• Der Fragesteller hat diesen Beitrag als gelöst markiert.
  • Geschlossen

VoIP durch IPFire

Flash1232
Level 4
1 von 6

Hallo liebe Swisscömmler

 

Seit einigen Jahren verwende ich einen IPFire hinter den Internet-Boxen (DMZ-Modus), die bereits mehrere Generationen hinter sich haben. Kürzlich wollten wir auf VoIP-Telefone umsteigen, jedoch gestaltet sich das Setup offenbar schwierig. Ich habe bereits Wochen des Googelns hinter mir, jedoch komme ich auf keine verträgliche Lösung, die sowohl Sicherheit als auch Stabilität berücksichtigt.

 

Kontext: Wir besitzen neu ein Gigaset S850A und haben dort die lokalen SIP-Credentials der IB2 hinterlegt (IB2 als SIP-Proxy, Outbound etc.). Das SIP-ALG in den Firewall-Optionen des IPFire ist aktiv und aus dem GREEN (LAN)-Netzwerk kann jederzeit richtung RED (WAN) eine TCP/UDP-Verbindung initiiert werden. Leider führt dies dazu, dass lediglich Telefonate innerhalb des GREEN bidirektional Ton übertragen.

 

Phänomen: Sobald aber z.B. 0800 800 800 gewählt wird, hört man nichts. Wenn ich mit Wireshark die VoIP-Session des IPFire abfange, kann ich jedoch sowohl meine Stimme als auch den Jingle der Swisscom hören. Auch funktioniert es teilweise, wenn man uns von extern anruft oder auf ein Mobile angerufen wird. Irgendwie scheint der IPFire den eingehenden RTP-Traffic der IB2 nicht durchzulassen, wenn ein gewisser Zustand eintritt (der mir nicht ganz einleuchtet).

 

"Lösungen": Nach intensiven Sessions mit Wireshark und SIP-Protokollen habe ich einen Lösungsansatz ausmachen können: Wenn ich in der IPFire-Firewall vom RED jeglichen UDP-Traffic mit D-NAT Richtung Basisstation im GREEN zulasse, funktionieren alle Anrufe. Schön und gut, jedoch eröffne ich damit ein klaffendes Loch in mein Netzwerk, ganz zu schweigen davon, dass RTP-Verkehr unauthentifiziert ist und möglicherweise von einem Angreifer abgehört werden könnte. Bedingung: SIP-ALG muss aktiviert bleiben, ansonsten geht gar nichts, obwohl in vielen Foren dazu geraten wird, die ALG auszuschalten.

 

Die ominöse RTP-Regel:RED to GREEN RTPRED to GREEN RTP

 

Meine Frage nun ist, ob jemand mit einem VoIP + PfSense/ IPFire-Setup Erfolg hatte? Ich würde die Basis ja gerne an die IB2 stöpseln, jedoch steht die im Luftschutzkeller und es gibt die Option nicht...

Seltsamerweise sieht der IPFire den Anrufer als seine eigene externe IP, weshalb ich wohl nicht mal einen Swisscom VoIP-Server whitelisten kann. (Konfigurations-Fehler/ NAT?)

 

Zusammengefasst: Durch externe Firewall: SIP-Handshake funktioniert, RTP-Traffic nur one-Way bis auf günstige Konstellationen (interne Anrufe, Mobiles).

Editiert
HILFREICHSTE ANTWORT1

Akzeptierte Lösungen
Tux0ne
Level 9
4 von 6

Das Setup hat mit zusätzlichem NAT und allenfalls einen Source Port rewrite natürlich eine Fehlerquelle mehr die im Betrieb mit der Internet Box, die ein Gerät im LAN erwartet (weitere Fehlerquelle) sehr ungünstige Voraussetzungen.

Die Internet Box verlangt ja für die lokalen SIP Zugangsdaten ein Gerät, sprich eine IP aus dem LAN? So habe ich das in Erinnerung. Was hast du da angegeben. Die WAN IP von ipfire?

