Ich kriege seit heute die Meldung “COMpact5000: IP wurde gesperrt: 192.99.44.159”
[CODE]Auerswald ITK-System
COMpact5000
Statusmeldung(en):
Neuer Eintrag in der IP-Sperrliste:
Gesperrte IP-Adresse: 192.99.44.159
Sperrzeitpunkt: 19.08.2014 - 11:25 Uhr
Sperrgrund: Fehlgeschlagene SIP-Anmeldung
[/CODE]
Kann mir jemand erklären was das soll?
Ich habe einen 1&1-SIP-Zugang. Die 1&1 Telefonica IP-Adressen sollten sich alle im IP-Bereich 212.227.18.x und 212.227.67.x befinden.
Was hat eine IP-Adresse aus Kanada 192.99.44.159 hier zu tun?
Überlege dir, ob die Anlage wirklich per Port Forwarding von extern erreichbar sein muss. Wenn das unbedingt notwendig ist, dann sorge auf jeden Fall für sichere Passwörter bei allen Teilnehmern.
Ich habe mal ein Firewall-Trace mit aufgezeichnet und konnte feststellen
das die TK-Anlage über den Port 5060 mit der IP-Adresse 192.99.44.159 kommuniziert.
Alle ca. 4 - 8 Minuten wird ein Block (Index 3 - 39) gesendet bzw. empfangen. Alles über den Port 5060 !!! (IP-Adresse 10.0.0.70 ist meine TK-Anlage)
[attachment=218]
Ich habe auch schon einen Neustart der Anlage gemacht. Hat nichts gebracht.
[B]sip.1und1.de[/B] und [B]stun.1und1.de[/B] ergeben immer eine IP aus dem Adressbereich 212.227.18.x und 212.227.67.x wenn ich sie anPINGe.
Wie gesagt das Problem ging heute vormittag auf einmal los. An der Konfiguration oder Firmware der Anlage habe ich nichts verändert.
In der Firewall sind folgende Portfreigaben gemacht:
TCP 5060
UDP 5060, 5062,49152-49408
ihr hattet beide recht mit eurer Annahme. Der freigebene Port 5060 war schuld. Ich habe den Port nun in der Firewall gelöscht.
Wenn ich das richtig verstanden habe, hat der VoIP-Hacker nicht versucht auf die 1&1-SIP-Accounts zuzugreifen, sondern auf meine internen SIP-Acoounts. Ist das richtig?
Genau so sieht’s aus. Deshalb reagiere ich z.B. auch immer recht allergisch, wenn im Forum dann wilde Portforwarding-Orgien veranstaltet werden, ohne tatsächlich zu wissen, was und wozu. In Deinem Fall ist das immer noch zu viel.
Wenn Du das Auerswald-Template verwendest, dann sind STUN usw. schon passend vorgegeben. Also brauchst Du KEINES der Forwardings.
…Ausser: 5062-UDP
Das brauchst Du in Deinem Fall, weil die Anlage 1&1 als Provider auf diesen Port konfiguriert bekommen hat. Das ist der Port, auf dem Deine Anlage die Antworten von 1&1 erwartet.
Dieses Forwarding ist noch nicht einmal immer nötig. Speziell bei FritzBoxen ist aber eine halb-clevere Firewall drin, die Antworten auf diesem Port von 1&1 blockt, wenn sie nicht von der IP kamen, an der sich Deine Anlage bei 1&1 registriert hat. Allerdings passiert das bei 1&1 mitunter durch deren Lastverteilung.
Lange Rede kurzer Sinn - die 5062-UDP könnte in Deinem Fall notwendig sein, evtl. brauchst Du sie aber auch nicht.
Hm… klar, die RTP-Ports weiterzuleiten funktioniert natürlich immer - aber eigentlich sollte es Aufgabe des STUN-Servers sein, der Anlage mitzuteilen, wie sich deren RTP-Pakete hinter Deinem NAT-Router präsentieren
Evtl. macht Dein Router kein symmetrisches NAT oder filtert da nach irgendwelchen Regeln die UDP-RTP-Pakete heraus. Wenn Du das Forwarding einrichtest, zwingst Du ihn dann einfach alles unbesehen durchzuleiten…
Edit: Sehe gerade, dass in Deiner Signatur ja FB7390 steht. Mit der sollte eigentlich kein Portforwarding für die RTP-Ports nötig sein. Da funktioniert die Aushandlung per 1&1-STUN. (war zumindest mein letzter Stand, als ich noch bei 1&1 war…)
Zur Erklärung:
Die Auerswald COMpact 5000 hängt hinter dem LANCOM 1781VAW-Router.
