27
Fritzbox hinter pfsense VOIP Probleme
Aloha an alle,
ich habe seit 2 Tagen das ganze Internet nach einem Lösungsweg abgesucht, aber nichts hat bisher gefruchtet.
Meine Situation:
Bisher hatte ich einfach (privat) eine Fritzbox 7270 am 1und1 Anschluss hängen.
Jetzt möchte ich eine PFSense FireWall dazwischen hängen.
Internet etc. funktioniert wunderbar. Ich kann auch vom Telefongerät nach außen wählen.
Was nicht möglich ist:
Den Gesprächspartner hören und von außen angerufen werden.
Also für mich ist das an sich ein klares Problem mit NAT und FireWall.
Aber selbst wenn ich (testweise) alle UDP Ports an die Fritzbox weiterleite ändern sich die Symptome nicht.
Bisher habe ich auch die klassischen schon ausprobiert (5060,7077-7097, 30000-30019, etc…)
Kennt jemand diese Situation oder weiß Abhilfe?
lg
Theo
ich habe seit 2 Tagen das ganze Internet nach einem Lösungsweg abgesucht, aber nichts hat bisher gefruchtet.
Meine Situation:
Bisher hatte ich einfach (privat) eine Fritzbox 7270 am 1und1 Anschluss hängen.
Jetzt möchte ich eine PFSense FireWall dazwischen hängen.
Internet etc. funktioniert wunderbar. Ich kann auch vom Telefongerät nach außen wählen.
Was nicht möglich ist:
Den Gesprächspartner hören und von außen angerufen werden.
Also für mich ist das an sich ein klares Problem mit NAT und FireWall.
Aber selbst wenn ich (testweise) alle UDP Ports an die Fritzbox weiterleite ändern sich die Symptome nicht.
Bisher habe ich auch die klassischen schon ausprobiert (5060,7077-7097, 30000-30019, etc…)
Kennt jemand diese Situation oder weiß Abhilfe?
lg
Theo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 231636
Url: https://administrator.de/contentid/231636
Printed on: April 19, 2024 at 23:04 o'clock
27 Comments
Latest comment
Muss die Firewall denn NAT machen?
Reicht es nicht, dass sie sich auf ihre Kernaufgaben konzentriert und die Fritzbox sich ums Routen und Telefon kümmert?
Gruß
Netman
Reicht es nicht, dass sie sich auf ihre Kernaufgaben konzentriert und die Fritzbox sich ums Routen und Telefon kümmert?
Gruß
Netman
Moin moin!
Vorneweg: Ich meide VOIP wo es nur geht und ignoriere das, solange es noch ISDN mit halbwegs sinnvollen Bandbreiten gibt, von daher ist meine Expertise begrenzt, aber PfSense ist immer ein spannendes Thema...
Das Dokument https://doc.pfsense.org/index.php/VoIP_Configuration hast Du gelesen?
Evtl. kannst Du auch das https://forum.pfsense.org/index.php?topic=68182.0 auf 1&1 anpassen?
Nur ins Blaue, ich befürchte, dass mir das Thema bald selbst begegnet...
Der Buc
Vorneweg: Ich meide VOIP wo es nur geht und ignoriere das, solange es noch ISDN mit halbwegs sinnvollen Bandbreiten gibt, von daher ist meine Expertise begrenzt, aber PfSense ist immer ein spannendes Thema...
Das Dokument https://doc.pfsense.org/index.php/VoIP_Configuration hast Du gelesen?
Evtl. kannst Du auch das https://forum.pfsense.org/index.php?topic=68182.0 auf 1&1 anpassen?
Nur ins Blaue, ich befürchte, dass mir das Thema bald selbst begegnet...
Der Buc
1
Es ist vermutlich eine fehlende Port Forwarding Regel !
WIE ist die FB und die FW zusammengeschaltet ??
Erst FB dann pfSense dann lokales LAN oder andersrum ? Wenn andersrum was benutzt du als Modem am WAN Port der pfSense ? Ist das ggf. auch ein Router wo das Port Forwarding für VoIP fehlt oder ist das ein reines NUR Modem ?
WIE ist die FB und die FW zusammengeschaltet ??
Erst FB dann pfSense dann lokales LAN oder andersrum ? Wenn andersrum was benutzt du als Modem am WAN Port der pfSense ? Ist das ggf. auch ein Router wo das Port Forwarding für VoIP fehlt oder ist das ein reines NUR Modem ?
Hallo an alle:
@Buccaneer
Profesisonell verwende ich ebenfalls ISDN wo es geht aber zu hause liegt eben der einfach 1und1 Anschluss.
Die Links kannte ich noch nicht. das werde ich heute Abend mal genauer Testen.
@aqui
Am DSL Anschluss hängt ein DSL Modem (Eine kleine Fritzbox die als REINES Modem arbeitet). Daran die PFSense die sich via PPPoE anmeldet.
In einem extra DMZ Port an "LAN1" der Fritzbox die Fritzbox.
Ich habe sogar schon alle UDP Ports an die Fritzbox weitergeleitet was ebenfalls nichts gebracht hat.
@Buccaneer
Profesisonell verwende ich ebenfalls ISDN wo es geht aber zu hause liegt eben der einfach 1und1 Anschluss.
Die Links kannte ich noch nicht. das werde ich heute Abend mal genauer Testen.
@aqui
Am DSL Anschluss hängt ein DSL Modem (Eine kleine Fritzbox die als REINES Modem arbeitet). Daran die PFSense die sich via PPPoE anmeldet.
In einem extra DMZ Port an "LAN1" der Fritzbox die Fritzbox.
Ich habe sogar schon alle UDP Ports an die Fritzbox weitergeleitet was ebenfalls nichts gebracht hat.
Nein, falsch !
An der Fritzbox musst du gar nichts forwarden !! Mach das also schnell wieder rückgängig !!
Da die FB bei dir nur als reines Modem arbeitet "versteht" diese doch gar kein IP (und damit auch logischerweise kein VoIP) sondern ist nur noch ein reiner dummer Pegelwandler !
Im Kapitel "Die Internet Anbindung und Betrieb" hier im Tutorial:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
ist ein Sreenshot einer zum Modem konfigurierten FritzBox abgebildet !!
Das kannst du auch daran sehen wenn du in der pfSense auf die Interface übersicht gehst das dort die öffentliche IP deines providers steht.
Zudem hast du ja auch den WAN Port auf PPPoE gestellt und deine Providerdaten am WAN Port der pfSense konfiguriert !
DAS ist also dein Dreh und Angelpunkt !
Hier musst du das VoIP Port Forwarding machen wenn dein VoIP Endgerät im lokalen Netzwerk befindet. Was das ist hast du uns ja noch nicht mitgeteilt
An der Fritzbox musst du gar nichts forwarden !! Mach das also schnell wieder rückgängig !!
Da die FB bei dir nur als reines Modem arbeitet "versteht" diese doch gar kein IP (und damit auch logischerweise kein VoIP) sondern ist nur noch ein reiner dummer Pegelwandler !
Im Kapitel "Die Internet Anbindung und Betrieb" hier im Tutorial:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
ist ein Sreenshot einer zum Modem konfigurierten FritzBox abgebildet !!
Das kannst du auch daran sehen wenn du in der pfSense auf die Interface übersicht gehst das dort die öffentliche IP deines providers steht.
Zudem hast du ja auch den WAN Port auf PPPoE gestellt und deine Providerdaten am WAN Port der pfSense konfiguriert !
DAS ist also dein Dreh und Angelpunkt !
Hier musst du das VoIP Port Forwarding machen wenn dein VoIP Endgerät im lokalen Netzwerk befindet. Was das ist hast du uns ja noch nicht mitgeteilt
In einem extra DMZ Port an "LAN1" der Fritzbox die Fritzbox.
Der Satz ist etwas kryptisch. Eine Fritzbox zu Fritzbox Verbindung macht hier doch keinen Sinn, wie aqui schon schreibt.
Also hast Du: Modem --> (WAN) PfSense (LAN1) --> Fritzbox 7270 --> VOIP ?
Dann müsstest Du unter NAT für das WAN Interface der PfSense alle VOIP Ports an die IP der Fritzbox forwarden. Und die assoziierte Firewallregel am Ende nicht vergessen.
Wenns dann nicht geht, mal in die geposteten Dokumente schauen. Da stand etwas von Problemen mit einseitiger Verbindung bei der PfSense.
Gruß
Buck
@aqui Also ich habe mich vielleicht etwas blöd ausgedrückt, nochmal:
WAN ---> Eine kleine Fritzbox im MODEM Betrieb mehr nicht --> WAN Port der PF Sense welche sich per PPPoE anmeldet
PFsense ----> DMZ Port geht auf "LAN1" Port der eigentlichen Fritzbox welche als VOIP Gateway dient.
Die PFsense hat noch einen LAN Port der hier aber keine Rolle Spielt.
Das das "Modem" keinerlei Aufgabe bezogen auf NAT oder ähnliches hat ist klar.
Was funktioniert: Internet, ausgehende Anrufe, der angerufene wird nicht gehört.
Der Dreh und Angelpunkt ist als das NAT an der PFSense in die DMZ bzw. andersrum.
Ich werde mir heute Abend mal die beiden Dokumente von Buck angucken.
@buck
Ja genau das ist mein Szenario. Bis auf das die VOIP Fritzbox am DMZ Port der PFSense hängt.
lg
Theo
WAN ---> Eine kleine Fritzbox im MODEM Betrieb mehr nicht --> WAN Port der PF Sense welche sich per PPPoE anmeldet
PFsense ----> DMZ Port geht auf "LAN1" Port der eigentlichen Fritzbox welche als VOIP Gateway dient.
