Discussion:
Is poort 5060 tegenwoordig gefilterd?
(te oud om op te antwoorden)
Rob
2015-12-08 20:27:19 UTC
Permalink
Gisteren had ik een korte onderbreking in de PPPoE verbinding en sindsdien
kan mijn VoIP telefoon met source port 5060 niet meer aanmelden bij
Budgetphone. Ik heb de source port veranderd in 5068 en meteen werkt
het weer goed.

Ik heb poortbeveiliging nivo 2 in het service center.

Kan het soms zijn dat er al kortere of langere tijd een nieuw filter
in dat nivo actief is wat door mijn PPPoE reset nu voor mij geactiveerd is?

Ik kan me wel voorstellen dat men poort 5060 inkomend zou willen blokkeren,
maar ik heb er nog niks over gehoord.

Helaas staat er bij de instelpagina voor poortfiltering alleen maar
wollige taal in plaats van een rijtje poortnummers...
Miquel van Smoorenburg
2015-12-08 20:45:33 UTC
Permalink
Post by Rob
Gisteren had ik een korte onderbreking in de PPPoE verbinding en sindsdien
kan mijn VoIP telefoon met source port 5060 niet meer aanmelden bij
Budgetphone. Ik heb de source port veranderd in 5068 en meteen werkt
het weer goed.
Ik heb poortbeveiliging nivo 2 in het service center.
Kan het soms zijn dat er al kortere of langere tijd een nieuw filter
in dat nivo actief is wat door mijn PPPoE reset nu voor mij geactiveerd is?
Nope.
Post by Rob
Ik kan me wel voorstellen dat men poort 5060 inkomend zou willen blokkeren,
maar ik heb er nog niks over gehoord.
Is ook niet zo.
Post by Rob
Helaas staat er bij de instelpagina voor poortfiltering alleen maar
wollige taal in plaats van een rijtje poortnummers...
Ze hebben er weer een doolhof van gemaakt, maar als je doorklikt
is er wel degelijk een pagina met een lijst met poortnummers,
protocol en richting.

Mike.
Miquel van Smoorenburg
2015-12-08 20:48:39 UTC
Permalink
Post by Miquel van Smoorenburg
Post by Rob
Ik heb poortbeveiliging nivo 2 in het service center.
Ik kan me wel voorstellen dat men poort 5060 inkomend zou willen blokkeren,
maar ik heb er nog niks over gehoord.
Is ook niet zo.
Aanvulling: dat is wel zo op nivo 3 ("veilig"), maar niet op nivo 2.
(en dat staat, als je de lijst met poortnummers kan vinden,
inderdaad niet in de lijst ...)

Mike.
Rob
2015-12-08 21:03:34 UTC
Permalink
Post by Miquel van Smoorenburg
Post by Miquel van Smoorenburg
Post by Rob
Ik heb poortbeveiliging nivo 2 in het service center.
Ik kan me wel voorstellen dat men poort 5060 inkomend zou willen blokkeren,
maar ik heb er nog niks over gehoord.
Is ook niet zo.
Aanvulling: dat is wel zo op nivo 3 ("veilig"), maar niet op nivo 2.
(en dat staat, als je de lijst met poortnummers kan vinden,
inderdaad niet in de lijst ...)
Klopt dat echt wel?
Ik hoor van iemand anders die nivo 3 heeft dat die wel 5060 kan gebruiken.

