Skip to main content

Firewall für easybell VoIP und SIP Trunking konfigurieren

In diesem Artikel erklären wir ausführlich, wie Sie Ihre Firewall korrekt einstellen, damit eine reibungslose Funktion Ihrer IP-Telefone oder -Telefonanlage mit easybell Voice-Anschlüssen oder der Cloud Telefonanlage gewährleistet ist.

Die korrekten Einstellungen einer Firewall hängen neben der Art des Telefonanschlusses von zahlreichen Faktoren ab. Bedingt auch durch die Vielzahl an möglichen Installationen und Firewall-Systemen auf dem Markt, haben wir uns in diesem Artikel so genau wie nötig, aber so allgemein wie möglich gehalten.

Zunächst geben wir einige allgemeingültige Hinweise zur Einrichtung von Firewalls, die in den meisten Fällen bereits ausreichend sein sollten. Im Anschluss gehen wir noch einmal detailliert auf folgende Anwendungsgebiete ein:

[Translate to english:] Allgemeine Einstellungen

[Translate to english:] Ports freigeben

[Translate to english:]

Wichtig ist, dass in der Firewall die zur Ihrem Produkt passenden Ports und Protokolle freigegeben sind.

Bei unverschlüsselter Telefonie wird immer das Protokoll UDP verwendet, die Ports können Sie der folgenden Tabelle entnehmen:

[Translate to english:]

[Translate to english:]

[Translate to english:] Besonderheiten bei der Cloud Telefonanlage

[Translate to english:]

Bitte beachten Sie, dass die Cloud Telefonanlage ebenfalls Zugriff auf die Domain ctad.easybell.de benötigt. Wenn Sie die automatische Konfiguration von Endgeräten nutzen wollen, stellen Sie bitte außerdem sicher, dass der Port 443 für https freigegeben ist.

[Translate to english:] Besonderheiten bei verschlüsselter Telefonie

[Translate to english:]

Meist müssen der freigegebene SIP-Port und der Registrar geändert werden um Telefonie zu verschlüsseln. Das Protokoll ist dann TLS, die Ports können Sie der folgenden Tabelle entnehmen.

Bitte beachten Sie, dass sich Verbindungen mit DNS-SRV und der VoIP to go App derzeit noch nicht verschlüsseln lassen.

[Translate to english:]

[Translate to english:]

[Translate to english:] Auf Port-Weiterleitungen verzichten

[Translate to english:]

Beachten Sie dabei bitte, dass eine Weiterleitung nicht gleich eine Freigabe ist. Generell empfehlen wir dringend von festen Port-Weiterleitungen abzusehen!

[Translate to english:] Freigaben möglichst präzise konfigurieren

[Translate to english:]

Je weiter Sie die Freigaben in der Firewall beschränken, desto sicherer ist die Infrastruktur dahinter. Gehen Sie dabei jedoch mit Bedacht vor um zu verhindern, dass erwünschte Verbindungen blockiert werden.

Für ausgehende Verbindungen können Sie die Freigaben auf die internen IPs der Telefonanlage/Telefone beschränken.

Für eingehende Verbindungen können Sie die Freigaben auf den genutzten Registrar (z.B. sip.easybell.de) beschränken. Sie müssen dann aber unbedingt darauf achten, dass die Telefone im lokalen Netzwerk feste IP-Adressen erhalten, was bei einer Standardeinstellung auf DHCP nicht der Fall ist.

[Translate to english:] Besonderheiten der Endgeräte beachten

[Translate to english:]

Hardware und Firewalls können sich stark unterscheiden. Achten Sie daher unbedingt auch auf zusätzliche Hinweise der Hersteller.
 

[Translate to english:]

[Translate to english:] Priorisierung von VoIP-Datenverkehr priorisieren (QoS)

[Translate to english:]

Egal, um welche Installationsvariante es sich handelt, ist es immer von Vorteil, im Netzwerk den den Voice-over-IP-Datenverkehr zu priorisieren. Viele Router und Firewall-Lösungen bieten dafür die Funktion des QoS (Quality of Service) an, welche nach Möglichkeit aktiviert und auf SIP- und RTP-Daten konfiguriert werden sollte.
 

[Translate to english:] Störung durch andere Netzwerkdienste ausschließen

[Translate to english:]

Die folgenden Dienste können sich negativ auf die IP-Telefonie auswirken und sollten daher soweit es geht deaktiviert werden:

  • SIP-ALG (SIP Application-Layer-Gateway)
  • IGMP-Snooping (Überwachung des Internet Group Management Protocol)
  • ICMP (Internet Control Message Protocol)

[Translate to english:] Telefone nach Möglichkeit nicht in Subnetzen konfigurieren

[Translate to english:]

Bei komplexeren Installationen kommt häufig weitere Netzwerk-Hardware zum Einsatz um die Reichweite zu erweitern oder mehr Geräte anbinden zu können. Dies macht es aber auch schwerer (Stör-)Einflüsse zu identifizieren. Wenn zum Beispiel ein Subnetz durch einen aktiven Switch verwaltet wird, können dort die oben genannten Dienste unbemerkt aktiviert sein und die IP-Telefonie im Netzwerk beeinträchtigen.

Die Nutzung dieser Techniken ist selbstverständlich möglich, erfordert aber erweiterte Kenntnisse in Netzwerktechnik und Konfiguration von internen Routings. Im Zweifelsfall sollten die oben genannten Dienste daher auf sämtlichen Geräten deaktiviert oder Telefone nicht über diese Subnetze angebunden werden.

[Translate to english:] Produktspezifische Hinweise

[Translate to english:]

Ergänzend finden Sie hier detaillierte Ausführungen zu den einzelnen Anwendungsgebieten:

[Translate to english:]

[Translate to english:]

[Translate to english:]

[Translate to english:]

[Translate to english:]

[Translate to english:]

[Translate to english:]