Newbie stellt sich vor und bittet um Rat / Hilfe zum sauberen Aufbau einer VoIP-Telefonieumgebung in unserem Privatbereich / kleinen Unternehmen

YourDearMom

Neuer User
Mitglied seit
24 Mrz 2021
Beiträge
1
Punkte für Reaktionen
0
Punkte
1
Guten Tag zusammen.

Vielen Dank an die zahlreichen Menschen, die an der Existenz dieser Foren mitwirken und sich einbringen(ich lese seit einiger Zeit im Stillen mit).

Ich bin der Sysadmin und Ehemann einer Stb-in und wir führen zusammen eine kleine und persönliche Steuerkanzlei. Die Kanzlei expandiert und einige Änderungen stehen an.

Wir setzen wo immer es möglich ist Linux ein. Aufgrund der bestehenden Brachenlösung sind jedoch auch zwangsweise WIn-Clients und ein Win-Server vorhanden(jeweils als VM).
Alle anderen Aufgaben übernehmen jedoch Linux-Rechner. Der direkte Einfluss und die eigene Kontrolle über die einzelnen Applikationen/Lösungen sowie die Integrität der teils sensiblen Daten stand dabei immer im Fokus. Wir wollten nicht so gerne abhängig sein.
Das macht Mühe gibt aber auch viel Freiheit und vor allem Kostenkontrolle, was sich wieder in fairen Preisen für den Mandanten äussert.

Ich bin kein gelernter IT-Mann sondern Elektro-Techniker und was ich weiss habe ich durch Selbststudium erarbeitet. Damit kommt man schon einigermassen weit und man kann die entstehenden Anforderung durchaus (noch) meistern.
Manche Dinge erweisen sich dabei als härter, andere trotz erstem Anschein als leichter.
Zum Konfigurieren oder Scripten reicht's also - auch ein paar heftigere Sachen kann ich auch noch leisten, aber aus IT-Sicht bin ich eher ein Beginner - Mancher würde vielleicht vortragen: wurschtelt sich halt durch.

Selbstverständlich könnten wir jemanden beauftragen, das zu machen und uns die entsprechnden Komponenten zu verkaufen. Da wir jedoch im Aufbau sind, ist das Budget knapp und die notwendigen Investitionen zahlreich. Die Herausforderung bei einer Vergabe beschränkt sich dabei leider auch nur auf das Finanzielle und das Wissen sowie die eigenen Fertigkeiten erweitern sich dabei kaum - also lieber mal selber ran, Vergabe geht immer noch.

Nun habe ich ein paar (halbherzige) Versuche zu VoIP und HylaFax hinter mir und manches hat funktioniert, anderes jedoch trotz mancher Lektüre nicht so. Als wirkliche Lösung taugt das noch nicht.

Da ich gelernt habe, dass wenn man nicht wirklich vorankommt, es besser ist, die Bemühungen zu verstärken und vielleicht auch mal um Rat zu fragen, sowie die bisherigen Schritte zu reflektieren. So bin ich nun bereit zum Anfang zurück zu kehren und die Frage nach der richtigen Eingangsstrategie zu stellen.

Ich fange also nochmal ganz vorne mit einem weissen Blatt an.

Im Moment sieht unser Netzwerk so aus:

Netzwerk.png

Alle Telefone/Faxe (analog) sind momentan an einer alten AGFEO-ISDN-Anlage (max. 8 Endgeräte) angeschlossen, die wiederum an der Fritz hängt. Und verteilen sich auf den Privaten Bereich und die Kanzlei sowie ein weiteres kleines, angeschlossenes Planungsunternehmen(meins). Das ging auch seither (mit sich verschlechternder Tendenz) einigermassen gut. Die Frage nach der Effizenz beim täglichen Arbeiten lassen wir mal lieber aussen vor.

Eine Trennung der Netze ist zwingend notwendig und soll eventuell sogar noch zwischen den beiden Unternehmen erfolgen.

Ausgehend von den geschilderten Umständen möchte ich uns gerne eine gute und skalierbare Lösung erarbeiten, die uns die weiter oben genannten Attribute bieten kann, bin jedoch aufgrund meiner noch sehr rudimentären Kenntnisse auf Eure Hilfe/Euren Schubs in die richtige Richtung angewiesen. Ich kann das im Laufenden Betrieb ganz gut testen wie ich glaube und so die Sache langsam hochziehen.

Die folgenden Funktionen habe ich für uns als wichtig gelistet:

- Wunsch-Software Asterisk Bare-Metal oder VM (Server-/PC-Hardware ist kein Thema da ist genug da)
- Anschluss von ausreichend Hard/Softphones (15-20?)
- bevorzugte Softphone-Lösung LinPhone
- 2 Fax-Nebenstellen (HylaFax?)
- Telefonieren der Mitarbeiter direkt über Headset am Client über Softphone (bei Stb evtl mit automatischer Zuordnung zum Mandanten direkt aus der Branchenlösung heraus(DATEV)) - spart Platz auf dem eh immer überfüllten Schreibtisch, spart Energie (Zusatzgedanke - was passiert, wenn der Client aus ist(Feieraben/Urlaub/Krankheit? Händelbar?)
- Telefonieren/Faxen aus allen LAN
- Einbinden von weiteren VoIP-Anbietern (eher Zukunft)

Meine Fragen im Speziellen wären:

- Ist die vorhandene Hardware verwendbar und macht sie Sinn?
- Wäre es besser gleich andere Hardware mit Hinblick auf Konfiguration, Komfort, Skalierbarkeit, Weiterentwicklung(Business-Anschluss - im Moment reicht noch der normale Mehrfachrufnummern-Anschluss, jedoch sicher nicht ewig). Da gebe ich lieber gleich ein wenig mehr aus und habe es danach leichter.
- Wo sollte der Asterisk am besten hin? MMn direkt nach der Fritz ins LAN2(?).
- Was sollte in der Fritz konfiguriert werden und was nicht?
- Wie soll / muss die Konfiguration der Opnsense angegangen werden, damit das klappen kann. Was ist dabei wichtig?
- Was haltet Ihr von meiner bevorzugten Softphone-Lösung? Gibt es bessere?
- Sollte ich überhaupt auf Soft-Phones setzen?
- Welche Hard-Phones sind zu empfehlen (Privatgebäude auf jeden Fall) ?
- Kann das überhaupt so klappen?
- Würdet Ihr mir dabei weiter helfen wollen, weil, ich glaube allein kriege ich das mit meinen Kenntnissen nicht ohne weiteres hin. Gerne wälze ich jedoch Lektüre dazu.

