.titleBar { margin-bottom: 5px!important; }

[gelöst]Asterisk fli4l Firewall

Dieses Thema im Forum "Asterisk ON fli4l" wurde erstellt von Tippfehler, 19 Mai 2005.

  1. Tippfehler

    Tippfehler IPPF-Promi

    Registriert seit:
    14 Sep. 2004
    Beiträge:
    3,088
    Zustimmungen:
    7
    Punkte für Erfolge:
    38
    Ort:
    AB
    Hallo,
    auch, wenn man mir als Anfänger bisher nicht helfen konnte, versuche ich es nochmal, eine vermutlich einfache Frage zu stellen.

    Ich habe Asterisk auf einem fli4l-Router installiert.
    Im lokalen Netz kann ich mich auch mit X-Lite anmelden. Das will mir aber aus dem Internet überhaupt nicht gelingen.
    Wenn ich Asterisk -vvvdddr eingebe, sehe ich nichts von einer versuchten Anmeldung, deswegen vermute ich, dass es an den Firewalleinstellungen liegt.
    Ein Portforwarding von 1-65535 UDP und 1-65535 TCP auf den Fli4l (192.168.178.1) brachte leider auch keine Besserung.
    Bisher habe ich rausgefunden, dass TCP 5060 und UDP 2727,5060,4569,5036,9999-20001 auf den Asterisk geleitet werden müssen.
    Das gelingt mir aber nicht.
    Auch habe ich in der Base.txt schon eingestellt:
    #------------------------------------------------------------------------------
    # new style packet filter config
    #------------------------------------------------------------------------------
    NEW_FW_CONFIG='yes' # use new style packet filter config
    INPUT_POLICY='ACCEPT' # be nice and use reject as policy

    Das müsste wohl die Firewall ganz aufmachen...???
    Eigentlich brauche ich ja kein Portforwarding, sondern nur Löcher in der Firewall.

    Kann mir bitte Jemand eine funktionierende Einstellung (base.txt-Auszug) schicken?
     
  2. Netview

    Netview IPPF-Promi

    Registriert seit:
    1 Apr. 2004
    Beiträge:
    3,366
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Beruf:
    Dipl.-Inf.
    Ort:
    Westerwald
    NEW_FW_CONFIG='yes' # use new style packet filter config
    INPUT_POLICY='REJECT' # be nice and use reject as policy
    INPUT_ACCEPT_DEF='no' # use default rule set
    INPUT_LOG='yes' # log anything
    INPUT_LIST_N='3'
    INPUT_LIST_1='prot:udp 5060 ACCEPT NOLOG' # allow sip -> asterisk
    INPUT_LIST_2='prot:udp 10000-20000 ACCEPT NOLOG' # allow rtp -> asterisk
    INPUT_LIST_3='IP_NET_1 ACCEPT' # allow all hosts in the local
    # network access to the router

    Die ports 10000-20000 müssen mit den ports in der rtp.conf des * übereintimmen. Wenn dort etwas anderes steht dann korrigieren!
     
  3. fli4l-l00ser

    fli4l-l00ser Neuer User

    Registriert seit:
    3 Nov. 2004
    Beiträge:
    123
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi,

    für den Betrieb von Asterisk AUF (also OPT_ASTERISK) einem fli4l-Router sind KEINE Ports freizuschalten !

    Hier meine Config:

    NEW_FW_CONFIG='yes'
    INPUT_POLICY='REJECT'
    INPUT_ACCEPT_DEF='yes'
    INPUT_LOG='no'
    INPUT_LIST_N='1'
    INPUT_LIST_1='IP_NET_1 ACCEPT'

    cu
    Jürgen
     
  4. Tippfehler

    Tippfehler IPPF-Promi

    Registriert seit:
    14 Sep. 2004
    Beiträge:
    3,088
    Zustimmungen:
    7
    Punkte für Erfolge:
    38
    Ort:
    AB
    Danke für die schnellen Antworten.
    Mit den Einstellungen von Netview kam ich leider nicht mehr ins Internet, deswegen kann ich mich erst jetzt wieder melden. Auch Imonc konnte den Router nicht mehr neu starten.
    Da muß wohl dann noch viel mehr umgestellt werden.
    Jetzt versuche ich mal die Einstellungen von Jürgen, die sind aber meinen Origninaleinstellungen sehr ähnlich.
    Muß da vielleicht noch woanders etwas eingestellt werden?
    Keine Forwardings, keine Löcher in die Firewall? Das würde mich sehr wundern, geht ja bei mir auch nicht.
     
  5. Netview

    Netview IPPF-Promi

    Registriert seit:
    1 Apr. 2004
    Beiträge:
    3,366
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Beruf:
    Dipl.-Inf.
    Ort:
    Westerwald
    Auch wenn wir uns hier widersprechen - aber das hängt imho wohl damit zusammen:

    INPUT_ACCEPT_DEF=yes/no'

    "Steht diese Variable auf 'yes', werden drei default-Regeln generiert. Die
    erste gestattet icmp echo requests ('prot:icmp:8 ACCEPT'), die zweite
    akzeptiert Pakete, die zu bestehenden Verbindungen gehören
    ('state:ESTABLISHED,RELATED ACCEPT'
    , damit auch alle icmp pakete, die Resultat einer bestehenden Verbindung sind) und die dritte lokale
    Kommunikation ('if:lo:any ACCEPT'). Im Zweifelsfalle sollte man hier 'yes'
    eintragen."

    Also folgende Einträge in der base.txt :
    INPUT_ACCEPT_DEF='no' # use default rule set
    INPUT_LOG='no' # don't log anything
    INPUT_LIST_N='4'
    INPUT_LIST_1='IP_NET_1 ACCEPT' # allow all hosts in the local
    INPUT_LIST_2='prot:icmp DROP'
    INPUT_LIST_3='state:ESTABLISHED,RELATED ACCEPT'
    INPUT_LIST_4='if:lo:any ACCEPT'

    Ich denke sauberer ist es die ports freizugeben, auch wenn es so funktioniert, da * wohl beim Start den sip-port 5060 sowie die udp-ports 10000-20000 öffnet - oder liege ich hier falsch?
    Wenn das fli4l-Team mal die default-Einstellungen für 'Input_Accept_Def' ändert, dann haben wohl einige Leute ein Problem ;-)
     
  6. Netview

    Netview IPPF-Promi

    Registriert seit:
    1 Apr. 2004
    Beiträge:
    3,366
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Beruf:
    Dipl.-Inf.
    Ort:
    Westerwald
    Sorry - was ich gepostet hatte war nur ein Ausschnitt!

    Code:
    NEW_FW_CONFIG='yes'                 # use new style packet filter config
    INPUT_POLICY='REJECT'               # be nice and use reject as policy
    INPUT_ACCEPT_DEF='no'               # use default rule set
    INPUT_LOG='yes'                     # log anything
    INPUT_LIST_N='9'
    INPUT_LIST_1='state:ESTABLISHED,RELATED ACCEPT' # drop ping
    INPUT_LIST_2='if:lo:any ACCEPT'     # allow local communication
    INPUT_LIST_3='10.0.0.0/27 25 ACCEPT NOLOG'  # smtp nolog LAN
    INPUT_LIST_4='25 ACCEPT LOG'        # allow smtp
    INPUT_LIST_5='10.0.0.0/27 110 ACCEPT NOLOG' # smtp nolog LAN
    INPUT_LIST_6='110 ACCEPT LOG'       # allow pop3
    INPUT_LIST_7='prot:udp 5060 ACCEPT NOLOG'   # allow sip -> asterisk
    INPUT_LIST_8='prot:udp 10000-20000 ACCEPT NOLOG' # allow rtp -> asterisk
    INPUT_LIST_9='IP_NET_1 ACCEPT'      # allow all hosts in the local
                                        # network access to the router
    
    FORWARD_POLICY='REJECT'             # be nice and use reject as policy
    FORWARD_ACCEPT_DEF='yes'            # use default rule set
    FORWARD_LOG='no'                    # don't log anything
    FORWARD_LIST_N='5'
    FORWARD_LIST_1='prot:udp 137-138 DROP'   # drop netbios traffic if it tries
                                             # to leave the subnet
    FORWARD_LIST_2='prot:tcp 139 DROP'       # drop netbios traffic if it tries
                                             # to leave the subnet
    FORWARD_LIST_3='prot:tcp 445 DROP'       # drop new smb port too
    FORWARD_LIST_4='prot:udp 5000-5001 DROP' # drop imond
    FORWARD_LIST_5='IP_NET_1 ACCEPT'         # accept everything else
     
