Telekom VoWiFi infok

Hálózatok egyéb

Sziasztok!

"szigoru" tuzfal mogott szeretnenk egy VoWiFi SSID-t csinalni. probaltam hivni a supportot adatokert, de nem lettem okosabb.... (konkretan azt javasoltak, hogy irjak telekomos forumokba, hatha tudja valaki, mert idezem "ott olyan ugyesek vannak" No comment)

Talaltam a neten egy ilyet, de ez nyilvan nem a magyar Telekom ra vonatkozik. Esetleg valaki tud pontosabb adatokat?

https://www.t-mobile.com/support/coverage/wi-fi-calling-on-a-corporate-network

  • 1704 megtekintés

( duffy v | 2026. 01. 16., p – 19:56 )

Nem teljesen világos, hogy mit szeretnél... (a szavakat értem). 

A VoWiFi-hez nincsen szükség külön SSID-re. Ami lapot linkeltél a T-Mobile USA oldala, de ott is csak annyiról van szó, hogy (kb) ne nyílt wifit használj, hanem helyben legyen valamiféle titkosítás (WPA1,2,3, EAP stb). De ez nem a VoWiFi igénye valójában, ám a beszélgetés éppen úgy lehallgatható, mint bármi egy nyílt wifin.

A VoWiFi annyit igényel, hogy legyen "kilátás" a zinternetre. Lokálban nem kell hozzá varázsolni semmit. Az eszközöd meg vagy betalál a szolgáltatódhoz vagy nem. Ha nem, akkor megy a hívás hagyományosan (ha tud).

A linken pontosan az van, amit en szeretnek.. lehet en fogalmazok xarul, ossze foglaltattam az AI val:

 

Wi-Fi Calling dedikált SSID és VLAN kialakításának célja

A cél egy elkülönített Wi-Fi hálózat (SSID) és saját VLAN kialakítása, amely kizárólag a VoWiFi (Wi-Fi Calling) szolgáltatás működéséhez szükséges forgalmat engedi ki az internet irányába.

Ezen az SSID-n:

  • nincs általános internetelérés
  • nem érhető el belső vállalati hálózat
  • csak a mobil szolgáltató Wi-Fi Calling infrastruktúrája felé szükséges, titkosított kommunikáció engedélyezett

Működési elv

  • A VoWiFi-re dedikált SSID saját VLAN-ba van kötve
  • A VLAN egy szigorúan szűrt tűzfalszabály-készleten keresztül kommunikál
  • A kliens eszközök kizárólag:
    • hitelesítési,
    • hívásjelzés-kezelési,
    • titkosított hangforgalmi
      kapcsolatokhoz férnek hozzá

Minden egyéb kimenő vagy bejövő forgalom alapértelmezetten tiltott.

Biztonsági és üzemeltetési előnyök

  • A VoWiFi forgalom teljes mértékben elkülönül az irodai adatforgalomtól
  • Minimalizált támadási felület
  • Jól auditálható és naplózható hálózati működés
  • Megakadályozza, hogy az SSID-t „általános Wi-Fi-ként” használják
  • Biztosítja, hogy a Wi-Fi Calling megbízhatóan működjön vállalati tűzfal mögött is

Küldtem PM-et, bár lehet, it is hasznos:

Információk:

• A Magyar Telekom VoWiFi szolgáltatása csak magyarországi IP címekről működik.
• VoWiFi publikus interneten keresztül működik.
• IP SEC típusú kapcsolatokat ne szűrjék.
 

Javaslat
• Az alábbi domain-t kell DNS-ből feloldani, publikus internet felől:epdg.epc.mnc030.mcc216.pub.3gppnetwork.org
• Tűzfalon engedélyezni kell IPsec és IKE (500/4500 UDP cél portok) használatát, valamint 50-es Protocol ID-t (ESP).

Egy olyan Wifi hálózat, ami kizárólag csak a hívásokat engedi, miben nyújt többet, mint ha a 5G mobilhálózati jelerősítő lenne?

Mármint a telefonok egy időben egy WiFin tudnak lenni. Vagy a céges belső hálózaton vannak, vagy ezen a hívások számára kitalált Wifin. 
De ha a céges wifire nem mehetnek fel, vagy a céges wifin nincs lehetőség VoWiFi hívás fogadására / indítására, akkor vagy minden alkalommal, mielőtt telefonhívást kezdeményeznének, manuálisan váltaniuk kell a WiFi hálózatok közt. Ráadásul sok telefon azt követően, hogy a wifin nincs internet, lecsatlakozik, írva, hogy gyenge minőségű hálózat.
Egy 5G mobilhálózati jelerősítő ellenben állandóan fenntartja a kapcsolatot a telefonokkal, és mindig biztosítja, hogy a hívás létrejöjjön, és ehhez a többi eszköz WiFi elérését sem lassítja.

