP der 3CX hinterlegen
• Dienst Objekt 1: Name 'SIP', bei Dienste dann benutzerdefinierte Protokolle auswählen, dort TCP und UDP oben anhaken und Port 5060 unten eintragen
• Regel 1: Name 'AllowSIPTelekom', Aktion 'Accept', Station Verbindungs-Quelle ist Stations-Objekt 1 'TelekomSIPProvider', Station Verbindungs-Ziel ist Stations-Objekt 2 '3CX', Dienste Quell-Dienste bleibt 'alle...', Dienste Ziel-Dienste ist Dienst Objet 1 'SIP'
• Regel 2 (unter Regel 1!): Name 'DenySIPAll', Aktion 'Reject', Station Verbindungs-Quelle bleibt bei 'alle...', Station Verbindungs-Ziel ist Stations-Objekt 2 '3CX', Dienste Quell-Dienste bleibt 'alle...', Dienste Ziel-Dienste ist Dienst Objet 1 'SIP'

Das mal als simples Beispiel für den Einstieg. Da fehlt noch ganz viel, z.B. die Reihenfolge der Regeln usw. .

Mit der NAT Regel diesen beiden simplen Firewall Regeln kommt man dann nur noch von den im Stations Objekt 1 'TelekomSIPProvider' hinterlegten IP auf die SIP Ports der 3CX, sonst von nirgends. der Firewall Test wird so nicht mehr durchlaufen weil auch diese gesperrt sind. Das Bauen weiterer Regeln wird halt nicht ausbleiben

Danke @fxbastler , das werde ich testen und berichten.