Die Fritzbox benutze ich nur als DECT-Gateyway. Verbindung über ISDN zur Tk-Anlage.
[quote=“DocBader, post:10, topic:4608”]
Moin,
spiel mal mit den SIP-ALG des Lancoms, da gibt es IMHO auch ein Addendum dazu …
wusste gar nicht, dass LCOS 9 schon verteilt wird
LG, Thomas[/quote]
Hallo DocBader,
hatte schon versucht die SIP-ALG Funktion des Lancom-Routers zu benutzen.
Danach klingelt zwar das Telefon, aber es gibt keine Gesprächsverbindung (man hört nix).
Ist eigentlich eine feine Sache, da die Leitungen und Gespräche im Lancom LANmonitor detailliert angezeigt werden.
Nur funktionieren müsste es halt.
Wenn du dich damit auskennst (mit SIP-ALG aktiviert) könntest du mir deine Konfigurationseinstellungen der TK-Anlage nennen.
Achso… und die neuste Firmware für den Lancom ist LCOS 9.00 RU1
Sorry, kann ich leider nicht … ich nutze kein externes VOIP. Das neu LCOS-release schau ich mir mal an …
Es gibt aber im Referenz-Handbuch zum LCOS eine Addendum zum SIP-ALG, kannst Du ja mal überfliegen.
[quote=“DocBader, post:12, topic:4608”]
Es gibt aber im Referenz-Handbuch zum LCOS eine Addendum zum SIP-ALG, kannst Du ja mal überfliegen.
LG, Thomas[/quote]
Hallo Thomas,
im Lancom-Router gibt es diesbezüglich nicht viel einzustellen. Nur SIP-ALG ein- oder aus.
Desweiteren kann gewählt werden ob SIP-Datenpakete automatisch durch die Firewall gelassen werden.
[attachment=219]
Wie gesagt damit habe ich bisher nur geschafft dass das Telefon klingelt, aber keine Gesprächsverbindung zu stande kommt (man hört nix).
[attachment=221]
Dagegen ist die SIP Monitor-Ausgabe der Registrierung und Gespräche vorbildlich.
Schade das dieses Feature nicht richtig funktioniert.
eigentlich ist SIP-ALG implementiert, um TK hinter einem NAT und der firewall die VOIP-Pakete ungehindert zuzustellen. Ich kann das nicht checken, da ich kein externes VOIP nutze … aber mail das mal den Jungs von Lancom, der support ist eigentlich recht bemüht.
ganz ehrlich: Die ganzen “Helper” sind das erste, was ich bei Routern ausschalte. Bringen meistens mehr Stress als dass sie helfen.
Habt Ihr für die externen NSt schon einmal daran gedacht, extern den Port auf was ganz anderes zu kappen? Ist ja klar, das 5060 bis zum Erbrechen gescannt wird.
Ich hatte vor ca. 3-4 Jahren auf der Business mal einen netten Angriff aus China. Damals hatte ich dummerweise auch die 5060 so freigegeben. Eines Abends wurden Telefonate immer nach 1-2 Minuten unterbrochen, die Anlage resettete sich zyklisch. Ich war schon drauf und dran eine neue CPU-Karte zu besorgen, als ich dann im Keller sah, dass die Activity-LED an der Anlage und am Switch permanent an waren. Im Router nachgeschaut sah ich dann mit 2MBit/s permanente Anmeldeversuche am SIP. Sperren der IP half, es war wohl ein gehackter Rootserver in Hongkong.
Letztlich ist daraus dann mehr oder weniger die IP-Sperrliste entstanden
Aber seitdem ich die 5060/5061 extern dann z.B. als 12345 freigegeben habe, ist Ruhe … und nicht mal eine Fremd-IP verirrt sich auf die Sperrliste. Ist vielleicht die einfachere Methode als auf das Ticket von LANCOM zu warten
