Portfreigabe Asterisk bei NAT notwenig

Snuff

Aktives Mitglied
Mitglied seit
23 Jun 2006
Beiträge
1,170
Punkte für Reaktionen
0
Punkte
36
Hallo zusammen,

muss man eigentlich bei einem lokalen Asterisk die SIP und RTP-Ports im NAT-Router nach außen freigeben. Die Verbindung zum Provider (easybell) wird ja von innen aufgebaut und gehalten. Die Endgeräte sind alle lokal, keine Client-Verbindung von außen

Gruß Patrick
 

Snuff

Aktives Mitglied
Mitglied seit
23 Jun 2006
Beiträge
1,170
Punkte für Reaktionen
0
Punkte
36
Hat hier keiner einen kurze Ratschlag?
 

Olaf Ligor

Neuer User
Mitglied seit
21 Mai 2019
Beiträge
55
Punkte für Reaktionen
3
Punkte
8
Eigentlich sollte man den "richtigen"* RTP-Portrange bei Bedarf (falls kein Ton in einer Richtung) nach innen und und nach außen ständig freigeben. SIP-Ports sollte man besser gar nicht nach innen freigeben, wenn man nicht massenhaft Registrierungs- und INVITE-Versuche haben will. Meine TK-Anlagen-Firewall sperrt dann auch mal schnell das ganze Gateway ;-).

Bisher hatte ich keine schlechten Erfahrungen mit easybell auch ohne RTP/UDP-Portfreigaben gemacht. Habe ich sie aber später als Platzhalter wieder aktiviert.

*https://www.easybell.de/hilfe/telefon-konfiguration/allgemein/voip-experteneinstellungen.html:
"RTP Portrange: 20.000 bis 50.000 für den RTP-Stream ohne easybell VoIP to Go App. Bei Nutzung der App müssen Sie die Range von 10.000 bis 50.000 freigeben."
Für meine Anlage (kein Asterisk, Phonalisa auf Freeswitch-Basis) mit einem 100er Block und 10 Leitungen haben bisher aber deutlich weniger ausgereicht.

"Expired Timer: Der Standardwert beträgt 3600, das Minimum 600. "
Kleinere Werte als 600 sind also sinnlos, 1200 funktioniert bei mir gut.
 
Zuletzt bearbeitet:

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
11,145
Punkte für Reaktionen
176
Punkte
63
Moins


Wenn es ohne Portfreigaben funktioniert, würde ich gerne mal wissen wie ;)
( externip= externhost= ? )

Aber Grundsätzlich
Wenn allowguest=no und sich das/die authorisierende/n register= auch für eingehende Anrufe funktionier(en)(t), würde ich das Ganze noch abrundend mit "SipVicious" pentesten und wenn das auch für "Sicher" befunden wird, einfach so weiterlaufen lassen.
wenn man nicht massenhaft Registrierungs- und INVITE-Versuche haben will
...und verräterische Antworten auf/bei OPTIONS Anfragen.
 
Zuletzt bearbeitet:

Olaf Ligor

Neuer User
Mitglied seit
21 Mai 2019
Beiträge
55
Punkte für Reaktionen
3
Punkte
8
War ein Denkfehler, selbstverständlich benötige ich für eingehende Anrufe RTP-Portfreigaben.

Eine SIP/TCP-Freigabe wird nicht benötigt, wenn die Anlage ständig den Port offen hält.
 
Zuletzt bearbeitet:

Snuff

Aktives Mitglied
Mitglied seit
23 Jun 2006
Beiträge
1,170
Punkte für Reaktionen
0
Punkte
36
Habe jetzt nur mal die RTP-Ports im Router freigegeben, denn auf der Console war vor lauter Registrierungs- und INVITE-Versuche nichts mehr sinnvolles zu beobachten. Bisher funktioniert ein- und ausgehende Telefonie
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
11,145
Punkte für Reaktionen
176
Punkte
63
War ein Denkfehler, selbstverständlich benötige ich für eingehende Anrufe RTP-Portfreigaben.
...it depends.
Nicht wenn so etwas wie STUN im Spiel ist.
Wichtiger ist SIP, weil darüber SDP, also die/den RTP IP/Port ausgehandelt wird.
Asterisk könnte da schon die mitteilen, die zufällig oder angefordert vom Router bereitgestellt wurden.
( Von Asterisk von Innen nach Außen angefordert )
SIP IP/Port wird ja beim Registrieren mitgeteilt.
...und muss die Ganze Expiry über offen/gleich bleiben für die eingehenden Anrufe.
 

3CX PBX - GRATIS
Linux / Win / Cloud

Neueste Beiträge

Statistik des Forums

Themen
232,031
Beiträge
2,018,101
Mitglieder
349,318
Neuestes Mitglied
H. Bert