Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst PfSense VoIP-Ports manuell einrichten

Mitglied: istike2

istike2 (Level 2) - Jetzt verbinden

01.03.2014, aktualisiert 13:18 Uhr, 5464 Aufrufe, 15 Kommentare, 1 Danke

Hallo,

ich habe hier verschiedenen VoIP-Endgeräte angeschlossen an einer Fritzbox, die Verbindung funktioniert zu dem 3CX-Server, Telefonieren nach außen ist möglich (STUN ist aktiviert). Auf dem Admin-Dashboard des Servers sind alle Clients als registriert angezeigt.

pfSense ist so eingerichtet (Siehe Screenshots):


3423d968c33d123e924d84767714542e - Klicke auf das Bild, um es zu vergrößern
b6b51afe4df77b1c46f93fc3c2451595 - Klicke auf das Bild, um es zu vergrößern

Das eigentliche Problem ist, dass die Anrufe zwar herausgehen, hören tut man aber nichts.

Was ich nicht weiß:

- reicht es auf dem Modem - der sich vor Firewall und vor Fritzbox in der Kette befindet - UDP 5060 auf die Fritzbox statisch weiterzuleiten oder sollen auch alle RTP-Ports.
- dieselbe Frage betrifft auch die WAN / LAN interfaces der PF. Sollen auch dort alle Ports geöffnet werden oder nur Outbound?


Danke sehr für eure Hilfe.

Hier ist die Skizze des Netzwerkes: 42842f556f936a426a9f8d2c111d56e1 - Klicke auf das Bild, um es zu vergrößern




Gr. I.

Mitglied: 108012
01.03.2014 um 11:31 Uhr
Hallo,

man kann das lles auf verschiedenen Wegen realisieren;
- Einen kleine Askozia oder Asterisk Appliance in eine DMZ stellen
- Das Plugin FreeSwitch auf der pfSense installieren.
- Mit dem STUN arbeiten

Gruß
Dobby
Bitte warten ..
Mitglied: istike2
01.03.2014, aktualisiert um 12:36 Uhr
Ich würde gerne mit STUN arbeiten. Asterisk oder Freeswitch brauchen wir ja nicht. Wir haben einen 3CX Server, der seit Ewigkeiten gut funktioniert. Hier muss lediglich pfSense so eingerichtet werden, dass die Geräte telefonieren können.

Auf den beiden Screenshots sieht man welche Ports ich eingerichtet habe.

Ich habe auch von dem Modem einen Route auf den Fritzbox eingerichtet.

Was ich nicht weiß:

sollen die betroffenen Ports SIP 5060 und die RTP Ports sowohl inbound als auch outbound (LAN und WAN) interfaces der pfSense geöffnet werden?

Laut pfSense-Doku liegt es an folgendes: https://doc.pfsense.org/index.php/VoIP_Configuration

Gr. I.
Bitte warten ..
Mitglied: 108012
01.03.2014 um 12:58 Uhr
kannst Du bitte mal eine Zeichnung anfertigen wie Dein
Netzwerk wirklich aussieht!? Denn irgend wie sehen viele
Leute das was sie zu hause installiert haben und teilen
uns hier im Forum immer nur die Hälfte mit und dann
müssen wir uns den Rest denken, was nicht immer von
Erfolg gekrönt ist!

Gruß
Dobby


Wenn schon eine AVM Fritz!Box vorhanden ist
wozu dann noch ein Modem und wo steht der
3CX Server denn nun wirklich?
Bitte warten ..
Mitglied: istike2
01.03.2014 um 13:11 Uhr
Skizze siehe in dem ersten Posting.

Fritzbox brauchen wir aus zwei Gründen:

- als Host für die VoIP-Zugänge für die DECT-Handsets
- SFR gibt uns nicht die DSL-Zugangsdaten. Ihre Box muss eingesetzt werden.

Gr. I.
Bitte warten ..
Mitglied: 108012
01.03.2014, aktualisiert um 13:17 Uhr
Fritzbox brauchen wir aus zwei Gründen:
ok nun wird es ein wenig klarer.
Hast Du die Fritz!Box na LAN Port1 oder am WAN Port
installiert? Und wo steht der CX3 Server denn?

Gruß
Dobby
Bitte warten ..
Mitglied: istike2
01.03.2014, aktualisiert um 14:27 Uhr
Fritzbox hängt mit LAN1 am Switch.
CX3 Server steht draussen in einem Rechenzentrum wir mieten ihn.

Ich habe jetzt noch aus dem pfSense Log einige Ports manuell freigeben, zumindest die ausgehenden Telefonate scheinen jetzt zu klappen.