    POSTROUTING_LIST_N='1'
    POSTROUTING_LIST_1='IP_NET_1 MASQUERADE' # masquerade traffic leaving
                                             # the subnet
    PS: da ich einen Mail-Server betreibe (pop3/smtp) kannst du diese Freigaben natürlich entfernen :!:
     
  7. Tippfehler

    Tippfehler IPPF-Promi

    Registriert seit:
    14 Sep. 2004
    Beiträge:
    3,088
    Zustimmungen:
    7
    Punkte für Erfolge:
    38
    Ort:
    AB
    Mit den Einstellungen von Jürgen ist es ein bisschen besser. Eine Internetverbindung kommt zustande, aber mein Netzwerkrechner kann zwar noch ping, ... machen, aber Webseiten werden nicht mehr angezeigt.
    mit dieser Einstellung funktioniert zwar mein Internet, aber Asterisk ist im Internet unsichtbar.
    Code:
    NEW_FW_CONFIG='yes'                 # use new style packet filter config
    INPUT_POLICY='REJECT'               # be nice and use reject as policy
    INPUT_ACCEPT_DEF='yes'              # use default rule set
    INPUT_LOG='no'                      # don't log anything
    INPUT_LIST_N='1'
    INPUT_LIST_1='IP_NET_1 ACCEPT'      # allow all hosts in the local
                                        # network access to the router
    
    FORWARD_POLICY='REJECT'             # be nice and use reject as policy
    FORWARD_ACCEPT_DEF='yes'            # use default rule set
    FORWARD_LOG='no'                    # don't log anything
    FORWARD_LIST_N='2'
    FORWARD_LIST_1='tmpl:samba DROP'    # drop samba traffic if it tries
                                        # to leave the subnet
    FORWARD_LIST_2='IP_NET_1 ACCEPT'    # accept everything else
    
    POSTROUTING_LIST_N='1'
    POSTROUTING_LIST_1='IP_NET_1 MASQUERADE'
    
    Ich versuche jetzt noch einmal die vollständige Einstellung von Netview.
    Übrigens habe ich zwei Netzwerkkarten,
    eth0 ist Lan eth1 ist Wan.
     
  8. Tippfehler

    Tippfehler IPPF-Promi

    Registriert seit:
    14 Sep. 2004
    Beiträge:
    3,088
    Zustimmungen:
    7
    Punkte für Erfolge:
    38
    Ort:
    AB
    Leider ist es nur beim Versuch geblieben, ...
    Sobald ich einstelle:
    INPUT_ACCEPT_DEF='no'
    Funktioniert bei meinem Lan der Internetzugang nicht mehr richtig.
    Ich poste hier mal meine komplette base.txt, vielleicht sond noch mehr Fehler drin.
    Code:
    HOSTNAME='fli4l'                # name of fli4l router
    PASSWORD='XXXXX'                # password for root login (console, sshd, imond)
    BOOT_TYPE='hd'                  # boot device: fd, dualfd, hd, cd, ls120
                                    # integrated, attached
    				# (cd, hd and ls120 need an installed hd opt)    
    MOUNT_BOOT='rw'                 # mount boot device (floppy): ro, rw, no
    TIME_INFO='MEZ-1MESZ,M3.5.0,M10.5.0'
                                    # description of local time
                                    # zone, don't touch without reading
                                    # documentation
    IP_CONNTRACK_MAX=''             # override maximum limit of connection
                                    # tracking entries
    POWEROFF_ON_HALT='no'           # power off after shutting down the
                                    # machine
    REAL_MODE_POWEROFF='no'         # switch to real mode before invoking
                                    # apm power off
    #------------------------------------------------------------------------------
    # console settings (serial console, blank time):
    #------------------------------------------------------------------------------
    CONSOLE_BLANK_TIME=''           # time in minutes (1-60) to blank
                                    # console; 0 = never, default if empty
    SER_CONSOLE='no'                # use serial interface instead of or
                                    # as additional output device and main
                                    # input device
    SER_CONSOLE_IF='0'              # serial interface to use, 0 for ttyS0 (COM1)
    SER_CONSOLE_RATE='9600'         # Baudrate for serial console
    
    #------------------------------------------------------------------------------
    # Debug Settings:
    #------------------------------------------------------------------------------
    DEBUG_STARTUP='no'              # Write an execution trace of the boot
    DEBUG_LOG=''                    # sequence to file DEBUG_LOG or console if
                                    # DEBUG_LOG is empty
    
    #------------------------------------------------------------------------------
    # Show service menu after login:
    #------------------------------------------------------------------------------
    OPT_MENU='yes'                  # Service menu for users
    MENU_LANGUAGE='de'              # Default language for the service menu
    
    #------------------------------------------------------------------------------
    _DEV='dummy<number>' as your device
    #
    #------------------------------------------------------------------------------
    NET_DRV_N='2'                   # number of ethernet drivers to load, usually 1
    NET_DRV_1='e100'            # 1st driver: name (e.g. NE2000 PCI clone)
    NET_DRV_1_OPTION=''             # 1st driver: additional option
    NET_DRV_2='rtl8139'                  # 2nd driver: name (e.g. NE2000 ISA clone)
    NET_DRV_2_OPTION=''
    
    #------------------------------------------------------------------------------
    # Ether networks used with IP protocol:
    #------------------------------------------------------------------------------
    IP_NET_N='1'                    # number of ip ethernet networks, usually 1
    IP_NET_1='192.168.178.1/24'       # IP address of your n'th ethernet card and
                                    #  Netmask in CIDR (Nr. of set bits)
    IP_NET_1_DEV='eth0'             # required: device name like ethX
    
    #------------------------------------------------------------------------------
    # Additional routes, optional
    #------------------------------------------------------------------------------
    IP_ROUTE_N='0'                      # number of additional routes
    IP_ROUTE_1='192.168.7.0/24 192.168.6.99' # network/netmaskbits  gateway
    
    #------------------------------------------------------------------------------
    # Masquerading:
    #------------------------------------------------------------------------------
    MASQ_MODULE_N='1'                   # load n masq modules (default: only ftp)
    MASQ_MODULE_1='ftp'                 # ftp
    MASQ_MODULE_1_OPTION=''             # options, see documentation
    MASQ_MODULE_2='irc'                 # irc
    MASQ_MODULE_2_OPTION=''             # options, see documentation
    
    #------------------------------------------------------------------------------
    # Optional package: PORTFW
    #------------------------------------------------------------------------------
    PORTFW_N='6'                          # how many portforwardings to set up
    PORTFW_1_TARGET='12345'                # sample 1: forward ext. port 8080
    PORTFW_1_NEW_TARGET='192.168.178.20:389' # ...to int. host 192.168.6.15 port 80
    PORTFW_1_PROTOCOL='tcp'               # ...using tcp
    PORTFW_2_TARGET='12346'           # sample 2: forward portrange 3000-3010
    PORTFW_2_NEW_TARGET='192.168.178.20:389'    # ...to int. host 192.168.6.15
    PORTFW_2_PROTOCOL='tcp'               # ...using tcp
    PORTFW_3_TARGET='12344'
    PORTFW_3_NEW_TARGET='192.168.178.1:22'
    PORTFW_3_PROTOCOL='tcp'
    PORTFW_4_TARGET='5060'
    PORTFW_4_NEW_TARGET='192.168.178.1:5060'
    PORTFW_4_PROTOCOL='udp'
    PORTFW_5_TARGET='7078-7081'
    PORTFW_5_NEW_TARGET='192.168.178.1'
    PORTFW_5_PROTOCOL='udp'
    PORTFW_6_TARGET='80'
    PORTFW_6_NEW_TARGET='192.168.178.1:80'
    PORTFW_6_PROTOCOL='udp'
    PORTFW_7_TARGET='7080'
    PORTFW_7_NEW_TARGET='0.0.0.0:7080'
    PORTFW_7_PROTOCOL='udp'
    PORTFW_8_TARGET='7081'
    PORTFW_8_NEW_TARGET='0.0.0.0:7081'
    PORTFW_8_PROTOCOL='udp'
    
    
    #------------------------------------------------------------------------------
    # new style packet filter config
    #------------------------------------------------------------------------------
    NEW_FW_CONFIG='yes'                 # use new style packet filter config
    INPUT_POLICY='REJECT'               # be nice and use reject as policy
    INPUT_ACCEPT_DEF='yes'              # use default rule set
    INPUT_LOG='no'                      # don't log anything
    INPUT_LIST_N='1'
    INPUT_LIST_1='IP_NET_1 ACCEPT'      # allow all hosts in the local
                                        # network access to the router
    
