Allgemeine Informationen

Firewall Einstellungen

Zur Nutzung der SIP TK Anlage

Deutsche Telefon Stand 01-2021

Vorwort

Sehr geehrte Kunden und IT-Verantwortliche,

für den reibungslosen Betrieb Ihrer SIP Tk-Anlage CentrexX müssen Sie nur wenige Einstellungen an Firewall und Router anpassen. Wir haben die entscheidenden Punkte in diesem Dokument übersicht- lich in Checklisten für Sie zusammengestellt.


Sollten Sie zu einer Einstellung Fragen haben oder bei der Konfiguration unsicher sein, senden Sie einfach ein Support-Ticket an den Service der Deutschen Telefon. Wir helfen Ihnen gerne weiter.

1. Router-Einstellungen

Bitte überprüfen Sie Ihre Router-Einstellungen anhand folgender Checkliste:

 

Zwangstrennung: Bei den meisten DSL-Anbietern, auch beim Business Internet Anschluss der Deutschen Telefon, wird einmal täglich eine Zwangstrennung durchgeführt. Konfigurieren Sie Ihren Router bitte so, dass diese Zwangstrennung außerhalb der Geschäftszeiten (z.B. um 03.00 Uhr nachts) erfolgt. Ohne diese Konfiguration wird die Zwangstrennung immer ca. 24 Stunden nach dem letzten Router-Neustart / der letzten Neu-Synchronisation erfolgen.

 

MTU-Size: Tragen Sie hier den Wert ein, der den Anforderungen Ihrer DSL-Leitung entspricht. Für den Business Internet Anschluss der Deutschen Telefon beträgt dieser Wert 1446. Beachten Sie außerdem, dass dieser Wert auch in Ihrem internen Netzwerk und ggf. bei der Nutzung eines »Virtual-Private-Network« (VPN) berücksichtigt werden muss.

 

Stateful Packet Inspection (SPI): Stellen Sie sicher, dass Ihr Router über SPI verfügt. In der Regel ist dies der Fall. In Ausnahmefällen muss SPI am Router extra aktiviert werden.

 

UDP Nat Translation-Timeout: Bitte stellen Sie den Timeout auf 180 Sekunden. Wichtig: Dies ist bei den meisten Routern nicht die Standardeinstellung. Sollten Sie diesen Wert am Router nicht än- dern können, empfehlen wir Ihnen diesen auszutauschen. Alternativ kann der UDP Nat Translation -Timeout auch an jedem Endgerät gesondert durchgeführt werden – dies ist aber mit einem hohen betrieblichen Aufwand verbunden und kann entsprechende Mehrkosten zur Folge haben.

 

Bitte schalten Sie nicht mehrere Router hintereinander! Jeder Router führt eine NAT-Translation durch und bei doppelter NAT-Translation ist leider keine SIP-Telefonie mehr möglich. Achten Sie bei »Reihenschaltung« mehrerer Instanzen (z.B. Router + Firewall) darauf, dass nur eine Instanz NAT bereit stellt. Bitte beachten Sie, dass auch Ihr Netzanbieter ggf. eine NAT-Translation durchführt.

 

Keine Nutzung von SIP-ALG: Optimaler Weise sollte SIP-ALG ausgeschaltet sein. Falls dies an Ihrem Router nicht möglich ist, prüfen Sie bitte, ob es vom Hersteller eine Lösung gibt (z.B. ein Firmware- Upgrade). Sollte auch dies nicht zum Erfolg führen, empfiehlt die Deutsche Telefon einen Austausch des Routers. Alternativ können Sie versuchen, das Problem zu umgehen: Nehmen Sie an Ihren End- geräten einen Portwechsel von 5060 auf 6050 vor. Die Deutsche Telefon garantiert nicht, dass diese Problemlösung immer funktioniert. Bitte sprechen Sie sich in jedem Fall mit dem Technischen Service der Deutschen Telefon ab, bevor Sie diese Änderung vornehmen. Nutzen Sie unseren kostenpflichti- gen Dienst »CentrexX Sprachverschlüsselung TLS/SRTP«, besteht außerdem die Möglichkeit, auf das TCP-Protokoll (Port 5061) zu wechseln.

2. Firewall-Einstellungen

Die folgenden Punkte müssen Sie für die Konfiguration Ihrer Firewall beachten.


Allgemein gilt: Es sind nur ausgehende Firewall-Policies betroffen. Zur Nutzung der IP-Telefonie ge- nügt es also, wenn Sie alle UDP-Ports zur IP-Adresse der Deutschen Telefon öffnen. Für eine restrik- tive Firewall-Einstellung, begrenzen Sie die offenen Ports einfach auf die in der folgenden Checkliste genannten.

 

UDP-Ports: Pauschal zur IP-Adresse der Deutschen Telefon öffnen: 92.60.208.0/22 (Zielport 5060).

 

TCP Ports: Portrange 6600-6699 muss für TCP ausgehend auf apiv1.dtst.de (akt. 92.60.208.162) offen sein.

 

Sprachverschlüsselung über TLS/SRTP: Wenn Sie Sprachverschlüsselung nutzen, erlauben Sie zusätzlich TCP Zielport 5061 für die IP-Adresse der Deutschen Telefon: 92.60.208.0/22.

 

TAPI: Für die Nutzung von TAPI müssen Sie TCP-Port 5039 für die 92.60.208.0/22 öffnen. Zur TAPI- Nutzung muss außerdem Ihre IP-Adresse an die Deutsche Telefon signalisiert werden (siehe Punkt 4).