Nagy Péter

Ezek a telefonok nem cegesek. a cegeseknek sajat SSID-juk van, azon termeszetesen van "normal" net. Ezek dolgozoi keszulekek, viszont egy olyan kozegben, ami teljesen arnyekolja a telokat. Ket opcio van, a szolgaltatotol kerunk belso erositest (a masik ket szolgaltato ezt jelenleg biztositja) vagy a VoWifi SSID. A trukkos az, hogy alapvetoen a mobil hasznalat tiltott, tehat az elso megoldassal az a gond, hogy tul sok "adminisztrativ munkat" kivan valamiert, ami amugy tiltott...de nyilvan a realitas az, hogy a dolgozot kereshetik iskolabol, korhazbol stb... tehat nem artana legalabb egy minimum lehetoseget megadni, hogy ha igenylik legyen opcio legalabb hivasfogadasra. 

Így mondjuk már jobban értem, miért van így. 
Nekem az első gondolatom az volt, hogy valami ilyesmit lenne érdemes beszerezni: 5G Repeater
(Nem ismerem sem ezt a márkát, sem ezt az eladót)
Ez megoldaná a jelerősítést, mind a céges, mind a privát telefonokra, azokra is, amik a WoWifit nem támogatják, és ahogy nézem, kevesebb munka beüzemelni, mint egy külön SSID-t tűzfallal védeni, a változásokat lekövetni. (persze ha a Wifi hálózat amúgy már adott, akkor ez drágább, mint létrehozni +1 SSID-t)

Nagy Péter

Én magam nem jártam utána, hogy mely jogszabály hogyan rendelkezik, de a kereskedők oldalán ezt olvastam:
Igen — Magyarországon jogszerűen használhatsz mobilhálózat- (így 5G-) jelerősítőt otthoni vagy üzleti környezetben, feltéve, hogy az eszköz megfelel a vonatkozó műszaki és sugárzási előírásoknak és CE-tanúsítvánnyal rendelkezik (EU-s szabványoknak megfelelő rádióberendezés).

Ugyanerről kicsit többet írnak angolul itt: www.ukmobilebooster.com
Gondolom, ha van EU-s megfelelőségi nyilatkozata, akkor az csak úgy, és olyan formában szór jelet, hogy az más kommunikációba ne zavarjon be. 

Nagy Péter

https://www.emag.hu/xtech-antennaerosito-keszlet-gsm-3g-4g-20dbi10mnmale-wzmacniacz-bat/pd/DPZFBMYBM/?aid=93986b0b-4734-11ee-ab50-06b0ae234146&oid=132297606&recid=rec_64_5d9d1fc7271d4d0e5c34b4e4e5b708f41182854e2796701f556b5eac549e478b_1693919094&ref=sponsored_products_search_1_12&scenario_ID=64

 

Emag nal szepen fel is van tuntetve:

 

A GSM/UMTS/LTE átjátszók, más néven átjátszók illetéktelen személyek általi önálló összeszerelését és használatát törvény tiltja. Csak a mobilhálózat-üzemeltetők jogosultak ilyen eszközök telepítésére. A fentiek be nem tartása pénzbírsággal sújtható cselekménynek, tartós intézkedés esetén korlátozással vagy 2 évig terjedő szabadságvesztéssel sújtható.

fixme, de @vamp azt szeretné, h van egy szigorú tűzfala - és ezen szigorú tüzfal mögött legyen egy olyan SSID, ahonnan a Telekom VoWifi működik - mert egyébként a hálózat többi részén erre nincs igénye.

Fixme, de ehhez az IPsec kapcsolatot kell engedni kifele - ha nem is mindenhová, de az adott címre.

Azt mondjuk nem értem, hogyha van ilyen szigorú tűzfala - akkor miért nincsen olyan homokozója, ahol az adott adatfolyam paramétereit fel tudja jegyezni.

kb errol van szo igen :) (bovebben fentebb) 

 

Van ilyen "homokozom" :) (barracuda be van kotve graylog-ba, nagyon jol lehet vele ilyet csinalni.) De azt az elvet kovetem, hogy nem csinalunk meg valamit, amit mar valaki megcsinalt :) nyilvan ha az a valasz jon itt ki, hogy meg senki nem wireshark olta ki a portokat/ipket , akkor megcsinalom en.