(ik weet niet 100% zeker of er niet ergens een NAT het poortnummer
vertaalt bij hem, bij mij gebeurt dat niet en ik krijg geen replies
op SIP verkeer met source port 5060)
Miquel van Smoorenburg
2015-12-08 22:12:55 UTC
Permalink
Post by Rob
Post by Miquel van Smoorenburg
Post by Miquel van Smoorenburg
Post by Rob
Ik heb poortbeveiliging nivo 2 in het service center.
Ik kan me wel voorstellen dat men poort 5060 inkomend zou willen blokkeren,
maar ik heb er nog niks over gehoord.
Is ook niet zo.
Aanvulling: dat is wel zo op nivo 3 ("veilig"), maar niet op nivo 2.
(en dat staat, als je de lijst met poortnummers kan vinden,
inderdaad niet in de lijst ...)
Klopt dat echt wel?
Ik kijk rechtstreeks in de configuratie van de routers...
op nivo 2 zit er geen 5060 term in, op nivo 3 wel.
Post by Rob
Ik hoor van iemand anders die nivo 3 heeft dat die wel 5060 kan gebruiken.
Uitgaand wel, maar verkeer richting de klant destination port 5060
wordt niet doorgelaten. Wel als het van de XS4ALL sip servers
komt natuurlijk.
Post by Rob
(ik weet niet 100% zeker of er niet ergens een NAT het poortnummer
vertaalt bij hem, bij mij gebeurt dat niet en ik krijg geen replies
op SIP verkeer met source port 5060)
Raar- is het niet de fritzbox zelf die poort 5060 afvangt?
(als je een FB gebruikt, dat weet ik zo niet 123 uit mn hoofd).

Mike.
Rob
2015-12-08 22:37:14 UTC
Permalink
Post by Miquel van Smoorenburg
Post by Rob
Post by Miquel van Smoorenburg
Post by Miquel van Smoorenburg
Post by Rob
Ik heb poortbeveiliging nivo 2 in het service center.
Ik kan me wel voorstellen dat men poort 5060 inkomend zou willen blokkeren,
maar ik heb er nog niks over gehoord.
Is ook niet zo.
Aanvulling: dat is wel zo op nivo 3 ("veilig"), maar niet op nivo 2.
(en dat staat, als je de lijst met poortnummers kan vinden,
inderdaad niet in de lijst ...)
Klopt dat echt wel?
Ik kijk rechtstreeks in de configuratie van de routers...
op nivo 2 zit er geen 5060 term in, op nivo 3 wel.
Post by Rob
Ik hoor van iemand anders die nivo 3 heeft dat die wel 5060 kan gebruiken.
Uitgaand wel, maar verkeer richting de klant destination port 5060
wordt niet doorgelaten. Wel als het van de XS4ALL sip servers
komt natuurlijk.
Ik heb het uiteraard alleen over port 5060 aan mijn kant, de telefoon
in dit geval.
Post by Miquel van Smoorenburg
Post by Rob
(ik weet niet 100% zeker of er niet ergens een NAT het poortnummer
vertaalt bij hem, bij mij gebeurt dat niet en ik krijg geen replies
op SIP verkeer met source port 5060)
Raar- is het niet de fritzbox zelf die poort 5060 afvangt?
(als je een FB gebruikt, dat weet ik zo niet 123 uit mn hoofd).
Ik gebruik een MikroTik, gewoon een Linux router in feite.
Daarvoor een tijdje een Draytek en daarvoor een Linux PC.
Al die tijd heb ik een verbinding gehad met Budgetphone.

Gisteravond viel de PPPoE verbinding even weg, geen idee wat daar aan
de hand was. Zowel IPv4 als IPv6 lag er uit. Toen die terug kwam
kon mijn telefoon ineens geen verbinding met Budgetphone meer maken
maar nog wel met Cheapconnect. Trace gemaakt op de telefoon poort en
ik zie hem SUBSCRIBE sturen maar geen reply.
Ik heb in de telefoon gekeken en gezien dat het source port nummer
voor het Budgetphone account op 5060 stond en voor 2e account op 5062,
3e op 5064 en 4e op 5066. Ik heb de 1e toen van 5060 naar 5068 gezet
en meteen weer verbinding.

Ik kan wel een SMTP verbinding openen naar mijn machine dus volgens
mij is het dan zeker dat ik poortbeveiliging 2 heb en niet 3.
A. Dumas
2015-12-08 23:11:27 UTC
Permalink
Post by Miquel van Smoorenburg
Post by Miquel van Smoorenburg
Post by Rob
Ik heb poortbeveiliging nivo 2 in het service center.
Ik kan me wel voorstellen dat men poort 5060 inkomend zou willen blokkeren,
maar ik heb er nog niks over gehoord.
Is ook niet zo.
Aanvulling: dat is wel zo op nivo 3 ("veilig"), maar niet op nivo 2.
(en dat staat, als je de lijst met poortnummers kan vinden,
inderdaad niet in de lijst ...)
Eh, Ik heb al jaren Budgetphone en poortbeveiliging niveau 3 en dat
heeft altijd gewerkt. Kan in Fritz (7360v2) niet zien waar ik
binnenkomende poort kan instellen, dat moet dan toch gewoon 5060 zijn,
neem ik aan.
Rob
2015-12-09 08:30:07 UTC
Permalink
Post by A. Dumas
Post by Miquel van Smoorenburg
Post by Miquel van Smoorenburg
Post by Rob
Ik heb poortbeveiliging nivo 2 in het service center.
Ik kan me wel voorstellen dat men poort 5060 inkomend zou willen blokkeren,
maar ik heb er nog niks over gehoord.
Is ook niet zo.
Aanvulling: dat is wel zo op nivo 3 ("veilig"), maar niet op nivo 2.
(en dat staat, als je de lijst met poortnummers kan vinden,
inderdaad niet in de lijst ...)
Eh, Ik heb al jaren Budgetphone en poortbeveiliging niveau 3 en dat
heeft altijd gewerkt. Kan in Fritz (7360v2) niet zien waar ik
binnenkomende poort kan instellen, dat moet dan toch gewoon 5060 zijn,
neem ik aan.
Dat is een "gevaarlijke aanname".
Een thuisrouter doet NAT. Je telefoon kan wel poort 5060 gebruiken maar
bij het naar buiten sturen van het verkeer kan de router dit poortnummer
omzetten naar iets totaal anders en in de NAT tabel opnemen, de bestemming
poort blijft uiteraard wel hetzelfde.
Het retourverkeer van de provider komt op het rare poortnummer binnen en
de router maakt er weer 5060 van. Dan werkt alles en merk je niks van
een eventueel filter op binnenkomend verkeer op 5060.

Er zijn ook routers die het poortnummer niet veranderen als dat niet nodig
is (dwz als dit nummer in de NAT tabel nog vrij is), en dan heb je ineens
een probleem.
A. Dumas
2015-12-09 10:05:45 UTC
Permalink
Post by Rob
Post by A. Dumas
Eh, Ik heb al jaren Budgetphone en poortbeveiliging niveau 3 en dat
heeft altijd gewerkt. Kan in Fritz (7360v2) niet zien waar ik
binnenkomende poort kan instellen, dat moet dan toch gewoon 5060 zijn,
neem ik aan.
Dat is een "gevaarlijke aanname".
Een thuisrouter doet NAT. Je telefoon kan wel poort 5060 gebruiken maar
Geen sip-foon maar een ouwe analoge aan de telefoonpoort van Fritz.
Rob
2015-12-09 10:09:59 UTC
Permalink
Post by A. Dumas
Post by Rob
Post by A. Dumas
Eh, Ik heb al jaren Budgetphone en poortbeveiliging niveau 3 en dat
heeft altijd gewerkt. Kan in Fritz (7360v2) niet zien waar ik
binnenkomende poort kan instellen, dat moet dan toch gewoon 5060 zijn,
neem ik aan.
Dat is een "gevaarlijke aanname".
Een thuisrouter doet NAT. Je telefoon kan wel poort 5060 gebruiken maar
Geen sip-foon maar een ouwe analoge aan de telefoonpoort van Fritz.
Ok, geen idee wat die als source portnumber gebruikt.
hja
2015-12-12 10:34:39 UTC
Permalink
["Followup-To:" header set to xs4all.general.]
Post by A. Dumas
Post by Miquel van Smoorenburg
Post by Miquel van Smoorenburg
Post by Rob
Ik heb poortbeveiliging nivo 2 in het service center.
Ik kan me wel voorstellen dat men poort 5060 inkomend zou willen blokkeren,
maar ik heb er nog niks over gehoord.
Is ook niet zo.
Aanvulling: dat is wel zo op nivo 3 ("veilig"), maar niet op nivo 2.
(en dat staat, als je de lijst met poortnummers kan vinden,
inderdaad niet in de lijst ...)
Eh, Ik heb al jaren Budgetphone en poortbeveiliging niveau 3 en dat
heeft altijd gewerkt. Kan in Fritz (7360v2) niet zien waar ik
binnenkomende poort kan instellen, dat moet dan toch gewoon 5060 zijn,
neem ik aan.
Het vervelende van die filters is dat je er geen grip op hebt.
Bijna alle gebruikers zouden poortfiltering op 5060 moeten willen,
omdat er gewoon teveel misbruik gemaakt wordt van VOIP poorten.

