WAN -> MAC filtering

Momenteel filter ik SIP verkeer tussen port 5060 en 5080 richting onze SIP server, dit gebeurd op basis van IP filtering met de ingebouwde firewall van onze router (Draytek 2820). Aangezien ik nu ook SIP verkeer van een willekeurig publiek IP wil filteren, wil ik dat realiseren op basis van MAC adress filtering. Voor zover ik heb kunnen vinden kan mijn Draytek dat niet.

Iemand een idee of dit mogelijk is?
Kort samengevat: meest simpele manier van MAC filtering op een WAN port.
Belangrijk om dus ook te weten is of het SIP protocol een MAC meestuurd van de cliënt. Ik heb dit nog niet kunnen vinden.

Alvast bedankt.

[ Voor 10% gewijzigd door sip5080 op 26-03-2014 14:54 ]

Equator schreef op woensdag 26 maart 2014 @ 15:50:
Als je weet dat het originating MAC adres in een IP packet bij elke router verandert in het MAC adres van die router dan weet je dus dat dit niet mogelijk is.

Dat wist ik niet nee. Het MAC filtering idee word het dus niet.
Kan iemand mij vertellen of hier andere mogelijkheden voor zijn? Ik heb zelf al een een VPN cliënt op de mobiele apparaten gedacht, echter voldoet deze oplossing niet aan de gestelde eisen van de opdracht.

CyBeR schreef op woensdag 26 maart 2014 @ 15:56:
Mischien als je uitlegt wat de opdracht is, dat we daar iets mee kunnen?

Ik heb een sip server staan waar ongeveer 10 sip cliënts op moeten worden aangemeld, deze sip cliënts werken in een mooi jasje gestoken app op android. De cliënt registreert over port 9012 & 5060. De cliënt/app heeft dusdanige mogelijkheden dat deze een volledige extension van de SIP server word, ook over het mobiele netwerk. Als de cliënts zich in het zelfde netwerk als de sip server bevind, is er geen probleem. Dit komt omdat het wan-ip van de verbinding waar de sip server achter hangt is toegevoegd aan de firewall.

Probleem van het mobiele netwerk is dat ip adressen van de cliënts regelmatig veranderen, en ik geen firewall kan toepassen op basis van ip. Nu zou je kunnen denken: zet die firewall voor die desbetreffende porten dan uit. Dit is echter niet de bedoeling i.v.m niet bestaande sip berichten die kwaadwillende aan onze sip server toesturen, met alle gevolgen daarvan.

De authentication is enkel voor het registreren van sip extensions. Een sip server (igg onze) reageert ook op sip berichten, die niets met het aanmelden van een extension te maken hebben Dat is ook precies de reden dat deze firewalled moet zijn. TLS is ingebakken tussen de sip server en cliënts, ook al heeft dat niets met mijn vraag te maken in mijn optiek.

CyBeR schreef op woensdag 26 maart 2014 @ 19:08:
Als 't goed is reageert je SIP-server niet op SIP-berichten van niet-geauthenticeerde clients? Anders zou je daar eens naar moeten kijken imo.

Dat doet deze wel. Ik heb helaas geen mogelijkheden dit verder te onderzoeken. De sip server bevind zich op een merk PABX, dus geen opensource systeem of iets dergelijks. In mijn optiek zou de sip server ook enkel op geïdentificeerde users moeten reageren, en uiteraard niet te vergeten de sip provider. Helaas is dat in deze situatie niet zo, vandaar mijn vraag of er alternatieve mogelijkheden zijn om deze cliënts te firewallen,

Een proxy is een overweging. Zou dit ook kunnen op een Windows machine? Ik heb tot zo ver geen proxy (Windows machine) kunnen vinden die een sip authenticatie ondersteunt.

tim427 schreef op donderdag 27 maart 2014 @ 11:42:
https://www.3cx.com/ - Dit is een software PBX op Windows.

Indien je toch een "apparte SIP proxy/machine" neer gaat zetten, kun je misschien de bestaande PBX vervangen?

Helaas zijn we merk gebonden vanwege de bijpassende apparatuur die op de PABX is aangesloten. Ondertussen overleg gehad met de leverancier, die stelt de conclusie dat wat ik wil niet kan met het huidige systeem.

tim427 schreef op donderdag 27 maart 2014 @ 12:07:
En een Unix-based SIP-proxy?

Je bedoeld een eerste lijn authentificatie toepassen via een proxy, hiermee de false sip response problemen van onze sip server weg filteren, en het sip verkeer vanaf de proxy duursturen naar de sip server waar de 2e authentificatie plaats vind?
Als dat is wat je bedoeld, zou je me hier meer van kunnen vertellen? Heb er nog geen ervaring mee. Het is vind ik wel de moeite waard, aangezien de 10 cliënts waar we nu over praten er zeker meer kunnen worden.

CyBeR schreef op donderdag 27 maart 2014 @ 23:58:
[...]


Dat is zelfs wat ik al bedoelde.

Als je huidige SIP server niet goed beschermd is tegen het internet, dan moet je er dus iets voorzetten wat dat wel is die vervolgens alles gewoon doorzet op het moment dat aan de voorwaarden (geauthenticeerd zijn) voldaan is. Dus je hebt een proxy, daar laat je je client tegen praten en die configureer je om niks te doen zonder dat de client geauthenticeerd is. Als 'ie dat wel is proxiet 'ie gewoon naar die andere SIP server.

Ik werd verward door de opmerking van tim427, die over 3CX begon. Dat is geen proxy maar een vervanging van de PABX (geen optie).
Jij gaf aan dat SER proxy een oplossing zou kunnen bieden, die is unix based. Ik zoek naar een zelfde oplossing maar dan via een Windows machine. Officieel doen wij geen unix, vandaar dat dit bij voorkeur de laatste mogelijkheid is. Ik kan zo 123 nog geen standalone proxy vinden die compatibel is met een sip cliënt.