looser27
Goto Top

Pfsense Port Forwarding NAT für VOIP

Nabend allerseits,

ich sitze jetzt schon ein paar Stunden an der Konfig der pfsense. Irgendwie funktioniert das Port forwarding / Outbound NAT nicht so wie es soll.
Ich habe mich an diese Anleitung gehalten, aber es will einfach nicht fliegen.

Hier meine Konfig:

d4871088bc46a578fe3ab31d8b4d76fd

952a866e503e5faaa411751c0683a9bc

5e99432f3c3cee3f1fe1144559de42f8

Wo liegt der Fehler.....ich sehe den Wald gerade vor lauter Bäumen nicht. Ich denke aber, es liegt am NAT, denn raus kann ich telefonieren.

Gruß

Content-Key: 281060

Url: https://administrator.de/contentid/281060

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: michi1983
michi1983 25.08.2015 um 12:29:52 Uhr
Goto Top
Hallo,

Wo liegt der Fehler.....ich sehe den Wald gerade vor lauter Bäumen nicht. Ich denke aber, es liegt am NAT, denn raus kann ich telefonieren.
Aus dieser Frage entnehme ich, dass du keine Telefonate rein bekommst?

Was sagt denn das Firewall Log der PfSense?

Gruß
Mitglied: Looser27
Looser27 25.08.2015 um 13:15:11 Uhr
Goto Top
Da ich raus telefonieren kann, zeigt er nichts auffälliges an.
Ich habe aber noch eine Anleitung in den Tutorrials von @aqui gefunden und das werde ich heute Nachmittag mal testen.

Ansonsten nochmal alles auf Anfang..... face-wink
Mitglied: Looser27
Looser27 25.08.2015 um 13:46:11 Uhr
Goto Top
Den Artikel in Deinem letzten Link habe ich mal ausgedruckt und werde das heute versuchen.
Mitglied: Looser27
Looser27 25.08.2015 um 21:50:02 Uhr
Goto Top
Ich hab die pfsense heute nochmal mit einem anderen Image aufgesetzt.
Damit hat dann auch das Port forwarding nach Anleitung geklappt.

Ich habe nur noch ein Problem. Ich kann aus dem Wlan nicht auf das LAN zugreifen. Aber das bekomme ich auch noch hin....Morgen.

Gruß

Looser
Mitglied: aqui
aqui 26.08.2015 aktualisiert um 10:43:37 Uhr
Goto Top
Ich kann aus dem Wlan nicht auf das LAN zugreifen.
Das ist auch vollkommen normal für eine Firewall wie jederman weiss !
Die Default FW Regel lautet auf dem Interface DENY any any Sprich es wird alles verboten was nicht ausdrücklich erlaubt ist. Üblich eben für eine korrekte Firewall und ja auch gewollt.

Fazit: Passe die Firewall Regel deines WLAN Segments an und alles ist gut !
Entweder mit "Pass <wlan_segemment> any " als "Scheunentor Regel" die alles erlaubt oder etwas dedizierter das du Traffic ins LAN oder so eben blockst und nur ins Internet erlaubst.
Diese Regeln bestimmst ja DU selber !
Übrigens: Mit einem kurzen Blick unter Status --> System Logs --> Firewall hättest du das auch ganz schnell selbst erkannt ! Deshalb spricht die pfSense mit dir über ihre Logs. Man muss das Gesprächsangebot nur mal annehmen... ! face-wink
Mitglied: Looser27
Looser27 26.08.2015 um 10:47:21 Uhr
Goto Top
Jups....

ABER: Eine Regel die sagt:

pass
Source - WLAN Net
Destination - LAN net
Port - any

sollte mir doch wohl Zugriff verschaffen, den ich dann weiter einschränken kann.

Laut Log kommt der Zugriff auch zustande, jedoch öffnet sich die Website des Devices nicht (VOIP-PBX).
Greife ich auf die Webseite des NAS mit dediziertem Port zu, funktioniert der Zugriff ohne Probleme.

Da muß ich dann nochmal ran.....
Mitglied: michi1983
michi1983 26.08.2015 um 10:48:34 Uhr
Goto Top
Zitat von @Looser27:

Jups....

ABER: Eine Regel die sagt:

pass
Source - WLAN Net
Destination - LAN net
Port - any

sollte mir doch wohl Zugriff verschaffen, den ich dann weiter einschränken kann.

Nein, denn es greift immer die 1. Regel zuerst.
Wenn du erst alles erlaubst, sind alle nachfolgenden Regeln obsolete.

Gruß
Mitglied: Looser27
Looser27 26.08.2015 um 10:50:04 Uhr
Goto Top
Das muß ich dann heute Abend nochmal prüfen.
Mitglied: aqui
aqui 26.08.2015 um 10:55:07 Uhr
Goto Top
Nein, denn es greift immer die 1. Regel zuerst.
Richtig !!
Im Regelwerk gelten 2 grundlegende Regeln:
  • "First match wins" ! Sprich ist eine Regel positiv (Match) werden ALLE folgenden Regeln NICHT mehr ausgeführt. Die Reihenfolge der Regeln ist also essentiell wichtig für deren Funktion ! (Siehe Tutorial wo das MEHRFACH erwähnt ist.)
  • Regeln gelten immer nur INBOUND. Also für Pakete die vom Draht oder WLAN IN die Firewall gehen.

