Firewall für Easybell VoIP und SIP Trunking konfigurieren

Die korrekten Einstellungen einer Firewall hängen neben der Art des Telefonanschlusses von zahlreichen Faktoren ab. Bedingt auch durch die Vielzahl an möglichen Installationen und Firewall-Systemen auf dem Markt, haben wir uns in diesem Artikel so genau wie nötig, aber so allgemein wie möglich gehalten.

Zunächst geben wir einige allgemeingültige Hinweise zur Einrichtung von Firewalls, die in den meisten Fällen bereits ausreichend sein sollten. Im Anschluss gehen wir noch einmal detailliert auf konkrete Anwendungsgebiete ein.

Freigaben einrichten

Ports freigeben

Nicht jedes Easybell-Produkt nutzt denselben Registrar und auch die Ports und Protokolle unterscheiden sich teilweise. Daher ist es wichtig, dass Sie die Konfiguration der Firewall entsprechend der folgenden Tabellen vornehmen.

Beachten Sie dabei bitte, dass eine Weiterleitung nicht gleich eine Freigabe ist. Generell empfehlen wir dringend von festen Port-Weiterleitungen abzusehen!

Ports für unverschlüsselte Telefonie

	SIP-Port	RTP-Port
Rufnummern	5060 oder 5064 (UDP/TCP)	20000 - 50000 (UDP/TCP)
Cloud Telefonanlage	5060 (UDP/TCP)	10000 - 50000 (UDP/TCP)
Easybell-App	5060 (UDP)	10000 - 20000 (UDP)

Ports für verschlüsselte Telefonie

Verbindungen mit der Easybell-App lassen sich derzeit noch nicht verschlüsseln.
	SIP-Port	RTP-Port
Rufnummern	5060 oder 5064 (UDP/TCP)	20000 - 50000 (UDP/TCP)
Cloud Telefonanlage	5060 (UDP/TCP)	10000 - 50000 (UDP/TCP)

Weitere Freigaben für die Cloud Telefonanlage

Bitte beachten Sie, dass die Cloud Telefonanlage weitere Freigaben benötigt:

ctad.easybell.de (Funktionalität der Benutzeroberfläche)
Port 443 für https (automatische Konfiguration von Endgeräten)

Freigaben beschränken

Sie können die Sicherheit erhöhen, indem Sie die Freigaben weiter einschränken.

Aber Achtung: Je weiter Sie die Freigaben in der Firewall beschränken, desto eher kann es passieren, dass erwünschte Verbindungen blockiert werden!

Für ausgehende Verbindungen:
Sie können Sie die Freigaben auf die internen IPs der Telefonanlage/Telefone beschränken.
Für eingehende Verbindungen:
Sie können Sie die Freigaben auf den genutzten Registrar beschränken. Nutzen Sie dann bitte unbedingt die FQDN und nicht die IP-Adressen. Letztere können sich jederzeit ändern. Außerdem müssen die Telefone im lokalen Netzwerk eine feste IP-Adressen erhalten. Beim häufig verwendeten DHCP ist das nicht der Fall.

Registrare (FQDN)

Produkt	Registrar
SIP Trunk / VoIP	sip.easybell.com
Cloud Telefonanlage	pbx.easybell.de

Allgemeine Hinweise

NAT als zusätzliches Sicherheitsmerkmal nutzen

In 95% der Anwendungsfälle ist es ausreichend, NAT als Sicherheitsmerkmal zu nutzen, anstatt die Konfiguration der Firewall anzupassen und dabei evtl. notwendige Verbindungen zu blockieren.

NAT steht für „Network Address Translation“ und ist eine in den meisten Routern integrierte Funktion. Bei Verbindungen ins Internet wird dadurch statt der lokalen Netzwerkadresse (LAN) eine abweichende, öffentliche Adresse kommuniziert. Antworten werden unter dieser öffentlichen „Identität“ angenommen und an das lokale Netzwerkgerät weitergeleitet. Der Router speichert die Zuordnung von lokaler Adresse zur WAN-Adresse in der sogenannten NAT-Tabelle.

Die Besonderheit: Die Daten werden nur dann an das Gerät weitergeleitet, wenn vorher eine ausgehende Verbindung bestanden hatte. Diese Funktionsweise ergänzt sich in der Regel perfekt mit IP-Telefonie. Denn bei Voice-over-IP wird immer zunächst eine Verbindung aus dem lokale Netzwerk ins Internet aufgebaut, sei es bei der Registrierung eines Endgeräts oder bei einem ausgehenden Anruf. Mit NAT wird der Router dann eine WAN-Adresse bereitstellen und anschließend Antworten von dieser öffentlichen (WAN) an die lokale Adresse (LAN) weiterleiten. Der Austausch von Datenpaketen ist also in beide Richtungen sichergestellt.

Gleichzeitig werden alle unberechtigten Zugriffe von außen blockiert – NAT wirkt dadurch wie eine rudimentäre Firewall.

VoIP-Datenverkehr priorisieren (QoS)

Egal, um welche Installationsvariante es sich handelt, ist es immer von Vorteil, im Netzwerk den Voice-over-IP-Datenverkehr zu priorisieren. Viele Router und Firewall-Lösungen bieten dafür die Funktion des QoS (Quality of Service) an, welche nach Möglichkeit aktiviert und auf SIP- und RTP-Daten konfiguriert werden sollte.

Störung durch andere Netzwerkdienste ausschließen

Die folgenden Dienste können sich negativ auf die IP-Telefonie auswirken und sollten daher soweit es geht deaktiviert werden:

SIP-ALG (SIP Application-Layer-Gateway)
IGMP-Snooping (Überwachung des Internet Group Management Protocol)
ICMP (Internet Control Message Protocol)

Telefone nicht in Subnetzen konfigurieren

Bei komplexeren Installationen kommt häufig weitere Netzwerk-Hardware zum Einsatz, um die Reichweite zu erweitern oder mehr Geräte anbinden zu können. Dies macht es aber auch schwerer (Stör-)Einflüsse zu identifizieren. Wenn zum Beispiel ein Subnetz durch einen aktiven Switch verwaltet wird, können dort die oben genannten Dienste unbemerkt aktiviert sein und die IP-Telefonie im Netzwerk beeinträchtigen.

Die Nutzung dieser Techniken ist selbstverständlich möglich, erfordert aber erweiterte Kenntnisse in Netzwerktechnik und Konfiguration von internen Routings. Im Zweifelsfall sollten die oben genannten Dienste daher auf sämtlichen Geräten deaktiviert oder Telefone (wenn möglich) nicht über diese Subnetze angebunden werden.

Produktspezifische Hinweise

Ergänzend finden Sie hier detaillierte Ausführungen zu den einzelnen Anwendungsgebieten:

Einzelrufnummer mit einem Endgerät
Telefonanlagen
Easybell Cloud Telefonanlage
Easybell-App

Eine Rufnummer mit einem Endgerät

Die einfachste Variante ist die für Heim- und Kleinstinstallationen. Wenn zu Haus oder im Büro lediglich ein einzelnes Telefon an einer Einzelrufnummer registriert ist, müssen nur wenige Punkte beachtet werden.

Die SIP-Registrierung erfolgt bei den meisten IP-Telefonen standardmäßig über den SIP-Port 5060 mit dem Protokoll UDP oder TCP, alternativ können Sie Ihr Gerät auch auf den SIP-Port 5064 einrichten. Für die Audioübertragung wird hier ein Port-Bereich von 20000-50000 (UDP oder TCP) genutzt.

Weiterhin ist bei diesen Installationen lediglich darauf zu achten, dass die Services SIP-ALG und IGMP-Snooping deaktiviert sind, was die meisten Router für Heim- und Kleinstinstallationen von Hause aus mitbringen.

	SIP-Port	Port-Bereich	Registrar
unverschlüsselt	5060 (UDP/TCP) oder 5064	20000 - 50000 (UDP/TCP)	sip.easybell.com
verschlüsselt	5061 (TLS)	20000 - 50000 (TLS)	sip.easybell.com

Telefonanlage

Im Geschäftsbereich kommen häufig Telefonanlagen mit einem oder mehreren SIP Trunks zum Einsatz.

