Firewall wirkt nicht auf VCM?

[Thomas [NU]]

Hallo,

habe gerade ein Problem mit einem LANCOM 1711 VPN mit VoIP Option.

Ja ich weiss, das ist ein Methusalem und die eingesetzte LCOS 7.52.0058 ist alles andere als aktuell....

Aber trotzdem sollte doch die Firewall auf Pakete, die an den VCM gerichtet sind, erfassen.

Konkret: ich habe zwei Firewall Regeln eingerichtet, die Pakete von und an den VCM erfassen und verwerfen sollen.

Die eine Regel ist für die Quell-Ports 3478-3479,5000-5100,30000-30099

Die andere Regel ist für die Ziel-Ports 3478-3479,5000-5100,30000-30099

Trotzdem bekomme ich laufend von außen Anmeldeversuche am VCM.

Mache ich was falsch? Oder ist das ein Bug?

Btw: kann es sein, dass LANConfig 9.18.0033 RU2 nicht mehr in der Lage ist, auf den Methusalem zuzugreifen? Bereits das Auslesen der Systeminformationen des 1711 scheitert. Wird als unbekanntes Gerät geführt...

Viele Grüße
Thomas

[backslash]

Hi Thomas [NU]

die Firewall hat nur den Forwarding-Zweig und kann daher weder In- noch Outbound- Traffic zum und vom VCM beeinflussen...
Eine Anmeldung am VCM kannst du in dieser alten Version nur über seeeeehr gute Paßwörter für die SIP-User unterbinden...

Gruß
Backslash

[Thomas [NU]]

Hallo Backslash,

ist das bei den neuen LCOS Versionen anders? Also die aktuelle meine ich.

Kann ja den 1711 auch mal in Rente schicken

Viele Grüße
Thomas

[backslash]

Hi Thomas [NU],

ist das bei den neuen LCOS Versionen anders? Also die aktuelle meine ich.

bei den Geräten mit dem alten VCM (1722, 1723, 1724, bis Filmware 9.02) kannst bei jedem User du auswählen, ob für ihn eine Anmeldung vom WAN immer, nur über VPN oder gar nicht erlaubt ist. Bei der neuen ALL-IP-Option ist es momentan so, daß eine Anmeldung aus dem WAN (und somit auch VPN) nicht möglich ist. Zu dem Thema gibt es hier im Forum auch einige Threads, in denen sich die Leute diesen Schalter wieder wünschen...

Eine Inbound-Firewall gibt es z.Zt nur für IPv6, nicht aber für IPv4 - der VCM kann aber bisher nur auf IPv4 arbeiten...

Gruß
Backslash

[MoinMoin]

Moin Backslash!

Bei der aktuellen All-IP-Option ist eine Anmeldung über WAN nicht, über VPN aber sehr wohl möglich. Es geht nur darum, beliebige Fremde draußen zu halten. Wer einen VPN-Tunnel aufbauen kann, darf auch mit dem VCM.

Ciao, Georg

[MoinMoin]

Moin Thomas!

Der Trick vor der Einführung des Filters für Anmeldungen aus dem WAN war, den Port 5060 ins Nirvana weiterzuleiten. Dann kann der VCM auf dem WAN den Port nicht mehr belegen und bekommt auch keine Anmeldungen mehr rein.

Ciao, Georg

[Thomas [NU]]

Huhu,

ich brauche ja die Anmeldung vom WAN her. Aber nur von einer bestimmten festen IP.

Ist das bei der All-IP noch möglich?

Viele Grüße
Thomas

[Thomas [NU]]

Huhu,

ich hätte vollständig lesen sollen.....

Danke für die Antworten.

Viele Grüße
Thomas

[backslash]

Hi Thomas [NU],

MoinMoin hat mich auf eine Idde gebracht - vielleicht funktioniert das ja...
Versuche mal, ein Portforwarding für den den Port 5060 auf die Interne IP des 1711 einzurichten. Vieleicht geht das dann bei der alten Firmware über den Router und kann somit von der Firewall gefangen werden... Eine Erfolgsgarantie kann ich dir dafür aber nicht geben - bei neueren Firmwaren funktioniert der Trick garantiert nicht mehr...

Gruß
Backslash

[Thomas [NU]]

Huhu,

so ich habe die Idee mit dem Port-Forwarding mal umgesetzt.

Registrierung am 1711 klappt dann. Allerdings gehen keine Anrufe mehr durch.

Ein Teil der Signalisierungsinformationen bleibt auf der Strecke

Ich glaube, ich tausche den 1711 mal auf die Schnelle gegen einen 1722, der noch rum liegt und schlussendlich dann gegen einen 1783 oder 1784

Danke für die Gedanken und die Mühe

Viele Grüße
Thomas