.titleBar { margin-bottom: 5px!important; }

ATA hinter Router port forwarding oder einfach DMZ?

Dieses Thema im Forum "Grandstream" wurde erstellt von Candid, 10 Apr. 2005.

  1. Candid

    Candid Neuer User

    Registriert seit:
    2 Apr. 2005
    Beiträge:
    5
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo,

    ich frage mich, ob ich mir Probleme einhandele, wenn ich einen ATA, der sich hinter einen DSL-Router befindet, einfach in die DMZ stelle?

    Spricht da aus Sicherheitsgründen etwas dagegen?

    Das wäre doch technisch gesehen so, als wenn ich den ATA garnicht hinter einem Router betreiben würde, was dem ATA doch bzgl. seiner Aufgabe die wenigsten Probleme bereiten sollte, oder?

    Oder könnte das die PCs, die sich hinter dem Router befinden, in irgend einer Form stören?
     
  2. LateRunner

    LateRunner Mitglied

    Registriert seit:
    24 Mai 2004
    Beiträge:
    253
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    DMZ ist nicht notwendig und prinzipiell sogar falsch. Wozu soll der gesamte Traffic von außen auf dem VOIP Gerät landen können. Hat man ein oder mehrere Voip Gerät(e) hinter einem Router dann ist Portfording und NAT das richtige Mittel: heißt von außen geht der Trrafic über einen bestimmten Port an eine spezifische IP Adresse nach innen (hinter dem Router/Firewall ...) Für direct IP calls ist es außerdem noch nötig, daß das VOIP Gerät/Software bei Verkehr über den Router seine interne IP nicht übermittelt sondern die des Routers. Bei Grandstream kann man das in einem Menupunkt "use NAT IP" eingeben. Bei dynamischen IP Adressen - wie sie z.B. bei t-online vergeben werden - ist es dann sinnvoll hier eine dyndns-Adresse (www.dyndns.org) anzugeben.

    Das portforwarding bestimmt also an welche interne Adresse (z.B. VOIPgerät 1 2 oder 3) eine SIP-Message gelangt.

    Ist es jetzt klarer???

    VG

    Laterunner
     
  3. Candid

    Candid Neuer User

    Registriert seit:
    2 Apr. 2005
    Beiträge:
    5
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Dazu hätte ich vielleicht noch ein klein wenig ausführen sollen, wie sich die Situation bei mir darstellt.

    Ich habe momentan einen Siemens WLAN DSL-Router. An diesen ist mein hausinternes PC-Netzwerk angeschlossen. Auf der "Telefonseite" sieht es bei mir so aus, dass ich eine ISDN-Hausanlage habe, an die sowohl analoge als auch ISDN-Telefone angeschlossen sind.

    Die Brücke von der Telefonseite zu DSL schlage ich über eine Auerswald A-Box in Verbindung mit einem Grandstream Handytone 486. D.h., dass ich kein SIP-Telefon habe bzw. quasi nur eines (den ATA 486). Meine Telefone finden alle den Weg von der Auerswahl A-Box über den Grandstream zum DSL-Port.

    Ich hatte bisher den 486 hinter dem Router und erstmal garkein Portforwarding aktiviert, da nach meinem noch laienhaften Wissen das dank STUN usw. nicht unbedingt erforderlich ist. Prinzipiell hat es auch funktioniert, allerdings gab es streckenweise Aussetzer seitens des 486 (verlor die Verbindung zu GMX, Status not registered). Jetzt habe ich den 486 ersteinmal in die DMZ gebracht und anscheinend läuft er nun - wenn man das nach ca. 24 Stunden schon sicher beurteilen kann - nahezu problemlos.

    Hätte ich mehrere SIP-Telefone, dann wäre das so natürlich nicht praktikabel. So aber denke ich, da im Prinzip der 486 auch als Router verwendet werden kann, sollte mir das doch keine Sicherheitsprobleme bringen und mein Router hält sich komplett raus aus "der Sache". Oder unterliege ich da einen Trugschluss

    Wenn ich den 486 über meinen Router per Portforwarding bedienen wollte, dann müsste ich doch folgende UDP-Ports forwarden, oder?

    RTP 5004 und SIP 5060 laut Konfiguration meines 486 und STUN 3478/9. Oder fehlt mir dann noch etwas?
     
  4. rollo

    rollo IPPF-Promi

    Registriert seit:
    5 Juli 2004
    Beiträge:
    8,280
    Zustimmungen:
    1
    Punkte für Erfolge:
    38
    Ort:
    JO30SK
    RTP 5004-5005, SIP 5060 reicht, alles UDP.

    Der STUN Port muss nicht geforwardet werden, da die Verbindung nur von innen nach aussen aufgebaut wird. Bei korrektem Portforwarding sollte es sogar ohne STUN gehen, allerdings muss das Telefon irgendwie seine externe IP rauskriegen.

    Bei DMZ ist es wirklich so, dass sehr viel Traffic von aussen auf den 486 reinprasselt. Man könnte sich auch so auch unberechtigten Zugang zur Adminoberfläche verschaffen.

    jo
     
  5. LateRunner

    LateRunner Mitglied

    Registriert seit:
    24 Mai 2004
    Beiträge:
    253
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo,
    wenn man makeln will braucht man für jeden account 2 SIP Ports und 4 RTP ports. Mit Nikotel geht dann anklopfen und makeln problemlos. (Bei bestimmten Softwares ging das Halten aber nicht zuverlässig - geht aber jetzt wieder).

    Ich habe 3 Telefone laufen:

    Telefon 1 Grandstream (im setup des GS 5060 und 5004)
    Routerportforwarding auf interne IP für SIP: 5060 - 5061
    Routerportforwarding auf interne IP für RTP: 5004-5007

    Telefon 2 Grandstream (im setup von GS 5062 und 5008)
    Routerportforwarding für SIP: 5062-3
    Routerportforwarding für RTP: 5008-5011

    Telefon 3 Xpro
    Routerportforwarding für SIP: 5064-5
    Routerportforwarding für RTP: 8000-80020

    Ob SIP/RTP für xpro ganz richtig ist weiß ich nicht. aber es geht auch hier, ich kann 2 Telefonate makeln. Konferenzen habe ich noch nicht gemacht.

    Ich kann auch von außen und innen direct IP calls machen
    IP:5060
    IP:5062
    IP:5064

    gebe ich nur die IP ein dann meldet sich Telefon 1

    VG

    LateRunner
     
  6. Candid

    Candid Neuer User

    Registriert seit:
    2 Apr. 2005
    Beiträge:
    5
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Danke für die Hilfe. Ich habe dann doch mal den 486 aus der DMZ genommen und nun die Ports geforwarded.
     

    Anhänge: