SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Wünsche und Vorschläge zur Verbesserung der LANCOM Produkte

Moderator: Lancom-Systems Moderatoren

cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Beitrag von cpuprofi »

Hallo an Alle,

wie sieht Ihr das? Ich wäre für die Einführung der "SIP-Client-Anmeldung per WAN" in der ALL-IP Option.

Begründung:

Eine direkte Anmeldung von SIP-Clients per WAN benötigt keine VPN-Verbindung zum Lancom, welche bei mobilen Geräten nicht immer möglich ist. Weiter wird weniger Daten-Bandbreite für eine Verbindung bei direkter SIP-Client-Anmeldung per WAN, als mit dem VPN-Overhead benötigt, was vor allem bei nicht LTE oder UMTS Verbindungen wichtig ist.

Würde die "neue" ALL-IP Option jetzt auch den Codec GSM unterstützen und zwischen diesem und G.711 wandeln können, so könnte man schon mit HSDPA+ und EDGE wunderbar von unterwegs über seinen Festnetzt-Anschluß telefonieren. Kann die ALL-IP Option das vielleicht sogar schon? Dazu könnte sich ja mal ein Entwickler äußern. :wink:

Auch SIP-Anbindungen aus dem Ausland (wo VPN nicht erlaubt ist bzw. blockiert wird) wären dann möglich.

Sicherheit:

Die Sicherheit kann jeder selber über passende sichere Passwortlängen herstellen, sollte somit kein Problem sein.

Grüße
Cpuprofi
Benutzeravatar
stefanbunzel
Beiträge: 1404
Registriert: 03 Feb 2006, 13:30
Wohnort: endlich VDSL-250

Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Beitrag von stefanbunzel »

Hallo,

auch ich wünsche mir unbedingt wieder die SIP-Benutzer-Anmeldung über WAN - auch ohne VPN!

Bezüglich der Sicherheit sollte diese Option per Default auf "AUS" stehen. Desweiteren könnte man ja als erweiterte Default-Schutzmaßnahme unter Setup - Config - Zugriffstabelle - WAN einen Eintrag für SIP-Login mit Default "NEIN" einpflegen.
Und wenn man aus dem Produkt-Management noch mehr Sicherheitsmaßnahmen wünscht, dann wird der WAN-SIP-Zugriff nur für SIP-Benutzer erlaubt, bei denen ein Passwort, ggf. mit Forderung von bestimmter Passwortlänge, hinterlegt ist.

Edit: Weitere Sicherheitsmaßnahme, analog zu WLAN: SIP-IDS-Option integrieren!

Dann braucht auch der Hilfe-Text im WebInterface nicht mehr korrigiert werden, da dieser noch diese wohl in letzter Minute noch verbannte Option nach wie vor beschreibt.

Viele Grüße,
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
Raudi
Beiträge: 577
Registriert: 16 Jul 2005, 18:25
Wohnort: Irgendwo zwischen Hamburg, Hannover und Bremen

Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Beitrag von Raudi »

Hi,

aktuell nutze ich es nicht, aber hatte auch schon Situationen wo ich es genutzt habe.

LANCOM ist steht ja meiner Meinung nach für viele Funktionen und sehr flexibel einsetzbar. Alleine aus dem Grund würde ich auch sagen, dass dieses konfigurierbar sein sollte.

Viele Grüße
Stefan
Benutzeravatar
langewiesche
Beiträge: 1255
Registriert: 27 Apr 2005, 11:28
Wohnort: Gevelsberg / Sprockhoevel im Ruhrgebiet
Kontaktdaten:

Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Beitrag von langewiesche »

sehe ich auch so
Es gruesst Lars
--
Zwischen einen NAT-Router hinter einen Nat-Router und vor einen NAT-Router passt immer noch ein NAT-Router
Benutzeravatar
hyperjojo
Beiträge: 801
Registriert: 26 Jul 2009, 02:26

Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Beitrag von hyperjojo »

hallo,

ich fände eine optionale SIP Anmeldung über WAN ebenfalls hilfreich.
Neben den bestehenden Argumenten werfe ich noch die Stichwörter "Labor" und "Schulungen" in den Raum, für welche das Feature hilfreich ist!

