Allgemeine Hinweise zu Firewalls
In diesem Bereich finden sich allgemeine Hinweise zur Konfiguration der Firewall:
- TCP Aging auf 600 Sekunden setzen
- UDP Aging/UDP-NAT Timeout (Connection tracking) auf 600 Sekunden setzen.
- “Bestandsdauer“ (UDP) in der NAT-Tabelle des Routers auf mindestens 61 Minuten setzen
Ist eines der folgenden Features in der Firewall aktiv, sollte es deaktiviert werden:
- SIP ALG
- H323 Helper Modul (u. a. bei Sophos-Firewalls)
- SIP Inspection (u. a. bei Checkpoint-Firewalls)
- UTM (Unified Threat Management)
Existiert eine redundante Internetverbindung, muss sichergestellt sein, dass die Telefonie nur über eine Verbindung geroutet wird. Um Endgeräte hinter NAT anzubinden, sollten nur interne (z.B. 10.0.0.0/8 oder 172.16.0.0/12 oder 192.168.0.0/16), keine öffentlichen IP-Adressen verwendet werden.
STARFACE PBX als Appliance / VM
Folgende Ports sind für die grundlegenden Funktionen zur STARFACE PBX freizuschalten:
Port | Protokoll | Richtung | Beschreibung |
|---|---|---|---|
53 | UDP+TCP | Ausgehend | DNS |
123 | UDP | Ausgehend | Setzen / Abgleichen der Systemzeit über einen externen NTP-Server |
443 | TCP | Eingehend + Ausgehend | Zugriff auf die Weboberfläche + REST-Interface der STARFACE |
3478 | UDP | Ausgehend | Nutzung des STUN-Service stun.starface.com |
5060 | UDP+TCP | Eingehend + Ausgehend | Nutzung durch SIP (z.B. Gesprächsaufbau) |
5061 | UDP+TCP | Eingehend + Ausgehend | TLS-Verschlüsselung in den STARFACE Desktop Apps und bei verschlüsselten Verbindungen zu einigen SIP-Providern (STARFACE Connect) |
10.000 bis 20.000 | UDP | Eingehend | eingehende RTP-Audiodaten |
1.025 bis 65.535 | UDP | Ausgehend | ausgehende RTP-Audiodaten |
50080 | TCP | Ausgehend | Autoprovisionierung von Endgeräten an der STARFACE und Zugriff auf die Telefonmenüs |
50081 | TCP | Ausgehend | Autoprovisionierung von Endgeräten an der STARFACE und Zugriff auf die Telefonmenüs |
Die folgenden Ports stellen optionale Freigaben innerhalb des eigenen Netzwerks da, die nur vorgenommen werden sollten wenn der entsprechende Service oder das entsprechende Feature auch genutzt wird:
Port | Protokoll | Richtung | Beschreibung |
|---|---|---|---|
22 | TCP | Eingehend | Wartung der STARFACE via ssh |
389 | LDAP | Ausgehend | Unverschlüsselter Zugriff auf ein externes Adressbuch (siehe auch LDAP-Anbindung eines Adressbuches konfigurieren) |
636 | LDAP | Ausgehend | Verschlüsselter Zugriff (mit TLS) auf ein externes Adressbuch (siehe auch LDAP-Anbindung eines Adressbuches konfigurieren) |
1902 | UDP | Ausgehend | Benutzerauthentifizierung über Active Directory |
3090 | TCP+UDP | Eingehend + Ausgehend | Aufbau und Nutzung des Anlagenverbunds |
Bei der Nutzung der beiden STARFACE Desktop Apps sind weitere Portfreigaben notwendig (siehe unten).
Bei der Nutzung der beiden STARFACE Mobile Apps sind weitere Portfreigaben notwendig (siehe unten).
