Die korrekten Einstellungen einer Firewall hängen neben der Art des Telefonanschlusses von zahlreichen Faktoren ab. Bedingt auch durch die Vielzahl an möglichen Installationen und Firewall-Systemen auf dem Markt, haben wir uns in diesem Artikel so genau wie nötig, aber so allgemein wie möglich gehalten.

Zunächst geben wir einige allgemeingültige Hinweise zur Einrichtung von Firewalls, die in den meisten Fällen bereits ausreichend sein sollten. Im Anschluss gehen wir noch einmal detailliert auf konkrete Anwendungsgebiete ein.

Allgemeine Einstellungen

Ports freigeben

Wichtig ist, dass in der Firewall die zur Ihrem Produkt passenden Ports und Protokolle freigegeben sind.

Bei unverschlüsselter Telefonie wird immer das Protokoll UDP oder TCP verwendet, die Ports können Sie der folgenden Tabelle entnehmen:

Beachten Sie dabei bitte, dass eine Weiterleitung nicht gleich eine Freigabe ist. Generell empfehlen wir dringend von festen Port-Weiterleitungen abzusehen!

  SIP-Port RTP-Port Registrar
Einzelrufnummern 5060 oder 5064 (UDP/TCP) 20000 - 50000 (UDP/TCP) sip.easybell.de oder voip.easybell.de
Rufnummernblöcke 5060 oder 5064 (UDP/TCP) 20000 - 50000 (UDP/TCP) sip.easybell.de oder voip.easybell.de
Cloud Telefonanlage 5060 (UDP/TCP) 10000 - 20000 (UDP/TCP) pbx.easybell.de
Easybell-App 5060 (UDP) 10000 - 20000 (UDP)  

Besonderheiten bei der Cloud Telefonanlage

Bitte beachten Sie, dass die Cloud Telefonanlage ebenfalls Zugriff auf die Domain ctad.easybell.de benötigt. Wenn Sie die automatische Konfiguration von Endgeräten nutzen wollen, stellen Sie bitte außerdem sicher, dass der Port 443 für https freigegeben ist.

Besonderheiten bei verschlüsselter Telefonie

Meist müssen der freigegebene SIP-Port und der Registrar geändert werden um Telefonie zu verschlüsseln. Das Protokoll ist dann TLS, die Ports können Sie der folgenden Tabelle entnehmen.

Bitte beachten Sie, dass sich Verbindungen mit DNS-SRV und der VoIP to go App derzeit noch nicht verschlüsseln lassen.

  SIP-Port RTP-Port Registrar  
Einzelrufnummern 5061 (TLS) 20000 - 50000 (TLS) secure.sip.easybell.de  
Rufnummernblöcke 5061 (TLS) 20000 - 50000 (TLS) secure.sip.easybell.de  
easybell Cloud Telefonanlage 5061 (TLS) 10000 - 20000 (TLS) secure.pbx.easybell.de  

NAT als zusätzliches Sicherheitsmerkmal nutzen

In 95% der Anwendungsfälle ist es ausreichend, NAT als Sicherheitsmerkmal zu nutzen, anstatt die Konfiguration der Firewall anzupassen und dabei evtl. notwendige Verbindungen zu blockieren.

NAT steht für „Network Address Translation“ und ist eine in den meisten Routern integrierte Funktion. Bei Verbindungen ins Internet wird dadurch statt der lokalen Netzwerkadresse (LAN) eine abweichende, öffentliche Adresse kommuniziert. Antworten werden unter dieser öffentlichen „Identität“ angenommen und an das lokale Netzwerkgerät weitergeleitet. Der Router speichert die Zuordnung von lokaler Adresse zur WAN-Adresse in der sogenannten NAT-Tabelle.

