Skip to main content

Firewall für easybell VoIP und SIP Trunking konfigurieren

In diesem Artikel erklären wir ausführlich, wie Sie Ihre Firewall korrekt einstellen, damit eine reibungslose Funktion Ihrer IP-Telefone oder -Telefonanlage mit easybell Voice-Anschlüssen oder der Cloud Telefonanlage gewährleistet ist.

Die korrekten Einstellungen einer Firewall hängen neben der Art des Telefonanschlusses von zahlreichen Faktoren ab. Bedingt auch durch die Vielzahl an möglichen Installationen und Firewall-Systemen auf dem Markt, haben wir uns in diesem Artikel so genau wie nötig, aber so allgemein wie möglich gehalten.

Zunächst geben wir einige allgemeingültige Hinweise zur Einrichtung von Firewalls, die in den meisten Fällen bereits ausreichend sein sollten. Im Anschluss gehen wir noch einmal detailliert auf folgende Anwendungsgebiete ein:

Allgemeine Einstellungen

Ports freigeben

Wichtig ist, dass in der Firewall die zur Ihrem Produkt passenden Ports und Protokolle freigegeben sind.

Bei unverschlüsselter Telefonie wird immer das Protokoll UDP verwendet, die Ports können Sie der folgenden Tabelle entnehmen:

SIP-Port RTP-Port Registrar
Einzelrufnummern 5060 oder 5064 (UDP) 20000 - 50000 (UDP) sip.easybell.de oder voip.easybell.de
Rufnummernblöcke 5060 oder 5064 (UDP) 20000 - 50000 (UDP) sip.easybell.de oder voip.easybell.de
easybell Cloud Telefonanlage 5060 (UDP) 10000 - 20000 (UDP) pbx.easybell.de
easybell VoIP to go App 5060 (UDP) 10000 - 20000 (UDP)  

Besonderheiten bei der Cloud Telefonanlage

Bitte beachten Sie, dass die Cloud Telefonanlage ebenfalls Zugriff auf die Domain ctad.easybell.de benötigt. Wenn Sie die automatische Konfiguration von Endgeräten nutzen wollen, stellen Sie bitte außerdem sicher, dass der Port 443 für https freigegeben ist.

Besonderheiten bei verschlüsselter Telefonie

Meist müssen der freigegebene SIP-Port und der Registrar geändert werden um Telefonie zu verschlüsseln. Das Protokoll ist dann TLS, die Ports können Sie der folgenden Tabelle entnehmen.

Bitte beachten Sie, dass sich Verbindungen mit DNS-SRV und der VoIP to go App derzeit noch nicht verschlüsseln lassen.

  SIP-Port RTP-Port Registrar  
Einzelrufnummern 5061 (TLS) 20000 - 50000 (TLS) secure.sip.easybell.de  
Rufnummernblöcke 5061 (TLS) 20000 - 50000 (TLS) secure.sip.easybell.de  
easybell Cloud Telefonanlage 5061 (TLS) 10000 - 20000 (TLS) secure.pbx.easybell.de  

Auf Port-Weiterleitungen verzichten

Beachten Sie dabei bitte, dass eine Weiterleitung nicht gleich eine Freigabe ist. Generell empfehlen wir dringend von festen Port-Weiterleitungen abzusehen!

Freigaben möglichst präzise konfigurieren

Je weiter Sie die Freigaben in der Firewall beschränken, desto sicherer ist die Infrastruktur dahinter. Gehen Sie dabei jedoch mit Bedacht vor um zu verhindern, dass erwünschte Verbindungen blockiert werden.

Für ausgehende Verbindungen können Sie die Freigaben auf die internen IPs der Telefonanlage/Telefone beschränken.

Für eingehende Verbindungen können Sie die Freigaben auf den genutzten Registrar (z.B. sip.easybell.de) beschränken. Sie müssen dann aber unbedingt darauf achten, dass die Telefone im lokalen Netzwerk feste IP-Adressen erhalten, was bei einer Standardeinstellung auf DHCP nicht der Fall ist.

Besonderheiten der Endgeräte beachten

Hardware und Firewalls können sich stark unterscheiden. Achten Sie daher unbedingt auch auf zusätzliche Hinweise der Hersteller.
 

Weitere Tipps zur Netzwerkstruktur

Priorisierung von VoIP-Datenverkehr priorisieren (QoS)

Egal, um welche Installationsvariante es sich handelt, ist es immer von Vorteil, im Netzwerk den den Voice-over-IP-Datenverkehr zu priorisieren. Viele Router und Firewall-Lösungen bieten dafür die Funktion des QoS (Quality of Service) an, welche nach Möglichkeit aktiviert und auf SIP- und RTP-Daten konfiguriert werden sollte.
 