Serveradressen für die STARFACE PBX
Folgende Serveradressen werden von der STARFACE PBX kontaktiert und müssen erreichbar sein:
Adresse | Port | Protokoll | Beschreibung |
|---|---|---|---|
iplookup.starface.com | 443 | https | Automatische Ermittlung der externen IP-Adresse der STARFACE |
license.starface.de | 443 | https | Zugriff auf den Lizenzserver der STARFACE betreffend Abgleich der Lizenzen |
siptrunk.de | 443 | https | Zugriff auf das Providerportal |
www.starface-cdn.de | 443 | https | Zugriff auf Updates und Firmware der STARFACE |
update.starface.de | 443 | https | Zugriff auf Updates der STARFACE |
STARFACE Desktop und Mobile Apps
Bei der Nutzung der STARFACE Desktop Apps und der STARFACE Mobile Apps im Firmennetzwerk oder im Homeoffice hinter einer Firewall müssen die folgenden Ports freigeschaltet werden:
Port | Protokoll | Richtung | Beschreibung |
|---|---|---|---|
443 | TCP | Eingehend + Ausgehend | Grundlegende Funktionen und Adressbuch |
5060 | UDP | Eingehend + Ausgehend | SIP |
5061 | TCP | Eingehend + Ausgehend | SIP mit TLS Verschlüsselung |
5222 | TCP | Eingehend + Ausgehend | Anmeldung am XMPP-Server der STARFACE |
9092 | TCP | Eingehend + Ausgehend | gRPC zur Anmeldung (ab Version 10 der STARFACE PBX) |
10.000 bis 20.000 | UDP | Eingehend + Ausgehend | eingehende RTP-Audiodaten |
1.025 bis 65.535 | UDP | Eingehend + Ausgehend | ausgehende RTP-Audiodaten |
Die folgenden Ports müssen optional freigeschaltet werden, wenn die entsprechende Funktion genutzt wird:
Port | Protokoll | Richtung | Beschreibung |
|---|---|---|---|
554 | UDP | Eingehend + Ausgehend | RTSP Streams (Kamera) in der App für Windows |
8554 | TCP | Eingehend + Ausgehend | RTSP Streams (Kamera) in der App für Windows |
Für Updates der Desktop Apps muss die folgenden Adresse erreichbar sein:
https://www.starface-cdn.de
Für Updates der Mobile Apps muss die folgenden Adresse erreichbar sein:
https://push-cluster.starface.de
Die IP-Adressen hinter der Subdomain "push-cluster.starface.de" sind auch immer aktuell in der folgenden Textdatei (EDL) aufgelistet:
https://feed.starface.io/push.txt
Zusätzlich müssen Hostnamen, XMPP Domain und die verwendete Serveradresse auf der STARFACE korrekt eingetragen sein.
Es muss auch die allgemeine Dokumentation zu den Netzwerkeinstellungen auf der STARFACE PBX beachtet werden (Link zur Dokumentation).
STARFACE Connect
Die folgende Subdomain muss von der STARFACE PBX aus erreichbar sein, wenn eine STARFACE Connect Leitung genutzt werden soll:
Die IP-Adressen hinter der Subdomain "cluster.starface-connect.com" sind auch immer aktuell in der folgenden Textdatei (EDL) aufgelistet:
https://feed.starface.io/connect.txt
Sollte die Nutzung der Subdomain oder der online verfügbaren Textdatei (EDL) nicht möglich sein, können auch die folgenden IP-Adressen in der Firewall eingetragen werden:
STARFACE Cloud mit dedizierter IP-Adresse
Wurde eine STARFACE Cloud mit eigener IP-Adresse gebucht, muss diese IP-Adresse in der Firewall freigegeben werden. Die IP-Adresse der eigenen Cloud kann z.B. mit dem Befehl “nslookup” in Windows oder “dig” in Linux ermittelt werden.
Es ist zu beachten das sich bei einer Migration (Umzug einer Cloud PBX auf einen anderen Server) die IP-Adresse der Cloud ändern kann und diese neue IP-Adresse dann in der eigenen Firewall und den verwendeten Endgeräten angepasst werden muss.
Es wird empfohlen in der Firewall und auf den Endgeräten den Domainamen der STARFACE Cloud einzutragen.