Allen, die mein Beitrag interessiert oder mir helfen mögen, möchte ich schon jetzt Danke sagen. Ich werde versuchen über die Zeit meine Fertigkeiten zu entwickeln und gerne auch etwas zum Gelingen des Forums beitragen.

Gruss
YDM
 
Zuletzt bearbeitet:

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
2,613
Punkte für Reaktionen
232
Punkte
63
Welche Hard-Phones sind zu empfehlen?
Hilft dieser Post? Von den Links dort besonders dieser …
Wo sollte der Asterisk am besten hin?
Da scheiden sich die Geister. Du könntest Asterisk sogar hinter die OPNsense packen … Du kannst Asterisk auch auf einen öffentlichen Server ganz ohne NAT packen. Hat alles Vor- und Nachteile. In Deinem Aufbau liegt aber die direkte Platzierung hinter der FRITZ!Box nahe = nur eine Firewall bzw. nur ein NAT. Du kannst den Asterisk direkt als „IP-Telefon“ in die FRITZ!Box einbinden. Aber dann wirst Du Probleme mit den gleichzeitigen Gesprächen bekommen.
Was haltet Ihr von meiner bevorzugten Softphone-Lösung?
Gibt viele Alternativen. Wenn kostenlos und Plattform unabhängig (Windows, Linux, macOS, iOS und Google Android) wüsste ich außer Linphone und CounterPath Bria nix mehr, was so aktiv weiter entwickelt wird. Aber Linphone telefoniert in den Standard-Einstellungen nach Hause – jedenfalls bei mir (abstellbar über Parameter: quality_reporting_enabled). Auch ist die Architektur von Linphone eigentlich völliger Käse:
  1. verletzt mit seinem validierenden SIP-Parser das Robustness Principle und
  2. QML mit Qt Quick Controls 2 ist alles andere als eine stabile Entwicklungsumgebung.
Aber für viele funktioniert Linphone. Im Detail kann man immer mosern bzw. das sind halt Langzeit-Risiken. Was Du Dich eher fragen solltest, ob Digium Asterisk so sinnvoll ist. Das Teil ist über zwanzig Jahre alt und konzeptuell ebenfalls falsch konstruiert worden. Ich würde mir an Deiner Stelle eher SignalWire FreeSWITCH anschauen.
Opnsense angegangen werden, damit das klappen kann. Was ist dabei wichtig?
„Egal“. Die SIP-Clients arbeiten als ja nicht als Server sondern als Clients. Das haben die inzwischen ganz gut im Griff, die machen die Ports in der Firewall auf und halten diese auch auf – ohne dass man was in OPNsense umstellen müsste.
Was sollte in der Fritz konfiguriert werden und was nicht?
Wenn Du keiner Telefonnummer in der FRITZ!Box hinterlegt hast, dann ist schon alles getan, siehe diesen Thread …
Kann das überhaupt so klappen?
Ja, aber … bei VoIP/SIP liegen die Tücken im Detail. Im Fehlerfall muss man sehr, sehr viel Ahnung haben (Protokolle, wie man debuggt, nach was man sucht, teilweise programmieren können, …). Daher verkaufen Systemintegratoren normalerweise nur ihre eine Lösung. Bastelst Du selbst, bist Du ganz schnell auf Dich allein gestellt und kannst manche Symptome gar nicht zuordnen (mehrere Fehler? wo der Fehler?). Dann ist auch Fern-Hilfe bzw. Eigen-Recherche ganz schnell an seinen Grenzen. Wenn Du und Deine Frau mental so felxibel seit, das ihr manche fehler auch mal ein paar Wochen ertragen könnt, dann könnte das was werden. Aber am Ende hast Du viel Arbeit investiert, viel Spezialwissen angehäuft, dass Du nie mehr wieder verwenden kannst (wenn Du Dich überhaupt an alles erinnern kannst). Du musst die Zeit folglich als Hobby ansehen. Wenn Du das mental schaffst, hast Du viel Spaß.
 

