Brandväggar och portöppningar Manual
Innehåll Inledning...2 2 Öppna brandväggen i användarens dator...2 3 Krav på användarens nätverk...2 4 Öppning mot Telenors nätverk...3 4.1 HTTPS (port 443)...5 4.2 SIP (port 5060, port 5061 med TLS)...5 4.3 RTP (port 10000-32000)...5 4.4 XMPP (port 5222 samt port 1081)...5 4.5 Web RTC (port 8060, 8071, 3478)...5 5 Brandväggsöppningar för användare... 6
Inledning Om ert företag har ett internt nätverk som skyddas av brandväggar måste öppningar av portar ske i företagets brandväggar för att Telenor One X datorklienter skall kunna användas. Felmeddelande i form av samtal ej tillgängligt eller chat ej tillgängligt kan bero på att portar ej öppnats. Även brandväggar i användarnas datorer kan behöva öppnas för att använda Telenor One X datorklienten. Mobilapparna kan alltid användas utan krav på portöppningar. Detta dokument är avsett för telefoni- och IT-ansvariga på ert företag. 1 Öppna brandväggen i användarens dator För att använda Telenor One X datorklient och säkerställa god samtalstrafik är det viktigt att brandväggen i användarens dator är korrekt inställd. Det finns tre typer av säkerhetszoner i Windows. Även för Mac rekommenderas att öppna motsvarande brandväggsinställningar för att säkerställa god samtalstrafik. Publikt anses vara den minst säkra och brandväggen tillåter då inte lika mycket. 1. Publikt (Flygplatser, Kafé etc) 2. Privat (När du är hemma i ditt wifi. Anses vara en lite säkrare plats än public) 3. Domän (När du ligger under en domän på jobbet t ex Telenor har tse.local) Klicka gärna i alla tre alternativen. 2 Krav på användarens nätverk Brandväggen behöver vara SIP aware. För tjänsten Samarbetspaket bör minst nedstående vara tillgängligt för 720P video resolution: Bandbredd > 1 Mbit/s. Packet loss < 0,1 percent range Jitter < 40 msec range Latency < 150 msec range Det är en fördel om användarens LAN switch är konfigurerad för Quality of Service (QoS) och som prioriterar Voice/Video trafik över annan mindre känslig trafik i ert LAN, genom följande mekanismer; Differentiated Services Code Point (DSCP) markeringar för att identifiera olika typer av trafik. Prioritisation and Low Latency Queueing (LLQ) av röst trafik, för att säkra prioritet över annan icke tids känslig trafik som web browsing eller e-mejl.
3 Öppning mot Telenors nätverk Kunden behöver öppna sina brandväggar för datorklienterna mot Telenors nät. För mobiler behövs inga brandväggsöppningar eftersom de befinner sig i Telenors krypterade mobilnät. Kundens LAN nät Telenors nät Sverige One X via mobil Portar mot Telenor One X via desktop Publikt internet HTTP HTTPS XMPP SIP Server Gästklient Brandvägg Brandvägg Server Telenor OneX lösningen är implementerad på två olika geografiska platser i Telenor Sveriges nät. Detta för att ge tjänsten geografisk redundans med ett helt dubblerat system för bästa tillgänglighet och quality of service. Telenors high availability servers är placerade i Sverige för att ge en ökad säkerhet gentemot andra molnbaserade tjänster. Lösningen har två brandväggar. En brandvägg för audio och video trafik samt en för meddelande- och samarbetstjänster som är öppnade ut mot publika internet. Kunden behöver öppna sina brandväggar från klienterna på PC och Gästklient i utgående riktning mot Telenors nät. Brandväggen behöver vara SIP aware. Eftersom lösningen har geografisk redundans så blir antalet IP adresser och portar som man måste öppna i brandväggen dubblerat. Känsliga transaktioner som login och liknande använder sig av HTTPS signalering för att ge största möjliga datasäkerhet. Hela lösningen är säkerhetstestad av en extern part som Telenor använder för sina tjänster.
3.1 HTTPS (port 443) Telenor One X lösningen använder HTTPS till: User log in Desktop sharing Instant messaging Presence 3.2 SIP (port 5060, port 5061 med TLS) Telenor One X lösningen använder SIP till: Sätta upp audio- och videosessioner Parkera sessioner Vidarekoppla sessioner Hantera sessioner genom att under pågående session lägga till mediaströmmar Ändra mediakodning och bjuda in nya deltagare 3.3 RTP (port 10000-32000) Telenor One X lösningen använder RTP till: Videoströmmar Ljudströmmar 3.4 XMPP (port 5222 samt port 1081) Samarbetstjänsterna i One X lösningen använder XMPP till: Instant messaging media Presence media Filöverföring media Federering med andra Telenor One X företag 3.5 Web RTC (port 8060, 8071, 3478) Samarbetstjänsterna i One X lösningen använder Web RTC till: Gästklient utanför Telenor One X lösning med Chrome browser One X samarbetstjänster
4 Brandväggsöppningar för användare Dessa portar behöver öppnas i kundens brandvägg i riktning mot Telenors nät Om användaren inte har Samarbetspaketet så behövs inte öppningar för XMPP, Filesharing samt Guest client Kundens brandvägg behöver vara SIP aware Utan Med Source Destination Port Protocol Samarbetspaket Samarbetspaket X Customer 82.182.1.66 TCP/5222 XMPP 82.182.1.12 X X Customer 82.182.1.66 TCP/443 HTTPS 82.182.1.12 X Customer 82.182.1.66 TCP/1081 XMPP 82.182.1.12 X X Customer 82.182.1.65 TCP/8443 HTTPS 82.182.1.11 X X Customer 82.182.1.67 TCP/80 HTTP/HTTPS 82.182.1.13 82.182.1.69 82.182.1.15 82.182.1.68 X X Customer 82.182.1.67 TCP/443 HTTP/HTTPS 82.182.1.13 82.182.1.14 82.182.1.68 82.182.1.15 X X Customer 195.54.121.176/29 TCP/5060 SIP X X Customer 195.54.121.176/29 TCP over TLS/5061 Secure SIP X X Customer 195.54.121.176/29 RANGE RTP 195.54.121.184/29 UDP/10000-32000 X Customer 195.54.121.184/29 TCP/5060 SIP (guest client) X Customer 195.54.121.184/29 TCP over TLS/5061 Secure SIP (guest client) X Customer 82.182.2.11 RANGE (guest client) 82.182.2.19 UDP/10000 32000 SRTP / DTLS / STUN X Customer 82.182.2.11 TCP/8060 SIP (guest client) 82.182.2.19 X Customer 82.182.2.11 TCP/8070 SIP (SSL/TLS) (guest client) 82.182.2.19 X Customer 82.182.2.11 UDP/3478 STUN (guest client) 82.182.2.19 TB 11 260 02-19