Gruß hyperjojo
Zuletzt geändert von hyperjojo am 07 Jun 2019, 17:02, insgesamt 1-mal geändert.
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Beitrag von cpuprofi »

Hallo hyperjojo,

die "Telekom" hätte zumindest die "Macht" dieses bei LANCOM durchzusetzen!

Vielleicht gelingt auf diesem Weg ja die "Wiedereinführung" der "SIP-Client-Anmeldung per WAN"... :M

Grüße
Cpuprofi
DirkK
Beiträge: 555
Registriert: 13 Jun 2005, 15:49

Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Beitrag von DirkK »

Hallo,

ich kann das auch nur dringend befürworten. Im Moment migriere ich meinen 1724 auf einen neuen 1784, da der 1724 memory-mäßig aus allen Löchern pfeift.
Gerade musst eich feststellen, dass eine WAN-seitige SIP Anmeldung nun nicht mehr möglich ist. Das zerhagelt einem jetzt den ganzen Use-Case. :twisted:

Gruß
Dirk
garfield0815

Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Beitrag von garfield0815 »

auch wenn ich darin ein sicherheitsrisiko sehe
mir wurde schon mahl ein 1821 darüber gehackt und durch minütliche anrufe nach spanien meine telefonrechnung hochgetrieben

nuja aus genau solcen wie von euch beschribenen gründen hab ich mich inzwischen weitgehenst von dem lancom routern verabschiedet
und bin zimlich in den open sorce bereich abgerutscht
da geht so einiges auch mit besseren sicherheitsmechanismen

und wen ihr ne vernünftige tk anlage habt könnt ihr euch von extern via vpn oder port forwarding inkl certifikat anmelden
viel spass beim hacken :-P
Benutzeravatar
MoinMoin
Moderator
Moderator
Beiträge: 1978
Registriert: 12 Nov 2004, 16:04

Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Beitrag von MoinMoin »

Moin garfield0815!

Anmeldung über VPN geht auch beim LANCOM. Und die Anmeldung direkt aus dem WAN steht und fällt mit der Sicherheit der vom Administrator vergebenen Passwörter. Sicherer, als seinerzeit beim LANCOM, bekommen deine OS-Gerätschaften das auch nicht hin.

Ciao, Georg
garfield0815

Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Beitrag von garfield0815 »

nuja sip mit certifikat sollte schon sicherer sein als irgend ein vom admin vergebenes passwort

oder auch die bandelung an eine bestimte mac adresse
kann das der lancom auch ?

und ihr wollt ja kein vpn dazwischen schalten
aber trotz alle dehm würde ich kein sip mehr direkt keine direkte wan anmeldung mer zulassen
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Beitrag von cpuprofi »

Hallo,
garfield0815 hat geschrieben:...nuja sip mit certifikat sollte schon sicherer sein als irgend ein vom admin vergebenes Passwort...
welcher SIP-Provider bietet Dir das denn an?

garfield0815 hat geschrieben:...oder auch die bandelung an eine bestimte mac Adresse...
Nochmals die gleiche Frage: Welcher SIP-Provider bietet Dir das denn an?
garfield0815 hat geschrieben:...aber trotz alle dehm würde ich kein sip mehr direkt keine direkte wan anmeldung mer zulassen
Bei jedem SIP-Provider erfolgt die "Anmeldung" über "Benutzername" und "passend sichere" Passwörter und die sehen dieses NICHT als "Sicherheitsrisiko" an, warum sollte das dann bei LANCOM Geräten ein "Sicherheitsrisiko" sein???
garfield0815 hat geschrieben:...mir wurde schon mahl ein 1821 darüber gehackt und durch minütliche anrufe nach spanien meine telefonrechnung hochgetrieben...
Ja, dann hattest Du anscheinend KEIN sicheres Passwort verwendet! Und gegen eigene Dummheit kann auch LANCOM nichts machen :!: :!: :!:


Einfach ein "ausreichende sicheres Passwort" vergeben und gut ist es !!!


Also ich und auch andere würden die Möglichkeit einer SIP-Anmeldung per WAN an den LANCOM sehr begrüßen! Die triftigen Gründe dafür sind ja schon oben genannt worden.