gehtdoch

Mitglied
Mitglied seit
3 Feb 2019
Beiträge
234
Punkte für Reaktionen
16
Punkte
18
Ich bin der Sysadmin und Ehemann einer Stb-in und wir führen zusammen eine kleine und persönliche Steuerkanzlei. Die Kanzlei expandiert und einige Änderungen stehen an.
Da hast Du Dir aber sehr viel vorgenommen, v.a. hinsichtlich der berechtigten Ansprüche / Anforderungen. Das ist nicht mal eben so umzusetzen - es soll ja auch sicher sein und zukunftsfähig. Ein paar Gedanken von mir:
  • Pack die Gelegenheit beim Schopf und räume auf - die alte Telefonieanlage wird restlos entsorgt. Von Softphones würde ich aus Erfahrung aus verschiedenen Gründen grundsätzlich die Finger lassen. Ich würde zu einer DECT-Lösung greifen (SNOM oder Gigaset - SNOM kann mehr Gespräche parallel pro Basisstation - zumindest lt. Beschreibung). Mit den Gigasets ()da weiß ich es defintiv, weil ich die selbst nutze) kannst Du wunderbar auf einem Mobilteil unterschiedliche "Umgebungen" auf Basis unterschiedlicher Konten hör- und sichtbar trennen (müsste mit den SNOMs aber auch möglich sein) - die Du schön mit Asterisk / FreePBX ansteuern kannst. Natürlich geht auch eine beliebige Kombi aus Soft- und DECT-Phone.
  • Entsorge die FritzBox und ersetze sie durch ein Modem (wie Vigor 165 z.B.). Von dem gehst Du dann via pppoe-Passthrough zu Deinem eigenen Router. Dafür kannst Du z.B. eine APU2 nehmen. Diese Hardware macht dann Telefonie (-> kein NAT-Problem mehr, weil Du alle Internet-IPs auf genau dem Rechner hast), Router (Du kannst damit verschiedene Netze aufbauen - die APU gibt es mit bis zu 4 Ethernetports). Auf der Büchse läuft dann auch noch der Portfilter und FreePBX und Hylafax (wobei letzteres könntest Du auch auf einer anderen Büchse hintendran laufen lassen, weil Hylafax über iaxmodem an Asterisk via iax (IP) angebunden ist - nur iaxmodem und Hylafax müssen auf einer Büchse sein). Auf dem Router hast Du somit absolut alle Möglichkeiten, die Dir TCP/IP in Sachen IPv4 und 6 bietet uneingeschränkt verfügbar (vorausgesetzt, Du hast einen ordentlichen Provider, wie die Telekom z.B.). Am sinnvollsten dürfte an der Stelle CentOS sein aufgrund des quasi professionellen sehr Langzeitsupports (10 Jahre). Außerdem wird FreePBX auf genau dieser Plattform bereitgestellt.
  • Dahinter kannst Du dann weitere ALGs aufbauen - wie Dein Proxy z.B. oder Mailserver, .... .
Die hier geschilderte Grobarchitektur gibt Dir absolut alle Freiheiten und Du unterliegst quasi keinerlei technischer Einschränkungen mehr (Du kannst immer das, was das jeweilige Linuxsystem hergibt - das ist sicherlich mehr als genug für Deine Anforderungen). Sie ist absolut zukunftssicher. Solltest Du z.B. mal auf Glasfaser umsteigen (zumindest von der Telekom), kannst Du einfach den Uplink von der APU2 zum DSL-Modem rausziehen und in den ONT einstecken. Das müsste es schon gewesen sein.

Es sei aber auch darauf hingewiesen, dass das erheblichen Aufwand (im Detail) darstellt - wenn es Dir Spaß macht, wirst Du jedoch sicherlich große Freude daran haben, weil das dann schon eine sehr professionelle Vorgehensweise ist (vorausgesetzt, sie wird verantwortungsbewusst umgesetzt - gute bis sehr gute Netzkenntnisse sind dabei zwingend nötig, damit Du Dir nicht versehentlich ins eigene Knie schießt - das ist nämlich die Kehrseite der Medaille). Du wirst viel Durchhaltevermögen benötigen und zeitweise wird sicherlich auch Deine Frustrationstoleranz auf eine harte Probe gestellt werden. Da heißt es dann: dranbleiben und durchbeißen.

Ich habe das hier seit sehr vielen Jahren wie beschrieben am Laufen (die Architektur) und bin sehr glücklich damit. Allerdings gibt es gerade hinsichtlich Telefonie ab und zu was zu tun im Fehlerfall (wie sonyKatze oben vollkommen korrekt beschrieben hat). Da müsstest Du dann in SIP auch einigermaßen fit sein, um das auf die Reihe zu bringen - zumindest mal, solltest Du es ordentlich beschreiben und Tracen können. damit Dir überhaupt einer sinnvoll helfen kann abseits von "Rate mal mit Rsoenthal" - allerdings immer noch erheblich einfacher, als in einer NAT-Umgebung (letzteres würde ich mir nie und nimmer antun wollen). Aufgrund der dargestellten Architektur sind Dir da hinsichtlich Debugging / Analyse allerdings keinerlei Steine in den Weg gelegt, so dass das zumindest an dieser Stelle problemlos machbar ist.
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
13,353
Punkte für Reaktionen
457
Punkte
83
Moinsen


Da müsstest Du dann in SIP auch einigermaßen fit sein, um das auf die Reihe zu bringen - zumindest mal, solltest Du es ordentlich beschreiben und Tracen können. damit Dir überhaupt einer sinnvoll helfen kann abseits von "Rate mal mit Rsoenthal"
Ich hab Letztens das Linux Kommandozeilentool sngrep dafür entdeckt ;)
Das ist wohl extra für SIP/RTP entwickelt worden und zeigt grafisch/bunt was so abgeht...
Bildschirmfoto vom 2021-04-08 20-27-29.png
( Für mehr Infos zum Dialog einfach die ENTER-Taste drücken )
( Dann kommen auch die Zeitstempel )
...kann aber auch...
Bildschirmfoto vom 2021-04-08 20-28-28.png
...und hoffe das ist auch was für euch ;)


Übrigens, das Subscribe kommt von einer FRITZ!Box 7270 mit Firmware 6.06.
( Da hängt auch das Faxgerät (Epson-MuFuG/LAN & Fax/RJ11) dran )
Bildschirmfoto vom 2021-04-08 20-45-57.png
...die versucht einen nicht konfigurierten Anrufbeantworter zu abonieren.
Das kann der auch nicht ausgetrieben werden. Dessen Firmware hat keine Option dafür.
Außerdem würde* Asterisk von sich aus ein NOTIFY verschicken, wie es jede vernünftige PBX tun sollte ;)


* Wenn Anrufbeantworter für User/Peer angelegt/konfiguriert ist, direkt nach einem Register
 
Zuletzt bearbeitet:

gehtdoch

Mitglied
Mitglied seit
3 Feb 2019
Beiträge
234
Punkte für Reaktionen
16
Punkte
18
Habe ich mir gerade auch mal etwas näher angeschaut aufgrund Deines Posts (habe ich hier schon länger rumliegen - arbeite üblicherweise mit Wireshark). Was echt cool ist an sngrep und Wireshark nicht kann (zumindest habe ich es noch nicht entdeckt), ist die Möglichkeit, Pakete zu vergleichen und die Unterschiede angezeigt zu bekommen. Das macht Manches einfacher. Was ich etwas unschön finde, ist, dass die SDP-Darstellung reduziert ist - das macht die Analyse von Problemen hinsichtlich Codechandling unschön. Das macht Wireshark übersichtlicher.
 
  • Like
Reaktionen: koyaanisqatsi

ip-phoneforum72

Neuer User
Mitglied seit
31 Okt 2020
Beiträge
83
Punkte für Reaktionen
11
Punkte
8
Um das mal wieder zurück zur Ursprungsfrage zu bringen.

DATEV hat eine eigene, proprietäre Schnittstelle (genannt „Telefonie Basis“), die über Lizenz die Anbindung an ein „CTI Fremdprodukt“ (o-Ton Datev) ermöglicht.

nach Umstellung der Kooperationsvoraussetzung zu 1.1.2021 gibt es aktuell nur 4 „gelistete“ (Achtung: nicht „zertifizierte“ Hersteller) von vormals ca. 20, die diese Schnittstelle bedienen. Aber natürlich gehen auch die anderen noch. Nur findet man die nicht mehr bei DATEV.de selbst. Außer Google Suche über noch aktivealte Links... ,-)


nach meiner Kenntnis müssen die cti Fremdprodukte allerdings rein Windows basiert sein, damit die DATEV Telefonie Basis korrekt arbeiten kann. Denn das ist eine „lokale“ hartcodierte Schnittstelle. Keine REST Api oder so.

auch wenn einige Anbieter wie z.B. Agfeo auch Linuxvarianten als CTI Client anbieten, wird das also mit DATEV nicht gehen.

Neben den genannten Freeswitch (was halt wirklich Spaß machen UND man die Zeit dafür auch haben muss) gibt es halt Systemanbieter, die du dir anschauen solltest.

Denn da fällt das basteln weg.
Solche Kisten sind weitgehend fertig und du musst nur noch konfigurieren.

Du kannst da z.B. auch 3cx nehmen oder Starface. Allerdings sind diese auf die Laufzeit gesehen schweineteuer. Die Karlsruher noch mehr als die Zyprioten.

Natürlich gibt’s immer für und wider.

ICH würde aber mich für einen Hersteller entscheiden, der dir alles aus der Hand liefert. Also auch die Endgeräte.

die meisten hier sehen dies hier als Nachteil (da vermeintlich zu abghängig). Ich dagegen sehe gerade das als Vorteil.

Hersteller, die dir alles liefern können, haben halt mehr Möglichkeiten.
Wenn z.B. auch Telefone vom selben Hersteller kommen, hast du mehr Funktionen und eine einfachere Bedienung.

Panasonic wäre hier vielleicht nun im Spiel. Wenn die nicht Anfang des Jahres ihren Abschied von TK Geschäft verkündet hätten.

bleibt also nicht mehr so viel Anseres übrig.

Nimm also einen Hersteller, der dir wirklich noch alles liefert - und überlegene Funktionen hat.

wer meine bisherigen Postings kennt, weiß, dass ich mich für den Bielefelder Hersteller AGFEO bei solchen Anfragen wie deine begeistere.

wenn‘s was ganz modernes sein soll, nimm deren SoftPBX. Die nennt sich HyperVoice und lässt sich schön ab kostenlosen 2 User/2 Calls auch noch „günstig“ (2 weitere z.B. knapp einen Hunderter, dauerhaft/einmalig) skalieren.

dann noch deren eigene Endgeräte wie Dect IP Multizelle und du hast alles, was du brauchst.

ausserdem würde ich anstelle Linphone deren eigenes SoftPhone nehmen. Nennt sich VISOfon und kann auch WebRTC (also Team-Videocalls).


Mal zwei Beispiele dazu:


Ach, und DATEV geht natürlich auch:
 

gehtdoch

Mitglied
Mitglied seit
3 Feb 2019
Beiträge
234
Punkte für Reaktionen
16
Punkte
18
ip-phoneforum72: Du könntest glatt als agfeo-Systemvertreter durchgehen. Du beschreibst genau das Horrorszenario (= vendor lockin und damit totale Abhängigkeit), welches der OP nicht haben will.
 

Olaf Ligor

Mitglied
Mitglied seit
21 Mai 2019
Beiträge
675
Punkte für Reaktionen
101
Punkte
43
Das ist er wahrscheinlich auch, aber wenn er "was Gutes" verkauft, ist auch nichts Verwerfliches dran.
Den lock-in hat man dann bei den DECT-Basen und -Mobilteilen fast immer, wenn die Funktionalität stimmen soll.
 

jodost

Mitglied
Mitglied seit
29 Apr 2004
Beiträge
425
Punkte für Reaktionen
36
Punkte
28
Ich halte es für "an der falschen Stelle gespart" (und/oder das falsche Projekt für "ich will was mit Linux basteln"), bei einer Steuerberater-Kanzlei auf irgendwas selbstgebasteltes zu setzen. Es gibt wie schon beschrieben einige Angebote am Markt, die perfekt mit DATEV interagieren (ich kenne jetzt als Swyx-Partner nur "unsere" Lösung, keine Ahnung wie unterschiedlich der Funktionsumfang bei anderen Systemen ist, aber die Anbindung generell ist schon cool und auf jeden Fall die paar Euro Mehrpreis wert). Außerdem ist "es sind sensible Daten, ich bastle da selbst rum obwohl ich kein Fachmann bin" in meinen Augen ein Widerspruch.

Auch die anderen Antworten hier würde ich mit Vorsicht genießen. Die Empfehlung gegen Softphones und für DECT finde ich ungewöhnlich, der Vorschlag, die Telefonanlage auf die gleiche Maschine zu installieren wie den DSL-Router lässt es mir kalt den Rücken runterlaufen.