    FORWARD_POLICY='REJECT'             # be nice and use reject as policy
    FORWARD_ACCEPT_DEF='yes'            # use default rule set
    FORWARD_LOG='no'                    # don't log anything
    FORWARD_LIST_N='2'
    FORWARD_LIST_1='tmpl:samba DROP'    # drop samba traffic if it tries
                                        # to leave the subnet
    FORWARD_LIST_2='IP_NET_1 ACCEPT'    # accept everything else
    
    POSTROUTING_LIST_N='1'
    POSTROUTING_LIST_1='IP_NET_1 MASQUERADE' # masquerade traffic leaving
                                             # the subnet
    
    #------------------------------------------------------------------------------
    # Domain configuration:
    #------------------------------------------------------------------------------
    START_DNS='yes'                     # start dns server: 'yes' or 'no'
    DNS_LISTENIP_N='0'                  # if 0 then listen on all interfaces
    DNS_LISTENIP_1='IP_NET_1_IPADDR'    # first IP to listen on
    DNS_FORWARDERS='145.253.2.11'         # DNS servers of your provider, e.g. ns.n-ix.net
    DNS_VERBOSE='no'                    # log queries into syslog
    DOMAIN_NAME='lan.fli4l'             # your domain name
    DNS_MX_SERVER=''                    # fqdn of the mx for your DOMAIN
    DNS_FORBIDDEN_N='0'                 # number of forbidden domains
    DNS_FORBIDDEN_1='foo.bar'           # 1st forbidden domain
    DNS_FORBIDDEN_2='bar.foo'           # 2nd forbidden domain
    DNS_REDIRECT_N='0'                  # number of redirected domains
    DNS_REDIRECT_1='foo.bar.foo'        # 1st redirected domain
    DNS_REDIRECT_1_IP='192.168.6.100'   # ip of redirected domain
    DNS_BOGUS_PRIV='yes'                # Fake reverse lookups for RFC1918 private address ranges
    
    HOSTS_N='4'                         # number of hosts in your domain
    HOST_1_NAME='fli4l'                 # 1st host: name and ip
    HOST_1_IP='192.168.178.1'
    #HOST_1_ALIAS_N='0'                 # number of optional alias names
    #HOST_1_ALIAS_1='router.lan.fli4l'  # optional alias name
    #HOST_1_ALIAS_2='gateway.lan.fli4l'
    HOST_2_NAME='server'               # 2nd host: name and ip
    HOST_2_IP='192.168.178.20'
    #HOST_2_MAC='00:00:00:00:00:00'     # optional mac address used by dhcpd
    HOST_3_NAME='notebook'               # 3rd host: name and ip
    HOST_3_IP='192.168.178.21'
    #HOST_3_MAC='00:00:00:00:00:00'
    HOST_4_NAME='USR2249'               # 4th host: name and ip
    HOST_4_IP='192.168.178.32'
    #HOST_4_MAC='de:ad:be:ef:08:15'
    
    #------------------------------------------------------------------------------
    # Special DNS configuration
    #------------------------------------------------------------------------------
    DNS_N='0'                           # number of special dns servers, normally 0
    #DNS_1='firma.de 192.168.1.12'      # 1st special dns server for firma.de
    #DNS_2='lan.firma.de 192.168.2.12'  # 2nd special dns server for lan.firma.de
    
    #------------------------------------------------------------------------------
    # imond configuration:
    #------------------------------------------------------------------------------
    START_IMOND='yes'                    # start imond: yes or no
    IMOND_USE_ORIG='yes'                # use the original version of
                                        # imond instead the development version
    IMOND_PORT='5000'                   # port (tcp), don't open it to the outside
    IMOND_PASS='XXXXX'                       # imond-password, may be empty
    IMOND_ADMIN_PASS='XXXXX'                 # imond-admin-password, may be empty
    IMOND_LED=''                        # tty for led: com1 - com4 or empty
    IMOND_BEEP='no'                     # beep if connection going up/down
    IMOND_LOG='no'                      # log /var/log/imond.log: yes or no
    IMOND_LOGDIR='/var/log'             # log-directory, e.g. /var/log
    IMOND_ENABLE='yes'                  # accept "enable/disable" commands
    IMOND_DIAL='yes'                    # accept "dial/hangup" commands
    IMOND_ROUTE='yes'                   # accept "route" command
    IMOND_REBOOT='yes'                  # accept "reboot" command
    
    #------------------------------------------------------------------------------
    # Generic circuit configuration:
    #------------------------------------------------------------------------------
    IP_DYN_ADDR='yes'                   # use dyn. ip addresses (most providers do)
    DIALMODE='auto'                     # standard dialmode: auto, manual, or off
    
    #------------------------------------------------------------------------------
    # optional package: syslogd
    #------------------------------------------------------------------------------
    OPT_SYSLOGD='no'                    # start syslogd: yes or no
    SYSLOGD_DEST_N='1'                  # number of destinations
    SYSLOGD_DEST_1='*.* /dev/console'   # n'th prio & destination of syslog msgs
    SYSLOGD_DEST_2='*.* @192.168.6.2'   # example: loghost 192.168.6.2
    SYSLOGD_DEST_3='kern.info /var/log/dial.log'    # example: log infos
    
    #------------------------------------------------------------------------------
    # optional package: klogd
    #------------------------------------------------------------------------------
    OPT_KLOGD='no'                      # start klogd: yes or no
    
    #------------------------------------------------------------------------------
    # optional package: y2k correction
    #------------------------------------------------------------------------------
    OPT_Y2K='no'                        # y2k correction: yes or no
    Y2K_DAYS=''                         # correct hardware Y2K-Bug: add x days
    
    #------------------------------------------------------------------------------
    # Optional package: PNP
    #------------------------------------------------------------------------------
    OPT_PNP='no'                        # install isapnp tools: yes or no
    
    #------------------------------------------------------------------------------
    # Optional package: inittab
    #------------------------------------------------------------------------------
    OPT_INITTAB='no'
    
    Muß ich eigentlich z. B.
    INPUT_LIST_3='10.0.0.0/27 25 ACCEPT NOLOG'
    ändern in
    INPUT_LIST_3='192.168.178.0/27 25 ACCEPT NOLOG'
    ???
     
  9. Netview

    Netview IPPF-Promi

    Registriert seit:
    1 Apr. 2004
    Beiträge:
    3,366
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Beruf:
    Dipl.-Inf.
    Ort:
    Westerwald
    Nein!
    Dies ist lediglich für meinen mailserver!
    Ich protokolliere smtp und pop3 Zugriffe auf meinen Server von Außen, lasse jedoch Zugriffe aus meinem LAN (10er Netz) nicht protokollieren!
    Deshalb kann Alles mit den ports 25 und 110 bei dir raus!
     
  10. Tippfehler

    Tippfehler IPPF-Promi

    Registriert seit:
    14 Sep. 2004
    Beiträge:
    3,088
    Zustimmungen:
    7
    Punkte für Erfolge:
    38
    Ort:
    AB
    Ich versuche es jetzt mal mit diesen Einstellungen:
    Code:
    NEW_FW_CONFIG='yes'                 # use new style packet filter config
    INPUT_POLICY='REJECT'               # be nice and use reject as policy
    INPUT_ACCEPT_DEF='no'               # use default rule set
    INPUT_LOG='no'                     # log anything
    INPUT_LIST_N='5'
    INPUT_LIST_1='state:ESTABLISHED,RELATED ACCEPT' # drop ping
    INPUT_LIST_2='if:lo:any ACCEPT'     # allow local communication
    INPUT_LIST_3='prot:udp 5060 ACCEPT NOLOG'   # allow sip -> asterisk
    INPUT_LIST_4='prot:udp 10000-20000 ACCEPT NOLOG' # allow rtp -> asterisk
    INPUT_LIST_5='IP_NET_1 ACCEPT'      # allow all hosts in the local
                                        # network access to the router
    
    FORWARD_POLICY='REJECT'             # be nice and use reject as policy
    FORWARD_ACCEPT_DEF='no'            # use default rule set
    FORWARD_LOG='no'                    # don't log anything
    FORWARD_LIST_N='5'
    FORWARD_LIST_1='prot:udp 137-138 DROP'   # drop netbios traffic if it tries
                                             # to leave the subnet
    FORWARD_LIST_2='prot:tcp 139 DROP'       # drop netbios traffic if it tries
                                             # to leave the subnet
    FORWARD_LIST_3='prot:tcp 445 DROP'       # drop new smb port too
    FORWARD_LIST_4='prot:udp 5000-5001 DROP' # drop imond
    FORWARD_LIST_5='IP_NET_1 ACCEPT'         # accept everything else
     
    POSTROUTING_LIST_N='1'
    POSTROUTING_LIST_1='IP_NET_1 MASQUERADE' # masquerade traffic leaving
                                             # the subnet
    
    Auf no habe ich zusätzlich gesetzt:
    FORWARD_ACCEPT_DEF=
    INPUT_LOG=

    Ich befürchte aber, dass ich dann wieder offline bin. :-(
     
  11. Netview

    Netview IPPF-Promi

    Registriert seit:
    1 Apr. 2004
    Beiträge:
    3,366
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Beruf:
    Dipl.-Inf.
    Ort:
    Westerwald
    Warum lässt du es nicht wie ich es gepostet habe!
    FORWARD_ACCEPT_DEF='yes' # use default rule set

    wird gebraucht und

    INPUT_LOG=yes/no

    nach Bedarf - ob du Rejects auf dem Imonc sehen willst oder nicht!
     
