innovaphone Forum

You are here

Help with Search (new window)
Picture of Muschelpuster
Registered 7 years 342 days
Muschelpuster Friday, 16 August 2019, 08:05 AM
Portübersicht ReverseProxy & TURN
Moin zusammen,

gibt es irgendwo noch eine Portliste die ich mal wieder nicht finde.
In der mir bekannten Liste finde ich nicht wirklich zuverlässig was frei sein muss: http://wiki.innovaphone.com/index.php?title=Howto:What_Ports_are_used_for_Signaling_and_Voice_Traffic_in_SIP_and_H.323%3F

Interessant ist für mich, was von der PBX und den internen Endgeräten in die DMZ zum RP & TURN frei sein muss und umgekehrt. Und natürlich im Gegenzug aus dem Internet in die DMZ.

Hier mal ein Versuch:
  • Internet -> RP
    • 443T -> HTTPS
    • 1300T -> H323S
    • 636TU -> LDAPS
  • Internet -> TURN
    • 3478U -> RTP
  • interne Endgeräte & PBX -> TURN
    • 3478U -> RTP
  • RP -> PBX
    • 443T -> HTTPS
    • 80T -> HTTP (wenn nicht wieder verschlüsselt werden soll)
    • 1300T -> H323S
    • 1718TU -> H323 bei Fallback von Zertifikatsprüfung auf Benutzer/PW (evtl. auch nur UDP?)
    • 636TU -> LDAPS
    • 389TU -> LDAP (wenn nicht wieder verschlüsselt werden soll)
  • RP -> zusätzlicher LDAP
    • 636TU -> LDAPS
    • 389TU -> LDAP (wenn nicht wieder verschlüsselt werden soll)
  • RP -> AppPlattform (V13)
    • 443T -> HTTPS
    • 80T -> HTTP (wenn nicht wieder verschlüsselt werden soll)
Reicht das? Was ist z.B. mit Port 1719, 1720?

aufgelistete Grüße
Niels

Picture of Sebastian Hayer-Lutz (innovaphone)
Moderator Registered 6 years 332 days
Sebastian Hayer-Lutz (innovaphone) Friday, 16 August 2019, 09:02 AM
Re: Portübersicht ReverseProxy & TURN
Morgen Niels,

hattest du evtl. das Bild "innovaphone Workload" im Reverse Proxy Schulungsbuch gesucht?

Dieses Bild benötigen wir noch aktualisiert mit der V13-AP, steht aber auf dem Plan.

Macht es Sinn im Wiki eine Tabelle mit den Ports zu hinterlegen?
Sodass man eine Zentrale Auflistung hat und sich das nicht jedes mal zusammen suchen muss? (Die kann man dann auch kopieren und weitersenden ;) Nicht wie das Workload Picture)

Beste Grüße Basti
Picture of Steffen 1621
Registered 10 years 255 days
Steffen 1621 Friday, 16 August 2019, 09:05 AM
Re: Portübersicht ReverseProxy & TURN
Hallo Basti,
ja bitte, sowas wär gut!

Gruß
Steffen
Picture of Muschelpuster
Registered 7 years 342 days
Muschelpuster Friday, 16 August 2019, 11:21 PM in response to Sebastian Hayer-Lutz (innovaphone)
Re: Portübersicht ReverseProxy & TURN
Moin Basti,

Danke, das geht schon in die Richtung. Irgendwie habe ich aber im Kopf, dass für den TURN vom Internet und auch aus dem LAN nur 3478 auf sein muss. Der Port für den RTP-Stream muss nur vom TURN möglich sein, mit dem 1. Paket wird ja der Antwortport in der Firewall geöffnet. Dem entsprechend müsste natürlich die RTP-Range auch vom TURN in‘s LAN erlaubt sein. Hier ist eine Überarbeitung sicher sinnvoll.
Ich kenne von Siemens/Unify den Firewall Szenario Manager. Hier gibt man einfach an, was man links und rechts von der Firewall hat und das Tool wirft einem aus, welche Ports dazwischen geöffnet werden müssen. Schön in jede Richtung aufgeschlüsselt. Das kann man dann als Exel bekommen, und dem Administrator der Firewall entsprechend vorlegen.
Vielleicht wäre sowas für Euch auch denkbar. Am Ende könnte es sogar ‚einfach’ eine Excel-Liste sein, in der man ein paar Angaben macht und dann eine entsprechende Auflistung bekommen. Bunte Bilder lassen sich immer so schlecht auf die einzelnen Szenarien an.

automatisierte Grüße
Niels
Picture of Sebastian Hayer-Lutz (innovaphone)
Moderator Registered 6 years 332 days
Sebastian Hayer-Lutz (innovaphone) Monday, 19 August 2019, 12:19 PM
1 of 1 users consider this post helpful
Re: Portübersicht ReverseProxy & TURN
Hallo Nils,

> Irgendwie habe ich aber im Kopf, dass für den TURN vom Internet und auch aus dem LAN nur 3478 auf sein muss
Das ist grundsätzlich auch erst einmal richtig. Turn geht via tcp/udp/3478

> Der Port für den RTP-Stream muss nur vom TURN möglich sein, mit dem 1. Paket wird ja der Antwortport in der Firewall geöffnet.
Ich glaube das verwechselt du etwas.
Es passiert zweimal folgendes:
* Client [dynamic source port] -> Turn SRV [3478]

Somit gibt es zwei Verbindung von "irgendwo" zum Zielport 3478 auf dem Turn Server. Der Turn Server antwortet an den dynamischen Quellport und bridged den Traffic von beiden Clients.

In diesem Szenario muss tcp/udp/3478 für folgende Konstellationen freigegeben sein.
* WAN -> DMZ (Turn SRV)
* LAN -> DMZ (Turn SRV)

Der Turn Server muss natürlich antworten können, das ist klar.

