Skip to main content
help center

How do I need to configure my firewall for easybell VoIP and SIP trunking?

We explain how to configure your firewall for easybell VoIP and SIP trunking.

Please release Port 5060 up to 5064 for TCP and UDP, and also Port 10000 up to 50000 for UDP.

A release for certain IP addresses is not possible, because we are using different ones depending on location and load.

 

[Translate to english:] easybell Einzelrufnummer mit einem einzelnen Telefon

[Translate to english:]

Die einfachste Variante ist die für Heim- und Kleinstinstallationen. Wenn zu Haus oder im Büro lediglich ein einzelnes Telefon an einer Einzelrufnummer registriert ist, müssen nur wenige Punkte beachtet werden.

Die SIP-Registrierung erfolgt bei den meisten VoIP Telefonen standardmäßig über den SIP-Port 5060 (wahlweise 5064, wenn im Telefon angepasst) mit dem Protokoll UDP (wahlweise TCP, wenn im Telefon angepasst). Für die Audioübertragung wird hier ein Port-Bereich von 20000-50000 (UDP) genutzt. Wichtig ist, dass in der Firewall diese Ports freigegeben sind. Beachten Sie dabei bitte, dass eine Weiterleitung nicht gleich eine Freigabe ist.

Generell empfehlen wir dringend von festen Port-Weiterleitungen abzusehen!

Weiterhin ist bei diesen Installationen lediglich darauf zu achten, dass die Services NAT, SIP-ALG und IGMP-Snooping deaktiviert sind, was die meisten Router für Heim- und Kleinstinstallationen von Hause aus mitbringen.

Wer auf Nummer sicher gehen möchte und bei wem es die Firewall zulässt, der kann die Port-Freigaben auf die lokale IP-Adresse des Telefons sowie den Hostnamen unseres Registrar (sip.easybell.de) beschränken. Dafür muss das Telefon im lokalen Netzwerk mit einer festen IP-Adresse versehen werden. In der Standardeinstellung sind die Telefone auf DHCP konfiguriert, bei dem sich die IP-Adresse im lokalen Netzwerk regelmäßig ändert. In diesem Fall führt eine IP-Beschränkung natürlich zu Problemen.

[Translate to english:] easybell Trunk an einer lokalen Telefonanlage

[Translate to english:]

Das nächste Beispiel beschreibt die Installation einer lokalen Telefonanlage, welche sich an einem oder mehreren easybell-Trunks (Anschluss mit Rufnummernblock) registriert.

Hierbei gelten generell die Einstellungen wie bereits im oberen Beispiel genannt. Die SIP-Registrierung erfolgt meistens standardmäßig über den SIP-Port 5060 (wahlweise 5064, wenn dies entsprechend angepasst wurde) mit dem Protokoll UDP (wahlweise TCP). Für die Audioübertragung wird hier ein Port-Bereich von 20000-50000 (UDP) genutzt. Wichtig ist, dass in der Firewall diese Ports freigegeben sind. Beachten Sie dabei bitte, dass eine Weiterleitung nicht gleich eine Freigabe ist.

Generell empfehlen wir dringend von festen Port-Weiterleitungen abzusehen!

Zu beachten ist lediglich, dass viele Anlagenhersteller noch spezifische Einstellungen für die Funktion und Erreichbarkeit des Telefonsystems benötigen. Diese entnehmen Sie bitte den Dokumentationen Ihrer gewählten PBX.

Weiter ist es häufig der Fall, dass in größeren, komplexeren Netzwerken natürlich auch mehr Hardware zum Einsatz kommt, welche mit aktiven Elementen die Infrastruktur beeinflusst. So ist es zum Beispiel nicht selten der Fall, dass aktive Switche und/oder weitere Router, welche Subnetze verwalten, die genannten Services bereitstellen oder per Default aktiviert haben. Dies sind Faktoren, die die Funktionen der Voice over IP-Telefonie im Netzwerk beeinflussen oder gar stören können. Hier muss daher darauf geachtet werden, dass auch diese zusätzlichen Geräte die genannten Services und Funktionen deaktiviert haben.

Auch ist es wichtig zu beachten, dass komplexe Netzwerkkonstruktionen mit Subnetzen und/oder VLANs die Funktionalitäten beeinträchtigen können. Die Nutzung dieser Techniken ist selbstverständlich möglich, erfordert aber erweiterte Kenntnisse in Netzwerktechnik und Konfiguration von internen Routings.

[Translate to english:] Mehrere Telefone an einem easybell Trunk (Cloud Accounts)

[Translate to english:]

Um mehrere Telefone an einem easybell-Trunk zu registrieren, müssen zunächst im easybell-Kundenportal Cloud Accounts eingerichtet werden. So werden für jedes Endgerät eigene Registrierungsdaten erzeugt und eine  eindeutige Zuordnung des Datenverkehrs ist gegeben. Aus diesem Grund benötigt diese Variante keine zusätzliche Konfiguration der Firewall. Sofern die folgenden Ports freigegeben sind (Bitte beachten: Eine Weiterleitung ist keine Freigabe) und die Funktionen SIP-ALG, NAT, IGMP und ICMP deaktiviert sind, sollte die Telefonie bereits funktionieren. Auch hier gilt, wenn möglich eine Beschränkung in den Firewall-Regeln für die genutzten, lokalen IP-Adressen zu nutzen, um die Sicherheit zu erhöhen.-

SIP-Port5060 (5064), UDP (TCP)
secure SIP5061 (TLS)
RTP-Port20000 - 50000 (UDP)
sRTP20000 - 50000 (TLS)

 

[Translate to english:] Telefonie mit Einzelrufnummern oder Trunks über verschlüsselte Telefonie

[Translate to english:]

Wenn bei Einzelrufnummern oder Trunks die Verschlüsselte Telefonie genutzt werden soll, ist auf jeden Fall in der Firewall eine Anpassung der Standard-Ports notwendig. Hierbei ist zu beachten, dass die easybell-Infrastruktur für die verschlüsselte Telefonie einen gesonderten Registrar zur Verfügung stellt.Dieser lautet:

secure.sip.easybell.de

Der erforderliche SIP-Port muss ebenfalls angepasst werden. Hier ist der Port 5061 zu verwenden. Einen Alternativ-Port gibt es in diesem Fall nicht. Für RTP Pakete bleibt der Port-Bereich mit 20000 - 50000 identisch, allerdings nun mit dem Protokoll TLS.

[Translate to english:] Endgeräte an der Cloud Telefonanlage

[Translate to english:]

Kommt die Cloud Telefonanlage zum Einsatz gibt es zu der bisherigen Konfiguration lediglich eine Abweichung zu beachten. Der SIP-Registrar heißt nun:

pbx.easybell.de

Dies ist wichtig, soll in der Firewall eine Beschränkung des SIP-Ports 5060 auf den Registrar gesetzt werden. Weiterhin bietet die Cloud Telefonanlage nur den SIP-Port 5060. Die Nutzung des Alternativ-Port 5064 ist hier NICHT möglich. Die Port-Bereiche für die Audio-Übertragung bleiben ebenfalls identisch bei 20000 - 50000.

Auch bei der Nutzung der easybell Cloud Telefonanlage sollte darauf geachtet werden, dass in dem/den lokalen Netzwerk(en) in dem/denen die Telefone angemeldet sind, keine zusätzlichen Services wie NAT etc. aktiv sind.

[Translate to english:] Cloud Telefonanlage mit verschlüsselter Telefonie nutzen

[Translate to english:]

Um die Verschlüsselte Telefonie an der Cloud Telefonanlage zu nutzen, muss der Registrar angepasst werden. Dieser lautet nun:

secure.pbx.easybell.de

Auch hier ändert sich der SIP-Port auf 5061 (TLS) und der Port-Bereich für RTP auf 20000 - 50000 (TLS).

[Translate to english:] VoIP to go App

[Translate to english:]

Wird die VoIP to go App von easybell genutzt (egal ob über die Cloud Telefonanlage oder an einer Einzelrufnummer registriert), muss zusätzlich zu dem Audio-Port-Bereich der Telefone, der Bereich 10000 - 20000 (UDP) geöffnet werden. Die App arbeitet ebenfalls mit dem SIP-Port 5060, weshalb hier keine zusätzliche Anpassung notwendig ist.

Die Einstellungen sind selbstverständlich nur notwendig, wenn die VoIP to go App im jeweils lokalen WLAN genutzt wird. Eine Verwendung über mobile Daten des Telefons erfordert keine Anpassung am lokalen Netzwerk. Bei komplexeren Firewall-Lösungen ist darauf zu achten, dass es häufig gesonderte Regeln für die LAN- und WLAN-Schnittstelle gibt.


[Translate to english:] Port-Freigaben

[Translate to english:]

[Translate to english:] Zusammenfassung

[Translate to english:] <p>Port-Freigaben:</p>
 
<p>Einzelrufnummern und Trunks:
- SIP-Port: 5060 (5064), UDP (TCP)
- secure SIP: 5061 (TLS)</p>
 
<p>- RTP-Port: 20000 - 50000 (UDP)
- sRTP: 20000 - 50000 (TLS)</p>
 
<p>
easybell Cloud Telefonanlage:
- SIP-Port: 5060, UDP
- secure SIP: 5061 (TLS)</p>
 
<p>- RTP-Port: 20000 - 50000 (UDP)
- sRTP: 20000 - 50000 (TLS)</p>
 
<p>
easybell Applikation:
- SIP: 5060 (UDP)
- RTP: 10000 - 20000 (UDP)</p>
 
<p>
Zu deaktivierende Services:
- NAT (Network Address Translation)
- SIP-ALG (SIP Application-Layer-Gateway)
- IGMP-Snooping (Überwachung des Internet Group Management Protocol)
- ICMP (Internet Control Message Protocol)</p>
 
<p>Weitere Hinweise:
- Auf keinen Fall Port-Forwarding Weiterleitung aktivieren!
- Die Freigaben für ausgehende Verbindungen auf die internen IPs der Telefonanlage/Telefone beschränken.
- Die Freigaben für eingehende Verbindungen auf den genutzten Registrar (sip.easybell.de, secure.sip.easybell.de, pbx.easybell.de, secure.pbx.easybell.de) beschränken.
- Telefone und Telefonanlagen nicht über WLAN verbinden.
- Telefone nach Möglichkeit nicht in Subnetzen konfigurieren.
- Priorisierung von VoIP-Datenverkehr priorisieren (QoS).
- Auf zusätzliche Hinweise der Firewall-Konfiguration der Telefonanlagenhersteller achten.
&nbsp;</p>