Die SIP-Registrierung erfolgt meist standardmäßig über den SIP-Port 5060 mit dem Protokoll UDP oder TCP, alternativ können Sie Ihre Anlage auf den Port 5064 einstellen. Für die Audioübertragung wird hier ein Port-Bereich von 20000-50000 (UDP oder TCP) genutzt.

Zu beachten ist lediglich, dass viele Anlagenhersteller noch spezifische Einstellungen für die Funktion und Erreichbarkeit des Telefonsystems benötigen. Diese entnehmen Sie bitte den Dokumentationen Ihrer gewählten PBX.

Weiter ist es häufig der Fall, dass in größeren, komplexeren Netzwerken natürlich auch mehr Hardware zum Einsatz kommt, welche mit aktiven Elementen die Infrastruktur beeinflusst. So ist es zum Beispiel nicht selten der Fall, dass aktive Switche und/oder weitere Router, welche Subnetze verwalten, die Services SIP-ALG, IGMP-Snooping, ICMP u.ä. bereitstellen oder per Default aktiviert haben. Dies sind Faktoren, die die Funktionen der IP-Telefonie im Netzwerk beeinflussen oder gar stören können. Hier muss daher darauf geachtet werden, dass auch diese zusätzlichen Geräte die genannten Services und Funktionen deaktiviert haben.

Auch ist es wichtig zu beachten, dass komplexe Netzwerkkonstruktionen mit Subnetzen und/oder VLANs die Funktionalitäten beeinträchtigen können. Die Nutzung dieser Techniken ist selbstverständlich möglich, erfordert aber erweiterte Kenntnisse in Netzwerktechnik und Konfiguration von internen Routings.

Sollten Sie eine redundante Internetverbindung nutzen, dann stellen Sie bitte sicher, dass der SIP-Verkehr nur über eine Leitung geleitet wird, da es sonst zu Schwierigkeiten mit der Registrierung oder Telefonaten kommen kann.

	SIP-Port	Port-Bereich	Registrar
unverschlüsselt	5060 (UDP/TCP) oder 5064	20000 - 50000 (UDP/TCP)	sip.easybell.com
verschlüsselt	5061 (TLS)	20000 - 50000 (TLS)	sip.easybell.com

Endgeräte an der Cloud Telefonanlage

Wenn Sie eine Cloud Telefonanlage nutzen, müssen sich Ihre Endgeräte mit unserer Infrastruktur verbinden können. Die Cloud Telefonanlage hat einen gesonderten SIP-Registrar: pbx.easybell.de. Um die Funktionalität der Web-Oberfläche und einen reibungslosen Ablauf zu gewährleisten, muss außerdem die Domain ctad.easybell.de freigegeben sein.

Die Cloud Telefonanlage nutzt den SIP-Port 5060. In der Cloud Telefonanlage erfolgt die Audio-Übertragung im Port-Bereich 10000 - 50000. Als Protokoll wird UDP oder TCP eingesetzt.

Auch bei der Nutzung der easybell Cloud Telefonanlage sollte darauf geachtet werden, dass in dem/den lokalen Netzwerk(en) in dem/denen die Telefone angemeldet sind, keine zusätzlichen Services wie SIP ALG etc. aktiv sind.

Für die automatische Provisionierung der Telefone in der Cloud Telefonanlage wird lediglich der Port 443 für HTTPs benötigt. Dieser ist in der Regel bereits in jedem Router freigegeben.

	SIP-Port	Port-Bereich	Registrar
unverschlüsselt	5060 (UDP/TCP)	10000 - 50000 (UDP/TCP)	pbx.easybell.de
verschlüsselt	5061 (TLS)	10000 - 50000 (TLS)	pbx.easybell.de

Easybell-App

Für die Easybell-App müssen für den SIP-Verkehr die Ports 4998, 5000, 4210 und 4280 (jeweils TCP) freigegeben sein. Außerdem die Ports 4998, 10000-20000 (UDP) für die RTP-Pakete der Applikation. Die Hosts, an denen sich die Applikation anmeldet lauteten webrtc.easybell.de und webrtc2.easybell.de.

Eine Verschlüsselung der Telefonie über die Easybell-App ist derzeit technisch noch nicht möglich.

SIP	RTP	Hosts
4998, 5000, 4210 und 4280 (TCP)	4998, 10000-20000 (UDP)	webrtc.easybell.de & webrtc2.easybell.de

Zurück Drucken

Name	Zweck	Ablauf	Typ	Anbieter
CookieConsent	Speichert Ihre Einwilligung zur Verwendung von Cookies.	2 Jahr	HTML	Website
_pk_id	Wird verwendet, um dem Benutzer eine eindeutige Besucher-ID zu vergeben.	13 Monate	HTML	Matomo
_pk_ses	Cookie, um Details Ihres Besuchs in eine Nutzungsstatistik einfließen zu lassen.	30 Minuten	HTML	Matomo
fe_typo_user	Ordnet Ihren Browser einer Session auf dem Server zu. Dies beeinflusst nur die Inhalte, die Sie sehen und wird von uns nicht ausgewertet oder weiterverarbeitet.	Session	HTTP	Website
order_session	Speichert das Ergebnis der DSL-Verfügbarkeitsprüfung	12 Stunden	HTML	Website
order-available	Speichert das Ergebnis der DSL-Verfügbarkeitsprüfung	12 Stunden	HTML	Website

