Zum Hauptinhalt springen

WAN port access on Vodia IO

Der WAN-Port kann mit öffentlicher IP, aber auch mit privaten IP-Adressen verwendet werden. Standardmäßig ist auf die WAN-Seite des Vodia IO-Routers an keinem Port zugegriffen. Dies ist sinnvoll, dann wird der WAN-Port im öffentlichen Internet betrieben. In vielen Fällen ist es jedoch wünschenswert, Zugriff von der WAN-Seite des Routers zu erhalten, insbesondere wenn die WAN-Seite mit einem privaten Netzwerk verbunden ist. Auf dieser Seite wird gezeigt, wie Sie den Port für HTTP-, HTTPS-, SIP- und LDAP-Zugriff aktivieren.

Anwendungsfälle

Typische Anwendungsfälle zum Aktivieren des WAN-Zugriffs sind:

  • Der Router wird als On-Premise-Router verwendet und Benutzer möchten die Telefonanlage von zu Hause oder von zu Hause aus verwenden.
  • Der Router befindet sich in einem anderen LAN, in dem er als PBX-Einheit für Geräte in diesem LAN fungiert.

Wenn nur Wartungszugriff erforderlich ist, ist es auch möglich, die Systemverwaltungs-DNS-Adresse zusammen mit einem Load Balancer (Settings → General → System) zu verwenden.

Trennen von WAN und LAN

Um den WAN-Zugriff zu aktivieren, müssen Sie sich über einen LAN-Port des Routers anmelden. Dies kann einer der vier Ethernet-Anschlüsse für das LAN sein, aber es kann auch über das WiFi-Netzwerk des Routers erfolgen. Es ist wichtig, dass kein Netzwerkkonflikt zwischen WAN und LAN besteht, z. B. wenn beide Subnetze 172.16.1.x sind, muss der Router zuerst in ein anderes Subnetz wechseln. In diesem Fall kann auch auf den LAN-Port aufgrund eines Routingkonflikts nicht zugegriffen werden. Um den Konflikt zu lösen, muss der WAN-Port getrennt werden, damit die Anmeldung möglich ist. Nach der Anmeldung erfolgt dies durch Ändern der lokalen Netzwerkeinstellungen (Router → Lokales Netzwerk), wie in der Abbildung unten gezeigt:

httpsdocvodiacomsitesdefaultfilesinline-imagesScreenShot2020-09-11at80527AM1.png

Hinweis: Nach dem Speichern der Einstellungen benötigen die LAN-Port-Einstellungen eine neue Anmeldung beim Router. Die neue Adresse wird auf dem Display des Routers angezeigt. Wenn es keinen Konflikt gibt, ist dieser Schritt nicht erforderlich.

Aktivieren von Ports

Die Ports auf der WAN-Seite werden auf der Seite Router → Advanced Firewall festgelegt. Die erweiterte Firewall muss aktiviert sein:

httpsdocvodiacomsitesdefaultfilesinline-imagesScreenShot2020-09-11at75942AM1.png

Um einen Port auf dem Router sichtbar zu machen, muss der Liste ein Eintrag hinzugefügt werden:

httpsdocvodiacomsitesdefaultfilesinline-imagesScreenShot2020-09-11at75926AM1.png

Die Quell-IP-Adresse und der Port sollten leer bleiben, es sei denn, der Zugriff auf eine bestimmte Adresse muss eingeschränkt werden. Die Ziel-IP ist in der Regel auch nicht erforderlich, es sei denn, der Zugriff sollte nur auf bestimmten IP-Adressen funktionieren.

Der Zielport ist erforderlich. Dieser Absatz zeigt die Standardports; Es ist jedoch sinnvoll, nicht standardmäßige Ports auszuwählen, wenn Sie das Gerät an einer öffentlichen IP-Adresse verwenden möchten. Die Bereitstellung der Nebenstellenanlage nimmt automatisch die Ports, die auf der Nebenstellenanlage eingerichtet wurden, so dass in der Regel keine Notwendigkeit besteht, die Standard-SIP-Ports zu verwenden. Wenn das Gerät X.509-Zertifikate generieren soll, muss Port 80 für HTTP verwendet werden. Die Standardportnummern sind 80 für HTTP, 443 für HTTPS, 5060 für SIP, 5061 für SIPS. Wenn Sie LDAP verwenden, sind die standardmäßigen LDAP-Ports auf der Nebenstellenanlage 2345 und 2346. Sie können überprüfen, welche Ports auf der PBX-Seite des Routers festgelegt wurden, wo Sie bei Bedarf Portnummern ändern können. Wenn Sie SIP auf UDP-Transportschicht verwenden möchten, sollten Sie Port 5060 aktivieren.

Wenn Sie telefonieren möchten, sollten Sie auch die RTP-Ports aktivieren. Standardmäßig beträgt der Portbereich 49152-65535 (Einstellungen → SIP → Audio), auf der Vodia IO-Box kann der Bereich jedoch kleiner sein, z. B. 50000-50099.

Wenn Sie den Auftrag nicht speziell festlegen möchten, lassen Sie das Bestellfeld leer. Die Standardaktion, mit der der Datenverkehr akzeptiert werden soll. Sie können dieses Formular auch zum Verweigern des Zugriffs verwenden. Nach dem Hinzufügen der Einträge sollten die offenen Ports in der Liste wie folgt angezeigt werden:

httpsdocvodiacomsitesdefaultfilesinline-imagesScreenShot2020-09-11at75934AM1.png

Sie sollten dann vom WAN-Port aus auf den Router zugreifen können.

Schritte zum Schutz des Systems

Wenn der Router Ports dem öffentlichen Internet zugänglich macht, wird empfohlen, zusätzliche Schritte zu unternehmen, um das Risiko von Angriffen zu verringern.

  • Sie sollten dem System einen DNS-Namen angeben (Systemverwaltungs-DNS-Adresse in Einstellungen → Allgemeines → System festlegen) und die automatische Generierung eines Sicherheitszertifikats aktivieren (ACME-Verzeichnis-URL in Einstellungen → Allgemeines → Systems festlegen).
  • Ändern Sie den Namen der Standarddomäne von localhost in eine DNS-Adresse (in Domain → List). Dies kann mit der DNS-Adresse der Systemverwaltung identisch sein.
  • Aktivieren Sie die Paketfilterung, indem Sie die Ignorieren-Pakete festlegen, die nicht mit einer Domäne in der Systemeinstellung übereinstimmen (in Einstellungen → Sicherheit → Allgemein).
  • Stellen Sie sich Whitelisting-Adressen für die Administratoranmeldung vor (Nur Anmeldung enderadiere von listenden Adressen in Einstellungen → Security → General), z. B. Administratoranmeldung nur von LAN-Adressen zulassen.
  • Verschieben Sie den SIP-Port 5060 an einen zufälligen Port (z. B. 8765), um die Exposition gegenüber Portscannern zu minimieren.