  12. Tippfehler

    Tippfehler IPPF-Promi

    Registriert seit:
    14 Sep. 2004
    Beiträge:
    3,088
    Zustimmungen:
    7
    Punkte für Erfolge:
    38
    Ort:
    AB
    Das hatte gute Gründe, nämlich hat es mich jetzt endlich meinen Fehler finden lassen:
    In meinen Forward-Rules hatte ich die Ports 12345 und 12346 weiter leiten lassen, das überschneidet sich mit 10000-20000 und hat die fli4l-Firewall wohl zum Absturz gebracht.
    Jetzt habe ich alle Portforwardings erstmal gelöscht und ich bin wieder im Internet. ;-) Mit FORWARD_ACCEPT_DEF='yes' und INPUT_ACCEPT_DEF='no'
    Leider kann ich mich mit dem Client immer noch nicht anmelden, das werde ich jetzt aber erstmal näher untersuchen.

    Ich versuche es mit der Fritzbox zuhause, dort kommt nur die Meldung:
    May 19 14:59:45 voipd[579]: >>> Request: REGISTER sip:xxxxx.no-ip.com
    May 19 14:59:47 voipd[579]: 12: REGISTER failed 5 status 0 (try again in 10 seconds)
    Asterisk stellt sich leider immer noch tot.
    Brauche ich vielleicht noch ein paar Ports?
     
  13. Netview

    Netview IPPF-Promi

    Registriert seit:
    1 Apr. 2004
    Beiträge:
    3,366
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Beruf:
    Dipl.-Inf.
    Ort:
    Westerwald
    Die fbf akzeptiert nur IP-Adressen und löst keine domain-namen auf!
     
  14. Tippfehler

    Tippfehler IPPF-Promi

    Registriert seit:
    14 Sep. 2004
    Beiträge:
    3,088
    Zustimmungen:
    7
    Punkte für Erfolge:
    38
    Ort:
    AB
    Auch mit der IP geht es nicht.
    Ich glaube aber, dass die Fritzbox Domainnamen kann:

    ------Fritzbox:-----
    May 19 15:34:13 voipd[813]: >>> Request: REGISTER sip:ebrox1.no-ip.com
    May 19 15:34:13 voipd[813]: dns: xxxxx.no-ip.com: query
    May 19 15:34:13 voipd[813]: dns: xxxxx.no-ip.com: 84.58.xx.xx ttl=60 from 192.168.180.1.
    May 19 15:34:14 voipd[813]: >>> Request: REGISTER sip:xxxxx.no-ip.com
    May 19 15:34:16 voipd[813]: >>> Request: REGISTER sip:xxxxx.no-ip.com
    May 19 15:34:19 voipd[813]: >>> Request: REGISTER sip:xxxxx.no-ip.com
    May 19

    Kann evtl. mal Jemand Anderes versuchen, sich bei mir anzumelden?
    Meine Daten kann ich gerne per PM schicken.
     
  15. Netview

    Netview IPPF-Promi

    Registriert seit:
    1 Apr. 2004
    Beiträge:
    3,366
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Beruf:
    Dipl.-Inf.
    Ort:
    Westerwald
    Wenn du keine ports von Außen nach Innen geöffnet hast wie soll sich da jemand bei Dir anmelden können?
    Ist denn die fbf im gleichen Subnetz (vor oder hinter NAT)?

    Im übrigen - da mein Nachbar gelegentlich über mich via voipjet telefoniert, dürften meine firewall-Einstellungen soweit schlüssig sein!
     
  16. Tippfehler

    Tippfehler IPPF-Promi

    Registriert seit:
    14 Sep. 2004
    Beiträge:
    3,088
    Zustimmungen:
    7
    Punkte für Erfolge:
    38
    Ort:
    AB
    Hmmm, ich dachte, dass mit den Ports öffnen ist ja das Problem, weswegen ich hier poste, ... ???
    Die Fritzbox hängt zuhause am Telekom-TSL.
    Fli4l hängt im Büro an Arcor DSL mit Telefonflatrate.
    Ich versuche deswegen, im Büro irgendwie die Fritzbox on zuhause an Asterisk angemeldet zu bekommen, damit ich Telefonate vom Büro zuhause annehmen kann und von zuhause aus übers Büro telefonieren kann.
    Dummerweise muss ich das in den nächsten 1,5 Stunden schaffen, denn ich bin ab morgen nur noch sporadisch im Büro. :-(
    Immerhin schaffe ich es jetzt schon, telefone von ISDN auf X-Lite zu bekommen, aber leider nur im Büro-Subnetzt, wo mir das nichts bringt.

    Habe mal eben diese Rules über den Webserver eingetragen:
    default 5060 192.168.178.1 5060 udp
    default 5060 192.168.178.1 5060 tcp
    default 9999-20001 192.168.178.1 9999-20001 udp
    default 8000-8012 192.168.178.1 8000-8012 udp


    Leider nützt das auch nichts. :-(
     
  17. Netview

    Netview IPPF-Promi

    Registriert seit:
    1 Apr. 2004
    Beiträge:
    3,366
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Beruf:
    Dipl.-Inf.
    Ort:
    Westerwald
    Dann übernimm doch mal meine Einstellungen für die base.txt ohne irgendwelche Modifikationen (abzgl. POP3/SMTP) und ausserdem poste mal die sip.conf und extensions.conf deines asterisk!

    Das die port-Freigaben über das web-Interface nicht ziehen ist klar, da asterisk auf dem fli4l direkt läuft und nicht im LAN dahinter. Du änderst damit das port-forwarding für clients hinter fli4l!
     
  18. Tippfehler

    Tippfehler IPPF-Promi

    Registriert seit:
    14 Sep. 2004
    Beiträge:
    3,088
    Zustimmungen:
    7
    Punkte für Erfolge:
    38
    Ort:
    AB
    sip.conf
    Code:
    [general]
    
    context=default           ; Default context fuer eingehende Rufe
    
    disallow=all              ; erst mal alle Codecs verbieten
    allow=G729
    allow=alaw             ; (G.711) erlaubte Codecs
    allow=ulaw             ; (G.711) erlaubte Codecs
    allow=GSM             ; (GSM) erlaubte Codecs
    port=5060             ; UDP SIP Port (Standard 5060)
    bindaddr=0.0.0.0       ; IP Adresse auf der Asterisk laueft
    
    externip=xxxx.dyndns.org   ; externe IP Adresse
    localnet=192.168.178.0/24   ; lokaler Netzwerkbereich
    srvlookup=yes              ; Benutze Serverlookups fuer ausgehende Rufe
                            ; um den zustandigen SIP Server zu finden
    nat=no                    ; =yes bewirkt dass Asterisk die Adressinformationen
                            ; im SIP und SDP Header ignoriert und direkt zur
                            ; Sender IP Packete schickt
                            ; =no Astersik beachtet Adressinformation in SIP Header
    
    ;dtmfmode=inband      ; Dual Tone Multi Frequenz
                           ; (Ton wenn Taste am Telefon getrueckt wird)
                           ; inband: Ton wird vom Gerät festgelegt
    
    tos=0x18             ; Typ of Service
                        ; tos=0x10  geringe Verzoegerung
                        ; tos=0x08  hoher Durchsatz
                        ; tos=0x04  hohe Verlaesslichkeit
                        ; tos=0x02  ECT Bit gesetzt
                        ; tos=0x01  CE Bit gesetzt
                        ; tos=0x18  gute Kombination :-)
    
    canreinvite=yes         ; =yes: Mediastream kann Asterisk umgehen
                        ; Nachdem Verbindung ueber Astersik vermittelt wurde
                        ; koennen Clients direkt miteinander kommunizieren
                        ; =no: alle Gespräche laufen uber Asterisk
                        ; gegebenenfalls werden Sprachcodecs umgesetzt
    
    insecure=very         ; =very: registrierte Hosts koennen rufen ohne
                        ; sich nochmals zu authentifizieren
                        ; =yes:
    