Mit diesen Einstellungen
ad549ad391d9a48306cea930791ea3d2 - Klicke auf das Bild, um es zu vergrößern

Warum auch, sie waren ja auch früher freigegeben ...? Einziger Unterschied, dass hier die IP-Adresse des Servers natürlich explizit festgelegt wurde. (Siehe blaue Markierungen)

Das einzige was noch nicht klappt sind die eingehenden Gespräche auf Clients hinter NAT.
Ich muss diese Ports dann wohl auch an dem WAN-Interface des Firewalls öffnen.

Da ich in dem pfSense-Log keinen Spur von blockiertem Traffic sehe vermute ich mal, dass ich aus dem 10.1.3.0 Netz noch weitere Ports / Routes ins 10.1.2.0 ermöglichen muss. Aktuell erreichen die Pakete den Firewall wohl erst gar nicht.

Eventuell so: http://www.tecchannel.de/kommunikation/handy_pda/433069/voip_hinter_ein ...

Das Problem ist, dass wir neben der FB noch weitere Clients haben die SIP benutzen und IP per DHCP bekommen. Auch dann wenn ich denen statische IPs zuweisen würde wäre es schwierig auf alle Portblöcke freizuschalten.

Gr. I.
Bitte warten ..
Mitglied: aqui
01.03.2014, aktualisiert um 15:56 Uhr
Du hast einen grundlegenden Fehler gemacht:
1.) Das "Modem" vor der pfSense ist KEIN Modem sondern ein Router (vermutlich). Ein Modem hat keine IP und ist am IP Forwarding unbeteiligt !
Du nutzt vermutlich einen weiteren NAT Router in der Kaskade davor, richtig ?
Das kannst du daran sehen das die Provider Zugangsdaten "dort" definiert sind !
Wäre es ein Modem würde der WAN Port der pfSense im "PPPoE Modus" stehen und die Zugangsdaten wären auf der pfSesne konfiguriert !
2.) Kardinalsfehler: Niemals solltest du das WAN Interface der pfSense im DHCP Modus laufen lassen. Grund: Die IP Adressvergabe geschieht dynamisch. Ändert sich diese mal aufgrund der Dynamik von DHCP, dann laufen ggf. konfigurierte Port Forwarding Anweisungen auf dem Router im Nirwana.
Hier gilt: Immmer statische IP Adressierungen in solchen Konstrukten verwenden !
Ausnahme: Dein vorgeschalteter Router supportet ein DHCP Nailing wo du auf Basis einer Mac Adresse immer fest eine IP Adresse zuweisen kannst. Dann wäre die pfSense WAN IP ja auch quasi statisch !

Du solltest ertsmal folgendes testen:
  • VoIP Telefon am WAN Netzwerk anschliessen und testen ob Telefonie sauber funktioniert
  • Dann am LAN Port der pfSense erstmal "any zu any" erlauben wie bei der Default Regel um zu verhindern das irgendwas hängenbleibt.
  • Dann Telefon umklemmen auf den LAN Port der pfSense und nochmal testen. Funktioniert die Telefonie ? Wenn ja jetzt besser langsam Regel für Regel hinzufügen und sehen wo es dann nicht mehr geht. Mit dieser Vorgehensweise weisst du immer welche Regel dir die Telefonie blockt !
Ansonsten hilft das Firewall Log immer weiter. Dort wird ja alles geloggt was blockiert wird !

Es wäre mal generell hilfreich zu erfahren was eigentlich diese unsinnige Konstrukt mit 3 NAT (Adress Translation) Kaskaden für einen tieferen Sinn hat ? Vom Design sieht das ziemlich unglücklich nach "Von hinten durch die Brust ins Auge..." aus. Generell ist jeder NAT Hop immer problematisch für VoIP da die beteiligten Protokolle nicht unbedingt sehr NAT freundlich sind.
Man müsste nur mal den Sinn verstehen.

Nebenbei: Die Regel 10.2.11 auf einen Broadcast Adresse .255 ist übrigens völliger Unsinn und überflüssig weil eine Firewall/Router keine Broadcasts forwardet. Broadcasts sind so oder so nur fürs lokale Netz gedacht, verlassen das also niemals. Die kannst du auch entfernen...
Ebenso gilt das für die 224.0.0.1 als Zieladresse. Das ist einen Multicast Adresse: http://de.wikipedia.org/wiki/Multicast die ebenfalls das Segment nicht verlässt. ICMP nutzt diese Adressen so oder so niemals. Die ist also auch sinnfrei und kann weg.

