ISP’ler Neden 5060 Portunu Kapatıyor?

Çoğu telekom operatörünün verdiği modem/ONT yazılımlarında SIP sinyalleşme standardı olan UDP 5060 ya güvenlik gerekçesiyle önceden kapatılmıştır ya da yalnızca operatörün kendi VoIP profiline yönlendirilmiştir. Başlıca nedenler:

  1. Operatör VoIP Çakışması – Türk Telekom, TurkNet, Superonline gibi sağlayıcıların FXS çıkışlı cihazları, kendi telefon hizmetini de 5060 üzerinden çalıştırır; son kullanıcıya bu portu açmak çifte kayıt (dual-registration) sorunları yaratabileceğinden yasaklanır.
  2. SIP Tabanlı Saldırı Riski – 2024’te CERT-TR bültenlerinde en çok yer alan bot taramaları SIP hatlarını hedef aldı; altyapı firmwaresine gömülü “port black-list” bunun sonucudur.
  3. CGNAT ve Port Yetersizliği – Abonelerin büyük bölümü Carrier-Grade NAT arkasındadır; 5060 gibi “çok aranılan” bir portu paylaşmak, NAT tablosunu doldurup servis kalitesini bozar.

Şirket Dışından IP-santral ya da Softphone Bağlamak İçin

AdımYapılacaklarAçıklama
1. IPv4 AdresiStatik IP satın alın ya da DDNS kullanınCGNAT arkasında iseniz port açma zaten çalışmaz.
2. Modemi Köprü (Bridge) Moduna AlmaKendi yönlendiricinizi kullanınISP modemi sadece ONT gibi davranır; NAT ve SIP ALG sorunları ikinci cihazda kontrol edilir.
3. Alternatif SIP PortuSantralde 5061, 5080 veya 5160 tanımlayınÇoğu modem bu portlarda kısıtlama yapmaz.
4. Güvenli TaşımaSIP over TLS & SRTP etkinleştirinTLS, SIP ALG’i devre dışı bırakır ve sinyali şifreler.
5. NAT TutarlılığıSTUN / ICE veya 60 sn’den kısa REGISTER keep-alive gönderinPaket akışı kesilirse çağrı düşer.
6. Güvenlik DuvarıYalnızca ofis/uzak IP bloklarını açın0.0.0.0/0 yerine dar bir IP listesi ile scanner riskini azaltın.

SIP ALG Kapatılamayan Modemde Ne Yapılabilir?

SIP Application Layer Gateway, paket başlıklarını “iyileştirme” iddiasıyla değiştirir fakat aslında SDP verisini bozarak tek yönlü ses, 30 sn sonra düşen çağrı gibi hatalara yol açar. Kapatma seçeneği yoksa:

  • Taşıma Türünü Değiştirin – SIP’i UDP yerine TCP veya TLS üzerinden kullanın; çoğu ALG bu protokollere dokunamaz.
  • VPN Tünelleme – Site-to-Site IPSec, OpenVPN veya WireGuard kurarak tüm sinyalleşmeyi şifreli tünele gömün; modem VoIP trafiğini “normal HTTPS” zanneder.
  • SBC/Proxy Kullanımı – Bulut tabanlı bir Session Border Controller (Kamailio, OpenSIPS) 443/TCP veya 80/TCP üzerinden WebSocket-SIP (WSS) kabul ederek hem ALG’i hem 5060 engelini aşar.
  • Outbound Proxy + NAT Traversal – Softphone’larda “Rport”, “Symmetric RTP” ve “ICE” seçeneklerini açın; PBX tarafında NAT keep-alive süresini 25 sn’ye düşürün.

Modem Üreticileri Neden Israrla 5060’u Kullandırmıyor?

  1. Yerleşik VoIP Hizmeti: ZTE, Zyxel ve Huawei’nin Türkiye dağıtımlı modellerinde 5060, dahili SIP User Agent’a hard-coded atanmıştır. Kullanıcıdan gelen port-forward kuralı firmware seviyesinde reddedilir.
  2. Global Saldırılar: 2023 Verizon DBIR raporunda SIP brute-force taramaları, IoT saldırılarının %12’sini oluşturdu. Bu risk, modem yazılım ekibine “barikat kuralı” olarak geri döndü.
  3. Lisans ve Destek: Üretici, “kendi VoIP + harici SIP çakıştı, ses gitti” çağrılarını azaltmak için en kolay yolu seçer—tepeden engellemek.

Türkiye’de Yaygın Çözümler – Saha Deneyimi

  • 5061/TCP + TLS: Yeastar, 3CX ve FreePBX kurulumlarının %70’i artık 5061 kullanıyor; modem değişikliği yapmadan dış bağlantı sağlanabiliyor.
  • EXTERNAL RTP RANGE: UDP 10000-20000 çoğu firmware’de serbest; sadece iki kural yeterli (signalling + media).
  • Mesh VPN: MikroTik L2TP/IPSec veya Tailscale WireGuard, saha teknisyenlerinin “kur, QR kodu okut, çık” yöntemi oldu.
  • Double-Router Topolojisi: ISP cihazı → PPPoE Passthrough → EdgeRouter / FortiGate; VoIP tümüyle ikinci cihazın NAT-SIP helper’ına teslim.

Örnek Konfigürasyon

# Yeastar S-Serisi örneği
Signalling Port : 5080 UDP
Media RTP Range : 10000-12000
TLS Enable      : Yes (Port 5061)
STUN Server     : stun.l.google.com:19302
NAT Keep-Alive  : 25 s

Ardından modemden 5080/UDP ve 10000-12000/UDP’yi ofis IP’sine yönlendirmek yeterlidir; SIP ALG açık kalsa bile TLS kanalı sorunsuz çalışır.

Sonuç ve Öneriler

  • Yeastar gibi bir santral ve ilgili lisansları alarak bu sorunlar aşılabilir.
  • Türkiye’de çıkarılan modemlerin 5060’u kısıtlama politikası, operatör VoIP çakışması ve güvenlik endişeleri temellidir.
  • Dış ofis/ev çalışanları için statik IP + alternatif port + TLS veya VPN üçlüsü, en düşük maliyetli çözümdür.
  • SIP ALG’i devre dışı bırakamıyorsanız, TCP/TLS, SBC veya full-tunnel VPN alternatiflerine yönelin.
  • Kurumsal ölçekli dağıtımlarda modem/ONT’yi bridge edip profesyonel güvenlik duvarı ile NAT-SIP kontrolünü merkeze almak uzun vadede en stabil seçenektir.

Bu adımları izleyerek hem Türkiye’deki port engellerini hem de SIP ALG kaynaklı “gizli sabote” sorunlarını kalıcı biçimde çözebilir, uzaktan IP-telefon ve softphone kullanıcılarınız için kesintisiz iletişimi garanti altına alabilirsiniz.

Gösterim: 20

Benzer Yazılar

API Nedir?

Uygulama Programlama Arayüzü (API), iki yazılım bileşeninin standart bir sözlük ve gramer ile birbirine erişim izni sağlamasıdır. İster bir mobil…

LoRa ve LoRaWAN Nedir?

Giriş: Nesnelerin İnterneti (IoT) ve Kablosuz İletişimin Önemi Günümüz dünyasında Nesnelerin İnterneti (IoT), hayatımızın her alanına nüfuz eden, cihazları birbirine…

BTK Nedir? Ne İş Yapar?

Bilgi Teknolojileri ve İletişim Kurumu (BTK), Türkiye’de telekomünikasyon, bilgi teknolojileri ve posta sektörlerini düzenleyen ve denetleyen bağımsız bir kamu kurumudur…