Die PFsense hat noch einen LAN Port der hier aber keine Rolle Spielt.
Das das "Modem" keinerlei Aufgabe bezogen auf NAT oder ähnliches hat ist klar.
Was funktioniert: Internet, ausgehende Anrufe, der angerufene wird nicht gehört.
Der Dreh und Angelpunkt ist als das NAT an der PFSense in die DMZ bzw. andersrum.
Ich werde mir heute Abend mal die beiden Dokumente von Buck angucken.
@buck
Ja genau das ist mein Szenario. Bis auf das die VOIP Fritzbox am DMZ Port der PFSense hängt.
lg
Theo
Hi theoberlin,
mach doch auf dem DMZ-Interface der pfSense mal eine any-to-any Rule bei den Firewall-Rules.
Wenn NAT auf auto steht, sollte die pfSense dazu eigentlich selbst eine Regel erstellen.
Kannst Du ja dann später anpassen.
Gruß orcape
mach doch auf dem DMZ-Interface der pfSense mal eine any-to-any Rule bei den Firewall-Rules.
Wenn NAT auf auto steht, sollte die pfSense dazu eigentlich selbst eine Regel erstellen.
Kannst Du ja dann später anpassen.
Gruß orcape
OK nur nochmal zur Sicherheit nachgefragt:
Wenn du den angerufenen nicht hörst, denn funktioniert SIP einwandfrei denn das macht die Wahl aber Voice selber wird mit RTP oder RTSP übertragen.
Deine Firewall in der pfSense blockt das also noch.
Das müsstest du aber auch im Firewall Log sehen können ! Also das mal löschen, dann einen Anruf tätigen und mal ins Log sehen, da sollte das dann drinstehen wa sgeblockt ist.
Bedenke das die pfSense bzw. deren IP ja die IP ist die der VoIP Server des Providers "sieht" und Pakete an diese sendet.
Du musst auch imemr 2 Schritte ausführen deshalb:
1.) Einmal generell diese Ports erlauben in den Regeln auf die WAN IP Adresse
2.) dann in den NAT Regeln diese Ports auf die lokale LAN 1 IP der FB forwarden !
Eine Sipgate Doku beschreibt die Grundlagen:
http://www.sipgate.de/static/sipgate.de/media/Hilfe-Routerkonfiguration ...
Wenn du nach NAT oder Firewall und VoIP Ports bei Dr. Google suchst findest du zig Dokus dazu:
http://www.voipmechanic.com/port-forwarding-voip.htm
http://www.voip-info.org/wiki/view/NAT+and+VOIP
usw.
Ansonsten den "Schrotschuss" Ansatz vom Kollegen orcape oben. Erstmal alles aufmachen, checekn obs klappt und dann langsam wieder "zusperren".
das ist eine 2te Fritzbox die mit dem LAN 1 Port im lokalen LAN hängt, richtig `?
Hier soll VoIP terminiert werden ?Wenn du den angerufenen nicht hörst, denn funktioniert SIP einwandfrei denn das macht die Wahl aber Voice selber wird mit RTP oder RTSP übertragen.
Deine Firewall in der pfSense blockt das also noch.
Das müsstest du aber auch im Firewall Log sehen können ! Also das mal löschen, dann einen Anruf tätigen und mal ins Log sehen, da sollte das dann drinstehen wa sgeblockt ist.
Bedenke das die pfSense bzw. deren IP ja die IP ist die der VoIP Server des Providers "sieht" und Pakete an diese sendet.
Du musst auch imemr 2 Schritte ausführen deshalb:
1.) Einmal generell diese Ports erlauben in den Regeln auf die WAN IP Adresse
2.) dann in den NAT Regeln diese Ports auf die lokale LAN 1 IP der FB forwarden !
Eine Sipgate Doku beschreibt die Grundlagen:
http://www.sipgate.de/static/sipgate.de/media/Hilfe-Routerkonfiguration ...
Wenn du nach NAT oder Firewall und VoIP Ports bei Dr. Google suchst findest du zig Dokus dazu:
http://www.voipmechanic.com/port-forwarding-voip.htm
http://www.voip-info.org/wiki/view/NAT+and+VOIP
usw.
Ansonsten den "Schrotschuss" Ansatz vom Kollegen orcape oben. Erstmal alles aufmachen, checekn obs klappt und dann langsam wieder "zusperren".
Ichbhsbe ja bereits einmal alle Ports an die FB geforwarded. Wenn ich eine NAT bei der Pfsense erstelle wird auch automatisch eine entsprechende Firewallregel gesetzt.
