Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke Voice over IP

VoIP über VPN schützen (AVM 7270)

Mitglied: Istike

Istike (Level 1) - Jetzt verbinden

17.12.2010 um 18:30 Uhr, 6478 Aufrufe, 7 Kommentare, 1 Danke

Hallo,

wir hosten eine VoIP-Anlage bei PBXes...

Sie bieten die Möglichkeit an auf die VoIP-Server durch VPN zuzugreifen.

http://www3.pbxes.com/wiki/index.php/VPN/de

Die Frage ist, ob dieser Zugang auch in einer Fritzbox eingerichtet werden kann. Bei dieser Lösung wäre es natürlich wichtig, dass nur SIP-Paket durchgeleitet werden.
Surfen sollte nicht durch VPN gehen.

Was wäre die Alternative um unser SIp-Verkehr bestmöglich zu schützen. PBXes unterstützt leider kein SRTP / TLS.

An der Fritzbox sind 6 SIP-Client eingerichtet die dann zu den DECT-Handsets zugeordnet sind.

Ausserdem haben wir noch Softphones bzw. 2-3 Snom M9 die aber wohl nicht VPN fähig sind.

Danke für die Hilfe.

Gr. i.
Mitglied: aqui
17.12.2010 um 22:59 Uhr
Fast alle renomierten VoIP Anbieter arbeiten heutzutage mit SRTP:
https://www.bsi.bund.de/ContentBSI/grundschutz/kataloge/m/m02/m02374.htm ...
http://en.wikipedia.org/wiki/Secure_Real-time_Transport_Protocol
damit stellt sich dann das grundlegende Problem gar nicht erst.
Ansonsten ist natürlich das Tunneln der Voice Daten über VPN der gangbare Weg !
Man kann SIP und RTP filtern auf der FB. Das Problem ist aber SIP, denn das benutzt dynamische Portaushandlung beim Sessionaufbau. Ohne STUN
http://de.wikipedia.org/wiki/STUN
bekommst du mit ACLs dann ein Problem oder musst das Prinzip Scheunentor anwenden. Oder eben nur auf die nackte Voice Server IP filtern. Das würde man beim VPN Betrieb auch machen.
Bitte warten ..
Mitglied: maretz
18.12.2010 um 01:22 Uhr
also ich könnte mir auch vorstellen das es einfach zu lange dauert wenn man das ganze noch in einem VPN verpackt. Denn man muss die ganzen Pakete dann ja verschlüsseln und versenden. Je nachdem wie das VPN aufgebaut ist wird das aber TCP als Protokoll nehmen - SIP verwendet dagegen idR. UDP (da eine retransmission bei VoIP eh keinen Sinn ergibt).

Hier holt man sich also gleich einige blinde Passagiere an Board. Bei TCP erwarte ich ein ACK-Paket nach $WINDOW_SIZE. Darauf muss ich warten - und solange geht kein neues Paket durch den Tunnel. Bei VoIP schon schlecht. Dazu muss ich noch damit leben das ggf. der VPN-Router versucht seine Pakete vollzubekommen bevor er die auf die Reise schickt - d.h. ca. 1500 Bytes/Paket. Bei VoIP is mir aber egal wie groß das Paket ist - es muss nur schnellstens raus.

Von daher würde ich mal behaupten das eine VPN-Verbindung hier ggf. zu Problemen führt die später sehr schwer zu bestimmen sind. Denn es kann durchaus sein das z.B. eine Person grad spricht und alles ist gut. Geht aber die zweite Person in nen Gespräch dann wird es ggf. schon problematisch...
Bitte warten ..
Mitglied: aqui
18.12.2010 um 11:05 Uhr
Bei Verwendung von G711 Codecs beträgt die verwendete Bandbreite 64 kbit/s. Also auch wenn 10 Gespräche gleichzeitig geführt werden ist die Belastung minimal so das auch einfache VPN Consumer DSL Router das problemlos beherrschen.
Firewalls oder VPNs auf leistungsfähiger Hardware dann entsprechend mehr.
Sehr oft nutzen VoIP Anlagen G729 Codecs wenn sie über Internetverbindungen gehen und dann mit 8 kbit eine noch geringere Bandbreite mit entsprechend mehr möglicher Kapazität.
Das sollte also wirklich kein Kriterium sein wenn man nicht gerade über einen Voice Server redet der 3000 Anschlüsse bedienen muss !
Bitte warten ..
Mitglied: maretz
18.12.2010 um 15:45 Uhr
Moin,

mir ging es nicht um die Bandbreite -> die ist heute eher selten das Problem... Ich mein - wir haben selbst im Home-User-Bereich schon idR. nen Mbit oder mehr an Upload -> da feuer ich dir notfalls sogar noch nen kleines Bild von der Webcam mit rüber ;).

Mir geht es eher darum das eben das TCP-Protokoll für Realtime nicht wirklich geeignet ist. Nehmen wir an auf der Leitung ist irgendwo ein kleines Problem -> dann würde man ständig auf retransmissions warten. Die sind aber für VoIP völlig unsinnig -> wenn ich meinem Gegenüber "Hallo Mike" sage dann wäre es (ganz platt ausgedrückt) besser wenn der nur "Hall Mike" versteht - statt das er darauf warten muss bis das "o" neu angefordert wurde. Denn man hat eben nur ca. 300 ms Zeit bis das Paket beim Empfänger ankommen muss -> da ist kein Spielraum für nen Timeout bzw. für das neue Anfordern von Paketen...