Ich würde daher überlegen ob man nicht doch im Profiumfeld guckt.
 

gehtdoch

Mitglied
Mitglied seit
3 Feb 2019
Beiträge
234
Punkte für Reaktionen
16
Punkte
18
Den lock-in hat man dann bei den DECT-Basen und -Mobilteilen fast immer, wenn die Funktionalität stimmen soll.
Das ist kein lock in - ein lock in entsteht dann, wenn man einzelne Module nicht jederzeit beliebig durch andere ersetzen kann. DECT-Anlagen (Mobilteil incl. Basis natürlich) wie die von mir genannten, halten sich üblicherweise an definierte Standards, so dass man sie problemlos untereinander austauschen kann oder sogar parallel betreiben kann. Ob man eine FreeSwitch oder Asterisk/FreePBX (incl. CTI und WebRTC - zumindest bei FreePBX) nutzt, ist dabei auch egal.

Steuerberater-Kanzlei auf irgendwas selbstgebasteltes zu setzen
Ach so, Du meinst, gekaufte Lösungen wären gut? Aus eigenem (beruflichen und privaten) Wissen kann ich da nur laut lachen. Den letzten mir bekannten öffentlichen Fall kannst Du in der Presse nachlesen - aufgeflogen, weil mal einer der Kunden ein wenig genauer hingeschaut hat und das öffentlich gemacht hat. Der Ansatz des OP ist vollkommen richtig und von dem, was er architektonisch hier dargestellt hat, zig fach besser, als was ich schon an teuren Kauflösungen gesehen habe. Schlechter kann er es IMHO kaum machen.

Die Empfehlung gegen Softphones und für DECT finde ich ungewöhnlich
Nun ja, meine Erfahrung ist aus diversen Gründen eine andere. Aber Du darfst das gerne anders sehen. Ich erlebe es gerade täglich, wie Kunden, die lange nach einem Softphone geschrien haben, plötzlich merken, was es heißt, ein Softphone zu nutzen. Naja, viele lernen eben nur durch selbst gefühlten Schmerz (ok, manche noch nicht mal dann). Kleiner Tip am Rande: CTI geht auch problemlos ohne Softphone mit jedem beliebigen anderen Telefon - wenn man die richtige Anlage hat. Ja, können sich die Meisten nicht vorstellen (meine Erfahrung). Dass man sich ein beliebiges Telefon im (eigenen und sogar öffentlichen!) Telefonnetz per Mausklick selbst für ausgehende Gespräche zu seinem Geschäftstelefon mit der Geschäftsrufnummer machen kann. Coole Sache!

die Telefonanlage auf die gleiche Maschine zu installieren wie den DSL-Router lässt es mir kalt den Rücken runterlaufen.
Wenn man es richtig macht, ist das kein Problem - wenn man es falsch macht, ist es selbst auf einer dedizierten Maschine das gleiche Problem. Oder glaubst Du, einen potentiellen Angreifer würde interessieren, über wie viele Hops er zum Ziel kommt (wenn es grundsätzlich die Möglichkeit gibt)?
 

Olaf Ligor

Mitglied
Mitglied seit
21 Mai 2019
Beiträge
675
Punkte für Reaktionen
101
Punkte
43
In der Tat ist es richtig gemacht immer am besten.
Meine Erfahrung in der IT ist, dass die Erfahrungen von gestern sehr oft morgen nichts mehr wert sind.
 

jodost

Mitglied
Mitglied seit
29 Apr 2004
Beiträge
425
Punkte für Reaktionen
36
Punkte
28
Ach so, Du meinst, gekaufte Lösungen wären gut?
Ja.

Gilt nicht für jede gekaufte Lösung, hab ich auch nie behauptet.


Den letzten mir bekannten öffentlichen Fall kannst Du in der Presse nachlesen -

Irgendwie hast du den falschen Fall verlinkt, ich lese da nix von IP Telefonanlagen.


Nun ja, meine Erfahrung ist aus diversen Gründen eine andere

Das ist ja schon für dich. Aber der OP hat ja explizit überlegt, nur auf Softphones zu setzen, er will Platz und Strom sparen, und sein Budget ist knapp. Wäre es dann nicht wenigstens fair dem OP gegenüber, Deine Erfahrungen etwas genauer darzulegen damit er beurteilen kann, ob sie für ihn relevant sind?



Kleiner Tip am Rande: CTI geht auch problemlos ohne Softphone mit jedem beliebigen anderen Telefon - wenn man die richtige Anlage hat. Ja, können sich die Meisten nicht vorstellen (meine Erfahrung). Dass man sich ein beliebiges Telefon im (eigenen und sogar öffentlichen!) Telefonnetz per Mausklick selbst für ausgehende Gespräche zu seinem Geschäftstelefon mit der Geschäftsrufnummer machen kann. Coole Sache!
Grandios. Aber was hat das jetzt mit der Entscheidung für oder gegen Softphone zu tun?


Wenn man es richtig macht, ist das kein Problem -
Auch wenn man es richtig macht, finde ich den Ansatz nicht besonders gut. Aber egal.

Das Problem ist das wenn. Denn noch zur Erinnerung:

Ich bin kein gelernter IT-Mann sondern Elektro-Techniker
Eine Telefonanlage aufzusetzen ist das eine. Aber die - das wäre letztlich dein Vorschlag - bewusst öffentlich ins Internet zu hängen, damit man sie danach aufwendiger absichern muss als es hinter einem NAT-Router nötig wäre, ist keine Einsteigeraufgabe.


Oder glaubst Du, einen potentiellen Angreifer würde interessieren, über wie viele Hops er zum Ziel kommt (wenn es grundsätzlich die Möglichkeit gibt)?

In deinem Setup würde die Telefonanlage bereits 2-3 Tage nach Inbetriebnahme mit INVITEs zugespamt. Da genügt ein dummer Fehler in deinem Dialplan und Du hast ein Problem. Ja, da gibt's noch ein paar andere Absicherungen die man sich dagegen einbauen könnte (aber das muss man dann auch erstmal tun).

Jeder 10 Euro NAT-Router sorgt dafür, dass diese INVITEs gar nicht erst zur Telefonanlage durchkommen.

Willst du ernsthaft behaupten, dass das für "nicht absolute Vollprofis" ein erheblicher Sicherheitsgewinn ist?
 

ip-phoneforum72

Neuer User
Mitglied seit
31 Okt 2020
Beiträge
83
Punkte für Reaktionen
11
Punkte
8
@ip-phoneforum72: Du könntest glatt als agfeo-Systemvertreter durchgehen
,-)
Ne. Wir sind freier ITK Berater. Bei uns kannst du nicht mal die Produkte erwerben. Wir analysieren und erstellen nur Empfehlungen.

idr natürlich nur für Großkunden, die dazu bereit und in der Lage sind.

In gewissen Bereichen (so wie hier) empfehle ich aber wirklich sehr gerne die Bielefelder.

Zum Datev Telefonie Basis Leistungsumfang:
- ob nun Swyx, estos, C4B, Agfeo etc: der rein auf DATEV bezogene Leistungsumfang der CTI Loesung ist immer identisch. Denn der wird allein durch das Datev SDK vorgegeben.

Unterschiede gibt’s dann nur in der Art der Umsetzung.

Viele Lösungen setzen z.B. auf das separate Meta Directory auf, um die ZSD anzubinden oder einige Lösungen nutzen vom ZSD nur die Mandanten, nicht aber die Institutionen. Und einige unterstützen das DATEV ASP nicht.

da gibt’s dann also schonmal Unterschiede.


btw: Swyx ist auch seit dem 1.1 nicht mehr als offizieller datev Partner dabei. Aber das betrifft ja viele.


und die Dect-Empfehlung war nicht „gegen“ SoftPhone, sondern für die Mobilität des OP, da er ja „wandern“ kann in seinen genutzten Gebäuden.

lieben Gruß,
R.
 

gehtdoch

Mitglied
Mitglied seit
3 Feb 2019
Beiträge
234
Punkte für Reaktionen
16
Punkte
18
und die Dect-Empfehlung war nicht „gegen“ SoftPhone, sondern für die Mobilität des OP, da er ja „wandern“ kann in seinen genutzten Gebäuden.
Exakt deshalb empfehle ich auch DECT-Devices / Station. Und wegen der Unabhängigkeit zum Rechner. Es macht keinen Spaß, ständig Rechner und Headset in der Gegend umeinander zu schleppen. Was machst Du, wenn der Rechner nicht hochkommt / Anmeldung nicht möglich ist. Softphone garantiert keine stabile Gesprächsqualität - kann gehen, muss nicht gehen.

In deinem Setup würde die Telefonanlage bereits 2-3 Tage nach Inbetriebnahme mit INVITEs zugespamt
Ja - wenn man es falsch macht - wie es wahrscheinlich 90% der Anwender machen. Daher rede ich mir ja da den Mund fusselig. Wenn man es richtig macht, gibt es gar keine Schnittstelle für diese INVITEs.

Irgendwie hast du den falschen Fall verlinkt, ich lese da nix von IP Telefonanlagen.
Es geht ums Prinzip. IT bleibt IT.
damit man sie danach aufwendiger absichern muss als es hinter einem NAT-Router nötig wäre, ist keine Einsteigeraufgabe.
Die muss man nicht aufwändig absichern. Aussagen wie diese legen den Verdacht nahe, dass Du SIP bzw. TCP/IP noch nicht so ganz durchdrungen hast. Es ist bei weitem aufwändiger und viel störanfälliger, SIP hinter NAT zu verbannen, obwohl es bei weitem einfachere, stabilere und weniger aufwändige Lösungen gibt. NAT ist keine Sicherheitslösung sondern ein Workaround, um mit zu wenig IP-Adressen umzugehen.
Außerdem rate ich von einem Kaufrouter grundsätzlich ab (genau das habe ich auch geschrieben). Das ist eine Blackbox und keiner weiß so genau, was passiert. Einer derartigen Box vertraue ich doch keine sensiblen Daten an. Aber gut - jeder wie er mag.

Spar Dir das.
 

jodost

Mitglied
Mitglied seit
29 Apr 2004
Beiträge
425
Punkte für Reaktionen
36
Punkte
28
Es macht keinen Spaß, ständig Rechner und Headset in der Gegend umeinander zu schleppen
Ähm ja. Ich sehe schon, Du hast den absoluten Überblick über den Markt.

Was machst Du, wenn der Rechner nicht hochkommt / Anmeldung nicht möglich ist
Für mich ist das paradox. Wenn Du dem IT-interessierten Ehemann zutraust, eine Telefonanlage selbst aufzusetzen und ihm sogar ein Setup mit unnötigem Risiko-Potential empfiehlst, dann verstehe ich nicht, wieso man seine Endgeräte-Auswahl ernsthaft daran festmachen sollte, dass alle paar Jahre mal ein PC streikt.

Und wenn Du davon ausgehst, dass in der IT dieser Steuerberater-Kanzlei regelmäßig ein PC streikt - ist die Empfehlung, eine Tk-Anlage selbst aufzusetzen, nicht mehr als gewagt?


wenn man es falsch macht - wie es wahrscheinlich 90% der Anwender machen
Und nochmal: Der OP beschreibt sich selbst als IT-interessierter Laie.


Es geht ums Prinzip

Acho so. Ich hatte auf ernsthafte Argumente gehofft.


Es ist bei weitem aufwändiger und viel störanfälliger, SIP hinter NAT zu verbannen, obwohl es bei weitem einfachere, stabilere und weniger aufwändige Lösungen gibt.
Folgt er deiner Empfehlung dann hat er eh nur Tisch- oder Schnurlostelefone.

Von Homeoffice lesen wir nichts. Der Anwender selbst scheint ohnehin im gleichen Objekt zu wohnen (d.h. sein Homeoffice ist eh nicht übers öffentliche Internet angebunden). Aufgrund der Sensibilität der Daten würde ich davon ausgehen (oder dringend dazu raten), dass jeglicher Zugriff von aussen (Home-Office anderer Mitarbeiter) ohnehin nur via VPN läuft.