Da ich bereits einmal alle udp Ports schon weitergeleitet habe kann es eigentlich nurnoch die "Source port writing" Geschichte sein die in dem ersten Link dargestellt wird. Der auftretende Fehler ist auch Genau das.
Der angerufene ist nicht hörbar.
Warum das Telefon bei erfolgreicher SIP Registrierung von außen nicht erreichbar ist (es kommt einfach kein Rufzeichen) muss ich im zweiten Schritt klären.
@aqui
Das "Regel hinzufügen nachdem ein Block im Firewall log zu sehen ist " habe ich gestern schon gemacht. Es kamen keine Blocks mehr im Log.
Erreichbarkeit bzw. Duplex Kommunikation war trotzdem nicht möglich.
Da ich bereits einmal alle udp Ports schon weitergeleitet habe kann es eigentlich nurnoch die "Source port writing" Geschichte sein die in dem ersten Link dargestellt wird. Der auftretende Fehler ist auch Genau das.
Der angerufene ist nicht hörbar.
Warum das Telefon bei erfolgreicher SIP Registrierung von außen nicht erreichbar ist (es kommt einfach kein Rufzeichen) muss ich im zweiten Schritt klären.
@aqui
Das "Regel hinzufügen nachdem ein Block im Firewall log zu sehen ist " habe ich gestern schon gemacht. Es kamen keine Blocks mehr im Log.
Erreichbarkeit bzw. Duplex Kommunikation war trotzdem nicht möglich.
Ich habe jetzt 2 Outbound NAT Regeln für Port 5060 und Port 3487 mit Static Port und Source der VOIP Fritzbox hinzugefügt.
Eine Duplexkommunikation ist jetzt möglich.
Leider ist immer noch kein Anruf von außen möglich.
Im Firewall Log taucht auch kein Block auf. Vielleicht muss man in der Fritzbox die VOIP Nummer anders einrichten wenn die Fritzbox nicht direkt am DSL hängt…
Jemand eine Idee?
lg
Theo
Eine Duplexkommunikation ist jetzt möglich.
Leider ist immer noch kein Anruf von außen möglich.
Im Firewall Log taucht auch kein Block auf. Vielleicht muss man in der Fritzbox die VOIP Nummer anders einrichten wenn die Fritzbox nicht direkt am DSL hängt…
Jemand eine Idee?
lg
Theo
Mal eine dumme Frage in den Raum geworfen:
Ist am VoIP-Client ein STUN-Server eingetragen?
Ich kenne die Infrastruktur von 1&1 nicht, aber da dein VoIP-Client im lokalen Netz hängt, kann er ohne STUN-Server seine externe IP nicht kennen.
Dies ist jedoch zwingend notwendig, da er diese in den SDP der SIP-INVITES hineinschreiben muss.
Prüfe daher also, ob im VoIP-Client der richtige STUN-Server hinterlegt ist
Danach sollte ein Portforwarding auf 5060/UDP reichen (wobei vermutlich nichtmal das)...
Ist am VoIP-Client ein STUN-Server eingetragen?
Ich kenne die Infrastruktur von 1&1 nicht, aber da dein VoIP-Client im lokalen Netz hängt, kann er ohne STUN-Server seine externe IP nicht kennen.
Dies ist jedoch zwingend notwendig, da er diese in den SDP der SIP-INVITES hineinschreiben muss.
Prüfe daher also, ob im VoIP-Client der richtige STUN-Server hinterlegt ist
Danach sollte ein Portforwarding auf 5060/UDP reichen (wobei vermutlich nichtmal das)...
Hallo Lord Gurke.
Ich habe vorhin eine 1und1 Telefonnummer (3 sind registriert) gelöscht und habe über "anderer Anbieter" diese wieder hinzugefügt. Dort kann man dann auch einen SIP und STUN Server eintragen aber das hat leider auch nicht viel gebracht.
Bei der Default "1und1" Einstellung vermute ich mal ist der STUN Server Standardmäßig hinterlegt da man diese dann überhaupt nicht eintragen kann.
lg
Theo
Ich habe vorhin eine 1und1 Telefonnummer (3 sind registriert) gelöscht und habe über "anderer Anbieter" diese wieder hinzugefügt. Dort kann man dann auch einen SIP und STUN Server eintragen aber das hat leider auch nicht viel gebracht.
Bei der Default "1und1" Einstellung vermute ich mal ist der STUN Server Standardmäßig hinterlegt da man diese dann überhaupt nicht eintragen kann.
lg
Theo
SO….jetzt ist ohne Veränderungen leider wieder nur einseitige Kommunikation möglich.
Im FireWall log sehe ich das für die Kommunikation auf die VOIP Fritzbox andauernd verschiedene Ports verwendet werden sollen. Von 13459 bis 41563 waren schon 20 verschiedene Dabei.
Mit ist nicht ganz klar was die Fritzbox zusammen mit 1und1 da treibt.
