[solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen
-
@nocling Jau, danke. Nun bin ich aber total dosig und quasi immer noch nicht zu verstehen.
-
Ist das so ein Wählscheibentelefon mit Tastenfeld oder ein DECT Teil welches direkt an der Fritz angemeldet wurde?
-
@nocling Auf deinem Screenshot kann man es nicht sehen, aber ist static mapping vermutlich?
Ich habe es nun auf die paar Ports begrenzt statt auf alle und die Portforwards entfernt, nun scheint es problemlos zu funktionieren.
-
Bist du dir sicher mit TCP/UDP, das ist nach meinem Infostand reines UDP.
-
@nocling 5060 ist auch TCP. Darüber hinaus hab ich in den Logs gesehen, dass auch 5061 genutzt wird, das die Fritzbox aber nirgends angezeigt hat. Allerdings gab es mit dem Port wohl Probleme. Hab ihn daher auch in die Outbund NAT Regel mit eingebunden und nun sehe ich aktuell keine Probleme mehr mit dem Port im Log.
Also ich hab sowohl den bzw. jetzt die SIP Ports, als auch die RTP Ports in das Static outbound NAT mit eingebunden, falsch?
-
Nein alles gut, das ist bei jeder Implementation halt auch wieder anders.
Wenn es bei dir so funktioniert ist alles richtig.Mit der Regel lässt du ja nicht einfach alles von außen rein, sondern erlaubst der Fritz ja nur den Port temporär von außen für sie nutzbar zu machen.
-
Mir sind noch ein paar Fragen aufgekommen, die eher allgemeiner Natur sind, vielleicht lässt sich trotzdem jemand herab.
Frage 1. Um die Fritzbox ansprechen zu könne, musste ich schon mal die Notfall-IP nutzen (169.254.1.1). Von einem direkt verbundenem Laptop kein Problem, mit einer aber quasi identisch eingerichteten Verbindung über die pfSense war kein Zugriff möglich, selbst mit NAT nicht. Warum?
Frage 2. Wozu einen outbbound static port nutzen, weil die andere Seite der Verbindung einfach darauf besteht? Gibt es da sinnvolle Gründe für?
(Bonus-)Frage 3. Die Telefonie der Fritzbox sendet alle 30 Sekunden ein keep alive um die Verbindung aufrecht zu erhalten. Was wäre die Alternative, welche Ports müssten dauerhaft geöffnet werden, SIP oder RTP oder beides? Mit pfBlocker könnte ich das ja versuchen abzusichern.
-
Zu 1: Anleitung pfSense Seite 340, in der aktuellen PDF müsste das 343 sein.
Zu 2: Weil die Systeme für SIP Signaling das erwarten.
Zu3: Das was die Fritz da dynamisch macht kannst du auch statisch machen, klar wenn es dir besser gefällt. So hört das halt auf, wenn du den Tel Dienst auf der Fritz abschaltest, machst das statisch schlagen die Anfragen weiterhin bei der Fritz ein.
-
@nocling Siehst du und genau das verstehe ich auch nicht. Bei meinem Unifi USG-3 musste ich keinerlei Port öffnen, damit die Fritz-Box Telefon machen konnte. Jetzt bei der Pfsense muss man da was öffnen - komisch.
-
@greeneyedandy Nope, ich habe auch keine Ports geöffnet.
-
@bob-dig said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
Mir sind noch ein paar Fragen aufgekommen, die eher allgemeiner Natur sind, vielleicht lässt sich trotzdem jemand herab.
Frage 1. Um die Fritzbox ansprechen zu könne, musste ich schon mal die Notfall-IP nutzen (169.254.1.1). Von einem direkt verbundenem Laptop kein Problem, mit einer aber quasi identisch eingerichteten Verbindung über die pfSense war kein Zugriff möglich, selbst mit NAT nicht. Warum?
Frage 2. Wozu einen outbbound static port nutzen, weil die andere Seite der Verbindung einfach darauf besteht? Gibt es da sinnvolle Gründe für?
(Bonus-)Frage 3. Die Telefonie der Fritzbox sendet alle 30 Sekunden ein keep alive um die Verbindung aufrecht zu erhalten. Was wäre die Alternative, welche Ports müssten dauerhaft geöffnet werden, SIP oder RTP oder beides? Mit pfBlocker könnte ich das ja versuchen abzusichern.
Noch jemand anderes?
-
@bob-dig Hab ich dann was falsch verstanden? Outbound-NAT öffnet gar keinen Port? Ok, aber im USG-3 musste ich auch das nicht machen.
-
@greeneyedandy Vielleicht ist auch nur der keep alive wichtig und static outbound NAT ist es nicht mehr, müsste ich mal testen.
-
Das ermöglicht der Fritz die Ports ausgehend zu öffnen, so dass sich der Sip Registrar dann von außen hier melden kann um einen Anruf zu signalisieren.
Wenn das bei der USG-3 einfach so funktionierte, dann besorgt mich das ein wenig.
Vermutlich ist hier SIP Inspection aktiv und macht das damit automagisch, aber damit kann man auch recht gute Bruchlandungen hin legen.
Besser ist halt wenn man das sauber, an die jeweiligen Bedürfnisse angepasst, einstellen kann wie hier beschrieben. -
@bob-dig ohne Outbound-NAT hörst du dein Gegenüber nicht!
-
@greeneyedandy said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
@bob-dig ohne Outbound-NAT hörst du dein Gegenüber nicht!
Es geht hier doch um static port outbound NAT. Aber wenn Du das eh meintest, dann hast Du wohl recht, hab es schon wieder vergessen.
Viele andere Router haben da wohl spezielle Assistenten, die versuchen das für diverse Protokolle gleich "richtig" zu machen. Bei pfSense musst du halt das allermeiste selbst machen. -
@nocling ja aber dann ist es ja doch, wie einen Port zu öffnen. Weil für ausgehende Anfragen an irgendwelche Ports brauche ich doch normal (wenn es nicht explizit gesperrt wurde) keine Regeln.
-
@greeneyedandy said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
ja aber dann ist es ja doch, wie einen Port zu öffnen. Weil für ausgehende Anfragen an irgendwelche Ports brauche ich doch normal (wenn es nicht explizit gesperrt wurde) keine Regeln.
Puh, was Du schreibst stimmt vorne und hinten nicht.
Du brauchst immer Regeln und nein, das ist nicht wie einen Port zu öffnen nach außen...
-
@bob-dig was schreibst du denn da? Wenn ich, von einem Rechner hinter der Pfsense eine Verbindung zu, sagen wir mal einem MongoDB-Dienst auf einem gehosteten Server, aufmache, brauche ich doch in der Pfsense nicht den Port 27017 aufmachen, damit er RAUS kommt! Anders sieht das auf dem Server auf, wenn der eine Firewall hat, muss ich den Port 27017 für eingehende Verbindungen öffnen.
OK, du hast natürlich Recht, ich brauche eine Allow-Regel. Die hatte ich schon vergessen. -
Heute noch mal in die Logs geschaut und 5060 wir anscheinend nicht genutzt. Gehe daher davon aus, dass nur die RTP Ports static outbound sein müssen und diese sind nur UDP, also Regel angepasst.