Das problem mit den eingehenden Gesprächen sind in der Tat die fehlenden Port Forwardings. Der VoIP Server im Internet "sieht" ja nur die WAN IP Adresse des ersten Routers (vor der pfSense) als Ziel zu den Endgeräten. Wenn nun also ein Call per SIP reinkommt, dann MUSS dort 5060 auf den WAN Port der pfSense forgewardet werden. Wenn du mehrere SIP Endgeräte hast dann 5061, 5062 usw.
Nimm einen Sniffer, dann siehst du das ! Ebenso die STUN Ports müssen durch die Router Kaskade 2mal geforwardet werden und natürlich auch in der pfSense erlaubt sein als Zugriff auf die dortige WAN IP ! Derzeit blockst du hier alles und da ist es klar das das nicht klappt.
Sinnvollerweise solltest du hier auch das RFC 1918 Netz Blocking vom WAN Port deaktivieren !! (Default Setting)
Hier lauert die oben angesprochene Gefahr mit DHCP am pfSesne WAN Port ! Beachte das !
Im Zweifel benutz die Sniffing Funktion der pfSense !
Bitte warten ..
Mitglied: istike2
01.03.2014 um 16:04 Uhr
Hallo Aqui,

Danke!

ja, die Neufbox von SFR ist ähnlich wie Fritzbox Modem mit Routerfunktionen. Die Zugangsdaten sind dort eingegeben. Wir brauchen ihn also.

pfSense brauche ich wegen OpenVPN-Server und die Fritzbox wegen der DECT-Telefone bzw. wegen der VoIP-Zugänge. Alle drei haben also einen Sinn.

2. WAN als DHCP. Den Denkfehler habe ich inzwischen auch entdeckt und geändert.

Ich werde mal deine Testvorgehensweise abarbeiten. Sowohl WAN also auch LAN auf "any zu any" ändern und schauen ob etwas hängen bleibt.

gr. I.
Bitte warten ..
Mitglied: aqui
01.03.2014 um 16:09 Uhr
Wir brauchen ihn also.
Nein, nicht zwingend, denn ein simples Modem und das Setzen der Zugangsdaten in der pfSense wäre technisch erheblich besser !

Wenn du die FB wegen der Telefonie brauchst warum setzt du diese dann nicht VOR die pfSense und fackelst damit alles ab !
Das erspart dir den dritten Router und die Performance wird es dir auch danken...
Bitte warten ..
Mitglied: istike2
01.03.2014 um 17:26 Uhr
Klar. Wenn wir das PW wüssten. SFR rückt es nicht aus. Sie haben die Box vorkonfiguriert zugeschickt... Plug & Play halt...
Bitte warten ..
Mitglied: istike2
01.03.2014 um 17:42 Uhr
Zitat von aqui:
Wenn du die FB wegen der Telefonie brauchst warum setzt du diese dann nicht VOR die pfSense und fackelst damit alles ab !

Weil pfSense neben OpenVPN natürlich auch sicherheitsrelevante Funktion hat , WLAN wird aber leider über FB verwendet. So würden die User den FW natürlich umgehen.
Bitte warten ..
Mitglied: istike2
01.03.2014, aktualisiert um 18:53 Uhr
Ich sehe jetzt, dass Internet erst dann stabil funktioniert, wenn ich den WAN interface auf DHCP setze. Will ich einen statischen IP4 Adresse einstellen, in diesem Fall 10.1.3.1 gibt es nur Izugang mit Aufrufezeichen. 10.1.3.1 ist die IP-Adresse des Modems als Gateway eingestellt.

Ich wüsste nicht, was ich noch als Gateway benutzen könnte.

Sonst funktioniert eigentlich alles bis auf die eingehenden Gespräche. Die Clients können telefonieren, können aber vom VoIP-Server nicht erreicht werden. Im WAN-Interface der PfSense ist nichts blockiert. Es soll also wohl an den fehlenden Routing zwischen Modem und Firewall.

Mein Problem ist mit all diesen Umleitungen, dass ich mehrere IPs habe worauf ich Ports umleiten müsste. Gibt es eventuell eine sinnvolle Methode,.

Im Grunde stellt sich die Frage, wie ich die Ports so einrichten könnte, dass STUN funktioniert. Dies wäre ja im Grunde dafür zuständig, dass ein Client hinter NAT gefunden wird.
Wie stelle ich es sicher?