A suricata segíthet megtalálni, pl:

01/08/2024-07:34:59.548121  [**] [1:2224005:3] SURICATA IKE weak cryptographic parameters (Diffie-Hellman) [**] [Classification: Generic Protocol Command Decode] [Priority: 3] {UDP} 80.244.97.255:500 -> a.b.c.d:34084

Persze csak ha minőségi a szolgáltató. :)

Bár ha egy sémára nevezik el őket mint a VoLTEnél akkor a Telekomé:
epdg.epc.mnc030.mcc216.pub.3gppnetwork.org

Nemrég küzdöttem egy MF286R-ben lévő Marvell modemmel, mert zavart, hogy hívásnál visszaesik 3G-re (ami már nincs) és a net is oda lesz a hívás végig, abban az imsd valamiért úgy döntött, hogy 3 számjegyű az mnc (az IMSI-t így vágta szét) így valamiért az ims.mnc306.mcc216.3gppnetwork.org-hez akart regisztrálni így a SIP REGISTER-re szépen visszadobta, hogy "503 Service Unavailable", miután ezt sikerült az imsd blobbol kipatchelni már a ims.mnc030.mcc216.3gppnetwork.org-hez akart, elküldte unsec az első SIP REGISTER-t visszajött a "401 Unauthorized" a nonce-al, felépítette a tunnelt és aztán már ment neki a SIP REGISTER. Az más kérdés, hogy felesleges küzdelem volt mert a zte middleware cseszik lekezelni a bejövő hívást (még).

Szerintem a vowifi annyiban más, hogy ott az egész móka tunnelben.

( PunishR v | 2026. 01. 17., szo – 08:25 )

https://kozosseg.telekom.hu/ (belsos tech emberek is elofordulnak es segitenk) es https://mobilarena.hu/tema/volte/friss.html valoban hasznos helyek + a tcpdump
 
A gemnon altal irt endpoint valid, de teszteld le, illetve ahogy tobben irtak IPsec-et hasznal.

Egyebkent az oke, hogy kulon lesz egy ssid/vlan a VoWifi-nek, de a telefonok csak 1 wifin tudnak logni egyszerre, nem lesz ebbol kellemetlenseg?

( willy v | 2026. 01. 17., szo – 09:48 )

Engedélyezd a NAT átjárhatóságot a IPsec szempontból a routereden (ha tudja), és engedélyezd az 500-as és a 4500-as portokat. 
A VoWiFi IPsec -et használ hogy az IMS-hez kapcsolódjon. 

ha jol ertem pont az a cel, hogyha laptop/tablet/akarmi csatlakozik ehhez a speci ssid-hez akkor ne menjen az internet. internet hasznalatra ott van neki az eddigi ssid (ami szinten szurve van a forgalom. pl ph tiltas, stb)

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Ha mas eszkoz is csatlakozik es csak IPsec portok vannak engedelyezve, akkor pl siman tud IPsec-el haza VPN-ezni es kitarul neki a vilag :) (azert egy IPsec tunnelt egy 10e forintos TPlink-el ossze lehet hozni , komolyabb IT tudas nelkul, chatgpt megirja neked a configot 1 perc alatt :) )

 

Mellesleg, topicnyitoban mellekeltem egy telekom.com is leirast, ami tartalmazza az engedelyezendo/szukseges portok kozott a 443-at is. Azt gondolom nem kell reszleteznem, hogy ezzel mi a gond ha nincs IP szures :) (az hogy a magyarhoz ez lehet nem is kell, mar kesobb, a topic egy kesobbi pontjan derult ki )

Nem kell hozzá a 443-as port. Az IPSec-hez kell egy másik oldali szolgáltatás is. 
Ettől függetlenül tőlem nekiállhatsz menedzselni, én biztosan nem ismerek olyan vállalkozást aki kifizetné ezt a munkát.

Segítségnek a 3GPP DNS-t az epdg-hez már fent leírták, ez általában minden szolgáltatónál helyes, a jelenlegi magyaroknál biztosan. https://mcc-mnc.com/ itt megtudod nézni, ha nem csak magyar szolgáltatóról lenne szó... Ha esetleg nem menne vagy egy idő után nem megy -> ígyjárás.