    ;Registrierung beim Provider
    register => 1111111:xxxxx@sipgate.de/1111111
    register => 2222222:xxxxx@sipgate.de/2222222
    register => 3333333:xxxxx@sipgate.de/3333333
    ;register => voipbusteruser:xxxxx@sip.voipbuster.com/voipbuster
    
    [1111111]
    type=friend            ; =friend kann anrufen und Anrufe entgegennehmen
                        ; =peer kann nur abegehende Gespraeche fuehren
                        ; =user kann nur angerufen werden
    username=1111111          ; SIP INVITE Authentifizierung bei SIP Provider
    secret=xxxxx         ; Passwort
    fromuser=1111111          ; Nachricht im "from" Feld (SIP Nachricht) statt CallerID
    fromdomain=sipgate.de    ; setzt "From Domain" Feld (SIP Nachricht)
    host=sipgate.de                ; Domain des SIP Provider
    nat=yes                ; beachte Adressinformationen in SIP Nachricht
    insecure=very         ; registrierte Hosts koennen rufen ohne
                        ; sich nochmals zu authentifizieren
    canreinvite=no         ; =yes: Mediastream kann Asterisk umgehen
                        ; Nachdem Verbindung ueber Astersik vermittelt wurde
                        ; koennen Clients direkt miteinander kommunizieren
                        ; =no: alle Gespräche laufen uber Asterisk
                        ; gegebenenfalls werden Sprachcodecs umgesetzt
    qualify=yes                        ; =yes es wird geprueft ob Client noch Online ist
                        ; durch senden von Optionen
    
    context=incomming_sipgate
    
    [2222222]
    type=friend            ; =friend kann anrufen und Anrufe entgegennehmen
                        ; =peer kann nur abegehende Gespraeche fuehren
                        ; =user kann nur angerufen werden
    username=2222222          ; SIP INVITE Authentifizierung bei SIP Provider
    secret=xxxxx         ; Passwort
    fromuser=2222222          ; Nachricht im "from" Feld (SIP Nachricht) statt CallerID
    fromdomain=sipgate.de    ; setzt "From Domain" Feld (SIP Nachricht)
    host=sipgate.de                ; Domain des SIP Provider
    nat=yes                ; beachte Adressinformationen in SIP Nachricht
    insecure=very         ; registrierte Hosts koennen rufen ohne
                        ; sich nochmals zu authentifizieren
    canreinvite=no         ; =yes: Mediastream kann Asterisk umgehen
                        ; Nachdem Verbindung ueber Astersik vermittelt wurde
                        ; koennen Clients direkt miteinander kommunizieren
                        ; =no: alle Gespräche laufen uber Asterisk
                        ; gegebenenfalls werden Sprachcodecs umgesetzt
    qualify=yes                        ; =yes es wird geprueft ob Client noch Online ist
                        ; durch senden von Optionen
    
    context=incomming_sipgate
    
    [3333333]
    type=friend            ; =friend kann anrufen und Anrufe entgegennehmen
                        ; =peer kann nur abegehende Gespraeche fuehren
                        ; =user kann nur angerufen werden
    username=3333333          ; SIP INVITE Authentifizierung bei SIP Provider
    secret=xxxxx         ; Passwort
    fromuser=3333333          ; Nachricht im "from" Feld (SIP Nachricht) statt CallerID
    fromdomain=sipgate.de    ; setzt "From Domain" Feld (SIP Nachricht)
    host=sipgate.de                ; Domain des SIP Provider
    nat=yes                ; beachte Adressinformationen in SIP Nachricht
    insecure=very         ; registrierte Hosts koennen rufen ohne
                        ; sich nochmals zu authentifizieren
    canreinvite=no         ; =yes: Mediastream kann Asterisk umgehen
                        ; Nachdem Verbindung ueber Astersik vermittelt wurde
                        ; koennen Clients direkt miteinander kommunizieren
                        ; =no: alle Gespräche laufen uber Asterisk
                        ; gegebenenfalls werden Sprachcodecs umgesetzt
    qualify=yes                        ; =yes es wird geprueft ob Client noch Online ist
                        ; durch senden von Optionen
    
    context=incomming_sipgate
    
    
    ; lokale SIP Telefone
    
    [voipbuster]
    type=friend            ; =friend kann anrufen und Anrufe entgegennehmen
                        ; =peer kann nur abegehende Gespraeche fuehren
                        ; =user kann nur angerufen werden
    username=voipbusteruser          ; SIP INVITE Authentifizierung bei SIP Provider
    secret=xxxxx         ; Passwort
    fromuser=0049123456789          ; Nachricht im "from" Feld (SIP Nachricht) statt CallerID
    fromdomain=sip.voipbuster.com    ; setzt "From Domain" Feld (SIP Nachricht)
    host=sip.voipbuster.com        ; Domain des SIP Provider
    nat=yes                ; beachte Adressinformationen in SIP Nachricht
    insecure=very         ; registrierte Hosts koennen rufen ohne
                        ; sich nochmals zu authentifizieren
    canreinvite=no         ; =yes: Mediastream kann Asterisk umgehen
                        ; Nachdem Verbindung ueber Astersik vermittelt wurde
                        ; koennen Clients direkt miteinander kommunizieren
                        ; =no: alle Gespräche laufen uber Asterisk
                        ; gegebenenfalls werden Sprachcodecs umgesetzt
    qualify=yes                        ; =yes es wird geprueft ob Client noch Online ist
                        ; durch senden von Optionen
    
    context=incomming_sipgate
    
    
    ; lokale SIP Telefone
    
    [12]
    type=friend
    username=12
    secret=12
    host=dynamic
    callerid= <12>
    
    extensions.conf
    Code:
    [general]
    
    static = yes       ; ob Datei von der CLI aus bearbeitet werden kann
    writeprotect=no
    
    
    ;##########################
    ;# BEGINN Dafault Context #
    ;##########################
    
    
    [default]
    include => 12
    
    include => incomming_sipgate
    include => incomming_capi
    include => outgoing_sipgate
    include => outgoing_capi
    include => mailbox
    include => voipbuster
    
    ; wenn uber S0 der Astersik Server auf der 22 gewahlt
    ; wird, wird das Gespraech an Context dialout ubergeben
    ;--- gibt Asterisk-Freizeichen, wenn man ISDN-22 anruft ---
    ;exten =>  _22,1,DISA,no-password|dialout
    
    
    
    
    ;########################
    ;# ENDE Default Context #
    ;########################
    
    
    ; wenn die 9999 vom SIP Telefon aus gewaehlt wird
    ; geht die Mailbox des jeweiligen Users dran ( Mailboxabruf)
    
    [mailbox]
    exten=> 9999/_[1-9].,1,Answer
    exten=> 9999/_[1-9].,2,Wait(1)
    exten=> 9999/_[1-9].,3,VoicemailMain2(s${CALLERIDNUM})
    exten=> 9999/_[1-9].,4,Hangup
    
    
    ; Sprungmarke fuer DISA rauswaehlen ueber SIP Provider
    [dialout]
    include => outgoing_sipgate
    include => outgoing_capi
    
    
    ; Kontext zum rauswaehlen ueber SIPGATE
    [outgoing_sipgate]
    exten => _7.,1,SetCallerID(1111111)
    exten => _7.,2,Dial(SIP/${EXTEN:1}@1111111,20,r)
    exten => _7.,3,Congestion
    exten => _7.,4,Hangup
    
    ; Kontext zum rauswaehlen ueber VOIPBUSTER
    ;[voipbuster]
    ;exten => _9.,1,SetCallerID(voipbuster)
    ;exten => _9.,2,Dial(SIP/${EXTEN:1}@voipbuster,20,r)
    ;exten => _9.,3,Congestion
    ;exten => _9.,4,Hangup
    
    ; der Kontext von den ISDN Telefonen verwendet
    ISDN => ASTERISK(DISA)=>[dialout]=>[outgoing_sipgate]
    
    
    ; Eingehende Rufe auf der SIP Sipgate Rufnummer
    ; werden an 21 weitergeleitet
    [incomming_sipgate]
    exten => 1111111,1,Dial(CAPI/@22:*21)
    ;exten => 1234567,1,Dial(SIP/24)
    
    
    ; wenn die 2 von SIP Telefon gewaehlt wird
    ; Weitervermittlung vom Gespraech ueber CAPI
    [outgoing_capi]
    exten => _2.,1,Dial(CAPI/@22:${EXTEN:2})
    exten => _2.,2,Hangup
    
