Firewall poorten & SIP ALG Xelion
1.10 Firewall poorten & SIP ALG
1.10.1 Koppelen Xelion aan internet
Tegenwoordig willen veel gebruikers van Xelion het systeem aan het internet koppelen, zodat men van thuis en bv. ook op een nevenlokatie op Xelion kan in loggen, en met Xelion kan bellen. Om dit voor elkaar te krijgen kun je dat op 2 manieren doen:
-
Met een publiek IP-adres Hier dient Xelion enkel een publiek IP-adres te krijgen, waarna Xelion gewoon benaderbaar is voor softphones & IP-phones. Let hierbij wel op het gebruik van sterke wachtwoorden! Er wordt door hackers veel gezocht naar publiek staande SIP devices, om er dure gesprekken mee te voeren.
-
Met Port-Forwards Lees onderstaand hoofdstuk poorten. Daarnaast dien je bij start -> server instellingen en trunks -> Geavanceerd bij Extra SIP opties, het publieke IP-adres (externip) en het lokale netwerk (localnet) te definiëren (zie voorbeeld hieronder).
1.10.2 Poorten
Onderstaande poorten worden door Xelion gebruikt voor de dienstverlening. Het is belangrijk deze poorten tussen server, eindgebruiker, routers en op alle tussenliggende componenten te openen in zowel een inkomende als uitgaande configuratie. Wanneer er gebruikt wordt van twinning dienen de poorten tussen de verschillende netwerken naar elkaar geopend te worden. Dit geldt ook voor sessies in een Remote Desktop/cloud omgeving. SIP ALG dient zowel in de router(s) als in alle tussenliggende componenten uitgeschakeld te worden.
Voor de lokale poort betekent dynamisch een poort tussen 9000 en 65500. Momenteel gebruikt de server ipv6 alleen voor audio verkeer (poort 10000-2000). Als ipv6 volledig is ingeschakeld, zullen dezelfde poorten worden gebruikt als voor ipv4.
Wanneer er afgeweken wordt van bovengenoemde configuratie of onderstaande poorten kan een goede werking van Xelion niet gegarandeerd worden. Welke poorten worden gebruikt door Xelion:
|
Service |
Local port |
Remote port |
|---|---|---|
|
Sip |
UDP 5060 |
Chosen by peer |
|
Audio traffic |
UDP 10000 – 20000 |
Chosen by peer |
|
API including apps |
TCP 443 (TLS) |
Chosen by peer |
|
Softphone |
TCP 1791 |
Chosen by peer |
|
Misc services |
Dynamic |
TCP 443 (TLS) |
|
Dns (client only) |
UDP/TCP 53 |
UDP/TCP 53 |
|
Optional services |
|
|
|
DHCP |
UDP 67,68 |
UDP 67,68 |
|
Let’s encrypt certificate |
TCP 80 |
Chosen by peer |
|
Xelion network tool |
UDP 1798 |
Chosen by peer |
|
SIP/TLS (client) |
TCP dynamic |
5061 (depends on remote) |
|
FTP server (optional tls) |
TCP 20,21, 10090 ‑ 10100 |
Depends on client |
|
FTP Client (optional tls) |
TCP Dynamic |
TCP 20,21 |
|
SSH server |
TCP 22 |
Chosen by client |
|
TFTP Server (obsolete) |
UDP 69 |
Chosen by client |
|
Yealink RPS client |
Dynamic |
UDP 8443 |
|
SNMP server |
UDP 161 |
Chosen by client |
|
Windows client (SMB) |
Dynamic |
TCP 139, 445 |
|
LDAP Server |
TCP 636 |
Chosen by client |
1.10.3 firewall
De server gebruikt de volgende standaard firewall instellingen. Voor sommige diensten (b.v. FTP) worden extra poorten toegevoegd wanneer de dienst wordt ingeschakeld.
IPv4
|
Service |
Protocol |
Port |
|---|---|---|
|
Wanneer verbinding tot stand is gebracht of verwant is (b.v. de peer van een door de server geïnitieerde verbinding) |
All |
Al het verkeer op de verbinding |
|
ICMP |
ICMP |
Al het verkeer op de verbinding |
|
SSH |
TCP |
22 |
|
DHCP |
UDP |
68 |
|
SIP |
UDP |
5060 |
|
RTP (audio, video) |
UDP |
10000-20000 |
|
Xelion Softphone |
TCP |
1791 |
|
HTTPS |
TCP |
80 |
|
HTTPS (API, Apps) |
TCP |
443 |
|
Xelion Network Config |
UDP |
1798 |
|
SNMP |
UDP |
161 |
IPv6
|
Service |
Protocol |
Port |
|---|---|---|
|
Wanneer verbinding tot stand is gebracht of verwant is (b.v. de peer van een door de server geïnitieerde verbinding) |
All |
Al het verkeer op de verbinding |
|
ICMP |
Ipv6-imcp |
Al het verkeer op de verbinding |
|
DHCPv6 |
UDP |
546 (only from fe80::/64) |
|
RTP (audio, video) |
UDP |
10000-20000 |