Asterisk (FreePBX) und Unifi Firewall

Es gibt 18 Antworten in diesem Thema, welches 2.583 mal aufgerufen wurde. Der letzte Beitrag () ist von jkasten.

    Hallo Leute,


    ich habe mir eine Asterisk (FreePBX) als virtuelle Maschine eingerichtet (auf Grundlage der Videos von https://www.youtube.com/@griebsch.

    Der Server steht im 200er VLAN. Portweiterleitungen von Extern für SIP habe ich eingerichtet (ohne Beschränkung auf irgendwelche Netzte). Als Client auf dem Android-Phone verwende ich Groundwire (auch von extern genutzt).

    Mir geht es nur um die Erreichbarkeit der Festnetznummern auf den Mobiltelefonen (wir haben keine Festnetz/DECT/Voip-Telefone). Das funktioniert auch alles.

    Im Unifi Systemlog sehe ich auch die eingehenden Blockierungen zur FreePBX. Allerdings habe ich auch regelmäßig ausgehende Blockierung von der FreePBX - zumindest deute ich das so.

    Ist das korrekt bzw was blockiert er da? Als SIP-Trunks habe ich Telekom-Trunks eingerichtet.Oder sollte ich die IP der FreePBX in die "Security Detection Allow List" als 'Allowed Source' aufnehmen?


    Grüße



    Ich frage mich was die FreePBX da in Amerika will... Mit den Telekom Trunks hat das nichts zu tun. So lange alles funktioniert würde ich einen Teufel tun das frei zu geben.

    Ich hab das noch mal geprüft, das sind Hacker die deine Anlage hacken wollen! Auf gar keinen Fall frei geben!!! Siehe hier: http://www.networksystemssolutions.org.uk/voipblocklist.php


    Des weiteren beschränke deinen SIP Port (5060) auf das Netz der Telekom :217.0.0.0/13

    Gefällt mir 1

    Hallo,


    warum eigentlich Port (5060) Weiterleitungen fürs telefonieren? Ich hab bei mir die FRITZ!Box (Telekom) hinter der UDM-SE im eigenen VLAN und keinerlei Ports nach Außen hin freigegeben oder weitergeleitet. Ich kann telefonieren und auch angerufen werden. Die FRITZ!Box stellt doch von ihnen nach außen die Verbindung her und hält den Kontakt zur Vermittlung aufrecht. Ist das bei anderen Telefon Anlagen anders?


    Besser ist es jedenfalls die ausgehende eingehende Verbindung zur Telefonanlage auf das Netz der Telekom zu beschränken. :winking_face:

    Einmal editiert, zuletzt von Curiosity () aus folgendem Grund: Fehler korrigiert. Neu = rot

    Zitat von Curiosity

    Hallo,


    warum eigentlich Port (5060) Weiterleitungen fürs telefonieren? Ich hab bei mir die FRITZ!Box (Telekom) hinter der UDM-SE im eigenen VLAN und keinerlei Ports nach Außen hin freigegeben oder weitergeleitet. Ich kann telefonieren und auch angerufen werden. Die FRITZ!Box stellt doch von ihnen nach außen die Verbindung her und hält den Kontakt zur Vermittlung aufrecht. Ist das bei anderen Telefon Anlagen anders?


    Besser ist es jedenfalls die ausgehende Verbindung der Telefonanlage auf das Netz der Telekom zu beschränken. :winking_face:

    Ja das ist anders... Ausgehend würde ich auf gar keinen Fall beschränken und macht gar keinen Sinn weil dann keine Verbindung mehr zur Handy App möglich ist.

    Ah okay, wusste ich auch noch nicht.

    Zitat von jkasten

    Des weiteren beschränke deinen SIP Port (5060) auf das Netz der Telekom :217.0.0.0/13

    Mit beschränken meinte ich ja das, was du oben geschrieben hast.


    Meintest du die Fritz!Fon App? Die funktioniert bei mir eh nicht mehr, seitdem ich die Netzwerke aufgeteilt habe. Bekomme mit der App keinen Connect zustande, hab es inzwischen auch aufgegeben das hinzubekommen. Dazu telefoniere ich zu wenig und die paar Male die das Telefon bei uns klingelt, lohnt sich der Aufwand nicht. :grinning_face_with_smiling_eyes:

    Die Beschränkung bezieht sich auf die Portweiterleitung 5060. Damit umgeht man die diversen Angriffsversuche. Also ein und nicht ausgehend.

    Zitat von wildmaster

    Ich habe in den Firewall Rules sowohl ein- als auch ausgehende Verbindungen auf die 217.x.x.x der Telekom begrenzt.

    Warum sollte die PBX mit etwas anderem Verbindung aufnehmen sollen?

    zb mit deiner Handy App 🤷‍♂️


    Edit: Ach ja und der Ton sollte ja auch beim Gegenüber ankommen und der geht direkt per rtp und nicht per sip über die Telekom.

    Hm, muss ich noch mal nachsehen, was ich genau eingetragen habe.

    Aber seitdem hört es auf, dass mir FreePBX meldet, dass jemand Zugreifen wollte bzw. das IPs gebannt wurden.

    Zoiper bzw. Bria funktionieren trotzdem, also alle Handys können über PBX telefonieren :smiling_face:

    Dann wirst du nur den SIP port begrenzt haben wie von mir vorgeschlagen.

    Gefällt mir 1
    Zitat von darkman242

    Okay, danke für die Hinweise. Wenn ich den Port 5060 auf das Telekom-Netz beschränke habe ich aber keine Möglichkeit mein Handy extern als SIP-Client zu verwenden. Wie könnte ich das lösen?

    Wenn sich Dein Handy im WLAN befindet, dann dürfte es kein Problem geben.
    Sobald Du aber "extern" bist - was für mich so klingt wie "nicht mehr im WLAN" - dann müsstest Du via VPN angebunden sein, damit Du Deine PBX nutzen kannst. Es sei denn, die ist grundsätzlich von aussen (extern) sichtbar und nutzbar.

    Oder übersehe ich etwas, bzw. hab Deine Problematik falsch verstanden?

    Handy im WLAN funktioniert. Viel wichtiger ist mir aber unterwegs über das Handy auf den Festnetznummern erreichbar zu sein.

    Das funktioniert auch über die Groundwire-App und die Portfreigaben im Router. Habe jetzt den Standard-SIP-Port in Asterisk von 5060 weg geändert und die Beschränkung auf das Telekom-Netz ebenfalls entfernt. Somit funktioniert alles und die Attacken auf 5060 (FreePBX) sind damit weg (oder weniger).


    Danke für die Hinweise

    Das ist natürlich blöd wenn die App den Port brauch. Auch den alternativen Port werden die irgendwann finden und die Attacken gehen von vorne los. Ich arbeite seit Jahren nur mit 3CX und da nutzt die App einen Tunnel zur Telefonanlage der einen anderen Port nutzt als den SIP Port.

    Zitat von jkasten

    Das ist natürlich blöd wenn die App den Port brauch. Auch den alternativen Port werden die irgendwann finden und die Attacken gehen von vorne los. Ich arbeite seit Jahren nur mit 3CX und da nutzt die App einen Tunnel zur Telefonanlage der einen anderen Port nutzt als den SIP Port.

    Du hast die 3CX bei Dir zu Hause liegen oder?

    Meine private ja, habe aber auch diverse Anlagen bei Firmen oder bei Hetzner.