Wenn du das beachtest klappt das auch.
Mitglied: Looser27
Looser27 28.08.2015 um 08:19:27 Uhr
Goto Top
Mein Vorgehen war schon soweit richtig. Es lag am Device. Hier gab es eine Möglichkeit die Fernwartung aus anderen Netzen zu deaktivieren. Kaum aktiviert funktionierte es.
Mitglied: aqui
aqui 28.08.2015 aktualisiert um 11:27:49 Uhr
Goto Top
Hauptsache es rennt nun wie es soll face-wink
Vielleicht postest du nochmal einen Screenshot der finalen Regeln mit denen es jetzt funktioniert. Das hilft sicher auch anderen die die pfSense nutzen mit VoIP Devices am lokalen LAN.
Mitglied: Looser27
Looser27 28.08.2015 aktualisiert um 17:41:36 Uhr
Goto Top
So. Hier noch die Screenshots von den Firewall-Regeln für VOIP im LAN:

NAT:

67b9238758ad8aa570e41c2c2c1d7675

WAN (werden automatisch aus der NAT-Regel generiert):

95c9b9ccf1e6f68f6d8254ba65355e85

LAN:

2422def1f8d2b68c6536cb20aa0f581b

Die IP 192.168.1.250 ist meine Telefonanlage.
Bei meiner Telefonanlage sind eingehend die SIP-Ports UDP 5004-5020 weiterzuleiten.
Zusätzlich noch UDP 5060 für SIP.

Ausgehend habe ich alle UDP Ports freigegeben, weil ich in den Logs eine sehr willkürliche Auswahl von UDP Ports gefunden habe, über die das Gespräch dann geführt wird.
Schränkt man hier ein, kommt das Gespräch nur sporadisch zu stande.
Die LAN-Regeln für SIP und STUN kann man sich eigentlich sparen, wenn man sowieso alle UDP Ports abgehend freigibt.
Mitglied: aqui
aqui 28.08.2015 um 19:01:40 Uhr
Goto Top
Danke fürs Feedback. Das hiesige pfSense Tutorial verweist auf diesen Link face-wink
Mitglied: wonderli
wonderli 21.02.2016 aktualisiert um 15:36:43 Uhr
Goto Top
Hallo, musste den Hoster wechseln, dabei auch gleich die Seite umgestellt. Der Link zur Anleitung ist zu meiner Lösung neu hier zu finden: https://www.godo.ch/index.php/2014/01/16/isdn-voip-mit-fritzbox-und-pfse ...
Mitglied: aqui
aqui 22.02.2016 um 11:49:31 Uhr
Goto Top
Dank für das Update. Ggf. kannst du deinen pfSense Screenshot zur Lösung noch direkt hier posten face-wink
(Bild hochladen)
Mitglied: vafk18
vafk18 05.11.2018 aktualisiert um 20:49:34 Uhr
Goto Top
Ich habe eine Frage zum 3. Bild - LAN (Beitrag: Looser27 am 28.08.2015)

Dort werden in der ersten Zeile UDP an Ports 1-65535 weitergeleitet und als VoIP RTP ext. kommentiert.
In Zeile 2 und 3 werden jeweils UDP für Ports 5060 (SIP) und 3478 (STUN) weitergeleitet. Aber diese Ports sind doch schon den Bereich der 1. Zeile von 1 bis 65535 abgedeckt. Oder soll in Zeile 2+3 TCP statt UDP stehen?
Mitglied: aqui
aqui 05.11.2018 aktualisiert um 20:56:28 Uhr
Goto Top
An keinem einzigen der LAN Bilder wird irgendwo UDP an Ports 1-65535 weitergeleitet ! Wo bitte siehst du das ?
Außerdem wäre das auch gefährlicher Blödsinn, denn das betrifft ja die gesamte verfügbare TCP/IP Port Range. So einen gefährlichen Unsinn macht niemand der klar denken kann !
Am lokalen LAN Port hat man eh eine (Default) Regel Lokales_net --> Any die ALLES freigibt. Folglich muss man an den lokalen LAN Regeln auch niemals fummeln.
Mitglied: vafk18
vafk18 05.11.2018 um 21:04:51 Uhr
Goto Top
Ich lese das an dem 3. Bild mit der Überschrift LAN, da steht doch 1-65535.
prtscr capture_2
Mitglied: Looser27
Looser27 06.11.2018 aktualisiert um 08:01:36 Uhr
Goto Top
Moin,

hier die Erklärung:

Ausgehend habe ich alle UDP Ports freigegeben, weil ich in den Logs eine sehr willkürliche Auswahl von UDP Ports gefunden habe, über die das Gespräch dann geführt wird.
Schränkt man hier ein, kommt das Gespräch nur sporadisch zu stande.
Mitglied: vafk18
vafk18 11.11.2018 um 23:46:04 Uhr
Goto Top
Ich habe jetzt die FritzBox als "nur Telefonie-Box" seit mehreren Tagen problemlos am IP-Anschluß der Telekom im Betrieb, siehe Bilder im Anhang
1
3
2
Mitglied: aqui
aqui 11.11.2018 um 23:57:20 Uhr
Goto Top
Glückwunsch das es klappt ! Und...danke für das Feedback
Mitglied: vafk18
vafk18 12.11.2018 um 01:05:34 Uhr
Goto Top
Ich habe zu danken dafür, daß ich ermutigt wurde, weiterzumachen face-smile