WLAN-Call im Gastnetz, welche Ports öffnen?

Karl.

Aktives Mitglied
Mitglied seit
18 Jul 2019
Beiträge
2,260
Punkte für Reaktionen
383
Punkte
83
Ich weiß nicht ganz, ob der Beitrag hier richtig ist, falls nicht, bitte ich die Mods, diesen zu schieben.

Welche Ports muss ich erlauben, damit WLAN-Call im Gastnetz der Fritzbox funktioniert?
(Es ist alles außer Mailen und Surfen aus Sicherheitsgründen gesperrt, leider auch WLAN-Call)

Gibt es zwischen den MobilfunkAnbietern Unterschiede?
 
Ich nutze diese Art von Sperre nicht, ich habe einfach alles UDP gesperrt bis auf die für VPN.

Ist eh fraglich wie ganze Sperren hilft, denn Morddrohungen können trotzdem über Facebook versenden werden mit deiner IP. ;)

Fremden würde ich Anschluss nicht über Gastnetz freigeben, nur wenn Hotspot über nen Anbieter läuft und der Verkehr über diesen geroutet wird.

Nach Google Suche findet man öfters VPN Ports für WifiCalling, und da ist man wieder bei IPsec mit 500 und 4500 UDP.

Dass Problem kann ich nicht nachvollziehen, bei Telekom hatte auch mit Google DNS ganze funktioniert, weiß nicht ob Vodafone da weiter beschränkt.
 
@HabNeFritzbox
Über die Sinnhaftigkeit der Sperren möchte ich hier nicht diskutieren.

500 UDP und 4500 UDP reichen allein nicht, da muss noch etwas sein.


Danke aber trotzdem, dass Vodafone z.B. Google DNS sperrt ist mir bekannt, auch wenn es nicht nachvollziehbar für mich ist.

Soll sich der drum kümmern, der bei Vodafone ist...
 
Naja musst ja selbst wissen ob zumindest die 2 Ports Frei gibst, dazu bastelt man sich halt Sperren selbst statt über die Vorlage.

Könntest ja auch nen Freifunk Router hinstellen oder so, da brauchst nichts sperren, und dir kann alles egal sein.

Andere Infos habe ich auch nicht gefunden auf schnelle, was noch benötigt wird, da schweigen die Anbieter sich ja auch eher aus. Müsstest sonst ggf. mal Traffic mitschneiden lassen wenn da unbedingt weiter dran basteln möchtest.
 
Je nach Firewall musst Du flankierend noch ESP/AH freigeben.
 
Welche Ports muss ich erlauben, damit WLAN-Call im Gastnetz der Fritzbox funktioniert?
(Es ist alles außer Mailen und Surfen aus Sicherheitsgründen gesperrt, leider auch WLAN-Call)

Es geht definitv komplett und überhaupt nicht, Dazu mal aus der Satellite-FAQ von Sipgate:

Anders als bei klassischem Mobilfunk kannst du mit satellite überall telefonieren, wo du eine Datenverbindung zur Verfügung hast und bist nicht auf GSM über Mobilfunkmasten angewiesen. Da man mittlerweile in keiner Situation mehr auf sein Internet verzichten will, sind Datenverbindungen nahezu überall verfügbar. Egal ob das heimische WLAN, freies WLAN im Café und Hotel, eine mobile Datenflat oder reine Daten-SIM – mit allen kommst du mobil ins Internet und kannst auch satellite nutzen.
[...]
Im heimischen WLAN funktioniert satellite in der Regel problemlos, wenn der Router VoIP zulässt. Falls es Störungen gibt, sind häufig die Firewall oder andere Sicherheitseinstellungen dafür verantwortlich.[...] Da die FRITZ!Box weit verbreitet ist, hier noch ein paar Tipps die speziell für die FRITZ!Box gelten: Im Modus „Gastzugang” wird ein WLAN erstellt, in dem keine Telefonie möglich ist. Egal was sonst auf der FritzBox eingestellt wurde! Außerdem gibt es in den Sicherheitseinstellungen die Option „Nutzung von Internettelefonie aus dem Heimnetz unterbinden”. Die sollte natürlich NICHT aktiviert sein.

Und ich bin sicher, dass Sipgate einen Weg aufzeigen würde, wie man SIP über Fritzbox-Gastnetz zum Laufen bekäme, wenn es denn geht.
 
WLANCall geht IMO via Ipsec-Tunnel. Für IPsec muss bei einigen Routern das ESP Protokoll explizit erlaubt werden.
Testweise würd3e ich auch TCP zusätzlich mal für 500/4500 freigeben
 
Uh... sorry. Da war ich wohl gerade auf dem Holzweg... Klar, Mobilfunk ist nicht SIP. Und da fiele mir höchstens noch ein, das "Alles außer Surfen und Mailen"-Profil dahingehend zu verändern, dass die UDP-Ports 1...499, 501...4499 und 4501....65535 gesperrt sind. (Wobei ich vermute, das hast Du bereits versucht.)
 
Steht im Log des Gastnetzes nicht, welche Ports geblockt wurden?
 
