Guten Tag werte Forumsmitglieder!
Bislang lediglich lesenderweise hier unterwegs, möchte ich mich heute mit meinem ersten Beitrag an Euch wenden.
Wie der Titel bereits aussagt, habe ich mich mit der Modifikation der AVM-Firewall meiner Fritzbox 7170 (Firmware 29.04.57) befasst und bin hierbei auf folgendes Problem gestoßen:
Setze ich, wie im angefügten Auszug meiner ar7.cfg, die Standard-Policy in der "Internet-Passage" auf "deny", belasse jedoch die Einstellung in der darauffolgenden "VOIP-Passage" unangetastet auf "permit", so wirkt sich das gesetzte "deny" trotzdem negativ auf die Registrierung meiner VOIP-Rufnummer aus.
Diese lässt sich dann nichtmehr registrieren und wird erst dann wieder aktiv, wenn ich in der Acesslist der "Internet-Passage" explizit UDP-Freigaben für Port 5060, 7078 und den erweiterten RTP-Portbereich 16384 bis 32767 setze - hierbei ergeben sich jedoch erhebliche Funktionseinschränkungen, weil die Internetrufnummer nur noch sporadisch von Aussen erreichbar ist.
Die Firewallfreigaben oder -sperren werden ja in Ketten und somit nacheinander abgearbeitet, würde es also Sinn machen, die "VOIP-Passage" im Editor auszuschneiden und komplett vor die "Internet-Passage" zu setzen, so dass für VOIP uneingeschränkt die Standard-Policy "permit" gilt und erst danach in der "Internet-Passage" ein "deny" wirkt!? <--- gerade ausprobiert, funktioniert nicht!
Fallen Euch zur benannten Problematik andere Ansätze ein, wie sich in der "Internet-Passage" per default "deny" verwenden lässt, so dass auch die VOIP-Funktionalität ohne Einschränkungen vorhanden bleibt - zur Klärung dieses Problems habe ich nach ausgiebiger Suche hier im Forum und dem Netz bislang keine zufriedenstellende Antwort gefunden?!
Ich hoffe nun auf zahlreiche konstruktive Beitrage und bedanke mich für diese bereits im Voraus!
Bislang lediglich lesenderweise hier unterwegs, möchte ich mich heute mit meinem ersten Beitrag an Euch wenden.
Wie der Titel bereits aussagt, habe ich mich mit der Modifikation der AVM-Firewall meiner Fritzbox 7170 (Firmware 29.04.57) befasst und bin hierbei auf folgendes Problem gestoßen:
Setze ich, wie im angefügten Auszug meiner ar7.cfg, die Standard-Policy in der "Internet-Passage" auf "deny", belasse jedoch die Einstellung in der darauffolgenden "VOIP-Passage" unangetastet auf "permit", so wirkt sich das gesetzte "deny" trotzdem negativ auf die Registrierung meiner VOIP-Rufnummer aus.
Diese lässt sich dann nichtmehr registrieren und wird erst dann wieder aktiv, wenn ich in der Acesslist der "Internet-Passage" explizit UDP-Freigaben für Port 5060, 7078 und den erweiterten RTP-Portbereich 16384 bis 32767 setze - hierbei ergeben sich jedoch erhebliche Funktionseinschränkungen, weil die Internetrufnummer nur noch sporadisch von Aussen erreichbar ist.
Die Firewallfreigaben oder -sperren werden ja in Ketten und somit nacheinander abgearbeitet, würde es also Sinn machen, die "VOIP-Passage" im Editor auszuschneiden und komplett vor die "Internet-Passage" zu setzen, so dass für VOIP uneingeschränkt die Standard-Policy "permit" gilt und erst danach in der "Internet-Passage" ein "deny" wirkt!? <--- gerade ausprobiert, funktioniert nicht!
Fallen Euch zur benannten Problematik andere Ansätze ein, wie sich in der "Internet-Passage" per default "deny" verwenden lässt, so dass auch die VOIP-Funktionalität ohne Einschränkungen vorhanden bleibt - zur Klärung dieses Problems habe ich nach ausgiebiger Suche hier im Forum und dem Netz bislang keine zufriedenstellende Antwort gefunden?!
Ich hoffe nun auf zahlreiche konstruktive Beitrage und bedanke mich für diese bereits im Voraus!
Code:
dslifaces {
enabled = yes;
name = "internet";
dsl_encap = dslencap_inherit;
dslinterfacename = "dsl";
no_masquerading = no;
no_firewall = no;
pppoevlanauto = no;
pppoevlanauto_startwithvlan = no;
ppptarget = "internet";
etherencapcfg {
use_dhcp = yes;
ipaddr = 0.0.0.0;
netmask = 0.0.0.0;
gateway = 0.0.0.0;
dns1 = 0.0.0.0;
dns2 = 0.0.0.0;
mtu = 0;
}
is_mcupstream = yes;
stay_always_online = yes;
only_route_when_connected = no;
redial_delay_after_auth_failure = 1m;
redial_limit = 3;
redial_after_limit_reached = 10m;
redial_after_limit_reached_variance = 5m;
redial_delay_after_low_error = 10s;
routes_only_for_local = no;
ripv2receiver_enabled = no;
dsldpconfig {
security = dpsec_firewall;
lowinput {
policy = "deny";
accesslist =
"permit ip any any connection outgoing-related";
}
lowoutput {
policy = "permit";
}
highinput {
policy = "permit";
}
highoutput {
policy = "deny";
accesslist =
"permit tcp host 192.168.178.10 any eq 80",
"permit tcp host 192.168.178.10 any eq 443",
"permit tcp host 192.168.178.5 any",
"permit udp any any eq 53",
"permit udp any any eq 123",
"permit udp any any eq 5060",
"permit udp any any eq 7078",
"permit udp any any range 16384 32767";
}
shaper = "globalshaper";
}
} {
enabled = yes;
name = "voip";
dsl_encap = dslencap_inherit;
dslinterfacename = "dsl";
no_masquerading = no;
no_firewall = no;
pppoevlanauto = no;
pppoevlanauto_startwithvlan = no;
ppptarget = "voip";
etherencapcfg {
use_dhcp = yes;
ipaddr = 0.0.0.0;
netmask = 0.0.0.0;
gateway = 0.0.0.0;
dns1 = 0.0.0.0;
dns2 = 0.0.0.0;
mtu = 0;
}
is_mcupstream = no;
stay_always_online = yes;
only_route_when_connected = no;
redial_delay_after_auth_failure = 1m;
redial_limit = 3;
redial_after_limit_reached = 10m;
redial_after_limit_reached_variance = 5m;
redial_delay_after_low_error = 10s;
routes_only_for_local = no;
tcclassroutes = "sipdns", "sip", "rtp";
ripv2receiver_enabled = no;
dsldpconfig {
security = dpsec_firewall;
lowinput {
policy = "permit";
accesslist = "permit udp any any",
"permit icmp any any",
"deny ip any host 255.255.255.255",
"reject ip any any";
}
lowoutput {
policy = "permit";
}
highinput {
policy = "permit";
}
highoutput {
policy = "permit";
accesslist = "permit udp any any",
"reject ip any any";
}
shaper = "globalshaper";
}
}
Zuletzt bearbeitet von einem Moderator:
