[Eisfair] [e1] Telefonie mit Vodafone-NGN ueber Asterisk hinter FLI4L

[Tom Schulz]

Hallo Uwe,

Uwe Kunze schrieb:
> Hallo Tom,
> 
>> Das ist zumindest schon einmal beruhigend, dass es grundsaetzlich wohl
>> zu funktionieren scheint :-)
> 
> Ich habe nur die Telekom dran ... aber es funktioniert jetzt 
> zuverlässig. Meine alte Fritzkarte und die ganze Software (von der 
> ISDN-Nutzung) ist dringeblieben ... somit kannn ich eisfax, vbox, 
> mtgcapi usw. weiterbenutzen. Capi2text hat mittlerweile es sehr schönes 
> Webinterface bekommen ...

Meine Hoffnung ist, dass die sich nicht allzusehr unterscheiden :-) Was
die Nutzung von Fax angeht, der Schritt steht bevor, wenn alles andere
wieder läuft. Machst Du das ueber ein Loopback zwischen Fritz- und
HFC-S-Karte?

> 
>> Kannst Du ggf. Deine relevanten Eintraege aus der sip.conf und
>> extensions.conf posten, oder mir per PM schicken? Persoenliche Daten
>> natürlich vorher entfernen :-)
> 
> Ja, mache ich (PM).
> Welche Einträge jetzt letztlich zum Erfolg führten, weiß ich allerdings 
> nicht mehr genau ... hab die configs seit einem Jahr nicht mehr 
> angefasst ;-)

Die Configs sind angekommen. Vielen Dank!
Ich werde die verschiedenen Optionen mal probieren und dann hier
berichten. Sollte ich es hinbekommen, wuerde ich ggf ein HowTo daraus
machen.

>> Hast Du zusaetzlich zu den Anpassungen am Asterisk noch Portforwardings
>> im Router gesetzt oder mit VLan-Tagging gearbeitet?
> 
> Da ich den eis von Anfang an direkt hinter einem Modem betreibe (DLS- 
> und Routing-Paket), entfallen Portforwardings oder NAT-Einstellung. Das 
> Modem habe ich auf den VLAN-Tag der Telekom eingestellt, weiter nichts.

Du hast aber wahrscheinlich nur mit ID7 getagged, oder verwendest Du ein
separates Vlan fuer Voip?

> Ehrlich gesagt hält mich der zu erwartende Konfigurationsaufwand davon 
> ab, einen externen Router mit Frirewall (z.B. fli4l, ipfire o.ä.) vor 
> den eis zu setzen, obwohl das natürlich ratsam (weil sicherer) wäre.

Der Konfigurationsaufwand ist tatsaechlich ueberschaubar. Kann Dir da
gerne helfen. Genau die Sicherheit ist der Grund warum ich
Portforwardings vermeiden moechte.

Bis vor einigen Jahren brauchte auch Sipgate Forwardings auf dem Router
(heute geht es komplett ohne). Damals wurde mein Asterisk auch
tatsaechlich gehackt. Schlimmeres wurde nur dadurch verhindert, dass die
Angreifer gluecklicherweise nur ueber Prepaid-Accounts auf dem Eis
telefoniert haben. Die Amtsleitung haben Sie dank unterschiedlichem
Prefix nicht erwischt. Sonst waere es sehr teuer geworden. Die Prepaid
Accounts waren binnen einem halben Tag leer telefoniert, wodurch der
Angriff zeitnah auffiel.

Damals hatte Olaf daraufhin den Asterisk mit ueber das BFB-Paket
abgesichert. Dies wurde aber inzwischen wieder aus dem Paket entfernt.
Problem war seinerzeit auch, dass Asterisk nur sehr einfache Passworte
zulies. Ich muss nachher mal testen, ob da heute mehr geht.

Sei also extrem vorsichtig, wenn der Asterisk mehr oder weniger
ungeschuetzt am Netz haengt, vor allem wenn Du interne SIP-Accounts
hast, die dadurch von Aussen erreichbar sind! HFC-S ist da imho eher
weniger gefaehrdet.

Danke Dir und Gruesse,

Tom