Hallo Zusammen,
folgendes Problem habe ich seit dem Update auf die 7erLCOS mit einem 1823Voip :
Situation vor dem Update :
- 2 WAN-Partner mit verschiedenen Routing-TAGs
- diverse Portforwardings eingerichtet
- Ein Portforward für 5060 wird mittels Regel generell geblockt
- Eine weitere Regel (h.Prio) schaltet eine bestimmte statische Adresse von extern einzeln Frei (externes VoIP-Telefon mit eigener öffentl.IP)
- Zuletzt genannte Regel wurde zeitabhänhig per CRON aktiviert bzw. deaktiviert.
- So war es also möglich ein externes Telefon gezielgt zuzulassen bzw. zu deaktivieren, wenn dort keiner im Büro sitzt.
Nach dem Update :
- Port 5060 wird von der Firewall nicht mehr berücksichtigt
- Eine Deny-Regel, die sich auf mehrere Ports bezieht (25,80,443,5060) reagiert nur noch auf 25,80 und 443. Pakete an 5060 gehen einfach durch.
- Selbst als ich das Portforwarding gelöscht habe, ist der Port nach außen noch offen und das externe Telefon bucht sich fröhlich darauf ein.
Habe heute auf 7.26 geupdatet.
Was mache ich falsch ?
Besten Dank und Grüße aus Weiterstadt,
Sven
Voip Port offen ohne Portforwarding
Moderator: Lancom-Systems Moderatoren
-
Schenkel-IT
- Beiträge: 3
- Registriert: 01 Okt 2007, 11:56
-
Schenkel-IT
- Beiträge: 3
- Registriert: 01 Okt 2007, 11:56
Ja, der ist aktiv, da sich das externe Telefon darauf einbucht.Hast du den VOIP Call Manager aktiviert?
Ich benutze das externe Telefon quasi als Remote-ISDN, um übers Internet eine Nebenstelle meiner TK-Anlage zu haben.
Das funktioniert in diesem Szenario leider nicht. Mein Elmeg IP290 bucht sich dann nicht mehr beim 1823 ein, wenn ich diesen Button setzte.Versuche mal im Callmanager lokale Anmeldung erzwingen.
Hi Schenkel-IT
Das war auch vorher schon so...
Ach ja: ein Portforwarding für den Port 5060 funktioniert eh nur, wenn der VCM deaktiviert ist - dann kannst du das auch blocken. Sobald der VCM aber aktiv ist, nimmt er wlle Pakete vom Port 5060 an - und wenn es korrekt codierte SIP-Pakete sind, dann antwortet er auch drauf...
Nur wenn du einen einfachen Portscan machst - also "zu kurze" Pakete sendest - wird der Port vom Scanner als "closed" gemeldet - solange du nicht in der Firewall den "Stealth-Modus" aktiviert hast.
deas war aber schon immer so
Gruß
Backslash
Da du den VCM aktiviert hast, ist natürlich der Port 5060 nach aussen offen - wie soll sich da sonst jemand registrieren (insbesondere dein externes Telefon.Ja, der ist aktiv, da sich das externe Telefon darauf einbucht.
Das war auch vorher schon so...
Ach ja: ein Portforwarding für den Port 5060 funktioniert eh nur, wenn der VCM deaktiviert ist - dann kannst du das auch blocken. Sobald der VCM aber aktiv ist, nimmt er wlle Pakete vom Port 5060 an - und wenn es korrekt codierte SIP-Pakete sind, dann antwortet er auch drauf...
Nur wenn du einen einfachen Portscan machst - also "zu kurze" Pakete sendest - wird der Port vom Scanner als "closed" gemeldet - solange du nicht in der Firewall den "Stealth-Modus" aktiviert hast.
deas war aber schon immer so
Gruß
Backslash
-
Schenkel-IT
- Beiträge: 3
- Registriert: 01 Okt 2007, 11:56
Danke Backslash,
das erklärt die Portforward-Geschichte.
Fakt ist allerdings, daß ich früher eine explizite Block-Regel hatte, die Port 5060 blockieren konnte und die ist nach wie vor im Router gespeichert, wird aber ignoriert.
Hat bisher niemand versucht den Port 5060 auf den öffentlichen IP-Adressen zu blockieren ?
Gruss Sven
das erklärt die Portforward-Geschichte.
Fakt ist allerdings, daß ich früher eine explizite Block-Regel hatte, die Port 5060 blockieren konnte und die ist nach wie vor im Router gespeichert, wird aber ignoriert.
Hat bisher niemand versucht den Port 5060 auf den öffentlichen IP-Adressen zu blockieren ?
Gruss Sven