SIP via NAT ist also ausschließlich für den Trunk zur Telefongesellschaft relevant. Das ist in punkto Aufwand und Stabilität nun nichts, was einem schlaflose Nächte bereiten sollte.

NAT ist keine Sicherheitslösung

Nein, aber auf dem Weg von aussen zur Telefonanlage eine zusätzliche Tür. Die halt Gesocks ab, und wenn - nochmal: der OP bezeichnet sich selbst als Nicht-Profi - er die eigentliche Wohnungstür mal versehentlich nicht sauber schliesst, kann ihn das vor schlimmerem bewahren.

Ich sehe in deinem Vorschlag nur Risiken und meinen Vorteil.


btw: Swyx ist auch seit dem 1.1 nicht mehr als offizieller

Irgend eine Info dazu was sich da geändert hat (und warum und wann das Listing wieder neu erfolgt) gab's auf der Partnerkonferenz, hab's aber wieder vergessen. Mir war nur wichtig, dass es weiterhin wie bisher läuft und nicht abgekündigt ist :)
 

gehtdoch

Mitglied
Mitglied seit
3 Feb 2019
Beiträge
234
Punkte für Reaktionen
16
Punkte
18
@jodost - ich erwarte von Dir nicht, dass Du mir folgen kannst. Das hast Du mit Nachdruck bewiesen. Leider erkennen das zu wenige, weil Du mit vordergündig, dem unbedarften User einleuchtenden Argumenten operierst, die daher nicht erkennen, dass das, was Du erzählst, bestenfalls die halbe Wahrheit (und damit falsch) ist.

Für alle anderen, welche sich ernsthaft mit der Materie beschäftigen wollen - so wie der OP - sei auf diesen Fall verwiesen. Da kann der Experte, oder der, der sich intensiv damit beschäftigen (= vertiefen) will und über das rausdenkt, was da geschrieben steht, sehen, wohin es führt, wenn man an die Sache so rangeht, wie hier manche vom Stapel lassen.

PS: im verlinkten Fall hat der Bug im Router lediglich (mit Sicherheit nicht nur) einen grundsätzlichen Designfehler und Umsetzungsfehler der kompletten IT beim Arzt offengelegt. Wäre die Anlage ordentlich konzipiert und umgesetzt gewesen, wäre der Routerbug vollkommen egal gewesen und hätte keinerlei Auswirkungen gehabt. Die Ansätze, die der OP beschrieben hat, gehen, wenn er sie korrekt und konsequent umsetzt, vollkommen in die richtige Richtung.

Nein, jodost, ich erwarte von Dir keine Zustimmung, sondern heftige Gegenwehr. Ich kenne auch schon Deine Strategie: Der Router ist schuld. Und weil er von der Telekom kommt, wird auch gleich noch auf die Telekom eingedroschen. Kennen wir ja schon - ist ja hipp. Dass der Hersteller des Routers Bintec ist, interessiert da natürlich nicht. Und dass IT grundsätzlich fehlerbehaftet ist (völlig egal, von wem sie kommt), interessiert Dich sicherlich auch nicht. Ach so, noch was: ich vergaß, ist ja kein Telefoniethema und daher nicht gültig. Nun ja. Es soll aber Leser geben, die die Transferleistung hinbekommen, weil sie sich tiefer mit der Gesamtthematik beschäftigen wollen - so, wie der OP z.B. Daher schreibe ich das.
 

jodost

Mitglied
Mitglied seit
29 Apr 2004
Beiträge
425
Punkte für Reaktionen
36
Punkte
28
sei auf diesen Fall verwiesen
geht es Dir dabei auch wieder ums Prinzip, oder hat das konkret einen Bezug zu der Anfrage hier?

Wenn es Dir darum geht, dass Kauf-Router Fehler haben können - da bin ich völlig bei Dir. Wenn es Dir darum geht, dass ein selbst-installiertes Linux mit Routing besser ist - einverstanden. Dagegen habe ich nie etwas gesagt. Denn anders als Dir geht's mir nicht ums Prinzip, und weder verteufle ich Kauf-Komponenten per se, noch lobe ich sie in den Himmel.

ich vergaß, ist ja kein Telefoniethema und daher nicht gültig

leider hast Du das wirklich vergessen. Denn es geht mir gar nicht um Deinen Vorschlag eines Selfmade-Routers. Wäre aus verschiedenen Gründen nicht meine Empfehlung, aber kann man machen, wenn man will.

Aber ein System, das überhaupt nicht "öffentlich erreichbar ins Internet" gehängt werden muss, gehört dann HINTER diesen Router. Von mir aus ebenfalls auf die selbe oder gleiche Hardware, von mir aus auch selbstgemacht.

Um nichts anderes geht es mir: Du empfiehlst, diesen Server(dienst) auf den Router drauf zu packen:

Diese Hardware macht dann Telefonie (-> kein NAT-Problem mehr, weil Du alle Internet-IPs auf genau dem Rechner hast)

Nachteil: Unnötig höheres Sicherheitsrisiko, von dem Du selbst schreibst:
wenn man es falsch macht - wie es wahrscheinlich 90% der Anwender machen

Vorteil: M.E. keiner. Den einzigen Vorteil, den Du aufführst:
aufwändiger und viel störanfälliger, SIP hinter NAT zu verbannen
kann ich nur müde belächeln. In diesem Anwendungsfall geht's ausschließlich um die Verbinung FreePBX-o.ä. <-> SIP-Trunks zur Telefongesellschaft, und wer das ernsthaft hinter NAT nicht in den Griff bekommt, hätte auch nicht das notwendige KnowHow für Dein Setup.

