Guten Tag werte Forumsmitglieder!
Bislang lediglich lesenderweise hier unterwegs, möchte ich mich heute mit meinem ersten Beitrag an Euch wenden.
Wie der Titel bereits aussagt, habe ich mich mit der Modifikation der AVM-Firewall meiner Fritzbox 7170 (Firmware 29.04.57) befasst und bin hierbei auf folgendes Problem gestoßen:
Setze ich, wie im angefügten Auszug meiner ar7.cfg, die Standard-Policy in der "Internet-Passage" auf "deny", belasse jedoch die Einstellung in der darauffolgenden "VOIP-Passage" unangetastet auf "permit", so wirkt sich das gesetzte "deny" trotzdem negativ auf die Registrierung meiner VOIP-Rufnummer aus.
Diese lässt sich dann nichtmehr registrieren und wird erst dann wieder aktiv, wenn ich in der Acesslist der "Internet-Passage" explizit UDP-Freigaben für Port 5060, 7078 und den erweiterten RTP-Portbereich 16384 bis 32767 setzt - hierbei ergeben sich jedoch erhebliche Funktionseinschränkungen, weil die Internetrufnummer nur noch sporadisch von Aussen erreichbar ist.
Wie lässt sich also in der "Internet-Passage" per default "deny" verwenden, so dass auch die VOIP-Funktionalität ohne Einschränkungen vorhanden bleibt - zur Klärung dieses Problems habe ich nach ausgiebiger Suche hier im Forum und dem Netz bislang keine zufriendenstellende Antwort gefunden?!
Ich hoffe nun auf zahlreiche konstruktive Beitrage und bedanke mich für diese bereits im Voraus!
Bislang lediglich lesenderweise hier unterwegs, möchte ich mich heute mit meinem ersten Beitrag an Euch wenden.
Wie der Titel bereits aussagt, habe ich mich mit der Modifikation der AVM-Firewall meiner Fritzbox 7170 (Firmware 29.04.57) befasst und bin hierbei auf folgendes Problem gestoßen:
Setze ich, wie im angefügten Auszug meiner ar7.cfg, die Standard-Policy in der "Internet-Passage" auf "deny", belasse jedoch die Einstellung in der darauffolgenden "VOIP-Passage" unangetastet auf "permit", so wirkt sich das gesetzte "deny" trotzdem negativ auf die Registrierung meiner VOIP-Rufnummer aus.
Diese lässt sich dann nichtmehr registrieren und wird erst dann wieder aktiv, wenn ich in der Acesslist der "Internet-Passage" explizit UDP-Freigaben für Port 5060, 7078 und den erweiterten RTP-Portbereich 16384 bis 32767 setzt - hierbei ergeben sich jedoch erhebliche Funktionseinschränkungen, weil die Internetrufnummer nur noch sporadisch von Aussen erreichbar ist.
Wie lässt sich also in der "Internet-Passage" per default "deny" verwenden, so dass auch die VOIP-Funktionalität ohne Einschränkungen vorhanden bleibt - zur Klärung dieses Problems habe ich nach ausgiebiger Suche hier im Forum und dem Netz bislang keine zufriendenstellende Antwort gefunden?!
Ich hoffe nun auf zahlreiche konstruktive Beitrage und bedanke mich für diese bereits im Voraus!
Code:
dslifaces {
enabled = yes;
name = "internet";
dsl_encap = dslencap_inherit;
dslinterfacename = "dsl";
no_masquerading = no;
no_firewall = no;
pppoevlanauto = no;
pppoevlanauto_startwithvlan = no;
ppptarget = "internet";
etherencapcfg {
use_dhcp = yes;
ipaddr = 0.0.0.0;
netmask = 0.0.0.0;
gateway = 0.0.0.0;
dns1 = 0.0.0.0;
dns2 = 0.0.0.0;
mtu = 0;
}
is_mcupstream = yes;
stay_always_online = yes;
only_route_when_connected = no;
redial_delay_after_auth_failure = 1m;
redial_limit = 3;
redial_after_limit_reached = 10m;
redial_after_limit_reached_variance = 5m;
redial_delay_after_low_error = 10s;
routes_only_for_local = no;
ripv2receiver_enabled = no;
dsldpconfig {
security = dpsec_firewall;
lowinput {
policy = "deny";
accesslist =
"permit ip any any connection outgoing-related";
}
lowoutput {
policy = "permit";
}
highinput {
policy = "permit";
}
highoutput {
policy = "deny";
accesslist =
"permit tcp host 192.168.178.10 any eq 80",
"permit tcp host 192.168.178.10 any eq 443",
"permit tcp host 192.168.178.5 any",
"permit udp any any eq 53",
"permit udp any any eq 123",
"permit udp any any eq 5060",
"permit udp any any eq 7078",
"permit udp any any range 16384 32767";
}
shaper = "globalshaper";
}
} {
enabled = yes;
name = "voip";
dsl_encap = dslencap_inherit;
dslinterfacename = "dsl";
no_masquerading = no;
no_firewall = no;
pppoevlanauto = no;
pppoevlanauto_startwithvlan = no;
ppptarget = "voip";
etherencapcfg {
use_dhcp = yes;
ipaddr = 0.0.0.0;
netmask = 0.0.0.0;
gateway = 0.0.0.0;
dns1 = 0.0.0.0;
dns2 = 0.0.0.0;
mtu = 0;
}
is_mcupstream = no;
stay_always_online = yes;
only_route_when_connected = no;
redial_delay_after_auth_failure = 1m;
redial_limit = 3;
redial_after_limit_reached = 10m;
redial_after_limit_reached_variance = 5m;
redial_delay_after_low_error = 10s;
routes_only_for_local = no;
tcclassroutes = "sipdns", "sip", "rtp";
ripv2receiver_enabled = no;
dsldpconfig {
security = dpsec_firewall;
lowinput {
policy = "permit";
accesslist = "permit udp any any",
"permit icmp any any",
"deny ip any host 255.255.255.255",
"reject ip any any";
}
lowoutput {
policy = "permit";
}
highinput {
policy = "permit";
}
highoutput {
policy = "permit";
accesslist = "permit udp any any",
"reject ip any any";
}
shaper = "globalshaper";
}
}
[Problem] AVM Firewall-Modifikation per default deny führt zu VOIP-Erreichbarkeitsproblem
Aucun commentaire:
Enregistrer un commentaire