Ich werde mich wahrscheinlich leider doch für das Modell DSL --->Fritzbox mit VOIP ---> Lanport-->PFsense---->Lan entschieden…
außer jemandem fällt nochwas ein.
lg
Theo
Im FireWall log sehe ich das für die Kommunikation auf die VOIP Fritzbox andauernd verschiedene Ports verwendet werden sollen. Von 13459 bis 41563 waren schon 20 verschiedene Dabei.
Mit ist nicht ganz klar was die Fritzbox zusammen mit 1und1 da treibt.
Ich werde mich wahrscheinlich leider doch für das Modell DSL --->Fritzbox mit VOIP ---> Lanport-->PFsense---->Lan entschieden…
außer jemandem fällt nochwas ein.
lg
Theo
Das sind die RTP-Ports, die werden jedes Mal mehr oder weniger zufällig ausgehandelt. Bei der FritzBox hast du vermutlich wenig Einfluss darauf, welcher Portrange benutzt werden soll.
Allerdings sollte der RTP-Datenstrom auch ohne Portforwarding seinen Weg durch das NAT finden - denn immerhin sendet die FritzBox ja auch selbst UDP-Pakete an die 1&1-Server, so dass das eine ganz normale Bidirektionale Datenverbindung wird (sonst würde DNS ja auch nicht funktionieren).
Unterstützt deine PFSense "SIP ALG"? Das ist das, was du aktivieren möchtest. Dann arbeitet die PFSense als transparenter SIP- und Mediaproxy...
Allerdings sollte der RTP-Datenstrom auch ohne Portforwarding seinen Weg durch das NAT finden - denn immerhin sendet die FritzBox ja auch selbst UDP-Pakete an die 1&1-Server, so dass das eine ganz normale Bidirektionale Datenverbindung wird (sonst würde DNS ja auch nicht funktionieren).
Unterstützt deine PFSense "SIP ALG"? Das ist das, was du aktivieren möchtest. Dann arbeitet die PFSense als transparenter SIP- und Mediaproxy...
Hi theoberlin,
installiere auf der pfSense mal das Packet "Siproxd" und probiere das ganze noch mal in der bisherigen Konfiguration.
https://doc.pfsense.org/index.php/Siproxd_package
Gruß orcape
installiere auf der pfSense mal das Packet "Siproxd" und probiere das ganze noch mal in der bisherigen Konfiguration.
https://doc.pfsense.org/index.php/Siproxd_package
Gruß orcape
Sooo…
Leider steckt in meiner PFSense nur eine 500MB CF Karte. Ich hab ein HAVP Antivirus Package installiert und das war wohl zuviel.
Egal welches Paket ich installiere es taucht nichtmehr unter Services auf. Updates klappen auch nichtmehr.
Ich lege mir jetzt erstmal eine 4GB CF Karte zu und installiere dann die PFSense nochmal neu…
Dann geht's weiter…
lg
Theo
Leider steckt in meiner PFSense nur eine 500MB CF Karte. Ich hab ein HAVP Antivirus Package installiert und das war wohl zuviel.
Egal welches Paket ich installiere es taucht nichtmehr unter Services auf. Updates klappen auch nichtmehr.
Ich lege mir jetzt erstmal eine 4GB CF Karte zu und installiere dann die PFSense nochmal neu…
Dann geht's weiter…
lg
Theo
Aloha,
heute nochmal verschiedenes ausprobiert..
Zu allererst das 1und1 Branding der Fritzbox entfernt.
Dann noch mal alle konfigurationen ohne sipproxid Paket auf der PFSense.
Maßnahmen:
- Alle UDP Ports NAT auf die Fritzbox
- Sipproxid aufgespielt. Damit verschiedene Konfigurationen durchgespielt.
- Outbound NAT probiert
- FireWall solange aufgeweicht bis keine DENY Einträge mehr aufgetaucht sind.
Leider hat keine der Maßnahmen funktioniert. Registrierung der SIP Phons ist problemlos möglich sowie Telefonie ausgehend.
Der angerufene wird quasi nie gehört und eingehende Anrufe sind ebenfalls nicht möglich.
Ich hänge jetzt die Fritzbox direkt ans DSL und an einen LAN Port die PFSense wo ich dann noch mal zwischen DMZ und LAN unterscheide.
Letztendlich kann ich mich damit abfinden. Die Fritzbox macht eben ausschließlich VOIP und einige NATS auf die PFsense.
Meine DMZ und LAN wird ja trotzdem von der PFSense gebildet. Und noch ne "Fritzbox-FireWall" vor der eigentlichen FireWall kann ja nicht schaden..
Falls irgendjemand noch einen Lösungsansatz hat würde ich ich freuen. Ich muss mich jetzt mit diesem Workaround arrangieren.
lg
Theo
heute nochmal verschiedenes ausprobiert..