Die Besonderheit: Die Daten werden nur dann an das Gerät weitergeleitet, wenn vorher eine ausgehende Verbindung bestanden hatte. Diese Funktionsweise ergänzt sich in der Regel perfekt mit IP-Telefonie. Denn bei Voice-over-IP wird immer zunächst eine Verbindung aus dem lokale Netzwerk ins Internet aufgebaut, sei es bei der Registrierung eines Endgeräts oder bei einem ausgehenden Anruf. Mit NAT wird der Router dann eine WAN-Adresse bereitstellen und anschließend Antworten von dieser öffentlichen (WAN) an die lokale Adresse (LAN) weiterleiten. Der Austausch von Datenpaketen ist also in beide Richtungen sichergestellt.

Gleichzeitig werden alle unberechtigten Zugriffe von außen blockiert – NAT wirkt dadurch wie eine rudimentäre Firewall.

Vorsicht bei zu restriktiven Einstellungen!

Je weiter Sie die Freigaben in der Firewall beschränken, desto sicherer ist die Infrastruktur dahinter. Gehen Sie dabei jedoch mit Bedacht vor, um zu verhindern, dass erwünschte Verbindungen blockiert werden.

  • Sie sollten für Freigaben immer den FQDN, also die Server-Adresse nutzen (z.B. voip.easybell.de). Die dahinter verborgenen IP-Adressen können sich jederzeit ändern.
  • Für ausgehende Verbindungen können Sie die Freigaben auf die internen IPs der Telefonanlage/Telefone beschränken.
  • Für eingehende Verbindungen können Sie die Freigaben auf den genutzten Registrar (z.B. sip.easybell.de) beschränken. Sie müssen dann aber unbedingt darauf achten, dass die Telefone im lokalen Netzwerk feste IP-Adressen erhalten, was bei einer Standardeinstellung auf DHCP nicht der Fall ist.

Besonderheiten der Endgeräte beachten

Hardware und Firewalls können sich stark unterscheiden. Achten Sie daher unbedingt auch auf zusätzliche Hinweise der Hersteller.

Lesen Sie bspw. die Hinweise des Herstellers AVM zu „Sicherheitsfunktionen (Firewall) der FRITZ!Box“.

 

VoIP-Datenverkehr priorisieren (QoS)

Egal, um welche Installationsvariante es sich handelt, ist es immer von Vorteil, im Netzwerk den den Voice-over-IP-Datenverkehr zu priorisieren. Viele Router und Firewall-Lösungen bieten dafür die Funktion des QoS (Quality of Service) an, welche nach Möglichkeit aktiviert und auf SIP- und RTP-Daten konfiguriert werden sollte.
 

Störung durch andere Netzwerkdienste ausschließen

Die folgenden Dienste können sich negativ auf die IP-Telefonie auswirken und sollten daher soweit es geht deaktiviert werden:

  • SIP-ALG (SIP Application-Layer-Gateway)
  • IGMP-Snooping (Überwachung des Internet Group Management Protocol)
  • ICMP (Internet Control Message Protocol)

Telefone nach Möglichkeit nicht in Subnetzen konfigurieren

Bei komplexeren Installationen kommt häufig weitere Netzwerk-Hardware zum Einsatz um die Reichweite zu erweitern oder mehr Geräte anbinden zu können. Dies macht es aber auch schwerer (Stör-)Einflüsse zu identifizieren. Wenn zum Beispiel ein Subnetz durch einen aktiven Switch verwaltet wird, können dort die oben genannten Dienste unbemerkt aktiviert sein und die IP-Telefonie im Netzwerk beeinträchtigen.

Die Nutzung dieser Techniken ist selbstverständlich möglich, erfordert aber erweiterte Kenntnisse in Netzwerktechnik und Konfiguration von internen Routings. Im Zweifelsfall sollten die oben genannten Dienste daher auf sämtlichen Geräten deaktiviert oder Telefone nicht über diese Subnetze angebunden werden.

Produktspezifische Hinweise

Ergänzend finden Sie hier detaillierte Ausführungen zu den einzelnen Anwendungsgebieten:

Einzelrufnummer mit einem Endgerät
Telefonanlage mit Rufnummernblock/-blöcken
Rufnummernblöcke ohne Telefonanlage
Cloud Telefonanlage
VoIP to go App

easybell Einzelrufnummer mit einem Endgerät

Die einfachste Variante ist die für Heim- und Kleinstinstallationen. Wenn zu Haus oder im Büro lediglich ein einzelnes Telefon an einer Einzelrufnummer registriert ist, müssen nur wenige Punkte beachtet werden.

Die SIP-Registrierung erfolgt bei den meisten IP-Telefonen standardmäßig über den SIP-Port 5060 mit dem Protokoll UDP, alternativ können Sie Ihr Gerät auch auf den SIP-Port 5064 einrichten. Für die Audioübertragung wird hier ein Port-Bereich von 20000-50000 (UDP) genutzt.

Weiterhin ist bei diesen Installationen lediglich darauf zu achten, dass die Services SIP-ALG und IGMP-Snooping deaktiviert sind, was die meisten Router für Heim- und Kleinstinstallationen von Hause aus mitbringen.

Wer auf Nummer sicher gehen möchte und bei wem es die Firewall zulässt, der kann die Port-Freigaben auf die lokale IP-Adresse des Telefons sowie den Hostnamen unseres Registrars (sip.easybell.de) beschränken. Dafür muss das Telefon im lokalen Netzwerk mit einer festen IP-Adresse versehen werden. In der Standardeinstellung sind die Telefone auf DHCP konfiguriert, bei dem sich die IP-Adresse im lokalen Netzwerk regelmäßig ändert. In diesem Fall führt eine IP-Beschränkung natürlich zu Problemen.

  SIP-Port Port-Bereich Registrar
unverschlüsselt 5060 (UDP) oder 5064 20000 - 50000 (UDP) sip.easybell.de oder voip.easybell.de
verschlüsselt 5061 (TLS) 20000 - 50000 (TLS) secure.sip.easybell.de

Telefonanlage mit Rufnummernblock/-blöcken

Im Geschäftsbereich kommen häufig Telefonanlagen mit einem oder mehreren SIP Trunks (Anschluss mit Rufnummernblock) zum Einsatz.

Die SIP-Registrierung erfolgt meist standardmäßig über den SIP-Port 5060 mit dem Protokoll UDP, alternativ können Sie Ihre Anlage auf den Port 5064 einstellen. Für die Audioübertragung wird hier ein Port-Bereich von 20000-50000 (UDP) genutzt.

Zu beachten ist lediglich, dass viele Anlagenhersteller noch spezifische Einstellungen für die Funktion und Erreichbarkeit des Telefonsystems benötigen. Diese entnehmen Sie bitte den Dokumentationen Ihrer gewählten PBX.

Weiter ist es häufig der Fall, dass in größeren, komplexeren Netzwerken natürlich auch mehr Hardware zum Einsatz kommt, welche mit aktiven Elementen die Infrastruktur beeinflusst. So ist es zum Beispiel nicht selten der Fall, dass aktive Switche und/oder weitere Router, welche Subnetze verwalten, die Services SIP-ALG, IGMP-Snooping, ICMP u.ä. bereitstellen oder per Default aktiviert haben. Dies sind Faktoren, die die Funktionen der IP-Telefonie im Netzwerk beeinflussen oder gar stören können. Hier muss daher darauf geachtet werden, dass auch diese zusätzlichen Geräte die genannten Services und Funktionen deaktiviert haben.

Auch ist es wichtig zu beachten, dass komplexe Netzwerkkonstruktionen mit Subnetzen und/oder VLANs die Funktionalitäten beeinträchtigen können. Die Nutzung dieser Techniken ist selbstverständlich möglich, erfordert aber erweiterte Kenntnisse in Netzwerktechnik und Konfiguration von internen Routings.

Sollten Sie eine redundante Internetanbindung oder DNS-SRV nutzen, registrieren Sie Ihre Endgeräte bitte auf dem Registrar voip.easybell.de und passen die Regeln der Firewall entsprechend an, um Probleme mit der Registrierung oder Audioprobleme zu vermeiden.

  SIP-Port Port-Bereich Registrar
unverschlüsselt 5060 oder 5064 (UDP) 20000 - 50000 (UDP) sip.easybell.de oder voip.easybell.de
verschlüsselt 5061 (TLS) 20000 - 50000 (TLS) secure.sip.easybell.de

Mehrere Telefone an einem easybell Trunk mit virtuellen Durchwahlen

Die Cloud Telefonanlage von easybell bietet zahlreiche Business-Funktionen wie Call-Pickup, Besetztlampenfelder, Kurzwahl u.a. Wenn Sie darauf verzichten können, haben Sie bei easybell die Möglichkeit, ohne Telefonanlage mehrere Endgeräte an einem SIP Trunk zu registrieren. Dazu müssen Sie zunächst im Kundenportal virtuelle Durchwahlen einrichten, um so für jedes einzelne Gerät eigene Registrierungsdaten zu erzeugen.

Die notwendigen Einstellungen in der Firewall sind mit denen für Einzelrufnummern identisch.

Endgeräte an der Cloud Telefonanlage

Wenn Sie eine Cloud Telefonanlage nutzen, müssen sich Ihre Endgeräte mit unserer Infrastruktur verbinden können. Die Cloud Telefonanlage hat einen gesonderten SIP-Registrar: pbx.easybell.de. Um die Funktionalität der Web-Oberfläche und einen reibungslosen Ablauf zu gewährleisten, muss außerdem die Domain ctad.easybell.de freigegeben sein.

Die Cloud Telefonanlage nutzt den SIP-Port 5060. In der Cloud Telefonanlage erfolgt die Audio-Übertragung im Port-Bereich 10000 - 20000. Als Protokoll wird UDP eingesetzt.

Auch bei der Nutzung der easybell Cloud Telefonanlage sollte darauf geachtet werden, dass in dem/den lokalen Netzwerk(en) in dem/denen die Telefone angemeldet sind, keine zusätzlichen Services wie SIP ALG etc. aktiv sind.

Für die automatische Provisionierung der Telefone in der Cloud Telefonanlage wird lediglich der Port 443 für HTTPs benötigt. Dieser ist in der Regel bereits in jedem Router freigegeben.

  SIP-Port Port-Bereich Registrar
unverschlüsselt 5060 (UDP) 10000 - 20000 (UDP) pbx.easybell.de
verschlüsselt 5061 (TLS) 10000 - 20000 (TLS) secure.pbx.easybell.de

VoIP to go App

Egal, ob in der Cloud Telefonanlage oder mit einem SIP Trunk, mit einer Einzelrufnummer oder einer virtuellen Durchwahl, mit der kostenlosen VoIP to go App machen Sie jedes Smartphone mit iOS oder Android zum IP-Telefon.

Für die VoIP to go App müssen für den SIP-Verkehr die Ports 4998, 5000, 4210 und 4280 (jeweils TCP) freigegeben sein. Außerdem die Ports 4998, 10000-20000 (UDP) für die RTP-Pakete der Applikation. Der Host, an dem sich die Applikation anmeldet lautet webrtc.easybell.de.

Die Einstellungen sind selbstverständlich nur notwendig, wenn die VoIP to go App im jeweils lokalen WLAN genutzt wird. Eine Verwendung über mobile Daten des Telefons erfordert keine Anpassung am lokalen Netzwerk. Bei komplexeren Firewall-Lösungen ist darauf zu achten, dass es häufig gesonderte Regeln für die LAN- und WLAN-Schnittstelle gibt.

Eine Verschlüsselung der Telefonie über die VoIP to go App ist derzeit technisch noch nicht möglich.

SIP-Ports RTP-Pakete Host
4998, 5000, 4210 und 4280 (TCP) 4998, 10000-20000 (UDP) webrtc.easybell.de