Nö, dann würde das Log doch den Speicher sprengen oder nur Einträge für wenige Sekunden haben wenn Rest verworfen wird.
 
Zuletzt bearbeitet von einem Moderator:
  • Like
Reaktionen: Karl.
fritz.box
  1. WLAN → Gastzugang → (Weitere Einstellungen) Internetanwendungen beschränken
  2. Internet → Filter → (Reiter) Listen → (Netzwerkanwendungen) bei „alles außer Surfen und Mailen“ die Taste für Bearbeiten → bei „UDP“ die Taste für Löschen → (Taste) Neues Protokoll (dreimal):
    • Protokoll: UDP; Zielport: 1-499
    • Protokoll: UDP; Zielport: 501-4499
    • Protokoll: UDP; Zielport: 4501-65535
Das sieht zwar wie RealHendriks Vorschlag aus, unterscheidet sich aber darin, dass man zuerst den Eintrag „UDP/beliebig“ löscht. Danach konnte mein Apple iPhone SE (1. Generation) mit iOS 14 im FRITZ!Box Gastzugang anrufen und auch angerufen werden (getestet: Telekom Deutschland und Telefónica O₂).
Welche Ports muss ich erlauben, damit WLAN-Call […] funktioniert?
  • DNS: 53/udp
  • IKEv2: 500/udp und 4500/udp
DNS ist bereits in der Anwendung „alles außer Surfen und Mailen“ erlaubt.
Gibt es zwischen den Mobilfunk-Anbietern Unterschiede?
Bei Telekom Deutschland hat WLAN-Calling auch über „Google Public DNS“ funktioniert, weiß nicht ob Vodafone DE weiter beschränkt
Wenn es echtes VoWiFi ist, dann gibt es keine Unterschiede zwischen den Mobilfunk-Anbietern. Allerdings haben weltweit viele Mobilfunk-Anbieter ein Geo-Blocking. In Deutschland macht das Vodafone. Telekom Deutschland und Telefónica O₂ sind weltweit nutzbar. Tja, und um dieses Geo-Blocking zu forcieren bzw. erkennen, kommen die Mobilfunk-Anbieter auf die wildesten Ideen, zum Beispiel alternative DNS-Anbieter wie „Google Public DNS“ zu sperren. Folglich muss man mit Vodafone auch auf DoT verzichten.
Nein.
VoWiFi basiert auf dem neueren IKEv2, was allein UDP benötigt.
SIP ist nicht mit WLAN Call vergleichbar.
Jein.
VoWiFi basiert tatsächlich auf VoIP/SIP, wie wir es kennen. Allerdings hat man sich bei der 3GPP gegen „SIP-over-TLS mit SDES-sRTP“ entschieden und kapselt es stattdessen über das VPN-Protokoll IKEv2.
 
  • Like
Reaktionen: weißnix_ und Karl.
Danke, aber das hatte sich schon geklärt.

DNS ist aber 53 TCP.

Bei Vodafone klappt es grundsätzlich auch mit Google DNS, aber sporadisch nicht, wenn aus welchem Grund auch immer Amsterdam antwortet.

Also geht WLAN Call ausschließlich per IPv4?
 
Wollte grade erst schreiben, IPv6 VPN findest eher bei openVPN, aber wenn ich mir Interfaces vom iPhone anschaue sind da diverse IPv6 IPs für IPSEC mit fd74:.../128 und ne 2a01:... IP für WLAN Telefonie.
 
Zuletzt bearbeitet von einem Moderator:
  • Sad
Reaktionen: sonyKatze
Nichts :cool:
Aber soll ich dafür ein neues Thema aufmachen?

Ich dachte, wenn du alles weißt, weißt du das auch.
Über CLAT scheint VoWiFi nicht zu laufen, der epdg hat nur keinen AAAA-Record, die Frage wäre, ob das vom Anbieter abhängig sein könnte.


Beispielsweise ist der Vodafone DE epdg nicht aus dem Vodafone DE Mobilfubknetz erreichbar, bei den beiden Mitbewerbern hibt es eine solche Sperre nicht.
 
Zuletzt bearbeitet:
Welche Ports muss ich erlauben
Es ist zwar kein Muß, aber ich öffne im Gastnetz immer noch Port 123 (UDP) für NTP.
Damit können sich die Geräte dann wenigstens die Zeit aus dem Internet holen.
 
Können sich die Geräte im Gastnetz nicht die Zeit von der frittbox holen?
 
Gastnetz ist nur für Internet, nichts anderes. FB Dienste sind nur für Heimnetz.
 
die Zeit von der frittbox holen?
IMO nicht.
Ich hatte mal getract und gesehen, daß mehrere Geräte ständig NTP Anforderungen senden.
Und das in einer Häufigkeit wie ich es noch nicht gesehen hatte.
Darauf hin habe ich den Port geöffnet und sofort war Ruhe.

Warum AVM den standardmäßig sperrt ist mir unklar.
 

Neueste Beiträge

Statistik des Forums

Themen
244,640
Beiträge
2,215,731
Mitglieder
371,221
Neuestes Mitglied
Charly1311
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.