 

Automatische Endgeräte-Konfiguration (Massdeployment):

HTTP: Schalten Sie TCP-Port 80 frei
HTTPS: Schalten Sie TCP-Port 443 frei
Für das Massdeployment müssen Sie je nach Endgerätehersteller weitere TCP-Ports öffnen: TCP-Port 10443 für Snom

TCP-Port 10444 für Aastra/Mitel
TCP-Port 10445 für Yealink
TCP-Port 18443 für OpenStage
(Für OpenStage-Endgeräte muss außerdem die IP-Adresse signalisiert werden – siehe Punkt 4)

 

Bitte beachten Sie, dass sich die genannten Portbereiche aus technischen Gründen ändern können.

3. Einstellungen am Endgerät

Endgeräte, die an die SIP Tk-Anlage CentrexX angeschlossen werden, konfigurieren sich automatisch über das sogenannte Massdeployment. Sollten Sie kein DHCP für die automatische Einrichtung Ihrer Endgeräte nutzen, bereiten Sie Ihre Endgeräte bitte mit folgenden Schritten auf das Massdeploy- ment vor:

 

→ Konfigurieren Sie DNS am Endgerät
→ Tragen Sie ggf. NTP-Server am Endgerät ein

4. IP-Adresse signalisieren

Nutzung von TAPI-Funktionen und FAX-Geräten

 

Für verschiedene Funktionen muss bei der Deutschen Telefon Ihre IP-Adresse bekannt sein, damit diese nicht auf den zentralen Einrichtungen der Deutschen Telefon geblockt werden. Dies gilt vor allem beim Anschluss eines physischen Fax-Gerätes oder zur Nutzung von TAPI-Funktionen.

 

Es gibt verschiedene Möglichkeiten, wie Sie uns Ihre IP-Adresse signalisieren können:

 

→ Sie besitzen einen Business Internet Anschluss bei der Deutschen Telefon:
Eine zusätzliche Konfiguration ist nicht nötig. Ihre IP-Adresse wird von der Deutschen Telefon immer erkannt.

 

→ Sie besitzen eine feste IP-Adresse (Business-Standard) eines anderen Anbieters:
Bitte melden Sie die IP-Adresse einmalig dem Technischen Service der Deutschen Telefon, damit sie dauerhaft hinterlegt werden kann.

 

→ Sie besitzen eine dynamische IP-Adresse (z.B. für den Arbeitsplatz im Home Office): In diesem Fall gibt es zwei Lösungsmöglichkeiten:

 

Temporäre Lösung: Loggen Sie sich an Ihrem Arbeitsplatz im Power Menü als Nutzer ein. Bis zum nächsten Kalendertag wird Ihre IP-Adresse erkannt. Am nächsten Morgen müssen Sie sich erneut im »Power Menü Nutzer« anmelden, bevor Ihnen die Telefonie über TAPI wieder zur Verfügung steht. Diese Lösung ist also nur temporär und deshalb z.B. für ein gelegentliches Home Office praktikabel.

 

Dauerhafte Lösung: Richten Sie einen DynDNS-Dienst (Dynamic Domain Name System) ein. Für den regelmäßigen Arbeitsplatz empfehlen wir diese Alternative. In den Routereinstellungen unter »DynDNS« sind oft schon einige Optionen angelegt – weitere Anbieter lassen sich im Internet leicht finden. Nach dem Sie den Dienst eingerichtet haben, melden Sie den Domainnamen Ihres Kontos einmalig dem Technischen Service der Deutschen Telefon.

 

Noch ein paar Tipps für Sie:

 

→ Insofern Sie keinen Business Internet Anschluss bei der Deutschen Telefon besitzen, senden Sie uns bitte bereits in der Vorbereitung zur Inbetriebnahme Ihre statische IP Adresse oder das entsprechende DynDNS-Konto für die dauerhafte Freischaltung an service@deutsche-telefon.de unter Angabe Ihrer Kundennummer.

 

→ Eine ausführliche Beschreibung zur Einrichtung von TAPI für Ihre SIP Tk-Anlage CentrexX können Sie dem Artikel »TAPI-Treiber« in unserer Online-Hilfe entnehmen.

 

→ Als Alternative zum Anschluss eines physischen Fax-Geräts können wir Ihnen außerdem die E-Fax-Dienste »Fax-to-Mail« und »Mail-to-Fax« zur Nutzung von Fax per E-Mail empfehlen. Ausführliche Informationen, wie Sie die CentrexX-Dienste einrichten, finden Sie in unserer Online-Hilfe. Bei der Nutzung von E-Fax entfällt die Notwendigkeit zum Signalisieren Ihrer IP-Adresse.

 

Spezialfall Unify OpenStage Endgeräte:

 

Wenn Sie Openstage Endgeräte nutzen, müssen Sie dem Technischen Service der Deutschen Telefon Ihre feste IP-Adresse übermitteln und den Hinweis »für die Nutzung von OpenStage-Endgeräten« hinzufügen. Die anderen oben aufgeführten Alternativen (wie z.B. »DynDNS«) greifen in diesem Fall leider nicht. Unser technischer Service hilft Ihnen telefonisch unter der 0800 5802008 gerne weiter.

Quelle: Deutsche Telefon

Sie haben noch Fragen rund um das Thema Firewall- und Routereinstellungen?

 

Erstellen Sie bitte ein Ticket unter service.deutsche-telefon.de. Selbstverständlich können Sie sich während unserer Geschäftszeiten auch telefonisch direkt an unseren Technischen Service unter der 0800 5802008 wenden.

Scroll to Top

Diese Website nutzt Cookies. Um bestmögliche Funktionalität bieten zu können.