Zu allererst das 1und1 Branding der Fritzbox entfernt.
Dann noch mal alle konfigurationen ohne sipproxid Paket auf der PFSense.
Maßnahmen:
- Alle UDP Ports NAT auf die Fritzbox
- Sipproxid aufgespielt. Damit verschiedene Konfigurationen durchgespielt.
- Outbound NAT probiert
- FireWall solange aufgeweicht bis keine DENY Einträge mehr aufgetaucht sind.
Leider hat keine der Maßnahmen funktioniert. Registrierung der SIP Phons ist problemlos möglich sowie Telefonie ausgehend.
Der angerufene wird quasi nie gehört und eingehende Anrufe sind ebenfalls nicht möglich.
Ich hänge jetzt die Fritzbox direkt ans DSL und an einen LAN Port die PFSense wo ich dann noch mal zwischen DMZ und LAN unterscheide.
Letztendlich kann ich mich damit abfinden. Die Fritzbox macht eben ausschließlich VOIP und einige NATS auf die PFsense.
Meine DMZ und LAN wird ja trotzdem von der PFSense gebildet. Und noch ne "Fritzbox-FireWall" vor der eigentlichen FireWall kann ja nicht schaden..
Falls irgendjemand noch einen Lösungsansatz hat würde ich ich freuen. Ich muss mich jetzt mit diesem Workaround arrangieren.
lg
Theo
Ein lokaler Labortest brachte folgendes Ergebnis:
Zur Verfügung stand ein VoIP Softclient "Phoner lite" auf einem Windows 7 Laptop und eine VoIP Telefonanlage von Auerswald Compact 3000 VoIP.
Beide wurden an einem Sipgate Basic VoIP Anschluss getestet mit Standard Einstellungen.
Als pfSense Plattform kamen einmal eine Watchguard X-Core 500 Plattform und ein klassisches ALIX 2D13 zum Einsatz jeweils mit der aktuellsten 2.1er Firmware nur um sicherzustellen das es keine HW spezifischen Unterschiede gibt.
Der Testaufbau sah so aus:
(Internet)==DSL==(Cisco NAT Router)----LAN---(WAN-pfSense-LAN)---Labornetz---(Laptop, oder Anlage)
Die besondere Herausforderung bei diesem Aufbau war also das doppelte NAT durch den Cisco und auch die pfSense. Vorab wurde aber wasserdicht die beiden VoIP Endgeräte auch im LAN getestet um sicherzustellen das der Cisco Router SIP und RTP sauber durchreicht, was der Fall war.
Gestartet wurde mit einer Standardkonfig also pfSense Ver. 2.1 einfach hochgefahren mit den Factory Defaults. Den WAN Port ins LAN gesteckt (Cisco vergibt IPs mit DHCP) und am LAN Port den Laptop bzw. die Anlage aufgesteckt.
Keinerlei NAT Forwarding oder spezielle Firewall Rules konfiguriert, nur Default Konfig.
Ergebnis: Sowohl die Anlage als auch der Softclient konnten sofort eine SIP und RTP Verbindung zum Registrar aufbauen und sich registrieren bei SIPgate.
Ein Testanruf auf deren Testnummer 10005 spielte auch die testweise aufgenommene Sprache vom Endgerät problemlos zurück was schon mal vielversprechend war.
Ein folgender Testanruf aus dem externen ISDN Netz und auch einer vom GSM Mobilfunk Netz auf jeweils die Anlage und auch den Softclient wurden sauber durchgereicht und beide Endgeräte klingelten.
Bei Annahme des Anrufs war problemloser beidseitiger Telefonieverkehr möglich.
Der Austausch der pfSense Plattform war dann nur noch reine Formsache. Mit beiden Hardwaren funktionierte es fehlerfrei ! Ein mitgeschnittener Wireshark Trace vom Registrieren (SIP) und auch dem darauf folgenden Anruf (RTP) belegt das eindeutig !
Fazit: Es ist keinerlei zusätzliche oder spezielle VoIP Konfiguration oder Anpassung der Firewall Regeln erforderlich bei der pfSense für die VoIP Telefonie im lokalen LAN !
VoIP Telefonie Zugriffe aus dem lokalen LAN über die pfSense funktionieren also problemlos "out of the Box" ohne spezielle Konfiguration !
War eigentlich auch vorauszusehen, denn das können heutige Consumer Billigstrouter auch und von einer professionellen Firewall sollte man das allemal erwarten können.
Zur Verfügung stand ein VoIP Softclient "Phoner lite" auf einem Windows 7 Laptop und eine VoIP Telefonanlage von Auerswald Compact 3000 VoIP.
Beide wurden an einem Sipgate Basic VoIP Anschluss getestet mit Standard Einstellungen.
