• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

Agfeo-TK-Anlage hinter pfsense

Scheduled Pinned Locked Moved Deutsch
21 Posts 4 Posters 2.1k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • O
    OkTech
    last edited by Sep 10, 2021, 10:26 AM

    Schönen guten Tag,

    bei uns wurde heute die Telefonie von Telekom (lief über eine Fritzbox) auf GVG-Glasfaser umgestellt. Nun möchte ich die Telefonanlage mit dem Glasfasernetz hinter meiner pfSense betreiben. Anrufe gehen auch raus, aber die Teilnehmer können sich nicht hören und eingehende Anrufe funktionieren leider gar nicht.

    Ich habe mir den folgenden Artikel angesehen (https://forum.netgate.com/topic/106986/howto-telekom-voip-einstellungen)
    und daraus die folgende NAT-Regel abgeleitet:

    322da6bc-acf0-477d-93b6-91f2f6e4446d-grafik.png

    Außerdem habe ich in der Firewall unter WAN die folgende Regel:

    6eb05bad-7ab8-4861-a8a5-ffbcc3f74bf7-grafik.png

    und unter dem Netz der TK-Anlage folgende Regel:

    de9d08ad-da6d-416d-8475-f5d84198efb6-grafik.png

    Abschließend sind hier meine Aliase zu Ports und IPs:

    9481b5c1-7fc6-468c-ad9d-b726a27534d8-grafik.png

    Hab ihr eine Idee, wie ich dieses Problem lösen kann, bzw. wo bei mir in der Konfiguration der Fehler liegt?

    O 1 Reply Last reply Sep 11, 2021, 7:01 AM Reply Quote 0
    • O
      OkTech @OkTech
      last edited by Sep 11, 2021, 7:01 AM

      @oktech said in Agfeo-TK-Anlage hinter pfsense:

      Anrufe gehen auch raus, aber die Teilnehmer können sich nicht hören und eingehende Anrufe funktionieren leider gar nicht.

      Kleines Update hierzu:
      Ausgehende Anrufe verhalten sich immer noch, wie oben beschrieben.
      Bei eingehenden Anrufen erhalte ich, wenn ein Teilnehmer ran geht die Ansage, dass die Rufnummer nicht vergeben ist.

      1 Reply Last reply Reply Quote 0
      • R
        root32
        last edited by Sep 11, 2021, 3:09 PM

        Hallo,

        gibt es auch einen Eintrag unter Firewall / NAT / Port Forward?

        So sieht das bei mir aus:
        5da9b44e-ff3d-43b8-8cc4-54542701ace3-grafik.png

        O 1 Reply Last reply Sep 11, 2021, 4:40 PM Reply Quote 0
        • O
          OkTech @root32
          last edited by Sep 11, 2021, 4:40 PM

          @root32 Der Eintrag fehlte mir noch.
          Welche Ports sind in deinem Alias VoIP_ports zu finden?

          R 1 Reply Last reply Sep 11, 2021, 4:44 PM Reply Quote 0
          • R
            root32 @OkTech
            last edited by Sep 11, 2021, 4:44 PM

            @oktech bei dir heißt der Alias Telefonie_UDP 🙂
            Die RTP Ports, weiß grad nicht welche, und der SIP Port 5060.

            O 1 Reply Last reply Sep 11, 2021, 4:54 PM Reply Quote 0
            • O
              OkTech @root32
              last edited by Sep 11, 2021, 4:54 PM

              @root32 Ist der Port Forward bei dir eine Linked Rule oder ein Pass?
              Leider scheint es noch immer nicht zu funktionieren.
              Hast du bei dir NAT oder nur den Port Forward eingerichtet?
              Was mich am meisten wundert ist, sobald ich das Gespräach auf einem der Telefone annehme, auf meinem Handy die folgende Ansage kommt:
              "Die gewählte Nummer ist nicht vergeben"

              R 1 Reply Last reply Sep 11, 2021, 5:10 PM Reply Quote 0
              • R
                root32 @OkTech
                last edited by Sep 11, 2021, 5:10 PM

                @oktech Pass, die Regel bestehen schon, so wie bei dir.
                Über SIP Port 5060 bzw. SIPS Port 5061 meldet sich die Telefonanlage beim Provider an. Wenn das nicht funktioniert, dann bekommt man deine Ansage.
                Steht irgendwas in der Firwall logs?