Name	Zweck	Ablauf	Typ	Anbieter
_clck	Behält die Clarity-Benutzer-ID und -einstellungen bei, die nur für diese Website gelten und der gleichen Benutzer-ID zugeordnet sind.	1 Jahr	HTML	Microsoft Corporation
_clsk	Verbindet mehrere Seitenaufrufe eines Nutzers zu einer einzigen Clarity-Session-Aufzeichnung.	1 Tag	HTML	Microsoft Corporation
CLID	Identifiziert das erste Mal, dass Clarity diesen Benutzer auf einer beliebigen Site mit Clarity gesehen hat.	1 Jahr	HTML	Microsoft Corporation
ANONCHK	Gibt an, ob die MUID an ANID, ein Cookie für Werbung, übertragen wird. Clarity verwendet ANID nicht, daher ist dieser Wert immer auf 0 gesetzt.	10 Minuten	HTML	Microsoft Corporation
MR	Zeigt an, ob die MUID aktualisiert werden soll.	7 Tage	HTML	Microsoft Corporation
MUID	Identifiziert einzelne Webbrowser, die Microsoft-Seiten besuchen. Diese Cookies werden für Werbung, Website-Analysen und andere betriebliche Zwecke verwendet.	1 Jahr	HTML	Microsoft Corporation
SM	Wird für die Synchronisierung der MUID über Microsoft-Domänen hinweg verwendet.	Session	HTML	Microsoft Corporation
_uetsid	Microsoft Bing Ads session identifier for conversion tracking	1 Tag	HTML	Microsoft
_uetvid	Microsoft Bing Ads visitor identifier for remarketing	13 Monate	HTML	Microsoft
MUIDB	Speichert anonyme Daten über Besucher von mehreren Besuchen und auf mehreren Webseiten. Diese Informationen werden verwendet, um die Effizienz der Werbung auf Webseiten zu messen.	1 Jahr	HTML	Microsoft
_fbp	Wird von Facebook verwendet, um eine Reihe von Werbeprodukten wie Echtzeitgebote von Drittanbietern zu liefern.	3 Monate	HTML	Facebook
fr	Cookie für zielgerichtete Werbung für Facebook	3 Monate	HTML	Facebook
_fbc	Stores Facebook click identifier (fbclid) for ad attribution	90 Tage	HTML	Facebook
datr	Facebook cookie that identifies browsers for security, fraud prevention, and ad delivery	2 Jahre	HTML	Facebook
AnalyticsSyncHistory	Dieses Cookie wird von LinkedIn gesetzt. Wird verwendet, um Informationen darüber zu speichern, wann eine Synchronisierung mit dem lms_analytics-Cookie für Nutzer in den designierten Ländern stattgefunden hat.	30 Tage	HTML	LinkedIn
UserMatchHistory	LinkedIn Ads ID-Synchronisierung	30 Tage	HTML	LinkedIn
bcookie	Browser Identifier-Cookie zur eindeutigen Identifizierung von Geräten, die auf LinkedIn zugreifen, um Missbrauch auf der Plattform zu erkennen. Weitere Informationen über LinkedIn-Cookies finden Sie unter https://www.linkedin.com/legal/l/cookie-table.	1 Jahr	HTML	LinkedIn
bscookie	Wird verwendet, um die Spracheinstellung eines Nutzers zu speichern und sicherzustellen, dass LinkedIn.com in der Sprache angezeigt wird, die der Nutzer in seinen Einstellungen ausgewählt hat.	1 Jahr	HTML	LinkedIn
lang	Wird verwendet, um die Spracheinstellung eines Benutzers zu speichern.	Session	HTML	LinkedIn
li_sugr	Um eine wahrscheinliche Übereinstimmung mit der Identität eines Nutzers außerhalb der designierten Länder herzustellen	90 Tage	HTML	LinkedIn
lidc	Um die Auswahl des Rechenzentrums zu erleichtern.	24 Stunden	HTML	LinkedIn
li_fat_id	Stores LinkedIn click identifier for ad attribution	30 Tage	HTML	LinkedIn
lms_ads	Identifies LinkedIn members for ad targeting	30 Tage	HTML	LinkedIn
lms_analytics	Identifies LinkedIn members for analytics	30 Tage	HTML	LinkedIn
li_gc	Stores LinkedIn guest consent for cookies to ensure privacy choices are respected	6 Monate	HTML	LinkedIn
li_mc	LinkedIn marketing conversions cookie for audience matching and analytics	6 Monate	HTML	LinkedIn
li_oatml	Identifies LinkedIn members outside LinkedIn for advertising and analytics	1 Monat	HTML	LinkedIn
liap	Indicates if a non-WWW domain can access a LinkedIn member's ID for tracking and advertising	1 Jahr	HTML	LinkedIn
_guid	Zur Identifizierung eines LinkedIn-Mitglieds für Werbung über Google Ads	90 Tage	HTML	Google
_gcl_au	Zur Messung der Anzeigen- und Kampagnenleistung sowie der Konversionsraten für Google-Anzeigen auf einer besuchten Website	90 Tage	HTML	Google
_gcl_aw	Verwendung durch Google Ads, um die Interaktion der Nutzer mit der Website und der Werbung zu verstehen	90 Tage	HTML	Google
_gcl_dc	Wird von Google Campaign Manager und DV 360 verwendet, um die Interaktion der Nutzer mit der Website und der Werbung zu verstehen.	90 Tage	HTML	Google
test_cookie	Google: Funktionalität für AdSense, Campaign Manager, Google Ad Manager, Google Analytics, Display + Video 360, Search Ads 360	15 Minuten	HTML	Google
IDE	Google: Werbung for Campaign Manager, Display + Video 360, Google Ad Manager, Google Analytics, Search Ads 360	13 Monate	HTML	Google
DSID	Google: Sicherheit, Funktionalität, Werbung für AdSense, Campaign Manager, Google Ad Manager, Google Analytics, Display + Video 360, Search Ads 360	2 Wochen	HTML	Google
RUL	Google: Werbung für Display + Video 360, Google Ads	12 Monate	HTML	Google
_ga	Wird von Google Analytics verwendet, um Benutzer zu unterscheiden.	2 Jahre	HTML	Google
_ga_G-79TQP9XRBR	Wird von Google Analytics verwendet, um Benutzer zu unterscheiden.	2 Jahre	HTML	Google
_gid	Wird von Google verwendet, um Benutzer zu unterscheiden.	1 Tag	HTML	Google

Hilfecenter