    
    
    ;###########################################
    ;# Rufnummernplan fuer lokale SIP Telefone #
    :###########################################
    
    [12]
    exten => 12,1,Dial(SIP/12,10)
    exten => 12,2,Voicemail(12)
    exten => 12,3,Hangup
    
    base.txt
    Code:
    HOSTNAME='fli4l'                # name of fli4l router
    PASSWORD='xxxxx'                # password for root login (console, sshd, imond)
    BOOT_TYPE='hd'                  # boot device: fd, dualfd, hd, cd, ls120
                                    # integrated, attached
    				# (cd, hd and ls120 need an installed hd opt)    
    MOUNT_BOOT='rw'                 # mount boot device (floppy): ro, rw, no
    TIME_INFO='MEZ-1MESZ,M3.5.0,M10.5.0'
                                    # description of local time
                                    # zone, don't touch without reading
                                    # documentation
    IP_CONNTRACK_MAX=''             # override maximum limit of connection
                                    # tracking entries
    POWEROFF_ON_HALT='no'           # power off after shutting down the
                                    # machine
    REAL_MODE_POWEROFF='no'         # switch to real mode before invoking
                                    # apm power off
    #------------------------------------------------------------------------------
    # console settings (serial console, blank time):
    #------------------------------------------------------------------------------
    CONSOLE_BLANK_TIME=''           # time in minutes (1-60) to blank
                                    # console; 0 = never, default if empty
    SER_CONSOLE='no'                # use serial interface instead of or
                                    # as additional output device and main
                                    # input device
    SER_CONSOLE_IF='0'              # serial interface to use, 0 for ttyS0 (COM1)
    SER_CONSOLE_RATE='9600'         # Baudrate for serial console
    
    #------------------------------------------------------------------------------
    # Debug Settings:
    #------------------------------------------------------------------------------
    DEBUG_STARTUP='no'              # Write an execution trace of the boot
    DEBUG_LOG=''                    # sequence to file DEBUG_LOG or console if
                                    # DEBUG_LOG is empty
    
    #------------------------------------------------------------------------------
    # Show service menu after login:
    #------------------------------------------------------------------------------
    OPT_MENU='yes'                  # Service menu for users
    MENU_LANGUAGE='de'              # Default language for the service menu
    
    #------------------------------------------------------------------------------
    # Ethernet card drivers:
    #
    #  Driver       Bus     Description
    #
    #  3c503        ISA     3COM EtherLinkII (3c503)
    #  3c505        ISA     3COM Etherlink Plus (3c505)
    #  3c507        ISA     3COM Etherlink 16 (3c507)
    #  3c509        ISA     3COM EtherLinkIII (3c509)
    #  3c515        ISA     3COM EtherLink XL ISA (3c515)
    #  3c59x        PCI     3COM Vortex/Boomerang 3c59x,3c900,3c905
    #  8139cp       PCI     RealTek 8139C+
    #  8139too      PCI     RealTek 8129/8139 10/100 MB (NEW)
    #  rtl8139      PCI     RealTek 8129/8139, Donald Beckers Version, see 
    #                       http://www.scyld.com/network/rtl8139.html
    #  82596                Apricot Xen-II on board Ethernet
    #  acenic       PCI     Alteon AceNIC Gigabit Ethernet
    #  at1700       ISA     AT1700 (Fujitsu 86965) ISA
    #  b44          PCI     Broadcom 4400
    #  cs89x0       ISA     IBM Etherjet, cs89x0 based Cards (Option io=0xnnn necessary!)
    #  de4x5        PCI/EISA Digital DE425, DE434, DE435, DE450, DE500
    #  depca        ISA     DEPCA, DE10x, DE200, DE201, DE202, DE422
    #  dgrs         PCI     Digi International RightSwitch PCI/EISA
    #  dl2k         PCI     D-Link DL2000-based Gigabit Ethernet Adapter
    #  dmfe         PCI     DM9102 compatible PCI cards from Davicom
    #  e1000        PCI     Intel EtherExpress PRO/1000 Gigabit Ethernet
    #  e100         PCI     Intel's original driver for EEPRO100
    #  e2100        ISA     Cabletron E21xx ISA
    #  eepro100     PCI     Intel EtherExpressPro PCI 10+/100B/100+
    #  eepro        ISA     Intel EtherExpress Pro/10
    #  eexpress     ISA     EtherExpress16 ISA
    #  epic100      PCI     SMC EPIC/100 (EtherPower II) PCI
    #  eth16i       ISA/EISA ICL EtherTeam 16i/32
    #  ewrk3        ISA     EtherWORKS 3 ISA (DE203, DE204, DE205)
    #  fealnx       PCI     ASOUND LAN 8139 card - not RTL8139 (NEW)
    #  hamachi      PCI     GNIC-II Gigabit Ethernet
    #  hp100        ISA/EISA/PCI        HP 10/100VG PCLAN (ISA, EISA, PCI)
    #  hp           ISA     HP PCLAN (27245, 27xxx) ISA
    #  hp-plus      ISA     HP PCLAN+ (27247B and 27252A) ISA
    #  lance        ISA     AMD LANCE and PCnet (AT1500, NE2100) ISA
    #  lp486e               Intel Professional Workstation/panther ethernet driver
    #  natsemi      PCI     National Semiconductor
    #  ne2k-pci     PCI     NE2000 PCI clone (eg. Realtek 8029, Winbond 89c940)
    #  ne           ISA     NE2000 ISA clone (eg. Realtek 8019,
    #                       Accton 16xx, NatSemi 8390, UMC 9003/9008)
    #  ni5010               MiCom-Interlan NI5010
    #  ni52                 NI5210 card (i82586 Ethernet chip)
    #  ni65                 ni6510 (am7990 'lance' chip)
    #  ns83820      PCI     cards with National Semiconductor 83820 chip
    #  pcnet32      PCI     AMD PCI PCnet32
    #  r8169        PCI     Realtek 8169 Gigabit Ethernet
    #  sis900       PCI     SiS 900/7016
    #  sk98lin      PCI     SysKonnect Gigabit Ethernet Server Adapters
    #  smc9194              SMC's 9000 series of Ethernet cards
    #  smc-ultra    ISA     SMC ULTRA
    #  starfire     PCI     Starfire
    #  sundance     PCI     DFE-550FX or DFE-530TXS (NEW)
    #  tg3          PCI     Broadcom Tigon3
    #  tlan         PCI     TI ThunderLAN (Compaq Netelligent ...)
    #  tulip        PCI     DECchip Tulip (dc21x4x) PCI
    #  via-rhine    PCI     VIA Rhine PCI (3043, VT86c100A, dfe-530tx)
    #  wd           ISA     SMC WD80*3
    #  winbond-840  PCI     Winbond 840
    #  yellowfin    PCI     Packet Engines G-NIC PCI Gigabit Eth Adapter
    #
    # Donald Becker drivers, see http://www.scyld.com/
    #
    # tulip-db     PCI      DECchip Tulip (dc21x4x) PCI and work-alike chips from 
    #                       Lite-On (PNIC) and Macronix (MXIC) and ASIX,
    #                       see  http://www.scyld.com/network/tulip.html
    # epic100-db
    # rtl8139               This driver is for boards based on the RTL8129
    #                       and RTL8139 PCI ethernet chips.
    # 3c59x-db              This driver is for the 3Com "Vortex" and
    #                       "Boomerang" series ethercards.  Members of the
    #                       series include Fast EtherLink
    #                       3c590/3c592/3c595/3c597 and the EtherLink XL
    #                       3c900 and 3c905 cards.
    #
    #
    # Drivers below need the Package pcmcia installed:
    #
    #  3c574_cs     PCMCIA  3Com 574
    #  3c589_cs     PCMCIA  3Com 589
    #  axnet_cs     PCMCIA  Asix AX88190 Fast Ethernet
    #  fmvj18x_cs   PCMCIA  Fujitsu FMV-J181/182 Ethernet
    #  nmclan_cs    PCMCIA  New Media Ethernet LAN
    #  pcnet_cs     PCMCIA  NS8390-based cards (NE2000, DLINK etc)
    #  smc91c92_cs  PCMCIA  SMC91c92-based cards
    #  xirc2ps_cs   PCMCIA  Xircom: CE2, CEM28, CEM33, or CE3
    #  xircom_cb    Cardbus Xircom Cardbus Cards
    #  xircom_tulip_cb Cardbus Xircom Tulip-like Cardbus Cards
    #
    # If you don't find your Cardbus Card here then try the equivalent PCI-Driver:
    # 3c59x instead of 3c575_cb or 8139too instead of realtek_cb
    #
    # This drivers need PCMCIA _and_ WLAN:
    #
    #  orinoco_cs   PCMCIA  Lucent/Orinoco WLAN-Cards
    #  hostap_cs    PCMCIA  PrismII/2.5/3 based Cards - supports AP-Mode
    #  wavelan_cs   PCMCIA  WaveLAN
    #  wl24_cs      PCMCIA  ELSA Airlancer MC-2 - Should have Firmware 2.10
    #  airo_cs      PCMCIA  Cisco Aironet 4500 & 4800 series PCMCIA cards
    #  ray_cs       PCMCIA  Raylink wireless cards
    #  netwave_cs   PCMCIA  Netwave AirSurfer Wireless LAN
    #
    # this drivers need Package WLAN
    #
    # WLAN-Card Drivers IEEE802.11b:
    #
    #  hostap_pci   PCI     Prism 2.5 based PCI Wlan Cards
    #  hostap_plx   PCI     Prism 2,2.5 and 3 based PCMCIA-WLan Cards in PLX-Adapter
    #  airo         PCI/ISA Cisco Aironet 4500 & 4800 series PCI/ISA cards
    #
    # This 3 drivers acutally only work with Prism-II Cards - alternative driver to hostap_*
    #  orinoco_pci  PCI     Lucent/Orinoco based WLAN-Cards
    #  orinoco_plx  PCI     Lucent/Orinoco based PCMCIA WLAN-Cards in PLX Adapter
    #  orinoco_tmd  PCI     Lucent/Orinoco based WLAN-Cards with TMD PCI-Bridge
    
    # WLAN-Card Drivers IEEE802.11g:
    #
    #  prism54      PCI/PCMCIA  Prism GT / Prism Duette / Prism Indigo Chipsets
    #                           Achten Sie auf die Hinweise zum Prism54 Treiber
    #                           in der WLAN Dokumentation!
    #
    # USB-Card Drivers
    #
    #  pegasus      teledat Fast Ethernet USB
    #
    #  kaweth       3Com 3C19250
    #               ADS USB-10BT
    #               ATEN USB Ethernet
    #               ASANTE USB To Ethernet Adapter
    #               AOX Endpoints USB Ethernet
    #               Correga K.K.
    #               D-Link DSB-650C and DU-E10
    #               Entrega / Portgear E45
    #               I-O DATA USB-ET/T
    #               Jaton USB Ethernet Device Adapter
    #               Kingston Technology USB Ethernet Adapter
    #               Linksys USB10T
    #               Mobility USB-Ethernet Adapter
    #               NetGear EA-101
    #               Peracom Enet and Enet2
    #               Portsmith Express Ethernet Adapter
    #               Shark Pocket Adapter
    #               SMC 2202USB
    #               Sony Vaio port extender
    #  rtl8150      RTL8150-based USB-Ethernet-Cards
    #  catc         Belkin F5U111
    #               CATC NetMate
    #               CATC NetMate II
    #               smartBridges smartNIC
    #
    # DSL-Modems shown as Ethernetcards
    #
    #  cdcether     Ericsson PipeRider (all variants)
    #               Motorola (DM100 and SB4100)
    #               Broadcom Cable Modem (reference design)
    #               Toshiba PCX1100U and possibly other cable modems
    #               Sharp Zaurus SL-5000D
    #  eagle-usb    Allied Telesyn AT-AR 215
    #               Sagem 250
    #               Acer ADSL Surf USB
    #               D-Link DSL 260i
    #               Sagem 840
    #               US Robotics USR9000
    #               Sagem F@st 800
    #  speedtch     Alcatel Speedtouch USB
    ##
    # USB-to-USB-network-cable
    #
    #  usbnet       Driver for usb-to-usb networklinks
    #
    # Token ring drivers (see token ring mini howto on 
    #     <http://www.tldp.org/docs.html#howto> and feel 
    #     free to submit documention changes
    #
    #  3c359
    #  abyss
    #  ibmtr
    #  lanstreamer
    #  olympic
    #  smctr
    #  tmsisa
    #  tmspci
    #
    #  If you need dummy device simply use dummy as you NET_DRV
    #  and IP_NET_%_DEV='dummy<number>' as your device
    #
    #------------------------------------------------------------------------------
    NET_DRV_N='2'                   # number of ethernet drivers to load, usually 1
    NET_DRV_1='e100'            # 1st driver: name (e.g. NE2000 PCI clone)
    NET_DRV_1_OPTION=''             # 1st driver: additional option
    NET_DRV_2='rtl8139'                  # 2nd driver: name (e.g. NE2000 ISA clone)
    NET_DRV_2_OPTION=''
    
    #------------------------------------------------------------------------------
    # Ether networks used with IP protocol:
    #------------------------------------------------------------------------------
    IP_NET_N='1'                    # number of ip ethernet networks, usually 1
    IP_NET_1='192.168.178.1/24'       # IP address of your n'th ethernet card and
                                    #  Netmask in CIDR (Nr. of set bits)
    IP_NET_1_DEV='eth0'             # required: device name like ethX
    
    #------------------------------------------------------------------------------
    # Additional routes, optional
    #------------------------------------------------------------------------------
    IP_ROUTE_N='0'                      # number of additional routes
    IP_ROUTE_1='192.168.7.0/24 192.168.6.99' # network/netmaskbits  gateway
    
    #------------------------------------------------------------------------------
    # Masquerading:
    #------------------------------------------------------------------------------
    MASQ_MODULE_N='1'                   # load n masq modules (default: only ftp)
    MASQ_MODULE_1='ftp'                 # ftp
    MASQ_MODULE_1_OPTION=''             # options, see documentation
    MASQ_MODULE_2='irc'                 # irc
    MASQ_MODULE_2_OPTION=''             # options, see documentation
    
    #------------------------------------------------------------------------------
    # Optional package: PORTFW
    #------------------------------------------------------------------------------
    PORTFW_N='0'                          # how many portforwardings to set up
    PORTFW_1_TARGET='12345'                # sample 1: forward ext. port 8080
    PORTFW_1_NEW_TARGET='192.168.178.20:389' # ...to int. host 192.168.6.15 port 80
    PORTFW_1_PROTOCOL='tcp'               # ...using tcp
    PORTFW_2_TARGET='12346'           # sample 2: forward portrange 3000-3010
    PORTFW_2_NEW_TARGET='192.168.178.20:389'    # ...to int. host 192.168.6.15
    PORTFW_2_PROTOCOL='tcp'               # ...using tcp
    PORTFW_3_TARGET='12344'
    PORTFW_3_NEW_TARGET='192.168.178.1:22'
    PORTFW_3_PROTOCOL='tcp'
    PORTFW_4_TARGET='5060'
    PORTFW_4_NEW_TARGET='192.168.178.1:5060'
    PORTFW_4_PROTOCOL='udp'
    PORTFW_5_TARGET='7078-7081'
    PORTFW_5_NEW_TARGET='192.168.178.1'
    PORTFW_5_PROTOCOL='udp'
    PORTFW_6_TARGET='80'
    PORTFW_6_NEW_TARGET='192.168.178.1:80'
    PORTFW_6_PROTOCOL='udp'
    PORTFW_7_TARGET='7080'
    PORTFW_7_NEW_TARGET='0.0.0.0:7080'
    PORTFW_7_PROTOCOL='udp'
    PORTFW_8_TARGET='7081'
    PORTFW_8_NEW_TARGET='0.0.0.0:7081'
    PORTFW_8_PROTOCOL='udp'
    
    
    #------------------------------------------------------------------------------
    # new style packet filter config
    #------------------------------------------------------------------------------
    NEW_FW_CONFIG='yes'                 # use new style packet filter config
    INPUT_POLICY='REJECT'               # be nice and use reject as policy
    INPUT_ACCEPT_DEF='no'               # use default rule set
    INPUT_LOG='yes'                     # log anything
    INPUT_LIST_N='7'
    INPUT_LIST_1='IP_NET_1 ACCEPT'      # allow all hosts in the local
                                        # network access to the router
    INPUT_LIST_2='state:ESTABLISHED,RELATED ACCEPT' # drop ping
    INPUT_LIST_3='if:lo:any ACCEPT'     # allow local communication
    INPUT_LIST_4='prot:tcp 5060 ACCEPT LOG'   # allow sip -> asterisk
    INPUT_LIST_5='prot:udp 5060 ACCEPT LOG'   # allow sip -> asterisk
    INPUT_LIST_6='prot:udp 10000-20000 ACCEPT NOLOG' # allow rtp -> asterisk
    INPUT_LIST_7='prot:tcp 80 ACCEPT LOG'
    
