Nochmals Thema Router ...

[mipo]

Hallo zusammen,

ich möchte eigentlich "nur" einen SP 2000 in meinem LAN in Betrieb nehmen. Vielleicht liegt es an der späten Stunde, doch die großzügigen Erweiterungen der Port-Ranges von gestern habe ich heute versucht zurückzunehmen und ... es funktioniert. Doch Fragen bleiben trotzdem offen ...

Es gibt ja bekanntlich bei einem Router zwei Richtungen der Firewall.

1. Vom SPA in Richtung Internet
Ports: 3478,5060-5061, 16384-16482 freigeschaltet

2. Vom Internet in Richtung SPA
Ports: ????

Was ist hier richtig zu konfigurieren, daß der SPA mit 1&1 und Nikotel richtig funktioniert.

VIelen Dank!
Michael

 

[TinTin]

soweit mir bekannt ist müssen die Ports sowohl für ein- als auch ausgehende Verbindungen geöffnet werden.

Gruß,
Tin

 

[Netview]

Hallo zusammen,


1. Vom SPA in Richtung Internet
Ports: 3478,5060-5061, 16384-16482 freigeschaltet

In beide Richtungen (udp)!
Wozu soll der port 3478 denn sein??? kann wech!

 

[mipo]

In beide Richtungen (udp)!
Wozu soll der port 3478 denn sein??? kann wech!

Port 3478 ist der 1&1 STUN Server ... Dabei eine Frage, wenn ich mehrere Provider nutze (hier: 1&1 und Nikotel) habe aber nur einen Eintrag für einen STUN Server?! ... Welchen nehme ich dann?

Müssen die Ports 5004-5005 auch freigeschaltet werden?

Viele Grüße
Michael

 

[Netview]

Den stun-server-port braucht man nicht freizuschalten (outgoing)!

Welchen stun-server du nimmst ist egal.

Die ports 5004-5007 werden per default von den grandstream Geräten benutzt (sind daher in vielen Beispielen vorhanden) - haben für den SPA jedoch keine Bedeutung!

 

[TinTin]

Den stun-server-port braucht man nicht freizuschalten (outgoing)!

Welchen du nimmst ist egal.

Er braucht ihn nicht forwarden, aber wenn sein Router eine "echte" firewall hat, dann muß er den Port schon für ausgehende Verbindungen öffnen, wenn er generell alles dicht gemacht hat.

Gruß,
Tin

 

[Jofo007]

<oberlehrermodus>
Du forwardest nur die Ports 5060,5061 und 16384-16482 (UDP) auf Deine SPA2000, damit ist diese in der gewünschten Weise vom Internet aus ansprechbar bzw. erreichbar!
(Die Richtung ist hier vom Internet in Dein internes Netz zu Deiner SPA2000, nicht umgekehrt).

Von drinnen (sprich von Deinem Netz in das böse Internet) macht Dein Router eine sogenannte Adressübersetzung.
D.h. alle Anfragen aus Deinem Netz werden hinter Deiner (momentanen) öffentlichen IP-Adresse versteckt! Und die Antwortpakete zu Deiner Anfrage werden automatisch durchgelassen.
Ergo ist es nicht erforderlich, ausgehende Ports freizugeben, da Dein Router ohnehin weiß, woher die Anfragen kommen.

Das Forwarden der Ports von außen ist auch nur erforderlich, da Dein Router sonst nicht weiß, an welches Gerät deines Netzes diese Anfragen leiten soll,
oder aber per Grundeinstellung sagt: "Wenn es sich um einen Verbindungsaufbau von außen handelt, ist dieser nicht gewollt!" und die entsprechenden Datenpakete einfach nicht durchläßt.

Zum besseren Verständnis:

1. Deine SPA bietet einen Dienst an, der vom Internet aus erreicht werden soll (Du erwartest Anrufe darauf!)

2. Um diesen Dienst erreichen zu können, muß der Router den Weg zu diesem Dienst freimachen (geschieht durch Portforwarding)

3. Die Antworten auf die Anfragen an den Dienst finden automatsich ihren Weg zum Anfragenden (in diesem Falle zum Anrufer)

4. Alles andere, was diesen Dienst nicht anspricht soll verworfen werden (Funktion der Firewall im Router)

</oberlehrermodus>

Ich hoffe es ist jetzt etwas klarer geworden ;-)

 

[TinTin]

@Jofo007

Das würde ich gerne ausdiskutieren

Ich stimme Deinen Ausführungen voll und ganz zu, wenn es sich um einen Router handelt, der keine echte Firewall hat (die meisten haben keine, mein USR8054, den ich jedoch nur als Switch benutze, z.B. jedoch schon) Hat der Router eine solche Firewall, dann muß das generell auch freigeschaltet sein, dass alle Ports aus dem LAN ins WAN rausdürfen oder, wenn man "Sicherheitsfanatiker" ist gibt man eben nur die Ports frei für LAN -> WAN die auch wirklich benötigt werden.

Im Falle des angesprochenen STUN Ports 3478 gibt's im übrigen keine Anforderung die zuerst von aussen kommt.

Router die keine echte Firewall haben bieten im übrigen auch gar nicht an in welche Richtung man die Ports öffnet - man stellt einfach das portforwarding ein und fertig (ich kenne jedenfalls keinen). Die Ports sind sowieso auf dem Router offen, sie "versickern" dort nur, wenn nicht ge-forwardet, ist also eine "Schein" Firewall, keine echte.

Manche Router =mit= echter firewall sind dann allerdings zu "blöd" die Firewall gleich mitzukonfigurieren, so dass man sowohl portforwarding einrichten als auch noch die Ports explizit in der Firewall öffnen muß. Das war ein "Heidenkrampf" beim USR8054, zuletzt war ich so entnervt, dass er jetzt zum Switch degradiert wurde und ich einen für VoIP geeigneteren Linksys Router benutze *g* . Der hat zwar keine "echte" firewall (nur die Schein Variante), aber die Workstations haben ja sowieso zusätzliche alle noch software-firewalls.

Gruß,
Tin

 

[mipo]

Hallo zusammen,

vielen Dank für Eure Hilfe ... Also, ich habe die Ports 5060-5061 und 16384-16482 quasi bidirektional freigegeben. Da mein Router eine echte Firewall besitzt (LANCOM 1611) musste ich auch die Ports von innen nach außen freigeben, sonst werden die im Router geblockt. => sehe ich an der Firewall-Anzeige.

Interessant finde ich, daß ich mir den Weg von Außen nach Innen (Internet -> SPA 2000) sparen konnte, aber trotzdem telefonieren konnte. Eigentlich eine Sache die hätte nicht funktionieren dürfen?! :?

Aber ich bin recht zufrieden mit dem SPA 2000 ... Nur ein paar Features wie speichern der Konfiguration usw. fehlt der Box noch ... :-(

MfG Michael

 

[Malte.]

Speicher doch mal die HTML-Seite im Browser...! ;-)

 

[Jofo007]

@TinTin

Manche Router =mit= echter firewall sind dann allerdings zu "blöd" die ......

Ich kann Dir nachfühlen.
Als ich vor 3 Jahren DSL bekam, habe ich sehr lange überlegt welchen Router ich mir kaufen sollte,
noch dazu weil ich gerne ISDN-Backup haben wollte.
Von meinem Weihnachtsgeld (welches es dieses Jahr wohl nicht mehr geben wird :habenwol: ) kaufte ich dann den X1200 von Bintec.

Die Funktionalität dieses Router ist Wahnsinn, ich bin mir sicher das ich nicht mal die Hälfte der Features ausnutze, aber er erfüllt seinen Zweck.

Besonders knifflig war die Firewall-Konfiguration, aber das gilt für jede Firewall, ob sie nun Checkpoint oder Zonealarm heist.
(Ich gebe zu, das sich eine Checkpoint leichter konfigurieren läßt ;-))

@mporemski
Ich habe bisher auch noch keine Möglichkeit gefunden die Konfig zu sichern, aber ich denke mit einem Screenshot sollten zumindest die wichtigsten Parameter gesichert werden.