Als pfSense Plattform kamen einmal eine Watchguard X-Core 500 Plattform und ein klassisches ALIX 2D13 zum Einsatz jeweils mit der aktuellsten 2.1er Firmware nur um sicherzustellen das es keine HW spezifischen Unterschiede gibt.
Der Testaufbau sah so aus:
(Internet)==DSL==(Cisco NAT Router)----LAN---(WAN-pfSense-LAN)---Labornetz---(Laptop, oder Anlage)
Die besondere Herausforderung bei diesem Aufbau war also das doppelte NAT durch den Cisco und auch die pfSense. Vorab wurde aber wasserdicht die beiden VoIP Endgeräte auch im LAN getestet um sicherzustellen das der Cisco Router SIP und RTP sauber durchreicht, was der Fall war.
Gestartet wurde mit einer Standardkonfig also pfSense Ver. 2.1 einfach hochgefahren mit den Factory Defaults. Den WAN Port ins LAN gesteckt (Cisco vergibt IPs mit DHCP) und am LAN Port den Laptop bzw. die Anlage aufgesteckt.
Keinerlei NAT Forwarding oder spezielle Firewall Rules konfiguriert, nur Default Konfig.
Ergebnis: Sowohl die Anlage als auch der Softclient konnten sofort eine SIP und RTP Verbindung zum Registrar aufbauen und sich registrieren bei SIPgate.
Ein Testanruf auf deren Testnummer 10005 spielte auch die testweise aufgenommene Sprache vom Endgerät problemlos zurück was schon mal vielversprechend war.
Ein folgender Testanruf aus dem externen ISDN Netz und auch einer vom GSM Mobilfunk Netz auf jeweils die Anlage und auch den Softclient wurden sauber durchgereicht und beide Endgeräte klingelten.
Bei Annahme des Anrufs war problemloser beidseitiger Telefonieverkehr möglich.
Der Austausch der pfSense Plattform war dann nur noch reine Formsache. Mit beiden Hardwaren funktionierte es fehlerfrei ! Ein mitgeschnittener Wireshark Trace vom Registrieren (SIP) und auch dem darauf folgenden Anruf (RTP) belegt das eindeutig !
Fazit: Es ist keinerlei zusätzliche oder spezielle VoIP Konfiguration oder Anpassung der Firewall Regeln erforderlich bei der pfSense für die VoIP Telefonie im lokalen LAN !
VoIP Telefonie Zugriffe aus dem lokalen LAN über die pfSense funktionieren also problemlos "out of the Box" ohne spezielle Konfiguration !
War eigentlich auch vorauszusehen, denn das können heutige Consumer Billigstrouter auch und von einer professionellen Firewall sollte man das allemal erwarten können.
Hi aqui,
ich denke das Problem hier ist nicht unbedingt die pfsense.
Ich denke das Problem liegt vielmehr an der Fritzbox.
Eigentlich sind ja auch bei der Fritzbox die VOIP Ports angegeben, 5060 SIP und 7079-7087 oder so RTP.
Und dank der IP Verbindungen sollten ja auch keine speziellen Einstellungen im NAT nötig sein da ja die Fritzbox die SIP und RTP Verbindungen initiiert.
Allerdings passieren da halt für mich nicht nachvollziehbare Sachen denn obwohl in der Voip.conf der Fritzbox die besagten Ports stehen baut die Fritzbox halt bei einem Anruf Verbindungen über völlig andere und zufällige Ports auf.
Für mich also weiterhin nicht möglich.
Aber danke dir trotzdem.
lg
Theo
ich denke das Problem hier ist nicht unbedingt die pfsense.
Ich denke das Problem liegt vielmehr an der Fritzbox.
Eigentlich sind ja auch bei der Fritzbox die VOIP Ports angegeben, 5060 SIP und 7079-7087 oder so RTP.
Und dank der IP Verbindungen sollten ja auch keine speziellen Einstellungen im NAT nötig sein da ja die Fritzbox die SIP und RTP Verbindungen initiiert.
Allerdings passieren da halt für mich nicht nachvollziehbare Sachen denn obwohl in der Voip.conf der Fritzbox die besagten Ports stehen baut die Fritzbox halt bei einem Anruf Verbindungen über völlig andere und zufällige Ports auf.
Für mich also weiterhin nicht möglich.
Aber danke dir trotzdem.
lg
Theo
Das müsste man dann mal wirklich genau mit einem Wireshark Trace untersuchen.
Der hiesige zeigt auch ein paar Interessante Dinge beim Phoner Lite Softclient die der nicht negotiaten konnte aber dennoch problemlos funktionierte.
Gut die benutzte Version ist 3 Jahre alt
Appropos...
Ziemlich erschreckend war, das die RTP Voice Daten weder vom Softclient noch von der Anlage verschlüsselt übertragen wurden mit SRTP zu Sipgate.
