Grundsatzfrage: All-IP oder VOIP TK Anlage und SIP-ALG

[DGrand]

Hallo Forum,
Haben seit einem halben Jahr ein Lancom 1781va mit ALl-IP Option im Einsatz was auch so weit gut geht.

Eingebucht ist eine VoIP Dect Station, ein VoIP Tischtelefon und eine Auerswald VOIP TK welche das Fax in VoIP umwandelt.

Die Anmeldung beim SIP macht der Lancom, die Geräte melden sich als Teilnehmer am Lancom an.

Da der Lancom "nur" VOIP mit g711 kann, und die Auerswald TK g722 (HD Telefonie) bietet, die Grundsatzfrage, ob man die Provider SIP Accounts lieber in der VOIP TK registrieren sollte. Folglich IP Dect-Station und IP Tischtelefon dann über die Auerswald laufen lässt.

Wie schaut es mit der Sicherheit bei SIP AlG aus? Richtet der Lancom dann trotzdem noch das QoS automatisch für SIP Gespräche ein?

Würde mich freuen, wenn jemand sagen könnte wie in so einem Fall die Best Practise Lösung wär.

Daniel

[cpuprofi]

Hallo DGrand,

Wie schaut es mit der Sicherheit bei SIP AlG aus?

der ist sicher, Ports werden nur bei Aktionen/Gesprächen und dann auch nur für kurze/benötigte Zeit geöffnet.

Richtet der Lancom dann trotzdem noch das QoS automatisch für SIP Gespräche ein?

Der SIP-ALG macht auch automatisch QoS.

Grüße
Cpuprofi

[Koppelfeld]

Da der Lancom "nur" VOIP mit g711 kann, und die Auerswald TK g722 (HD Telefonie) bietet,

In der Praxis ist es genau umgekehrt:
Über den LANCOM kannst Du natürlich mit g722 telephonieren, wenn beide Gegenstellen diesen Codec unterstützen. Der LANCOM könnte NICHT g722 annehmen und in g711 transcodieren, muß er auch nicht.
Alle mir bekannten Auerswald sind ISDN-Anlagen mit einem Koppelfeld, das nur mit g711a arbeitet.

die Grundsatzfrage, ob man die Provider SIP Accounts lieber in der VOIP TK registrieren sollte.

Leicht zu lösen: Eine IP-Anlage sollte von außen erreichbar sein. Das geht am besten, wenn sie eine öffentliche IP hat. Alles andere ist Murks und Kappes.

Packe das Fax an einen ATA-Adapter und hänge es auch noch an den LANCOM.

[Jirka]

Hallo Daniel,

Da der Lancom "nur" VOIP mit g711 kann

das gilt nur bei der Funktion als Gateway von VoIP zu ISDN. Von VoIP zu VoIP sind andere Codecs kein Problem, solange sie die Provider/Endgeräte unterstützen.

Folglich IP Dect-Station und IP Tischtelefon dann über die Auerswald laufen lässt.

Das kannst Du so doch auch?!

Wie schaut es mit der Sicherheit bei SIP ALG aus?

das SIP-ALG ist unsicher, Ports werden länger als benötigt geöffnet.

Viele Grüße,
Jirka

[garfield0815]

da der lancom brinzipiel nur ein sip proxy ist kann man das wol schlecht vergleichen
es gibt genug funktionen einer tk anlage (auch einer ip tk anlage) die der lancom nicht kann

[cpuprofi]

Hallo Jirka,

...das SIP-ALG ist unsicher, Ports werden länger als benötigt geöffnet...

diese "Aussage" ist so nicht korrekt! Die Ports für RTP und RTCP müssen sogar länger als das eigentliche Gespräch "geöffnet" sein, damit bei einer Deny-All-Firewall Strategie, auch "verspätet" eintreffende RTP und RTCP Pakete keinen unnötigen "Alarm" auslösen!!! Das ist absichtlich so gewollt und auch gut so! Und die paar Sekunden, die die Ports "länger" geöffnet sind, stellen wohl kaum eine "Gefahr" da...

Grüße
Cpuprofi

[Jirka]

Hallo Cpuprofi,

diese "Aussage" ist so nicht korrekt! Die Ports für RTP und RTCP...

ich rede hier auch nicht von RTP und RTCP - mir reicht schon SIP.
Der Programmierer schrieb mir dazu mal:

Die offen gehaltenen Verbindungen im SIP-ALG, und damit auch die Einträge in der Tabelle, altern heraus. Allerdings werden Verbindungen mindestens eine Stunde offen gehalten. Und nur wenn in dieser Zeit kein ReRegister erfolgt, werden Verbindungen geschlossen und dann wird auch der Eintrag in der Tabelle entfernt.

Mehr möchte ich dazu nicht schreiben, ohne ihn vorher zu fragen...

Viele Grüße,
Jirka

[backslash]

Hi Jirka,

ich rede hier auch nicht von RTP und RTCP - mir reicht schon SIP.
Der Programmierer schrieb mir dazu mal:
Zitat:
Die offen gehaltenen Verbindungen im SIP-ALG, und damit auch die Einträge in der Tabelle, altern heraus. Allerdings werden Verbindungen mindestens eine Stunde offen gehalten. Und nur wenn in dieser Zeit kein ReRegister erfolgt, werden Verbindungen geschlossen und dann wird auch der Eintrag in der Tabelle entfernt.

Zum Einen muß die Session offen bleiben, damit eingehende Anrufe überhaupt angenommen werden können.
Und zum Anderen kann nur Session-Partner - hier also die TK-Anlage des SIP-Providers - Pakete nach "innen" schicken... Es sei denn ein Angreifer fälscht die Absenderadresse der TK-Anlage und weiss auch noch, welchen Port das LANCOM verwendet. Ein derartiger Angriff ist bei UDP aber immer möglich und kann nicht unterbunden werden.

Von daher ist das SIP-ALG sicher - sicherer jedenfalls als die Verwendung von Portforwardings, bei denen wirklich jeder reinkommt...
Und die VOIP-Option ist auch nicht sicherer, weil sie ja auch den Listener für den eigenen Port dauerhaft aktiv hat. Hoffentlich prüft der VCM auch Absenderadresse und -Port eines einkommenden Pakets, denn wenn nicht, dann wäre das SIP-ALG sogar sichererer, als die VOIP-Option...

Gruß
Backslash

[DGrand]

Hallo Forum,
anhand Eurer Antworten stelle ich fest, dass das Thema ein gewisses Diskussionspotential hat.

Zum Thema G.722: Habe soeben noch einmal im Datenblatt der All-IP nachgelesen und dort heisst es nun

Sprachkodierung nach G.711 u-law/A-law (64 kbit/s) sowie G.722
(HD-Voice) auf reiner SIP-Verbindung (sofern von allen Endgeräten unterstützt)

Hier wurde anscheind das Datenblatt noch einmal angepasst.
Für mich heisst es jetzt, ich kann in meinen Endgeräten den G.722 Codec in die Liste der zur Verfügung stehenden Codecs schieben.

All-ip vs. SIP-ALG:
Ich denke, wenn jetzt alles soweit erst einmal funktioniert, bleibt alles wie es ist.
Ich fühle mich auch irgendwie wohler, wenn der Router nicht einfach im SIP-ALG Modus "jeden" X-beliebigen Traffic an so eine "dumme" Telefonanlage durchwinkt.
Zumal die Statusüberwachung über den Lanmonitor auch sehr komfortabel ist.

Schönen Abend

Daniel