Weiterhin sehe ich das Problem darin das man eben warten muss bis der VoIP-Router ggf. meint das er das Paket lossenden möchte. Denn der möchte sein Paket ja möglichst vollmachen - 1500 Byte. Nehmen wir den G.711 an -> 64.000 Bit/s -> 8000 Byte/s. Wenn also der Router meint er möchte immer warten bis er nen Paket voll hat bevor er es absendet -> dann dauert das schon ca. 250 ms (ich geh mal davon aus das wir 1000 Byte/s an Overhead zusammenbekommen). Ich warte also 250 von 300 ms nur darauf das der Router das VPN-Paket überhaupt absendet. DAS dürfte einem Gespräch sehr abträglich sein (man würde dann ja im Endeffekt "Ha", 250ms pause "ll" 250ms pause "o " 250 ms pause... bekommen).

Daher sehe ich das eher als problematisch wenn man solche Realtime-Protokolle noch in anderen Protokollen verpackt. Man kann das sicherlich testen - aber ob ich dem im Live-Betrieb dann so trauen würde steht auf nem anderen Blatt...
Bitte warten ..
Mitglied: aqui
18.12.2010 um 16:04 Uhr
Technisch richtig, keine Frage aber als Ausweg zum VPN gibts dann nur die Verwendung von SRTP.
Bitte warten ..
Mitglied: maretz
18.12.2010 um 16:19 Uhr
ohne frage - ja... Ich sag mal so: Was bringt es eine Lösung zu bauen mit der die Leute nicht wirklich telefonieren können? Wenn ich im Büro sowas aufbaue dann intressiert es keinen Sachbearbeiter ob die Verbindung gesichert ist oder nicht - wichtig ist das der mit dem Kunden telefonieren kann und die Sprachqualität gut ist.

Und beim Telefon haben die Leute immer wenig Verständnis - hier wird eine Verfügbarkeit von 100% einfach vorrausgesetzt. Wenn es also durch sowas zu Gesprächsabbrüchen oder Spracheinbußen kommt - dann würde ich mir eher einen Anbieter suchen der eben SRTP anbietet oder andere Wege überlegen versuchen (eigene Anlage aufstellen etc...). Aber ich würde NIE versuchen das per VPN zu tunneln und mir damit den Ärger ins Haus zu holen. Denn wenn man das einmal gemacht hat und das schief geht - dann ist man nur noch der "EDV-Frickler" der eh keine Ahnung hat... Und das hab ich immer versucht zu vermeiden ...
Bitte warten ..
Mitglied: aqui
18.12.2010 um 17:20 Uhr
Na ja ganz so hart sollte man es nicht sehen, denn VoIP wird massenhaft auch in MPLS Netzwerken übertragen oder als Emulation über GRE Tunnel.
Bei moderater Knotenzahl und einer stabilen Netzverbindung funktioniert sowas mit aktueller HW vollkommen problemlos.
Es gibt zig tausende von Unternehmen die Home Office User haben die über Router VPN Verbindungen und IP Telefonen mit der Firmenanlage telefonieren. Exotisch und selten ist sowas also keinesfalls ! Eher umgekehrt, denn solche Firmen Voice Daten sind ja auch vertraulich !
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
VPN Probleme über AVM FritzVPN
Frage von minimalwerkWindows Netzwerk8 Kommentare

Hallo liebe Community, ich habe hier ein Problem mit meinem AVM Fritz VPN seitdem ich einen neuen Vertrag bei ...

Voice over IP
VoIP und DECT per VPN?
Frage von Herbi1984Voice over IP3 Kommentare

Hallo zusammen, Wiist ihr zufällig wie ich eine andere Niederlassung an unsere Telefonanlage anbinden kann? Diese sollen jedoch ihre ...

Netzwerke
VPN-Kopplung für VOIP
gelöst Frage von Looser27Netzwerke2 Kommentare

Hallo allerseits, durch die Umstellung der Telekom auf ALL-IP-Anschlüsse muss ich mir etwas einfallen lassen, um nicht Tür und ...

Voice over IP
VPN Router hinter VoIP Router
Frage von baxxter333Voice over IP1 Kommentar

Hallo, ich habe das Problem, dass ich ein Firmennetzwerk mit über 30 per VPN angebundenen Außenstellen betreibe, und die ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Batch & Shell
Meltdown Microsoft Prüf Script - .zip Datei leider leer
gelöst Frage von MasterBlaster88Batch & Shell13 Kommentare

Hallo zusammen, ich patche gerade unsere Windows Server bzgl. der Meltdown Lücke. Patch vorhanden, Reg Keys gesetzt Um das ...

Batch & Shell
Shell-Skript - Syntax error: Unterminated quoted string
Frage von newit1Batch & Shell13 Kommentare

Hallo Ich schreibe ein Skript das eine CSV-Datei in eine mySQL Datenbank schieben soll. Bekomme nach start des Skrips ...

E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...