Klickt man beim Wireshark Trace auf das erste RTP Packet des Telefonats hat der einen Player onboard der dann fröhlich die gesamte Telefon Kommunikation über den Laptop Lautsprecher abspielt.
Da bekommt man schon gehörig Bauchschmerzen und überlegt sich wahrlich ob man auf einen VoIP Vollanschluss wechseln sollte ?!!
Der hiesige zeigt auch ein paar Interessante Dinge beim Phoner Lite Softclient die der nicht negotiaten konnte aber dennoch problemlos funktionierte.
Gut die benutzte Version ist 3 Jahre alt
Appropos...
Ziemlich erschreckend war, das die RTP Voice Daten weder vom Softclient noch von der Anlage verschlüsselt übertragen wurden mit SRTP zu Sipgate.
Klickt man beim Wireshark Trace auf das erste RTP Packet des Telefonats hat der einen Player onboard der dann fröhlich die gesamte Telefon Kommunikation über den Laptop Lautsprecher abspielt.
Da bekommt man schon gehörig Bauchschmerzen und überlegt sich wahrlich ob man auf einen VoIP Vollanschluss wechseln sollte ?!!
Mein Problem ist, dass ich mich nicht zwischen Modem und VOIP Gateway der Fritzbox hängen kann um per Wireshark die Pakete mitzulesen.
Häng ich das DSL nicht direkt an die Fritzbox bekomme ich ja keine stabile Verbindung hin um das Szenario "Erfolgreiches VOIP Gespräch" im Wireshark mitzulesen.
Hänge ich was dazwischen was mir den Port der Fritzbox an einem Mirror Port zur Verfügung stellt, sehe ich wie oben geschrieben die wildesten Portverwendungen im VOIP Szenario ohne erfolgreichen Anruf.
Wenn ich etwas Ruhe habe kann ich das Thema ja nochmal angehen aber da ich zuhause keine Testumgebung habe ist dann halt immer das Telefon nicht nutzbar…
Und das die VOIP Daten völlig ungeschützt übertragen werden ist ja wirklich Wahnsinn…Wie gesagt im professionellen Umfeld wird bei VOIP noch eine Menge passieren müssen ehe die guten alten ISDN Telefonanlagenanschlüsse etc. ausgedient haben..
lg
Theo
Häng ich das DSL nicht direkt an die Fritzbox bekomme ich ja keine stabile Verbindung hin um das Szenario "Erfolgreiches VOIP Gespräch" im Wireshark mitzulesen.
Hänge ich was dazwischen was mir den Port der Fritzbox an einem Mirror Port zur Verfügung stellt, sehe ich wie oben geschrieben die wildesten Portverwendungen im VOIP Szenario ohne erfolgreichen Anruf.
Wenn ich etwas Ruhe habe kann ich das Thema ja nochmal angehen aber da ich zuhause keine Testumgebung habe ist dann halt immer das Telefon nicht nutzbar…
Und das die VOIP Daten völlig ungeschützt übertragen werden ist ja wirklich Wahnsinn…Wie gesagt im professionellen Umfeld wird bei VOIP noch eine Menge passieren müssen ehe die guten alten ISDN Telefonanlagenanschlüsse etc. ausgedient haben..
lg
Theo
HI Theo,
bei manchen Providern geht es aber nur mit der mitgelieferten Fritzbox.
Ist zwar nicht sehr logisch, aber man wird auch darauf hin gewiesen.
Gruß
Netman
bei manchen Providern geht es aber nur mit der mitgelieferten Fritzbox.
Ist zwar nicht sehr logisch, aber man wird auch darauf hin gewiesen.
Gruß
Netman
Hi Netman,
ich habe die Fritzbox schon entbrandet. Also technisch gesehen ist es gar nicht mehr die Fritzbox die 1und1 geliefert hat.
Wobei mir gerade einfällt, dass das eine völlig andere ist die ich wegen dem ISDN Anschluss damals extra gekauft habe.
lg
Theo
ich habe die Fritzbox schon entbrandet. Also technisch gesehen ist es gar nicht mehr die Fritzbox die 1und1 geliefert hat.
Wobei mir gerade einfällt, dass das eine völlig andere ist die ich wegen dem ISDN Anschluss damals extra gekauft habe.
lg
Theo
Eine Lösung wie es geht findet man auch hier:
http://www.godo.ch/index.php/projekte/3-linux/16-isdn-voip-mit-fritzbox ...
http://www.godo.ch/index.php/projekte/3-linux/16-isdn-voip-mit-fritzbox ...
Der Beitrag ist leider nicht mehr vorhanden.
Bei Godo wohl nun unter Open Source Projekte gelandet...
https://www.godo.ch/index.php/2014/01/16/isdn-voip-mit-fritzbox-und-pfse ...
https://www.godo.ch/index.php/2014/01/16/isdn-voip-mit-fritzbox-und-pfse ...