                Wenn der SIP Server nicht als IP hinterlegt ist:
                Die DNS Auflösung des SIP-Servernamen vom Provider funktioniert für die Telefonanlage?

                O 1 Reply Last reply Sep 11, 2021, 5:31 PM Reply Quote 0
                • O
                  OkTech @root32
                  last edited by Sep 11, 2021, 5:31 PM

                  @root32 Das SIP-Konto ist angemeldet:
                  48412780-6c25-4981-8324-a965f96d3e9f-grafik.png

                  Und die Firewall Logs sehen auch ganz gut aus:
                  a45f641d-ddc3-4b76-ac06-fdc4c5d40128-grafik.png

                  Aber weiterhin habe ich das selbe Fehlerbild.

                  R J 2 Replies Last reply Sep 11, 2021, 7:16 PM Reply Quote 0
                  • R
                    root32 @OkTech
                    last edited by Sep 11, 2021, 7:16 PM

                    @oktech Ist ein STUN Server in Verwendung? Den mal testweise rausnehmen.
                    Ansonsten mal mitscheiden was über das SIP Protokoll gesprochen wird.

                    1 Reply Last reply Reply Quote 0
                    • J
                      JeGr LAYER 8 Moderator @OkTech
                      last edited by Sep 11, 2021, 8:40 PM

                      @oktech Die eingehenden Firewallregeln sind falsch. Regeln alleine bringen dir nichts, du nimmst da einfach (sinnfrei) die VoIP Ports auf der Firewall(!) an weil du nur die IP eingehend erlaubt hast. Das bringt aber nichts, denn die Firewall kann mit den Ports nichts anfangen. Darum wird wohl auch eingehend nichts gehen.

                      Du musst wie @root32 das gemacht hat entsprechende Port Forwards erstellen und deine VoIP Ports jeweils UDP und TCP (zwei getrennte Forwards) auf der WAN IP annehmen und zur VoIP Anlange durchreichen.

                      Wenn du die Regeln drin hast, bitte nochmal NAT und Regeln posten :)

                      Ansonsten ist es ganz oft recht angenehm, mal einen TCPDump zu machen auf dem WAN und dann mal von außen anzurufen. Dann sieht man eigentlich, was in dem Moment reinkommt und ob es angenommen wird bzw. ob es geblockt wird (wenn man die Firewallregeln dazu anschaut).

                      Außerdem die Regeln die erstellt werden durch die Port Forwards nochmal editieren und das Logging einschalten, damit man sie im Log sieht und weiß ob sie getriggert werden oder nicht.

                      @root32 said in Agfeo-TK-Anlage hinter pfsense:

                      @oktech Ist ein STUN Server in Verwendung? Den mal testweise rausnehmen.

                      Zumindest sieht man States zu udp/3478 was klassischerweise der STUN Server Port ist, daher würde ich vermuten ja.

                      Cheers
                      \jens

                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                      O 1 Reply Last reply Sep 12, 2021, 11:02 AM Reply Quote 1
                      • O
                        OkTech @JeGr
                        last edited by Sep 12, 2021, 11:02 AM

                        @jegr @root32 Erst einmal vielen Dank für eure Unterstützung.

                        Nachfolgende habe ich die NAT-Regeln und Firewall-Regeln noch einmal angepasst:

                        PortForward:
                        ba5a6066-c01e-4514-a590-19f9e3c9c2b2-grafik.png

                        NAT Outbound:
                        47a87689-c381-4cac-bf7b-12164526107a-grafik.png

                        Firewall-Regel WAN:
                        9cc82050-bf32-41d9-889c-522736f2f047-grafik.png

                        Bei meinem Test-Anruf bekomme ich in den Packet-Capture folgende Fehlermeldung:
                        Reason: Q.850;cause=88;text="INCOMPATIBLE_DESTINATION"

                        Ich denke irgendwo ist in meinen Regeln noch ein Denkfehler auf meiner Seite und ich sehe den Wald vor lauter Bäumen einfach nicht.

