Firewall Freigaben für Provisionierung pascom 19

Ich plane z.Z. den Umzug des vlans für die Telefone und für die pascom 19 Anlage von internen Netzen in DMZ Netze, um mobile clients auch ohne vpn nutzen zu können und auch das Problem Firmware Aktualisierung ( Grandstream ) über den Hersteller zu realisieren.
In der Dokumentation Portübersicht | Firewall konfigurieren steht für Telefon Provisionierung 8884/TCP aber für die DHCP Option Konfiguration für die Provisionierung steht
http://[pascom_server]:8880/p/[Telefonanlagenname]/ also port 8880/TCP - was ist richtig?

Hallo @willi,

Port 8884 sollte korrekt sein, das wird jedenfalls in der pascom als Provisionierungs-Link ausgegeben (und ist auch im Telefon so eingetragen).

Das erklärt evtl. auch warum ich kein Firmware-Upgrade mehr über die pascom machen konnte: Snom Firmware-Update funktioniert nicht

Gruß,
Rapha

Moin Rapha,
Danke für die schnelle Antwort, d.h. die Dokmentation von pascom muss hier Telefon-Provisonierung via DHCP angepasst werden und ich kann die Telefone im interen Netz belassen.
MfG -willi-

Gerne, teste grade ob das mit der DHCP-Option via Port 8884 und das Firmware-Update auch funktioniert.

So wie es aussieht müssen beide Ports offen sein.

DHCP-Option mit HTTP via Port 8880, dort wird die Settings-URL abgefragt und das Gerät in der pascom registriert. Die Settings-URL HTTPS via 8884 holt sich dann die restlichen Einstellungen (zumindest beim Snom).

Port 8884 versteht auch nur SSL/TLS und eine encrypted URL (also kein /p/instanz/mac).

Gruß,
Rapha

Funktioniert nun das Firmware-Update für Deine Snom Telefone, oder besteht das Problem weiterhin? -willi-

Nein :frowning:, das Telefon startet einfach nur neu.

Korrektur: Nach 5 Minuten funktioniert es nun :slight_smile:
Allerdings läuft alles über HTTP und Port 8880, die HTTPS-URL fehlt aktuell im Gerät.

Edit: Offensichtlich muss die Settings-URL manuell eingetragen werden wenn man secure provisioning haben möchte, ansonsten bleibt es bei HTTP. SIP & Co. läuft weiterhin via TLS.

Bei reiner DHCP-Provisionierung bleibt es also bei Port 8880, wenn die Settings-URL eingetragen wird braucht es nur 8884.

Gruß,
Rapha

Für Snom Telefone ist die DHCP Option 66 TFTP-Server auch :http://[pascom_Server]:8880/p/[Telefonanlagenname]/{mac} , aber vermutlich hast Du das beachtet.

Ja, das passt soweit. Die Firmware wird dann über http://pbx:8880/f/instanz/pool/??.fw geladen, aber die Provisionierung ebenfalls insecure via HTTP.

In der Basisconfig steht auch dieses.

   {{!-- do not overwrite url in case of insecure/dhcp provisioning --}}
   {{#if secure_request}}
   <setting_server perm="RW">{{{full_provisioning_url}}}</setting_server>
   {{/if}}

Es wird also die Settings-URL nur genutzt wenn auch sicher Provisioniert wird (und nicht über DHCP).