Störung durch andere Netzwerkdienste ausschließen

Die folgenden Dienste können sich negativ auf die IP-Telefonie auswirken und sollten daher soweit es geht deaktiviert werden:

  • SIP-ALG (SIP Application-Layer-Gateway)
  • IGMP-Snooping (Überwachung des Internet Group Management Protocol)
  • ICMP (Internet Control Message Protocol)

Telefone nach Möglichkeit nicht in Subnetzen konfigurieren

Bei komplexeren Installationen kommt häufig weitere Netzwerk-Hardware zum Einsatz um die Reichweite zu erweitern oder mehr Geräte anbinden zu können. Dies macht es aber auch schwerer (Stör-)Einflüsse zu identifizieren. Wenn zum Beispiel ein Subnetz durch einen aktiven Switch verwaltet wird, können dort die oben genannten Dienste unbemerkt aktiviert sein und die IP-Telefonie im Netzwerk beeinträchtigen.

Die Nutzung dieser Techniken ist selbstverständlich möglich, erfordert aber erweiterte Kenntnisse in Netzwerktechnik und Konfiguration von internen Routings. Im Zweifelsfall sollten die oben genannten Dienste daher auf sämtlichen Geräten deaktiviert oder Telefone nicht über diese Subnetze angebunden werden.

Produktspezifische Hinweise

Ergänzend finden Sie hier detaillierte Ausführungen zu den einzelnen Anwendungsgebieten:

Einzelrufnummer mit einem Endgerät
Telefonanlage mit Rufnummernblock/-blöcken
Rufnummernblöcke ohne Telefonanlage
Cloud Telefonanlage
VoIP to go App

easybell Einzelrufnummer mit einem Endgerät

Die einfachste Variante ist die für Heim- und Kleinstinstallationen. Wenn zu Haus oder im Büro lediglich ein einzelnes Telefon an einer Einzelrufnummer registriert ist, müssen nur wenige Punkte beachtet werden.

Die SIP-Registrierung erfolgt bei den meisten IP-Telefonen standardmäßig über den SIP-Port 5060 mit dem Protokoll UDP, alternativ können Sie Ihr Gerät auch auf den SIP-Port 5064 einrichten. Für die Audioübertragung wird hier ein Port-Bereich von 20000-50000 (UDP) genutzt.

Weiterhin ist bei diesen Installationen lediglich darauf zu achten, dass die Services SIP-ALG und IGMP-Snooping deaktiviert sind, was die meisten Router für Heim- und Kleinstinstallationen von Hause aus mitbringen.

Wer auf Nummer sicher gehen möchte und bei wem es die Firewall zulässt, der kann die Port-Freigaben auf die lokale IP-Adresse des Telefons sowie den Hostnamen unseres Registrars (sip.easybell.de) beschränken. Dafür muss das Telefon im lokalen Netzwerk mit einer festen IP-Adresse versehen werden. In der Standardeinstellung sind die Telefone auf DHCP konfiguriert, bei dem sich die IP-Adresse im lokalen Netzwerk regelmäßig ändert. In diesem Fall führt eine IP-Beschränkung natürlich zu Problemen.

  SIP-Port Port-Bereich Registrar
unverschlüsselt 5060 (UDP) oder 5064 20000 - 50000 (UDP) sip.easybell.de oder voip.easybell.de
verschlüsselt 5061 (TLS) 20000 - 50000 (TLS) secure.sip.easybell.de

Telefonanlage mit Rufnummernblock/-blöcken

Im Geschäftsbereich kommen häufig Telefonanlagen mit einem oder mehreren SIP Trunks (Anschluss mit Rufnummernblock) zum Einsatz.

Die SIP-Registrierung erfolgt meist standardmäßig über den SIP-Port 5060 mit dem Protokoll UDP, alternativ können Sie Ihre Anlage auf den Port 5064 einstellen. Für die Audioübertragung wird hier ein Port-Bereich von 20000-50000 (UDP) genutzt.

Zu beachten ist lediglich, dass viele Anlagenhersteller noch spezifische Einstellungen für die Funktion und Erreichbarkeit des Telefonsystems benötigen. Diese entnehmen Sie bitte den Dokumentationen Ihrer gewählten PBX.

Weiter ist es häufig der Fall, dass in größeren, komplexeren Netzwerken natürlich auch mehr Hardware zum Einsatz kommt, welche mit aktiven Elementen die Infrastruktur beeinflusst. So ist es zum Beispiel nicht selten der Fall, dass aktive Switche und/oder weitere Router, welche Subnetze verwalten, die Services SIP-ALG, IGMP-Snooping, ICMP u.ä. bereitstellen oder per Default aktiviert haben. Dies sind Faktoren, die die Funktionen der IP-Telefonie im Netzwerk beeinflussen oder gar stören können. Hier muss daher darauf geachtet werden, dass auch diese zusätzlichen Geräte die genannten Services und Funktionen deaktiviert haben.

Auch ist es wichtig zu beachten, dass komplexe Netzwerkkonstruktionen mit Subnetzen und/oder VLANs die Funktionalitäten beeinträchtigen können. Die Nutzung dieser Techniken ist selbstverständlich möglich, erfordert aber erweiterte Kenntnisse in Netzwerktechnik und Konfiguration von internen Routings.

Sollten Sie eine redundante Internetanbindung oder DNS-SRV nutzen, registrieren Sie Ihre Endgeräte bitte auf dem Registrar voip.easybell.de und passen die Regeln der Firewall entsprechend an, um Probleme mit der Registrierung oder Audioprobleme zu vermeiden.

  SIP-Port Port-Bereich Registrar
unverschlüsselt 5060 oder 5064 (UDP) 20000 - 50000 (UDP) sip.easybell.de oder voip.easybell.de
verschlüsselt 5061 (TLS) 20000 - 50000 (TLS) secure.sip.easybell.de

Mehrere Telefone an einem easybell Trunk (Cloud Accounts)

Die Cloud Telefonanlage von easybell bietet zahlreiche Business-Funktionen wie Call-Pickup, Besetzlampenfelder, Kurzwahl uvm.. Wenn Sie darauf verzichten können, haben Sie bei easybell die Möglichkeit, ohne Telefonanlage mehrere Endgeräte an einem SIP Trunk zu registrieren. Dazu müssen Sie zunächst im Kundenportal Cloud Accounts einrichten um so für jedes einzelne Gerät eigene Registrierungsdaten zu erzeugen.

Die notwendigen Einstellungen in der Firewall sind mit denen für Einzelrufnummern identisch.

Endgeräte an der Cloud Telefonanlage

Wenn Sie eine Cloud Telefonanlage nutzen müssen sich Ihre Endgeräte mit unserer Infrastruktur verbinden können. Die Cloud Telefonanlage hat einen gesonderten SIP-Registrar: pbx.easybell.de. Um die Funktionalität der Web-Oberfläche und einen reibungslosen Ablauf zu gewährleisten, muss außerdem die Domain ctad.easybell.de freigegeben sein.

Die Cloud Telefonanlage nutzt den SIP-Port 5060 oder alternativ 5064. In der Cloud Telefonanlage erfolgt die Audio-Übertragung im Port-Bereich 10000 - 20000. Als Protokoll wird UDP eingesetzt.

Auch bei der Nutzung der easybell Cloud Telefonanlage sollte darauf geachtet werden, dass in dem/den lokalen Netzwerk(en) in dem/denen die Telefone angemeldet sind, keine zusätzlichen Services wie SIP ALG etc. aktiv sind.

Für die automatische Provisionierung der Telefone in der Cloud Telefonanlage wird lediglich der Port 443 für HTTPs benötigt. Dieser ist in der Regel bereits in jedem Router freigegeben.

  SIP-Port Port-Bereich Registrar
unverschlüsselt 5060 (UDP) 10000 - 20000 (UDP) pbx.easybell.de
verschlüsselt 5061 (TLS) 10000 - 20000 (TLS) secure.pbx.easybell.de

VoIP to go App

Egal, ob in der Cloud Telefonanlage oder mit einem SIP Trunk, mit einer Einzelrufnummer oder einem Cloud Account, mit der kostenlosen VoIP to go App machen Sie jedes Smartphone mit iOS oder Android zum IP-Telefon.

Für die VoIP to go App müssen für den SIP-Verkehr die Ports 4998, 5000, 4210 und 4280 (jeweils TCP) freigegeben sein. Außerdem die Ports 4998, 10000-20000 (UDP) für die RTP-Pakete der Applikation. Der Host, an dem sich die Applikation anmeldet lautet webrtc.easybell.de.

Die Einstellungen sind selbstverständlich nur notwendig, wenn die VoIP to go App im jeweils lokalen WLAN genutzt wird. Eine Verwendung über mobile Daten des Telefons erfordert keine Anpassung am lokalen Netzwerk. Bei komplexeren Firewall-Lösungen ist darauf zu achten, dass es häufig gesonderte Regeln für die LAN- und WLAN-Schnittstelle gibt.

Eine Verschlüsselung der Telefonie über die VoIP to go App ist derzeit technisch noch nicht möglich.

SIP-Ports RTP-Pakete Host
4998, 5000, 4210 und 4280 (TCP) 4998, 10000-20000 (UDP) webrtc.easybell.de