                        R 1 Reply Last reply Sep 12, 2021, 12:10 PM Reply Quote 0
                        • R
                          root32 @OkTech
                          last edited by Sep 12, 2021, 12:10 PM

                          @oktech NAT -> Outbound
                          Die Destination Ports würde ich mal entfernen.
                          Der STUN ist deaktiviert?

                          1 Reply Last reply Reply Quote 0
                          • C
                            cat1510
                            last edited by Sep 12, 2021, 12:37 PM

                            Hi,

                            nach meiner Anleitung 'Fritze hinter pfSense' ist nur wichtig, dass im Mapping die ports auf static stehen.
                            Screenshot 2021-09-12 143558.jpg
                            Sollte bei der Agfeo auch so sein.
                            Ein eigehender Portforward ist nicht noetig, bzw macht eher Probleme.
                            In der Sense sollten die UDP NAT Timeouts vieleicht noch eingestellt werden.
                            Eine wichtigere Frage ist: Wer ist der Voip Provider und was hat der fuer Besonderheiten?

                            HTH

                            LG

                            CAT

                            O C 2 Replies Last reply Sep 12, 2021, 1:00 PM Reply Quote 0
                            • O
                              OkTech
                              last edited by Sep 12, 2021, 12:58 PM

                              @root32 Habe ich so umgesetzt und auch STUN ist deaktivert. Leider ohne Erfolg.

                              1 Reply Last reply Reply Quote 0
                              • O
                                OkTech @cat1510
                                last edited by OkTech Sep 12, 2021, 1:02 PM Sep 12, 2021, 1:00 PM

                                @cat1510 Ich habe die Portweiterleitung einmal deaktiviert. Leider keine Veränderung.
                                Der Voip-Anbieter kann mir leider keine Besonderheiten nennen.

                                Ich habe gerade auf einem der User-PCs Phoner installiert und mich mit den Zugangsdaten eingewählt.
                                Damit hat die Telefonie ohne Probleme funktioniert. Sowohl eingehend als auch ausgehend.

                                1 Reply Last reply Reply Quote 0
                                • C
                                  cat1510 @cat1510
                                  last edited by Sep 12, 2021, 1:07 PM

                                  @cat1510 said in Agfeo-TK-Anlage hinter pfsense:

                                  Eine wichtigere Frage ist: Wer ist der Voip Provider und was hat der fuer Besonderheiten?

                                  ?

                                  Diese beiden habe ich noch fuer Dich gefunden, aber die wirst Du schon gecheckt haben:
                                  https://administrator.de/forum/voip-hinter-pfsense-ohne-portfreigaben-und-auch-ohne-stun-und-sip-alg-541698.html
                                  https://www.joerg-leuschner.de/sicherheit/agfeo-elements-am-all-ip-anschluss-hinter-einer-firewall/

                                  Ist aber ueberall auch das Gleiche beschrieben.
                                  Bleibt noch die Frage nach dem Voip Provider.
                                  Wir hatten auch mal den Fall, dass die Random ports vom RTP auf der Firwall zumindest zugelassen werden mussten. Haben wir dann aber nur von den IPs des Provider zugelassen, logisch.

                                  CAT

                                  O 1 Reply Last reply Sep 12, 2021, 1:51 PM Reply Quote 0
                                  • O
                                    OkTech @cat1510
                                    last edited by Sep 12, 2021, 1:51 PM

                                    @cat1510 Der Anschluss läuft über GVG-Glasfaser.
                                    Die IP, die ich über Wireshark herausbekomme gehört anscheinend Purtel.
                                    Eine Suche im Zusammenhang mit meiner Agfeo ES516 hat leider auch keine Lösung hervorgebracht.

                                    Für mich sieht es nach einem Problem zwischen dem Provider und der TK-Anlage aus, gerade weil ein Softphone ohne Anbindung an die Telefonanlage mit den Zugangsdaten einwandfrei funktioniert.

