VoIP mit Fritz!Box und pfSense absichern

By | 1. Oktober 2017

Hallo,

falls der VoIP Anbieter bzw. Telefonie-Anbieter einen SIP-Proxy zur Verfügung stellt, kann man die „Erreichbarkeit“ des SIP Ports (5060 UDP) einschränken.

Es können anschließend keine SIP fähigen Geräte (IP Telefon, Smartphone, …) von „Außen“, sprich über das Internet, die Fritz!Box „belästigen“. Um diese Funktion weiter nutzen zu können, empfehle ich einen VPN Tunnel für die Geräte. Damit sind fremde Geräte ausgesperrt, die über die eigenen Rufnummern telefonieren und Kosten verursachen können.

Als Grundkonfiguration verwende ich die Konfiguration aus dem Beitrag VoIP mit Fritz!Box und pfSense (Fritz!Box 7490 mit FRITZ!OS: 06.90 und pfSense 2.3.4-RELEASE-p1).

Fritz!Box – SIP Proxy eintragen

  1. Unter „Telefonie“ -> „Eigene Rufnummern“ die entsprechende Rufnummer bearbeiten.
  2. Bei der Überschrift „Zugangsdaten“ -> „Proxy-Server“ den Servernamen eintragen
  3. Auf „OK“ klicken zum Speichern

Den SIP Proxy des Anbieters findet man auf der Website des Anbieters oder per Google

Feld „Proxy-Server“ nicht sichtbar

Das Feld „Proxy-Server“ kann man sichtbar machen wenn man folgende Einstellung ändert:

  1. Unter „Telefonie“ -> „Eigene Rufnummern“ die entsprechende Rufnummer bearbeiten.
  2. „Telefonie-Anbieter“ auf „andere Anbieter“ ändern

Damit kann der verwendete Servernamen überprüfen und ggf. angepasst werden.

pfSense Einstellungen

Port Forward

Bei der pfSense „Firewall“ -> „NAT“ -> „Port Forward“ öffnen.

Den Eintrag für die Fritz!Box bearbeiten:

  • Filter rule association: None

Durch die Einstellung müssen die Firewall Regeln von Hand angelegt werden. Der Traffic ist nicht mehr durch den Port Forward freigegeben.

Aliases

Bei der pfSense „Firewall“ -> „Aliases“ -> „IP“ öffnen

Folgenden Eintrag hinzufügen:

  • Name: SIP_Proxy
  • Description: SIP Proxy Server
  • Type: Host(s)
  • Address: sipProxy.Anbieter1.de 
  • Description: Anbieter 1

Hier die Servernamen der SIP Proxys eintragen, die auch in der Fritz!Box eingetragen wurden.

Firewall

Bei der pfSense „Firewall“ -> „Rules“ öffnen.

Den passenden Reiter wählen für das eingehende Interface bzw. den Netzwerkanschluss, der zum xDSL/Kabel/Glasfaser Modem führt.

Eine neue Regel hinzufügen:

  • Action: Pass
  • Address Family: IPv4
  • Protocol: UDP
  • Source: Single host or alias
  • Source Address: SIP_Proxy
  • Destination: Single host or alias
  • Destination Address: 192.168.0.2
  • Destination Port Range: SIP (5060)
  • Description: SIP Proxy

Eine weitere Regel anlegen:

  • Action: Pass
  • Address Family: IPv4
  • Protocol: UDP
  • Source: Any
  • Destination: Single host or alias
  • Destination Address: 192.168.0.2
  • Destination Port Range: (other) 7078 to (other) 7109
  • Description: RTP VoIP

Mit der 1. Regel können nur noch die SIP Proxys die Fritz!Box via SIP Port ansprechen.
Mit der 2. Regel können Alle die RTP VoIP Ports der Fritz!Box ansprechen, RTP Verbindungen werden direkt mit dem Teilnehmer hergestellt

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.