Ik vind het een minpunt van XS4All dat ze wel filters aanbieden aan
klanten, maar dat ze klanten niet in staat stellen de filters zelf
in te stellen.

Alsof je geen poortfiltering wil op 5060 als je een mailserver draait...
Alsof je je poortserver niet ook open wil zetten voor 1 of 2 VOIP
providers meer...

Ik heb verschillende keren gevraagd welke servers van XS4All ik moet
doorlaten voor VOIP en nooit een bevredigend antwoord gekregen.
Alsof die routers elke week een ander IP adres krijgen en zelfs
in heel andere subnetten worden geplaatst.

Als je een firewall bij je internet verbinding wil die simpel te
begrijpen en te beheren is voldoet een Fritz niet, tenzij je alle
extra functionaliteit uitzet (WIFI, VOIP, NAS). Uberhaupt wil je
dan verschillende regels voor WIFI en LAN.

En voor dergelijke simpele netwerkaansluitingen voldoen andere
oplossingen beter. Overigens voldoet de Fritz dan weer wel goed
achter zo'n router.

Met vriendelijke groet,
Huub Reuver
MM
2015-12-16 16:45:14 UTC
Permalink
Post by Rob
Gisteren had ik een korte onderbreking in de PPPoE verbinding en sindsdien
kan mijn VoIP telefoon met source port 5060 niet meer aanmelden bij
Budgetphone. Ik heb de source port veranderd in 5068 en meteen werkt
het weer goed.
Ik heb poortbeveiliging nivo 2 in het service center.
Kan het soms zijn dat er al kortere of langere tijd een nieuw filter
in dat nivo actief is wat door mijn PPPoE reset nu voor mij geactiveerd is?
Ik kan me wel voorstellen dat men poort 5060 inkomend zou willen blokkeren,
maar ik heb er nog niks over gehoord.
Helaas staat er bij de instelpagina voor poortfiltering alleen maar
wollige taal in plaats van een rijtje poortnummers...
Is het niet zo dat de fritz.box alleen op poort tcp5060 en udp5060/7078
alleen gesprekken aanneemt als ook het IP waar het gesprek vandaan komt
overeenkomt met de DNS van de VOIP aanbieder die zelf hebt.

Ooit was het zo dat je van de ene fritz.box naar een andere fritz.box
zonder daar een bemiddelaar/provider tussen te moeten hebben. Dit is
zeker zo'n vijf jaar geleden dat gebruikt heb.

In mijn extra firewall voor de fritz.box heb ik nu regels aangemaakt dat
alleen VOIP wordt doorgegeven aan de fritz.box als de
bemiddelaar/provider ook voor mij de dienst verzorgt.

Ik heb ook de stun servers meegenomen en ik weet niet of dat nodig was.

Zag daarvoor al enkele 5060 probes voorbij komen dus maar meteen de
regels aangepast en bellen en gebeld worden werkt nog steeds....gelukkig
maar. ;-)

Loading...