                                    Hier einmal die Ansicht des Packets:

                                    Frame 10: 684 bytes on wire (5472 bits), 684 bytes captured (5472 bits)
                                    Null/Loopback
                                    Internet Protocol Version 4, Src: 185.39.85.42, Dst: <wanip>
                                    User Datagram Protocol, Src Port: 5060, Dst Port: 6878
                                    Session Initiation Protocol (BYE)
                                        Request-Line: BYE sip:453688@<wanip>:6878 SIP/2.0
                                        Message Header
                                            Via: SIP/2.0/UDP 185.39.85.42;branch=z9hG4bK7263.709c6da2d8d5c6ec77700753e97e7419.0
                                            Via: SIP/2.0/UDP 185.39.85.42:5072;received=185.39.85.42;rport=5072;branch=z9hG4bKNvZB8QBmFX6tD
                                            Max-Forwards: 69
                                            From: <sip:telefonnummer@sip.gvg-glasfaser.de>;tag=y7m36XD1HU37a
                                            To: <sip:telefonnummer@<wanip>:6878>;tag=123fd73b
                                            Call-ID: e7ee4526-8e6e-123a-32ad-b6253dec2fb7
                                            [Generated Call-ID: e7ee4526-8e6e-123a-32ad-b6253dec2fb7]
                                            CSeq: 41172594 BYE
                                            User-Agent: FreeSWITCH
                                            Allow: INVITE, ACK, BYE, CANCEL, OPTIONS, MESSAGE, INFO, UPDATE, REGISTER, NOTIFY
                                            Supported: timer, path, replaces
                                            Reason: Q.850;cause=88;text="INCOMPATIBLE_DESTINATION"
                                            Content-Length: 0
                                    
                                    C 1 Reply Last reply Sep 12, 2021, 2:05 PM Reply Quote 0
                                    • C
                                      cat1510 @OkTech
                                      last edited by Sep 12, 2021, 2:05 PM

                                      @oktech

                                      Ja, dann scheint die Agfeo aber nicht ‘richtig’ eingestellt zu sein oder der fehlt was anderes.

                                      Reason: Q.850;cause=88;text="INCOMPATIBLE_DESTINATION"

                                      https://www.tek-tips.com/viewthread.cfm?qid=1768690
                                      https://community.cisco.com/t5/atas-gateways-and-accessories/incoming-sip-calls-on-spa3102-disconnecting/m-p/3004065#M8302

                                      Was macht der Phoner anders als die Agfeo?
                                      Vielleicht mal wireshark mit phoner um zu sehen was der setzt…
                                      Nur so als Idee.

                                      CAT

                                      1 Reply Last reply Reply Quote 0
                                      • C
                                        cat1510
                                        last edited by Sep 12, 2021, 2:15 PM

                                        https://telekomhilft.telekom.de/t5/Telefonie-Internet/VOIP-SIP-606-Fehler/td-p/2846378

                                        Hier auch ein Codec Fehler.
                                        Was handelt der Phoner denn aus?
                                        Ist der Codec auch bei der Agfeo eingestellt?

                                        O 1 Reply Last reply Sep 12, 2021, 2:49 PM Reply Quote 0
                                        • O
                                          OkTech @cat1510
                                          last edited by OkTech Sep 12, 2021, 2:50 PM Sep 12, 2021, 2:49 PM

                                          @cat1510 Ich habe gerade bei Phoner und bei der Agfeo die selben Codecs verwendet und bekomme leider immer noch kein Gespräch mit der Agfeo zu Stande.

                                          Folgenden Eintrag bekomme ich bei Phoner, welcher mich etwas stutzig macht:
                                          Record-Route URI: sip:185.39.85.42;lr=on;nat=yes

                                          Ich habe keine Einstellungen für Phone vorgenommen. Also kein NAT oder ähnliches.

                                          Für die Agfeo sieht der Eintrag wie folgt aus:
                                          Record-Route URI: sip:185.39.85.42;lr=on

                                          1 Reply Last reply Reply Quote 0
                                          20 out of 21
                                          • First post
                                            20/21
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                                            This community forum collects and processes your personal information.
                                            consent.not_received