[Frage] Wer betreibt eine FreePBX erreichbar aus den Internet?

[DasTelefon]

Hi
lange rede kurzer sinn meine (hoffentlich) zukünftige Ehefrau möchte mich gerne erreichen mit ihren Mobiltelefon ohne die horrenden Auslandsgebühren entrichten zu müssen da wäre das einfachste Sie in meine FreePBX einzubinden nachdem es eine super VoIP Software für Android gibt. So weit so gut. Aber:
a) ein VPN ist illegal in Ihren Land
b) und egal welcher Dienst der aus den Netz erreichbar ist angreifbar.
Gut... mein Router unterstützt das man gewisse Dienste mit einer gewissen IP Range verknüpfen kann so könnte Ich nur Ihr Land freischalten aber möglicherweise wenn das alles funktioniert möchte Ich von unterwegs auch via VoIP Telefonieren statt "GSM". Daten habe Ich genug am Handy aber nur wenige Min.
Lg

 

[sawlling]

Moin

Da gibt's ja etliches zu beachten... Feste öffentliche IP? DynDNS?

Mal ne andere Frage: wie wär's per WhatsApp/Teams/Telegram/Skype/... Zu Telefonieren?

Gruß sawlling

 

[DasTelefon]

Feste öffentliche IP?

Ja

wie wär's per WhatsApp/Teams/Telegram/Skype/... Zu Telefonieren?

Nein Danke.

Gruß sawlling

Grüsse zurück.

 

[mipo]

Welches Land ist es denn? - Damit man sich ein geographisches Bild machen kann.

Nun ja, wird schwierig werden! Wenn VPN verboten ist, dann sind natürlich auch sämtliche Verschlüsselungsverfahren
verboten. Unverschlüsselt über SIP/RTP zu telefonieren, da kannste genausogut die von Dir abgelehnten Whatsapp/Teams ...
nutzen. Du wirst einen Teufel tun, Dich über politische oder andere Dinge Dich mit Deiner "zukünftigen" Frau zu unterhalten.
Eins ist ja wohl klar, fällt sie (oder ihr) auf, wars das dann mit der Ausreise ...

Kann nicht die FritzBox schon so konfiguriert werden, dass sie SIP Gespräche von einem SIP Client annimmt. Also über die
URL ... Habe mich nie damit beschäftigt, hab nur immer mal wieder darüber gelesen. Soll kein Hexenwerk sein.

Threema kommt nicht in Frage? Oder ist das auch verboten?

 

[DasTelefon]

1) Ich würde dich ersuchen die grausliche Formatierung zu fixen. (siehe Anhang)

dann sind natürlich auch sämtliche Verschlüsselungsverfahren
verboten.

Nein nicht unbedingt.

Eins ist ja wohl klar, fällt sie (oder ihr) auf, wars das dann mit der Ausreise ...

Es wird genug geben die einen nutzen aber man muss es ja nicht unbedingt darauf anlegen.

Kann nicht die FritzBox schon so konfiguriert werden

Ka Ich habe keine.

Threema

sagt mir nichts aber Sip ist das einfache weil die Software rennt bei mir 1A.
Die frage ist halt wie sicher eine FreePBX Instanz ist die aus den Netz erreichbar ist.

 

[mipo]

Na, dann ist es ja gut. Verschlüssel doch ... Theema ist ein Messenger aus der Schweiz. Wäre ein Versuch wert!

Viel Glück ...

 

[DasTelefon]

Ähm die frage ist wie gefährlich ist es den Server öffentlich erreichbar zu machen?!

 

[mipo]

Du willst den Server doch nur nur Dich und Deine Freundin benutzen. Also quasi wie eine ITK-Anlage innerhalb der Familie.
Wenn der Server keinen Zugang zum öffentlichen Netz hat und damit keine kostenpflichtigen Verbindungen aufgebaut
werden können, geht das Risiko gegen Null.

Mit Zugang in die öffentlichen Netze, würde ich es niemals machen! Mir in den SIP Anfangsjahren passiert. War nicht
schön ...

 

[sonyKatze]

ohne die horrenden Auslandsgebühren

Alternativ könntest Du auch einen reinen SIP-Anbieter nehmen … Entweder bucht Ihr Euch beide dort ein, also Dein FreePBX und sie ihr Handy. Oder nur einer von Euch ist erreichbar; der Andere ruft dann über die SIP-URI an.

wie sicher eine FreePBX Instanz ist die aus den Netz erreichbar ist

Viele kleinere SIP-Anbieter nutzen selbst FreePBX also Asterisk öffentlich. Du hast drei Probleme:

1. Bekommt Deine Version von Asterisk noch Security-Updates?
2. Hast Du alle Security-Updates eingespielt?
3. Ist Deine Konfiguration, Deine Einstellungen so sicher, dass ein Angreifer nicht in den Asterisk kommt?

Der letzte Punkt wird im Buch „Asterisk – The Definitive Guide“ im Kapitel „Security“ aus vielen Blickwinkeln betrachtet. So bekommst Du einen Startpunkt. Aber wenn Du einfach nur SIP nutzen willst, aber keine Gebühren zahlen willst, würde ich einer der reinen SIP-Anbieter nehmen.

 

[DasTelefon]

Sry das Ich nicht zurück geschrieben habe.

Bekommt Deine Version von Asterisk noch Security-Updates?

Ka Meine PBX ist eigentlich immer auf den neuersten Stand. Ich weiss natürlich nicht was die im hintergrund so machen.

Hast Du alle Security-Updates eingespielt?

Ja sollte sein.

Ist Deine Konfiguration, Deine Einstellungen so sicher, dass ein Angreifer nicht in den Asterisk kommt?

Genau das ist eben die frage was Ich alles einstellen müsste.
Da es auf einen Virtuellen System lauft besteht natürlich die Sorge das jemand "Ausbrechen" könnte.
Ich würde gerne "paar leuten" erlauben mich kostenlos zu erreichen.

 

[sonyKatze]

Wie geschildert, ist das im Asterisk-Buch ganz ordentlich zusammengefasst. Dann kannst Du auch die ersten beiden Antworten definitiv beantworten. Die 4th-Edition ist besser, wenn Du noch chan_sip nutzt. Ansonsten die 5th-Edition, die passt auch noch heute. Wenn Dir das zu viel Lesestoff ist – brauchst eigentlich nur das jeweilige Kapitel lesen: Was spricht gegen einen der verlinkten Anbieter?

 

[DasTelefon]

So meine lieben! Ich versuche Astarisk einzurichten.
Ich versuche zu verstehen was Ich alles durchreichen muss.
RTP Port Ranges 10000 - 20000

Port to Listen On
The port that this transport should listen on 5060 -> Kann Ich den Problemlos in den Router umsetzen sprich 9030 und an der PBX kommmt 5060 an?
Muss Ich da noch was einstellen?
0.0.0.0 (udp)
Port to Listen On
Domain the transport comes from
External IP Address
External Signaling Port
Local network

Brauche Ich den auch?

Bind Port
Local incoming UDP (and TCP if enabled) port that Asterisk will bind to and listen for chan_SIP messages. If left blank, it will default to 5060. Legacy installs (when only a single SIP driver was present) would set the chan_sip bind port to 5060, but new installs set it to 5160.

Danke

EDIT: Es ist FreePBX!

 

[sonyKatze]

Kommt komplett auf die Gegenstelle an. Wenn Du ausschließlich mit einem VoIP/SIP-Anbieter sprichst, der selbst Keep-Alive macht, könnte glatt sein, dass Du gar keine Ports öffnen musst. Oder soll jemand sich bei Dir registrieren können? Oder sollen eingehende Anrufe ohne Registrierung möglich sein? Dann machst Du udp/5060, tcp/5060 und tcp/5061. Die Letzteren beiden nur dann, wenn Du die überhaupt am FreePBX bzw. Asterisk geöffnet hast.