Grüße
Cpuprofi
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Beitrag von Jirka »

Hallo zusammen,

@Georg/MoinMoin: endlich mal eine Ansage, so gefällt mir das!
garfield0815 hat geschrieben:oder auch die bandelung an eine bestimte mac adresse
kann das der lancom auch ?
Erstens kann man MAC-Adressen extrem schnell fälschen und zweitens, hast Du schon mal die MAC-Adresse von einem SIP-Client gesehen, der per WAN angeschlossen ist?!
garfield0815 hat geschrieben:aber trotz alle dehm würde ich kein sip mehr direkt keine direkte wan anmeldung mer zulassen
Würde ich Dir bei einem 08/15-Passwort auch nicht empfehlen.

Viele Grüße
Jirka
garfield0815

Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Beitrag von garfield0815 »

@ cpuprofi


wir reden hir doch über wan anmeldung an deine "eigene" tk anlage bzw lankom
oder ?????

versuch doch mahl bei einem nicht telekom anschluss die an deine telekom tlefon nummer anzumelden
soweit ich das weis geht es nicht da die tkom ihre nummern an den ensprechenden anschluss bandelt (warum auch immer :G) )
nfone macht soweit ich weis inzwischen viel über vpn


und klahr man kann passwörter so gestalten das sie vermutlich nicht knackbar sind nur meistens sind dan diese nicht praxistauglich oder werden irgendwie auf diversen geräten gespeicert oder via mail verschickt

tk die mir certifikat arbeiten hmm asterisk
mac bündelung asterisk ......


klahr jeder soll seinen anschluss nach seinen vorstellungen einstellen egel ob es nun ein lankom oder sonstiges gerät ist
nur man sollte nicht nur die vorteile sehen sondern auch mahl die risiken erleutern

und es gibt heutzutage genügend programme die passwörter knacken und wenn sie nur wochen lang diverse kombinationen versuchen
auch wenn mir dahmahls der anschluss gehäckt wurde es war ja nicht nur das passwort sonder die musten ja auch noch die passende sip id herausfinden
das sich da keiner hinsetzen wird und dies manuell tut dürfte auch klahr sein

und solange die configs der lancoms gespeicert werden können und von überall aus geöffnet werden können und anschliesend über drucken die passwörter im klartext stehen

selbst die vpn config schrebt alles im klahrtext

nuja
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Beitrag von backslash »

Hi garfield0815
mac bündelung asterisk ......
das hat aber nichts mit dem Thema hier zu tun - es geht um Anmeldung vom WAN und da kannst du eine MAC-Bindung vergessen (bzw. es darf jeder rein, wenn du die MAC-Adresse des Gateways einbträgst).
tk die mir certifikat arbeiten hmm asterisk
sobald du mit dem Zertifikat aber das machst:
oder werden irgendwie auf diversen geräten gespeicert oder via mail verschickt
dann hast du das gleiche Problem, wie bei einem sicheren Paßwort... (auch wenn du das Zertifikat in einen PKCS12 Container packst, dann mußt du dem Container auch ein sicheres Paßwort geben, daß du irgendwie übermitteln mußt)

letztendlich bringt dir ein (ggf. selbst signiertes) Zertifikat keine größerte Sicherheit als ein sicheres Paßwort... Und bete, daß der PC, auf dem das Zertifikat erstellt wurde, einen guten Zufallsgenerator hat - denn sonst fährst du selbst mit einem unsicheren Paßwort besser

Gruß
Backslash
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: SIP-Client-Anmeldung per WAN in ALL-IP Option zulassen

Beitrag von cpuprofi »

Hallo,
garfield0815 hat geschrieben:...auch wenn mir dahmahls der anschluss gehäckt wurde es war ja nicht nur das passwort sonder die musten ja auch noch die passende sip id herausfinden...
dann teile uns doch bitte mal mit, wie Deine "damalige" SIP-ID und PW aufgebaut waren? So dass diese "gehackt" wurden...

Eine x stellige SIP-ID + 15 oder mehr stelligen Passwort (Buchstaben, Zahlen, Sonderzeichen) sollte "locker" als ausreichend "Sicher" gelten.

SIP-ID: 10 + Passwort: 10 sind auf jedem Fall nicht sicher...

Grüße
Cpuprofi
Antworten