93630
Apr 12, 2018
3396
12
0
Nutzt VOIP mit (SIP,RTP) Hole Punching?
Ich habe eine Verständnisfrage zu VOIP mit SIP/RTP.
Soweit habe ich das jetzt verstanden: Wenn ein IP-Telefoniegerät/VOIP-TK-Anlage ein anderes anrufen möchte, benötigt es die IP und den Port unter der die Gegenstelle erreichbar ist. (Die Information wird über den SIP-Proxy bezogen) Das IP-Telefon verbindet sich dann direkt mit der IP:Port Kombination der Gegenstelle. Also es baut eine direkte Verbindung auf.
So wie ich das verstanden habe nutzen die IP-Telefone und auch die VOIP-TK-Anlage normalerweise dynamische Ports. Somit kann man nicht einfach in der Firewall Port X für die TK-Anlage Y öffnen und alles ist gut. Ist denn im SIP/RTP System Holepunching vorgesehen, sodass die TK-Anlage selbst den eingehenden Port in der Firewall öffnen kann oder wie kriegt man eine Freigabe zuverlässig hin?
Soweit habe ich das jetzt verstanden: Wenn ein IP-Telefoniegerät/VOIP-TK-Anlage ein anderes anrufen möchte, benötigt es die IP und den Port unter der die Gegenstelle erreichbar ist. (Die Information wird über den SIP-Proxy bezogen) Das IP-Telefon verbindet sich dann direkt mit der IP:Port Kombination der Gegenstelle. Also es baut eine direkte Verbindung auf.
So wie ich das verstanden habe nutzen die IP-Telefone und auch die VOIP-TK-Anlage normalerweise dynamische Ports. Somit kann man nicht einfach in der Firewall Port X für die TK-Anlage Y öffnen und alles ist gut. Ist denn im SIP/RTP System Holepunching vorgesehen, sodass die TK-Anlage selbst den eingehenden Port in der Firewall öffnen kann oder wie kriegt man eine Freigabe zuverlässig hin?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 370875
Url: https://administrator.de/contentid/370875
Printed on: April 20, 2024 at 03:04 o'clock
12 Comments
Latest comment
Moin,
soweit ich weiß funktionieren SIP und NAT nicht besonders gut.
Meist erfolgt die Verbindung direkt ohne NAT.
Siehe auch (Avoid NAT)
https://www.voip-info.org/wiki/view/NAT+and+VOIP
Stefan
soweit ich weiß funktionieren SIP und NAT nicht besonders gut.
Meist erfolgt die Verbindung direkt ohne NAT.
Siehe auch (Avoid NAT)
https://www.voip-info.org/wiki/view/NAT+and+VOIP
Stefan
Sind die verwendeten Port(bereiche) genormt (RFC) oder kann jedes VOIP-Gerät die komplett zufällig wählen?
Müsste ich nicht auch ohne NAT das gleiche Problem haben, wenn es zum Thema Firwall kommt?
Wenn die Ports wirklich "zufällig" sind kann ich auch keine einfache Port-Freigabe in der SPI-Firewall machen, sondern muss die gleichen Klimmzüge wie bei NAT veranstalten?
Wenn die Ports wirklich "zufällig" sind kann ich auch keine einfache Port-Freigabe in der SPI-Firewall machen, sondern muss die gleichen Klimmzüge wie bei NAT veranstalten?
Hi,
normalerweise lässt sich in den VoIP TK Anlagen oder VoIP Telefonen ein Portbereich definieren der für die RTP Streams genutzt wird.
Damit lässt sich das ganze dann etwas besser einschränken.
LG, Manu
normalerweise lässt sich in den VoIP TK Anlagen oder VoIP Telefonen ein Portbereich definieren der für die RTP Streams genutzt wird.
Damit lässt sich das ganze dann etwas besser einschränken.
LG, Manu
Zitat von @grill-it:
normalerweise lässt sich in den VoIP TK Anlagen oder VoIP Telefonen ein Portbereich definieren der für die RTP Streams genutzt wird.
normalerweise lässt sich in den VoIP TK Anlagen oder VoIP Telefonen ein Portbereich definieren der für die RTP Streams genutzt wird.
oder die Firewall macht deep packet inspection und scht sich aus dem Protokoll heraus die Ports, die sie dann aufmachen soll.
lks
Zitat von @Lochkartenstanzer:
oder die Firewall macht deep packet inspection und scht sich aus dem Protokoll heraus die Ports, die sie dann aufmachen soll.
oder die Firewall macht deep packet inspection und scht sich aus dem Protokoll heraus die Ports, die sie dann aufmachen soll.
Du meinst dieses SIP-ALG zeug?
Zu Sip ALG und NAT Helper kann ich nur sagen, dass es meist zu mehr Problemen führt als dass es hilft.. 
Kann SIP-ALG überhaupt bei einer verschlüsselten VOIP-Verbindung (SRTP) funktionieren? Der Router kann die Inhalte der Pakete doch gar nicht lesen ohne MITM?
Zitat von @93630:
Du meinst dieses SIP-ALG zeug?
Zitat von @Lochkartenstanzer:
oder die Firewall macht deep packet inspection und scht sich aus dem Protokoll heraus die Ports, die sie dann aufmachen soll.
oder die Firewall macht deep packet inspection und scht sich aus dem Protokoll heraus die Ports, die sie dann aufmachen soll.
Du meinst dieses SIP-ALG zeug?
Hup..
was aber nicht heißt, daß das besser tut.
lks
Zitat von @93630:
Kann SIP-ALG überhaupt bei einer verschlüsselten VOIP-Verbindung (SRTP) funktionieren? Der Router kann die Inhalte der Pakete doch gar nicht lesen ohne MITM?
Kann SIP-ALG überhaupt bei einer verschlüsselten VOIP-Verbindung (SRTP) funktionieren? Der Router kann die Inhalte der Pakete doch gar nicht lesen ohne MITM?
Das ist nicht die Aufgabe des Routers und hängt von desigen der Firewall ab, ob man das will/kann oder nicht.
Auf jeden Fall hat man mit SIP eine Pandora-Büchse, auf die man aufpassen muß.
lks
Moin,
Prinzipiell würde ich für diesen Anwendungszweck mit eine eigene öffentliche IP für VOIP holen und und per Firewall dafür sorgen, daß VOIP vollständig von Rest getrennt ist.
lks
Prinzipiell würde ich für diesen Anwendungszweck mit eine eigene öffentliche IP für VOIP holen und und per Firewall dafür sorgen, daß VOIP vollständig von Rest getrennt ist.
lks
1
benötigt es die IP und den Port unter der die Gegenstelle erreichbar ist
Nein !Den Port benötigt es nicht !
Die Information wird über den SIP-Proxy bezogen
Nein !Es geht natürlich auch ohne Proxy !
Also es baut eine direkte Verbindung auf
Ja, das geht dann via RTP.normalerweise dynamische Ports.
Ja, das hat aber nix mit VoIP zu tun sondern mit RTP. Es ist eine Protokollspezifikation von RTP.Damit das geordnet abläuft nutzt man beio RTP meist immer einen STUN Server !
nicht einfach in der Firewall Port X für die TK-Anlage Y öffnen
Doch das geht. Meist reicht es aus SIP 5060 freizugeben, den Rest erledigen dann die Voice Application Gateways. Nocxh einfacher ist es STUN bei Voice zu verwenden.Der SIP Port ist so oder so immer auf da das VoIP Device hinter der FW ja immer ein Keepalive macht.
Guckst du auch hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Kapitel: "VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:"