Welchen Internet-Anbieter nutzt Du? Manche erlauben auch die Mehrfacheinwahl, dann könntest Du das andere Extrem machen, und die FreePBX ganz ohne NAT völlig offen ins Internet stellen. Denn das mit den „Ports“ ist nur die halbe Miete, denn das betrifft allein die Sicherheit Deines Servers, denn für FreePBX/Asterisk ist das völlig egal. Du musst intern FreePBX/Asterisk so einrichten, dass keine Anrufe von außen über Deinen VoIP/SIP-Anbieter gestartet werden können – und das hat nix mit Ports zu tun. Daher bitte das Buch lesen. Oder hast Du es schon und fragen zu einem bestimmten Punkt im Buch?

9030

Woher kommt diese Port-Nummer?

 

[DasTelefon]

Oder soll jemand sich bei Dir registrieren können?

Jain Ich erstelle den User in der GUI und mit den Daten kann sich das Programm einloggen.

Remote Provisioning - XWiki

Remote Provisioning

wiki.linphone.org

Welchen Internet-Anbieter nutzt Du?

Nicht böse sein "egal" das ist ein kleiner in AT den kaum jemand kennt. Ich habe ne fixe IP v4 Adresse und meines wissens wird ausgehend wenig geblockt und eingehend nichts.

Denn das mit den „Ports“ ist nur die halbe Miete

Woher kommt diese Port-Nummer?

Klar wenn Ich sozusagen extern 9030 mache und der Router das auf Intern 5060 ändert sollte Ich vor den klassischen Port Scan sicher sein?

Du musst intern FreePBX/Asterisk so einrichten, dass keine Anrufe von außen über Deinen VoIP/SIP-Anbieter gestartet werden können

Ich denke wir reden an einander vorbei. Ja Ich habe ein paar Sip Betreiber wie meinen ISP, Sipgate aber diese sind in den Telefone Registriert und nicht in der PBX. Die PBX ist rein dafür da (gewesen) um Intern zu Telefonieren und falls mein Vater endlich einsieht das eine gescheite Türsprechstelle endlich sinn machen würde. Nachdem mich immer mehr Leute "zwingen" wollen irgend einen Social Media sch... zu installieren möchte Ich meine PBX nutzen das die Leute sich Linphone installieren und über meine Interne Gespräche machen.
Meinst du mit Sicherheit das Ich sozusagen 2 getrennte Benutzergruppen habe welche sich untereinander nicht Anrufen können? Sprich extern kann keine Interne Nummer Anrufen?

Daher bitte das Buch lesen

Ich tue mir leider immer noch sehr schwer längere Texte zu lesen. Hast du irgend welche sachen die du empfehlen kannst in Video Form?

die Sicherheit Deines Servers

Wie gesagt die Frage ist was können Hacker machen. Sprich nehmen Wir an Ich habe nur die Ports für jeden offen der von aussen ankommt könnte man sozusagen den Server übernehmen und sachen nachinstallieren?
(Klar FTP, HTTP, SSH,... sind und werden sowieso nie von aussen zugänglich sein!)

 

[sonyKatze]

Ich denke nicht, dass wir an einander vorbei reden. Wenn Du einen der verlinkten VoIP/SIP-Anbieter nimmst, können Deine Gesprächspartner Dich direkt anrufen, SIP-URI sei Dank. Irgendwo haben wir dazu auch einen Thread, also Android-Apps die ohne Registrierung direkt SIP-URI können. Nehmen Deine Gesprächspartner auch so einen Anbieter, kannst Du die anrufen. Oder anders formuliert: Macht keinen wirklichen Sinn solch einen Anbieter nachbauen zu wollen. Das ist aufwendig, weil Du laufend das Gesamt-System auf dem neusten Sicherheitsstand halten müsstest.

Sprich extern kann keine Interne Nummer Anrufen?

Du musst den Wahlplan so einrichten, dass niemand von außen über Dein System wieder nach außen telefonieren kann.