Toggle Öffentlicher Zugang - was er tut und was nicht

Aufklärung über den Toggle Öffentlicher Zugang in den Auto-Provisioning Einstellungen. Wann ihn aktivieren, wann nicht.

Was ist der Toggle?

Im Web-UI unter Telefone → Auto-Provisioning Einstellungen findest du einen Toggle “Öffentlicher Zugang” mit der Beschreibung “Provisioning auch von externen IPs erlauben (Standard: nur LAN)”.

Default: AUS. Lass ihn aus, wenn du nicht ganz sicher weißt, dass du ihn brauchst.

Was er tatsächlich tut

Der Toggle steuert ausschließlich den Auto-Provisioning-Pfad für SIP-Hardware-Tischtelefone (Yealink, Snom, Fanvil, Htek, Grandstream, Polycom, Cisco SPA und generische SIP-Phones). Das sind Geräte, die ihre Konfigurationsdatei beim Booten von der TK-Anlage abholen.

Toggle-StandVerhalten Provisioning
AUS (Default)Provisioning-Konfig nur erreichbar von Quell-IPs in privaten Bereichen (10.x, 172.16-31.x, 192.168.x, 127.x, 169.254.x). Pakete von öffentlichen IPs werden abgelehnt.
EINProvisioning-Konfig auch erreichbar von öffentlichen IPs (z.B. wenn ein Hardware-Telefon im Außenbüro über das Internet seine Konfig zieht).

In beiden Fällen greifen mehrere Schutzmaßnahmen weiter: nur Geräte mit gültigen Credentials bekommen die Vollkonfig, unbekannte Geräte müssen manuell freigegeben werden und Anfragen werden ratenbegrenzt.

Was er NICHT tut

Hier wird der Toggle oft missverstanden. Er hat keine Auswirkung auf:

  • Mobile-App-Login von außen
  • Web-UI-Zugriff von außen
  • SIP-Anmeldung von Apps
  • Zugang zur Telefonanlage von einem anderen VLAN aus

Wenn du also dachtest “Toggle an, dann erreiche ich die Anlage übers Handy von unterwegs” — das geht damit nicht. Generelles Public-Access für Apps und Web-UI ist in FRANZFON aktuell nicht unterstützt.

Wann sollte ich ihn aktivieren?

Nur wenn du wirklich Hardware-Tischtelefone hast, die ihre Konfig von einer externen Quelle ziehen sollen. In den meisten Setups ist das nicht der Fall — Tischtelefone werden ja typischerweise im selben LAN betrieben wie die Anlage.

Wann auf keinen Fall?

  • Wenn du nur Apps (Desktop, iOS, Android) und keine Hardware-Telefone hast
  • Wenn du dachtest, der Toggle hilft dir bei “App vom Handy aus erreichen” — das ist ein Inter-VLAN-Routing- oder Internet-VPN-Thema, siehe Mehrere VLANs / getrennte Subnetze
  • Wenn du grundsätzlich keinen Bedarf hast, ihn zu aktivieren — Default AUS ist konservativ und sicher

Was ist mit “App von außen erreichen”?

Das ist ein anderes Thema:

  • Vom selben Heim-/Firmen-LAN, aber anderem Subnetz/VLAN: Inter-VLAN-Routing in deiner Firewall öffnen. Siehe Mehrere VLANs / getrennte Subnetze.
  • Von unterwegs übers öffentliche Internet: Aktuell nicht direkt unterstützt. Workaround: VPN-Tunnel (z.B. WireGuard via FritzBox) ins Heim-/Firmen-LAN aufbauen, dann liegt das Handy effektiv im LAN und kann die Anlage erreichen.
  • Native Public-Access-Lösung: in einem späteren Release geplant (TLS-Cert-Workflow + DDNS/FQDN-Setup).

Zuletzt aktualisiert: · Autor: IAP-IT, Viktor Weizel

Artikel hat nicht geholfen? Schreib uns.