Weblog

FreePBX - Firewalling & NAT

28.03.2025 3 Min. Lesezeit

FreePBX - Firewalling & NAT

Warum keine Portweiterleitung nötig ist

tl;dr

VoIP funktioniert im Heimnetz problemlos ohne eingehende Portweiterleitungen - dank moderner NAT-Traversal-Techniken und Providerunterstützung. Wer dennoch Ports öffnet, riskiert Sicherheitslücken, Missbrauch und Instabilität. Für Heimanwender gilt daher: Weniger ist mehr - keine Portweiterleitungen, keine Angriffsfläche.

Ich fahre unsere FreePBX Installation komplett ohne jede DNAT Regeln mit den SIP-Servern der Deutschen Telekom, davor eine FritzBox über Jahre - ebenfalls ganz ohne DNAT.

Einleitung

Voice over IP (VoIP) hat sich als Standard für Festnetztelefonie etabliert - auch im privaten Bereich. Viele Internetanbieter stellen ihren Kunden heute einen VoIP-Anschluss zur Verfügung, der über den heimischen Router - meist eine FritzBox oder etwas ähnliches - genutzt wird.

Leider sind nur wenige Anbieter gewillt die Technik hinreichend zu dokumentieren, so daß der Einsatz fremder Endgeräte etwas erleichtert wird. Viele Benutzer verzichten daher auf den Einsatz eigener Geräte oder diskutieren in Foren - leider muß ich das so sagen - mit jeder Menge Halbwissen über Technik die nicht vollständig verstanden wurde. Eine Frage die immer wieder gestellt und zum Teil haarsträubend beantwortet wird ist folgende:

Muß ich Ports im Router weiterleiten, damit VoIP funktioniert?

Gemeint ist natürlich DNAT.

Die kurze Antwort: Nein. Und das ist auch gut so - denn unnötige Portweiterleitungen können erhebliche Sicherheitsrisiken mit sich bringen.

Grundlagen: VoIP und NAT

Was ist NAT?

NAT (Network Address Translation) ist ein Mechanismus, bei dem der Router private IP-Adressen im Heimnetz in eine öffentliche IP-Adresse übersetzt. Das “schützt” interne Geräte vor direktem Zugriff aus dem Internet, wobei der “Schutz” nur ein Nebeneffekt ist.

NAT basiert auf Regeln, und Pakete für die keine Regeln existieren werden verworfen. Diese Eigenschaft macht man sich hier bei dem Sicherheitsaspekt zu Nutzen, denn eingehende Pakete auf dem Router werden - ohne eine DNAT Konfiguration - generell verworfen, ein Zugriff nach Innen findet also nicht statt. DNAT, also Destination NAT, ändert dieses Verhalten, in dem entsprechende Forwarding-Regeln eingetragen werden, und der Router eingehenden Paketverkehr entsprechend der Regeln weiterleitet.

Wie funktioniert VoIP?

VoIP überträgt Sprache über das Internet - typischerweise über das SIP-Protokoll (Session Initiation Protocol) für Signalisierung und RTP (Real-Time Transport Protocol) für den Sprachstrom.

Das VoIP Endgerät verhält sich hierbei wie jeder andere Client im eigenen Netzwerk. Eine ausgehende Verbindung wird über den eigenen Router zu den Telefonie-Servern des Anbieters aufgebaut, der Router trägt die entsprechenden NAT Regeln für die “Antwortpakete” selbstständig in die flüchtige Regeltabelle ein, und bis das timeout erreicht ist bleibt diese Regel bestehen. Regelmäßige Heartbeat-Pakete verhindern ein Auslaufen der Session.

Warum kein DNAT nötig ist

Outbound-Verbindungen reichen im typischen Setup vollkommen aus: Der VoIP-Client baut eine Verbindung zum SIP-Server auf - ähnlich wie ein Webbrowser zu einer Website. Die Antwort kommt über dieselbe Verbindung zurück.

Providerseitige Unterstützung

Deutsche Provider wie Telekom, Vodafone, 1&1 oder sipgate betreiben ihre SIP-Server so, daß keine eingehenden Verbindungen vom Internet ins Heimnetz nötig sind. Die Verbindung wird vom Endgerät initiiert, nicht vom Server.

Das spart komplexe Setups auf Kundenseite und damit jede Menge Supportcalls.

Themen Technikzeug
Schlagworte DTAG FreePBX NAT RTP SIP VoIP
π