    FORWARD_POLICY='REJECT'             # be nice and use reject as policy
    FORWARD_ACCEPT_DEF='yes'            # use default rule set
    FORWARD_LOG='no'                    # don't log anything
    FORWARD_LIST_N='5'
    FORWARD_LIST_1='prot:udp 137-138 DROP'   # drop netbios traffic if it tries
                                             # to leave the subnet
    FORWARD_LIST_2='prot:tcp 139 DROP'       # drop netbios traffic if it tries
                                             # to leave the subnet
    FORWARD_LIST_3='prot:tcp 445 DROP'       # drop new smb port too
    FORWARD_LIST_4='prot:udp 5000-5001 DROP' # drop imond
    FORWARD_LIST_5='IP_NET_1 ACCEPT'         # accept everything else
     
    POSTROUTING_LIST_N='1'
    POSTROUTING_LIST_1='IP_NET_1 MASQUERADE' # masquerade traffic leaving
                                             # the subnet
    
    #------------------------------------------------------------------------------
    # Domain configuration:
    #------------------------------------------------------------------------------
    START_DNS='yes'                     # start dns server: 'yes' or 'no'
    DNS_LISTENIP_N='0'                  # if 0 then listen on all interfaces
    DNS_LISTENIP_1='IP_NET_1_IPADDR'    # first IP to listen on
    DNS_FORWARDERS='145.253.2.11'         # DNS servers of your provider, e.g. ns.n-ix.net
    DNS_VERBOSE='no'                    # log queries into syslog
    DOMAIN_NAME='lan.fli4l'             # your domain name
    DNS_MX_SERVER=''                    # fqdn of the mx for your DOMAIN
    DNS_FORBIDDEN_N='0'                 # number of forbidden domains
    DNS_FORBIDDEN_1='foo.bar'           # 1st forbidden domain
    DNS_FORBIDDEN_2='bar.foo'           # 2nd forbidden domain
    DNS_REDIRECT_N='0'                  # number of redirected domains
    DNS_REDIRECT_1='foo.bar.foo'        # 1st redirected domain
    DNS_REDIRECT_1_IP='192.168.6.100'   # ip of redirected domain
    DNS_BOGUS_PRIV='yes'                # Fake reverse lookups for RFC1918 private address ranges
    
    HOSTS_N='4'                         # number of hosts in your domain
    HOST_1_NAME='fli4l'                 # 1st host: name and ip
    HOST_1_IP='192.168.178.1'
    #HOST_1_ALIAS_N='0'                 # number of optional alias names
    #HOST_1_ALIAS_1='router.lan.fli4l'  # optional alias name
    #HOST_1_ALIAS_2='gateway.lan.fli4l'
    HOST_2_NAME='server'               # 2nd host: name and ip
    HOST_2_IP='192.168.178.20'
    #HOST_2_MAC='00:0f:ea:7d:61:2a'     # optional mac address used by dhcpd
    HOST_3_NAME='notebook'               # 3rd host: name and ip
    HOST_3_IP='192.168.178.21'
    #HOST_3_MAC='de:ad:be:ef:07:19'
    HOST_4_NAME='USR2249'               # 4th host: name and ip
    HOST_4_IP='192.168.178.32'
    #HOST_4_MAC='de:ad:be:ef:08:15'
    
    #------------------------------------------------------------------------------
    # Special DNS configuration
    #------------------------------------------------------------------------------
    DNS_N='0'                           # number of special dns servers, normally 0
    #DNS_1='firma.de 192.168.1.12'      # 1st special dns server for firma.de
    #DNS_2='lan.firma.de 192.168.2.12'  # 2nd special dns server for lan.firma.de
    
    #------------------------------------------------------------------------------
    # imond configuration:
    #------------------------------------------------------------------------------
    START_IMOND='yes'                    # start imond: yes or no
    IMOND_USE_ORIG='yes'                # use the original version of
                                        # imond instead the development version
    IMOND_PORT='5000'                   # port (tcp), don't open it to the outside
    IMOND_PASS='xxxxx'                       # imond-password, may be empty
    IMOND_ADMIN_PASS='xxxxx'                 # imond-admin-password, may be empty
    IMOND_LED=''                        # tty for led: com1 - com4 or empty
    IMOND_BEEP='no'                     # beep if connection going up/down
    IMOND_LOG='no'                      # log /var/log/imond.log: yes or no
    IMOND_LOGDIR='/var/log'             # log-directory, e.g. /var/log
    IMOND_ENABLE='yes'                  # accept "enable/disable" commands
    IMOND_DIAL='yes'                    # accept "dial/hangup" commands
    IMOND_ROUTE='yes'                   # accept "route" command
    IMOND_REBOOT='yes'                  # accept "reboot" command
    
    #------------------------------------------------------------------------------
    # Generic circuit configuration:
    #------------------------------------------------------------------------------
    IP_DYN_ADDR='yes'                   # use dyn. ip addresses (most providers do)
    DIALMODE='auto'                     # standard dialmode: auto, manual, or off
    
    #------------------------------------------------------------------------------
    # optional package: syslogd
    #------------------------------------------------------------------------------
    OPT_SYSLOGD='no'                    # start syslogd: yes or no
    SYSLOGD_DEST_N='1'                  # number of destinations
    SYSLOGD_DEST_1='*.* /dev/console'   # n'th prio & destination of syslog msgs
    SYSLOGD_DEST_2='*.* @192.168.6.2'   # example: loghost 192.168.6.2
    SYSLOGD_DEST_3='kern.info /var/log/dial.log'    # example: log infos
    
    #------------------------------------------------------------------------------
    # optional package: klogd
    #------------------------------------------------------------------------------
    OPT_KLOGD='no'                      # start klogd: yes or no
    
    #------------------------------------------------------------------------------
    # optional package: y2k correction
    #------------------------------------------------------------------------------
    OPT_Y2K='no'                        # y2k correction: yes or no
    Y2K_DAYS=''                         # correct hardware Y2K-Bug: add x days
    
    #------------------------------------------------------------------------------
    # Optional package: PNP
    #------------------------------------------------------------------------------
    OPT_PNP='no'                        # install isapnp tools: yes or no
    
    #------------------------------------------------------------------------------
    # Optional package: inittab
    #------------------------------------------------------------------------------
    OPT_INITTAB='no'
    
    Bitte nicht wundern über die unsinnigen Eintragungen, ich bin noch am durchprobieren, weil mir die Anleitungen nicht so gut weiter geholfen haben.
    Wenn ich erstmal noch nicht raustelefonieren kann, kann ich es verkraften, aber mit der Fritzbox muss man sich doch irgendwie hier anmelden können, ...
     
  19. Netview

    Netview IPPF-Promi

    Registriert seit:
    1 Apr. 2004
    Beiträge:
    3,366
    Zustimmungen:
    0
    Punkte für Erfolge:
    36
    Beruf:
    Dipl.-Inf.
    Ort:
    Westerwald
    Die base.txt ist auf den schnellen Blick ok bis auf:

    INPUT_LIST_4='prot:tcp 5060 ACCEPT LOG' # allow sip -> asterisk
    INPUT_LIST_5='prot:udp 5060 ACCEPT LOG' # allow sip -> asterisk

    über TCP wird nix kommen und LOG sollte auf NOLOG geändert werden!
    Wenn du kontrollieren willst starte asterisk mit 'asterisk -dddvvvr' oder zusätzlich in der Konsole mit 'sip debug' 'sip no debug'.

    In der sip.conf muss unter [general] nat=yes stehen sonst wird das nix. Bei den peers ist es egal (normalerweise nat=no).
     
  20. Tippfehler

    Tippfehler IPPF-Promi

    Registriert seit:
    14 Sep. 2004
    Beiträge:
    3,088
    Zustimmungen:
    7
    Punkte für Erfolge:
    38
    Ort:
    AB
    kurzer zwischenbericht:
    Im Lan:
    Ich kann mich mit X-Lite anmelden, dauert aber sehr lange.
    Ich kann Gespräche auf die MSN-22 empfangen.
    Ich kann Über die Capi raustelefonieren, Hurra
    Dazu muss ich eingeben:
    20Rufnummer, z. B. 20*21 oder 200691234567
    Die 20 will ich zwar später noch wegbekommen, aber immerhin, schon nicht schlecht.
    Aber:
    Ich kann mich von außen mit der Fritzbox nicht am Asterisk anmelden.
    Das würde ich gerne in den nächsten 20 Minuten schaffen.
    Danke Netview für Deine bisherige Hilfe.