> Dem entsprechend müsste natürlich die RTP-Range auch vom TURN in‘s LAN erlaubt sein.
Nein, der Turn Server macht Turn - kein RTP im klassischen Sinne.
Er antwortet auf den Port den das Phone als src.port für die Turn Session gewürfelt hat.
Da die Kommunikation aber von "inside" in Richtung "DMZ" initiiert wird, sollte deine Firewall den Rückweg ja dynamisch erlauben. (Macht ja sonst eher wenig sinn)

> Hier ist eine Überarbeitung sicher sinnvoll.
Ist bereits angeregt und hat der Kollege der damals das schöne V12 Bild erstellt hat als ToDo auf dem Tisch liegen smile

> Hier gibt man einfach an, was man links und rechts von der Firewall hat und das Tool wirft einem aus, welche Ports dazwischen geöffnet werden müssen
Ich denke so kompliziert brauchen wir es gar nicht. Am Ende sind das nicht viele nötige Regeln ;)
Wir machen da mal einen Vorschlag und erstellen eine entsprechende Liste analog zu deiner Excel im Beispiel im Wiki. (Link poste ich dann hier)

Beste Grüße Basti
Picture of Sebastian Hayer-Lutz (innovaphone)
Moderator Registered 6 years 332 days
Sebastian Hayer-Lutz (innovaphone) Monday, 19 August 2019, 02:02 PM in response to Muschelpuster
2 of 2 users consider this post helpful
Re: Portübersicht ReverseProxy & TURN
Hallo zusammen,

ich habe mal versucht die nötigen Ports auf Basis der jeweiligen Traffic-Richtung in einer Tabelle darzulegen.

Ziel wäre es, dass man diese Tabelle dem Firewall Admin geben kann. Er sollte das ja so verstehen und umsetzten können smile


Feedback welcome

Beste Grüße Basti
Picture of Muschelpuster
Registered 7 years 342 days
Muschelpuster Tuesday, 20 August 2019, 07:35 AM
1 of 1 users consider this post helpful
Re: Portübersicht ReverseProxy & TURN
Moin Basti,

das sieht doch schon mal schön aus. Scheint so, als wäre meine Aufstellung komplett gewesen.
Ich habe da noch etwas zu einem Verhalten gelernt, was nicht so richtig dokumentiert ist und Port 1720 vom RP zu PBX erfordert:
Wenn im RP für H.323 'check certificate' aktiv ist, dann prüft der RP das Endgerätezertifikat. Das ist extrem wichtig wenn man über die Seriennummer authentifiziert, denn die PBX kann es ja nicht mehr, sie sieht das Zertifikat des RP. Kommt nun ein Client mit ungültigem Zertifikat (Softphone V12, myPBX auf Smartphone) leitet der RP die H.323S-Anfrage als H.323-Anfrage an die PBX weiter und diese kann den Client dann über Benutzer&Passwort registrieren. Das hatte ich oben als Fallback bezeichnet.
Daher ist es wichtig, den Port 1720 vom RP auch dann zur PBX zu erlauben, wenn von außen nur H.323S zugelassen ist.
Bei den RTP-Ports würde ich den Zusatz vermerken, dass alterativ eine geringe Port-Range in den Systemen eingestellt werden kann. Dabei ist ja wieder wichtig, wo die Port-Range vom RP und wo die der PBX greift.

übersichtliche Grüße
Niels

Picture of Sebastian Hayer-Lutz (innovaphone)
Moderator Registered 6 years 332 days
Sebastian Hayer-Lutz (innovaphone) Tuesday, 20 August 2019, 09:53 AM
Re: Portübersicht ReverseProxy & TURN
Hi Niels,

> Kommt nun ein Client mit ungültigem Zertifikat (Softphone V12, myPBX auf Smartphone) leitet der RP die H.323S-Anfrage als H.323-Anfrage an die PBX weiter und diese kann den Client dann über Benutzer&Passwort registrieren.

Das ist natürlich korrekt, und hatte ich gestern nicht bedacht. Habe ich nun im Kommentar gefixt.

> Bei den RTP-Ports würde ich den Zusatz vermerken, dass alterativ eine geringe Port-Range in den Systemen eingestellt werden kann. Dabei ist ja wieder wichtig, wo die Port-Range vom RP und wo die der PBX greift.

Wenn du einen Reverse Proxy nutzt machst du ja am besten TURN. Dann hast du nichts mit RTP am Hut.
Bei "inside ⇒ DMZ (Reverse Proxy)" und "DMZ (Reverse Proxy) ⇒ WAN" wäre das ja nur wichtig, wenn er Reverse Proxy einen SIP Account nach Extern registriert und der Carrier kein TURN unterstützt.

Oder meinst du noch etwas anderes?

Beste Grüße Basti

Picture of Peter 627
Registered 13 years 120 days
Peter 627 Tuesday, 20 August 2019, 10:50 AM
Re: Portübersicht ReverseProxy & TURN
Hi,

eventuell sollte man in die Portübersichten noch mit reinnehmen, dass das neue myApps Softphone für RTP Übetragungen die Ports ab 50000 bis 50100 nimmt, wenn ich das richtig sehe.
Früher waren diese Ports mal für Appsharing deklariert, aber so wie ich das sehe, ist das jetzt die RTP Übertragung des myApps Softphones.


Allgemein könnte man die Matrix vielleicht noch erweitern und auch die Ports eintragen, die Kunden im LAN zwischen VOIP VLAN und Client Rechner Netzen / Servernetzen freigeben müssen, wenn sich dazwischen auch Firewalls befinden smile.
(Kommt recht häufig vor).

Gruß

Petger


← You can define your color theme preference here