Gr. I.
Bitte warten ..
Mitglied: 108012
01.03.2014 um 20:35 Uhr
Hallo nochmal,

mach Dir das Leben doch nicht so schwer.
- Frag den der die FB konfiguriert hat und dann lass Dir das PW geben!
- Ich würde auch immer den einfachsten und vor allen anderen Dingen
den Weg gehen wollen der am wenigsten Ärger macht!!!
Mensch überlege mal wenn Du bei dem Konstrukt noch ein oder zweimal
was änderst dann geht gar nicht mehr!! Und hier noch Sicherheit zu reden
und direkt ins LAN Ports zu öffnen ist doch auch nur Makulatur, oder?

- pfSense mit FreeSwitch
- So wie @aqui es schon angesprochen hat die AVM FB vor die pfSense
- Eine Askozia oder Asterisk PBX in eine DMZ an der pfSense
- Den LAN Port 4 der AVM FB zu einem DMZ Port machen und dann
via "Exposed host" an das WAN Interface der pfSense und an die anderen
LAN Ports der FB einen Switch nur mit den IP Telefonen.

Also Möglichkeiten gibt es da genug für Dich (Euch) da muss man sich
nur mal vernünftig einen Plan machen und dann kann man das auch ohne
Komplikationen abhandeln.

Gruß
Dobby
Bitte warten ..
Mitglied: istike2
01.03.2014 um 23:14 Uhr
Ok. danke, ich verstehe. Mir kommt nur die Lösung FB vor dem pfSense in Frage. Ich muss also ein Access Point besorgen, damit DECT und WLAN Funktionalität getrennt werden.

WLAN geht hinter Firewall und DECT vor den Firewall.

Gr. I.
Bitte warten ..
Mitglied: 108012
01.03.2014 um 23:17 Uhr
WLAN geht hinter Firewall und DECT vor den Firewall.
So würde ich das auch machen wollen!

Gruß
Dobby
Bitte warten ..
Ähnliche Inhalte
Voice over IP

Pfsense Port Forwarding NAT für VOIP

gelöst Frage von Looser27Voice over IP16 Kommentare

Nabend allerseits, ich sitze jetzt schon ein paar Stunden an der Konfig der pfsense. Irgendwie funktioniert das Port forwarding ...

Voice over IP

FritzBox7490 hinter der pfsense für VOIP.

gelöst Frage von ChrisRooVoice over IP29 Kommentare

Hallo zusammen und erstmal ein gesundes und erfolgreiches neues Jahr! Ich bin gerade am verzweifeln. Ich habe mich mit ...

Firewall

Pfsense - Telekom VOIP + Entertain

Frage von Leon1234Firewall3 Kommentare

Hey, ich habe eine Frage bezüglich einer Pfsense vor einer Fritzbox. Ich lese überall dass eine Pfsense vor VOIP ...

TK-Netze & Geräte

Pfsense VOIP Gesprächsabbruch

gelöst Frage von TimMayerTK-Netze & Geräte4 Kommentare

Hallo, ich habe eine Fritzbox als reine TK Anlage an eine Pfsense Firewall/Router angeschlossen. Ich habe zuerst den Stun ...

Neue Wissensbeiträge
Server-Hardware
HP iLO ist gefährdet (iLO 4))
Tipp von AlFalcone vor 8 StundenServer-Hardware

Gemäss Twitter und Heise gibt es eine Angriffsmöglichkeit auf iLO Quelle: iLO ist gefährdet

CMS
Erneut kritische Zero-Day-Lücke in Drupal
Tipp von Reini82 vor 17 StundenCMS

Laut einem Bericht auf t3n gibt es eine Schwere Sicherheitslücke in Drupal die auch schon ausgenutzt wird. Betroffen sind ...

Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 1 TagSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 1 TagWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

Heiß diskutierte Inhalte
Ausbildung
Wie gelingt ein guter Einstieg in die FiSi-Ausbildung? (Umschulung)
Frage von SiAnKoAusbildung29 Kommentare

Schönen guten Tag, ich bin SiAnKo und habe seit dem 1.04.2018 eine Umschulung als FiSi angefangen. Ich möchte natürlich ...

Windows Server
Alten DC entfernen
gelöst Frage von smartinoWindows Server27 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...

Batch & Shell
Mit Powershell den Inhalt einer Excel mit einer Text Datei abgleichen
gelöst Frage von Bommi1961Batch & Shell21 Kommentare

Hallo zusammen, ich muss den Inhalt einer Excel Datei (Mappe1) mit dem Daten einer Text Datei abgleichen. Die Daten ...

Router & Routing
Subnetzmaske vergrößern
gelöst Frage von groovesurferRouter & Routing18 Kommentare

Hallo, hat jemand schonmal getestet was passiert, wenn man die Subnetzmaske bei laufendem Betrieb (wenn user im Netzwerk verbunden ...