 
Alternatív megoldások: Ha lecsökkented a sebességet 2Mbit-re a hang továbbra is menni fog, emellett van még a drágább/bonyolultabb: 802.1x 

tartalmazza az engedelyezendo/szukseges portok kozott a 443-at is. Azt gondolom nem kell reszleteznem, hogy ezzel mi a gond ha nincs IP szures

Ha ennyire nagy a szigor, ne felejtsd el a DNS query-ket is alaposan szűrni, mert azon keresztül is kinyílhat az egész világ :) lásd https://github.com/yarrick/iodine

( Elbandi v | 2026. 01. 17., szo – 11:06 )

btw, kicsit offtopic. probaltam megtudni ugyfelszolgalattol, hogy kulfoldi vowifi hasznalatkor roamingnak minosul-e a hivas? egyatalan megy? ha igen, mi alapjan donti el hogy melyik regio?

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

Azt nem tudom, elegendőek-e ezek a konkrét címek, de legjobb tudomásom szerint a Yettel és a Telekom aktívan blokkolja a külföldi VoWiFi használatot. Ezt úgy csinálják (bár már jó ideje nem teszteltem), hogy csak akkor van VoWiFi, ha hazai hálózatról hazai IP-címre megy a telefon. HA ezek bármelyike sérül, azaz roaming helyzetből próbál VoWiFi-zni, akkor a Wi-Fi mögötti hálózat IP-címétől függetlenül nem engedi a Telekom.

 

Ez régebbi (néhány éves) tapasztalat és Telekom. De ismerősi beszámolók alapján a Yettel is nagyon hasonló.

TheAdam

igen, ha "billeg" a kapcsolat lakáson belül (mert mondjuk ide-oda vált 2 bázis között) akkor tud segiteni, ha airplane módba kapcsolod a telefont.

DE tényleg úgy gondolod, hogy a telefonszolgáltató nem tudja megállapítani (pl forrásIP alapján) hogy hazai v külföldi hálózatból próbálod a csatlakozást?

Azt nem tudom, h a protokoll van-e annyira szofisztikált, h esetleg gps lokációt is hozzá csomagol a bejelentkezéshez...

Szerintem pont ezen bukhat meg a dolog. Kétlem, hogy a VoWiFi egy minőségoptimális, minimális latency felett működne (bár tapasztalatom nem sok van vele, de a szolgáltató részéről kontraproduktív csak azért is felépíteni egy laggoló, szakadozó beszédkapcsolatot)

"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Szerintem, ezt annyira nem ellenorzik (marmint, a VPN kiepitesekor a latencyt), legalabbis pont tavaly szivtam a Cyclone Alfred alatt, hogy a vezetekes szolgaltato annyira csapnivalo szolgaltatast nyujtott, hogy a telefon felvetele utan, erosen akadozo, szaggato, erthetetlen hangstream jott letre. A VoWiFi-t kikapcsolva helyreallt a hivas minosege, cserebe a lakas egyik szobajaban ahol, nem volt terero, ott mindig vissza kellett kapcsolnom a VoWiFi-t, hogy legalabb az SMS uzenetek megerkezzenek.

itthon egy mobilnet késleltetése ~30-40msec.
Több helyen működik úgy - kiválóan - a VoWifi, h a házban nincs mobil lefedettség, a netet LTE v Starlink adja.

1) a starlink késleltetése kb helyfüggetlen
2) 100msec alatt tökéletesen megy a VoIP (a jitter inkább kérdés)
3) nézel egy németországi optikai netet, BIX-re ~20-30msec a késleltés. A céges VPN dobjon még rá +10msec-t. 40-50msec miért ne lenne jó a VoWifinek?
 

ezzel normal korulmenyek kozott nincs is gond. de lattuk mar olyat hogy magyar telephely ossze van kotve a kozponti irodaval, es ott lep ki a netre. igy hiaba vagy irodaban attol meg nemet "ipd" lesz. es akkor ha megis megy a vowifi, maris roamingnak latszol. ha global cegben esetleg voltak olyan okosak hogy az egeszben meg a kontinenst is atlepi, akkor meg mar penzes is lehet a moka....

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

( Sanya v | 2026. 01. 17., szo – 14:05 )

Az a bajom a wowifivel, hogy nagyonkülföldön sem segít csökkenteni a roamingköltségeket. 

  1. vodafone?
  2. VPN? a telefon esetében (most próbáltam) a VoWifi IPSec kapcsolatot NEM a kiépített vpn kapcsolaton ÁT küldi, hanem vele párhuzamosan.

    azaz csak úgy tudod ezt "meghágni" hogy olyan wifire csatlakozol - ami már eleve egy hazai vpn kijáraton át engedi ki a telefont.
    Ebben az esetben viszont kénytelen lesz működni :-)