 

Also ich würde da nicht lange fackeln und es mit den SIP Credentials versuchen.

https://www.swisscom.ch/de/privatkunden/hilfe/festnetz/sip-credentials.html

 

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
5 Kommentare 5
user109
Super User
2 von 6

@Flash1232  warum so viel Aufwand betreiben? Datenverkehr durch die Firewall leiten und den Voip-Verkehr direkt über die Internetbox betreiben. Wenn über den VOIP-Trafik eingebrochen wird, dann hat Swisscom so und so ein riesen Problem mit Ihren eigenen VOIP-Devices, Router (und haftet auch dafür). Deshalb finde ich, das Du etwas paranoia hast bezüglich Voip-Security

Knowledge: Netzwerk Allgemein | Telekomunikation | Betriebssysteme| sonstiges
# Wenn ich geholfen habe, könnt ihr mir danken in dem ihr auf den Like klickt #
Knowledge: Netzwerk Allgemein | Telekomunikation | Betriebssysteme| sonstiges
# Wenn ich geholfen habe, könnt ihr mir danken in dem ihr auf den Like klickt #
user109
Super User
3 von 6

@Tux0ne  was ist dazu deine Meinung  / Lösung ?

Knowledge: Netzwerk Allgemein | Telekomunikation | Betriebssysteme| sonstiges
# Wenn ich geholfen habe, könnt ihr mir danken in dem ihr auf den Like klickt #
Knowledge: Netzwerk Allgemein | Telekomunikation | Betriebssysteme| sonstiges
# Wenn ich geholfen habe, könnt ihr mir danken in dem ihr auf den Like klickt #
Tux0ne
Level 9
4 von 6

Das Setup hat mit zusätzlichem NAT und allenfalls einen Source Port rewrite natürlich eine Fehlerquelle mehr die im Betrieb mit der Internet Box, die ein Gerät im LAN erwartet (weitere Fehlerquelle) sehr ungünstige Voraussetzungen.

Die Internet Box verlangt ja für die lokalen SIP Zugangsdaten ein Gerät, sprich eine IP aus dem LAN? So habe ich das in Erinnerung. Was hast du da angegeben. Die WAN IP von ipfire?

 

Also ich würde da nicht lange fackeln und es mit den SIP Credentials versuchen.

https://www.swisscom.ch/de/privatkunden/hilfe/festnetz/sip-credentials.html

 

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
Flash1232
Level 4
5 von 6

Wenn das topologisch drinliegen würde, dann hätte ich das natürlich so gemacht!

 

VoIP ist generell meiner Meinung nach noch nicht im heutigen Zeitalter von SSL/TLS angekommen. Es gibt zwar SRTP, jedoch wird dieses meistens nicht implementiert (wie auch im Fall der Swisscom). Sprachverkehr ist meines Erachtens ebenso sensibel wie sonstiger Datenverkehr. Zusätzlich zu möglichen MITM-Attacken zwischen den Basisstationen der Teilnehmer sind jüngst verschiedenste RTP-Angriffe bekannt, bei denen dritte (externe) Angreifer Sprachverkehr umleiten oder manipulieren können. (Siehe z.B. https://blogs.asterisk.org/2017/09/27/rtp-security-vulnerabilities/)

Flash1232
Level 4
6 von 6

Hallo Tux0ne

 

Das IB-SIP-Setup hatte ich gar nicht mehr im Fokus, wäre mir nicht eingefallen. Wie du sagst, kann ich dort nur "Anderes Gerät" auswählen und dann wird wohl keine aktive Weiterleitung an den IPFire stattfinden.

 

Gute Idee mit den externen Credentials, hatte die Möglichkeit glatt vergessen! Ich versuche das mal darüber und hoffe, die ALG beherrscht das dann. Ansonsten wäre ich wohl wieder am gleichen Punkt, wenn NAT zuschlägt.

Nach oben