Also: Warum - außer "aus Prinzip" - dieses unnötige Risiko?

im verlinkten Fall hat der Bug im Router lediglich (mit Sicherheit nicht nur) einen grundsätzlichen Designfehler und Umsetzungsfehler der kompletten IT beim Arzt offengelegt. Wäre die Anlage ordentlich konzipiert und umgesetzt gewesen, wäre der Routerbug vollkommen egal gewesen und hätte keinerlei Auswirkungen gehabt

der Fehler war ein versehentliches (vom Benutzer nicht gewolltes/bewusstes aktiviertes) PortForwarding vom SMB-Port 445, so dass man in diesem Beispiel auf den Fileserver durchkam.

Ich verstehe immer noch nicht ganz, warum es besser sein soll, den zu schützenden Serverdienst (in dem Fall war es SMB, in diesem Fall hier wäre es Telefonie) direkt auf den Router zu packen und damit zwangsläufig auf die public IP erreichbar zu machen, nur um danach dieses (beim Telekom-Router versehentlich, in Deinem Vorschlag bewusst herbeigeführte) Problem per Konfiguration abzufangen.

Gegen Deinen Vorschlag, FreePBX auf einem kleinen Board zu installieren, habe ich überhaupt nichts. Für mich ist "FreePBX und Tisch- oder Schnurlostelefone" ein bisschen am Thema verfehlt, wenn die Anfrage "evtl. Softphones und DATEV-Anbindung wäre schön" war. Ich würde gerade beim Thema DATEV-Anbindung - bei allen ideellen Argumenten für FreePBX&Co - auch gucken, ob der Nutzen an Produktivität nicht doch eher für eine "kommerzielle Lösung" spricht. Aber das ist am Ende eine reine Produktentscheidung, die soll jeder für sich beantworten. Dein Ansatz "das Ding kommt direkt an die public ip, und einer von 10 schafft es auch, das vernünftig abzusichern" hingegen, kann man nicht oft genug sagen, ist grob fahrlässig.
 

gehtdoch

Mitglied
Mitglied seit
3 Feb 2019
Beiträge
234
Punkte für Reaktionen
16
Punkte
18
Also: Warum - außer "aus Prinzip" - dieses unnötige Risiko?
Es ist exakt das gleiche Risiko wie bei NAT - wenn Du es falsch machst. Scheinbar scheinst Du das nicht zu erkennen, was man auch an dieser Aussage sieht:
der Fehler war ein versehentliches (vom Benutzer nicht gewolltes/bewusstes aktiviertes) PortForwarding vom SMB-Port 445, so dass man in diesem Beispiel auf den Fileserver durchkam.
Das war eben nicht der eigentliche Fehler - der eigentliche Fehler war wo ganz anders - genau das ist der Punkt, den Du scheinbar nicht verstehen willst oder kannst, weil Du NAT als Sicherheitsfeature verstehst - was es aber nicht ist, sondern nur von vielen (Du bist da ja nicht allein) dafür missbraucht wird, um schlampige Arbeit / Nichtwissen zu kaschieren - was (nicht nur) im verlinkten Fall oben zur Katastrophe geführt hat.

Wäre korrekt desigend / umgesetzt worden, hätte diese Weiterleitung 0 Auswirkung gehabt.

Exakt das Gleiche gilt für den Service "direkt" auf dem Gateway. Das ist nichts anderes. Da ist nämlich IP-technisch kein Unterschied. Vielleicht denkst Du einfach nochmal paar Stunden in aller Ruhe drüber nach. Jeder Host kann zum exposed host werden, völlig egal, wo er steht und noch egaler, welche IP-Adresse er hat. Verstehst Du das? NAT verschleiert die Nummer nur unnötig und macht sie undurchschaubarer, weil viele meinen, wenn keine globale IP vorhanden ist, sei der Host grundsätzlich sicher. Das ist aber totaler Quatsch. Daher gibt es keinen Unterschied, ob Du den Voice-Server direkt auf dem Gateway hast oder irgendwo auf einer anderen Büchse, die via NAT angebunden ist. In beiden Fällen musst Du exakt gleich sorgsam sein - ansonsten passiert Dir früher oder später das, was dem Arzt (und vielen anderen auch) passiert ist. Wenn Du nach best practises vorgehst, ist Asterisk or whatever überall gleich sicher.
 

jodost

Mitglied
Mitglied seit
29 Apr 2004
Beiträge
425
Punkte für Reaktionen
36
Punkte
28
Es geht mir nicht darum, dass ich Dein Setup nicht verstehen will oder würde.

Sondern es mir geht darum, dass ich Dein Setup in diesem Fall hier nicht für sinnvoll halte. Der OP schreibt über sich selbst, er sei Beginner, der das nicht gelernt hat, sondern sich durchgewurschtelt, aber der die Anforderungen (noch) meistern kann, dessen VoIP-Erfahrung sich auf ein paar halbherzige Versuche beschränkt, von dem manches trotz Lektüre nicht funktioniert. In Kenntnis seines Nicht-Wissens sucht er sich in in einem Forum Rat. Und nebenbei: Du hast ihm ein paar Beiträge weiter vorher ausdrücklich von Softphones abgeraten mit dem Argument streikender PCs, was jetzt auch nicht so klingt, als würdest Du bei ihm eine richtig perfekt laufende IT erwarten.

Dein Setup hingegen, das betonst Du selbst mehrfach fett gedruckt, setzt auf absolut fehlerfreies Setup voraus (ich würde sogar sagen: es verzeiht keine Anfängerfehler), das 9 von 10 Leuten Deiner Meinung nach nicht richtig hinbekommen.

Wenn Du den den Widerspruch nicht siehst, sollten wir die Diskussion an dieser Stelle denke ich besser abhaken.
 

Netzwerkservice

Mitglied
Mitglied seit
15 Apr 2006
Beiträge
681
Punkte für Reaktionen
57
Punkte
28
Man sollte bedenken, der Fragesteller hat nur 1 Posting gemacht und das Forum seit 2 Wochen nicht mehr angeschaut.
 

Erhalten Sie 3CX für 1 Jahr kostenlos!

Gehostet, in Ihrer privaten Cloud oder on-Premise! Ganz ohne Haken. Geben Sie Ihren Namen und Ihre E-Mail an und los geht´s:

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
oder via