Freischaltung aller STARFACE Clouds und Dienste
Sollen in der Firewall alle STARFACE Clouds und alle Dienste der STARFACE Clouds freigeschaltet werden, müssen die folgenden IP-Adressebereiche freigegeben werden. Es wird nicht empfohlen diese IP-Adressebereiche freizugeben, wenn nicht technische Gründe vorliegen wie z.B. Tätigkeit als Provider.
Für einen Gesamtzugriff müssen die aufgelisteten IP-Adressebereiche freigegeben werden, die in der folgenden immer wieder aktualisierten Textdatei (EDL) aufgelistet sind:
https://feed.starface.io/cloud.txt
Sollte die Nutzung der Textdatei (EDL) nicht möglich sein, können auch die folgenden IP-Adressen freigeschalten werden:
Hinweis: Die IP-Adressen werden immer wieder erweitert und/oder geändert.
STARFACE Cloud ohne dedizierte IP-Adresse (Concentrator Cloud)
Wurde eine STARFACE Cloud ohne eigene IP-Adresse gebucht, muss der Domainname in der Firewall freigegeben werden. Zusätzlich zum eigenen Domainnamen müssen zwingend die folgenden IP-Adressen in der Firewall freigeschaltet werden:
- 212.79.220.132
- 212.79.220.134
- 212.79.220.135
- 212.79.220.136
- 212.79.220.142
- 212.79.220.145
Es wird alternativ die Freischaltung der folgenden Subdomain empfohlen:
Yealink Telefone an der STARFACE Cloud
Sollen Telefone des Herstellers Yealink über das Partnerportal (siehe auch Erklärung zu der STARFACE Provisionierung) an eine STARFACE Cloud angebunden werden, müssen die Yealink Telefone die folgenden Hosts erreichen können:
- dm.yealink.com
- api-dm.yealink.com
- rps.yealink.com
- rpscloud.yealink.com
- Pscloud.yealink.com
Dabei müssen die folgenden Ports freigegeben sein für die oben aufgeführten Hosts:
- 80
- 443
- 8443
- 8445
- 8446
- 9989
- 9090
STARFACE NEON
Es wird eine Bandbreite von 6 Mbit/s Downstream und 3 Mbit/s Upstream benötigt.
Die folgenden Ports müssen freigegeben sein für den jeweils einzelnen Arbeitsplatz (PC oder MAC):
| Port | Protokoll | Richtung | Beschreibung |
|---|---|---|---|
| 443 | TCP | Eingehend + Ausgehend | Zugriff auf die Web Oberfläche |
| 40.000 bis 60.000 | UDP | Eingehend + Ausgehend | RTP Streams |
Damit STARFACE NEON korrekt genutzt werden kann, müssen die folgenden Domains via HTTPS erreichbar sein:
- meeting.starface-neon.com
- cluster.starface-neon.com
- start.starface-neon.com
Die Ports 40.000 bis 60.000 müssen zusätzlich auf die folgenden Zieladressen zugreifen können:
- cluster.starface-neon.com
Die IP-Adressen hinter der Subdomain "cluster.starface-neon.com" sind auch immer aktuell in der folgenden Textdatei (EDL) aufgelistet:
Sollte die Nutzung der Subdomain oder der online verfügbaren Textdatei (EDL) nicht möglich sein, können auch die folgenden IP-Adressen in der Firewall eingetragen werden:
Hinweis: Es wird von der Eintragung einzelner IP-Adressen in der Firewall abgeraten, da die genutzten IP-Adressen immer wieder erweitert und/oder verändert werden können.
STARFACE Cloud Services
Für den Zugriff auf die Cloud Services muss die folgende Domain erreichbar sein:
ip.unified-cloud.eu
Die IP-Adresse für den Zugriff auf die Cloud Services ist in der folgenden Textdatei (EDL) gelistet:
https://feed.starface.io/services.txt
Sollte die Nutzung der Subdomain oder der online verfügbaren Textdatei (EDL) nicht möglich sein, können auch die folgenden IP-Adressen in der Firewall eingetragen werden: