[solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen
-
@nocling 5060 ist auch TCP. Darüber hinaus hab ich in den Logs gesehen, dass auch 5061 genutzt wird, das die Fritzbox aber nirgends angezeigt hat. Allerdings gab es mit dem Port wohl Probleme. Hab ihn daher auch in die Outbund NAT Regel mit eingebunden und nun sehe ich aktuell keine Probleme mehr mit dem Port im Log.
Also ich hab sowohl den bzw. jetzt die SIP Ports, als auch die RTP Ports in das Static outbound NAT mit eingebunden, falsch?
-
Nein alles gut, das ist bei jeder Implementation halt auch wieder anders.
Wenn es bei dir so funktioniert ist alles richtig.Mit der Regel lässt du ja nicht einfach alles von außen rein, sondern erlaubst der Fritz ja nur den Port temporär von außen für sie nutzbar zu machen.
-
Mir sind noch ein paar Fragen aufgekommen, die eher allgemeiner Natur sind, vielleicht lässt sich trotzdem jemand herab.
Frage 1. Um die Fritzbox ansprechen zu könne, musste ich schon mal die Notfall-IP nutzen (169.254.1.1). Von einem direkt verbundenem Laptop kein Problem, mit einer aber quasi identisch eingerichteten Verbindung über die pfSense war kein Zugriff möglich, selbst mit NAT nicht. Warum?
Frage 2. Wozu einen outbbound static port nutzen, weil die andere Seite der Verbindung einfach darauf besteht? Gibt es da sinnvolle Gründe für?
(Bonus-)Frage 3. Die Telefonie der Fritzbox sendet alle 30 Sekunden ein keep alive um die Verbindung aufrecht zu erhalten. Was wäre die Alternative, welche Ports müssten dauerhaft geöffnet werden, SIP oder RTP oder beides? Mit pfBlocker könnte ich das ja versuchen abzusichern.
-
Zu 1: Anleitung pfSense Seite 340, in der aktuellen PDF müsste das 343 sein.
Zu 2: Weil die Systeme für SIP Signaling das erwarten.
Zu3: Das was die Fritz da dynamisch macht kannst du auch statisch machen, klar wenn es dir besser gefällt. So hört das halt auf, wenn du den Tel Dienst auf der Fritz abschaltest, machst das statisch schlagen die Anfragen weiterhin bei der Fritz ein.
-
@nocling Siehst du und genau das verstehe ich auch nicht. Bei meinem Unifi USG-3 musste ich keinerlei Port öffnen, damit die Fritz-Box Telefon machen konnte. Jetzt bei der Pfsense muss man da was öffnen - komisch.
-
@greeneyedandy Nope, ich habe auch keine Ports geöffnet.
-
@bob-dig said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
Mir sind noch ein paar Fragen aufgekommen, die eher allgemeiner Natur sind, vielleicht lässt sich trotzdem jemand herab.
Frage 1. Um die Fritzbox ansprechen zu könne, musste ich schon mal die Notfall-IP nutzen (169.254.1.1). Von einem direkt verbundenem Laptop kein Problem, mit einer aber quasi identisch eingerichteten Verbindung über die pfSense war kein Zugriff möglich, selbst mit NAT nicht. Warum?
Frage 2. Wozu einen outbbound static port nutzen, weil die andere Seite der Verbindung einfach darauf besteht? Gibt es da sinnvolle Gründe für?
(Bonus-)Frage 3. Die Telefonie der Fritzbox sendet alle 30 Sekunden ein keep alive um die Verbindung aufrecht zu erhalten. Was wäre die Alternative, welche Ports müssten dauerhaft geöffnet werden, SIP oder RTP oder beides? Mit pfBlocker könnte ich das ja versuchen abzusichern.
Noch jemand anderes?
-
@bob-dig Hab ich dann was falsch verstanden? Outbound-NAT öffnet gar keinen Port? Ok, aber im USG-3 musste ich auch das nicht machen.
-
@greeneyedandy Vielleicht ist auch nur der keep alive wichtig und static outbound NAT ist es nicht mehr, müsste ich mal testen.
-
Das ermöglicht der Fritz die Ports ausgehend zu öffnen, so dass sich der Sip Registrar dann von außen hier melden kann um einen Anruf zu signalisieren.
Wenn das bei der USG-3 einfach so funktionierte, dann besorgt mich das ein wenig.
Vermutlich ist hier SIP Inspection aktiv und macht das damit automagisch, aber damit kann man auch recht gute Bruchlandungen hin legen.
Besser ist halt wenn man das sauber, an die jeweiligen Bedürfnisse angepasst, einstellen kann wie hier beschrieben. -
@bob-dig ohne Outbound-NAT hörst du dein Gegenüber nicht!
-
@greeneyedandy said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
@bob-dig ohne Outbound-NAT hörst du dein Gegenüber nicht!
Es geht hier doch um static port outbound NAT. Aber wenn Du das eh meintest, dann hast Du wohl recht, hab es schon wieder vergessen.
Viele andere Router haben da wohl spezielle Assistenten, die versuchen das für diverse Protokolle gleich "richtig" zu machen. Bei pfSense musst du halt das allermeiste selbst machen. -
@nocling ja aber dann ist es ja doch, wie einen Port zu öffnen. Weil für ausgehende Anfragen an irgendwelche Ports brauche ich doch normal (wenn es nicht explizit gesperrt wurde) keine Regeln.
-
@greeneyedandy said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
ja aber dann ist es ja doch, wie einen Port zu öffnen. Weil für ausgehende Anfragen an irgendwelche Ports brauche ich doch normal (wenn es nicht explizit gesperrt wurde) keine Regeln.
Puh, was Du schreibst stimmt vorne und hinten nicht.
Du brauchst immer Regeln und nein, das ist nicht wie einen Port zu öffnen nach außen...
-
@bob-dig was schreibst du denn da? Wenn ich, von einem Rechner hinter der Pfsense eine Verbindung zu, sagen wir mal einem MongoDB-Dienst auf einem gehosteten Server, aufmache, brauche ich doch in der Pfsense nicht den Port 27017 aufmachen, damit er RAUS kommt! Anders sieht das auf dem Server auf, wenn der eine Firewall hat, muss ich den Port 27017 für eingehende Verbindungen öffnen.
OK, du hast natürlich Recht, ich brauche eine Allow-Regel. Die hatte ich schon vergessen. -
Heute noch mal in die Logs geschaut und 5060 wir anscheinend nicht genutzt. Gehe daher davon aus, dass nur die RTP Ports static outbound sein müssen und diese sind nur UDP, also Regel angepasst.
-
@bob-dig bei mir war 5060 immer in den States zu sehen. Du hast es jetzt also hinbekommen, dass du nur noch eine Fritz.Box hast, welche im BridgeMode arbeitet und Telefonie macht. Die Pfsense macht die PPPoE Einwahl. Hast du bisher schon Berichte gehabt, das Leute dich nicht anrufen konnten? Bei mir war das immer das Problem, dass man mich zeitweise nicht erreichen konnte.
-
@greeneyedandy Also ich sehe viel 5061, aber nur ausgehend als Ziel-Port. Ich werde meine Settings noch bis morgen durch Selbstanrufe testen und dann soll es das gewesen sein.
Denn eigentlich will ich lediglich ein Faxgerät betreiben und das auch nur ausgehend für 2x im Jahr.
Das hätte vermutlich also auch ohne irgendwas in der Sense zu konfigurieren geklappt.
-
@bob-dig said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
Denn eigentlich will ich lediglich ein Faxgerät betreiben und das auch nur ausgehend für 2x im Jahr.
Das hätte vermutlich also auch ohne irgendwas in der Sense zu konfigurieren geklappt.Ja aber so ist schon geiler, damit hast auch eine schöne Anleitung für alle nachfolgenden hinterlassen.
Und jetzt hast ja doch meine Regel quasi in Kopie rein gebautNetgate 6100 & Netgate 2100
-
@nocling said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
Und jetzt hast ja doch meine Regel quasi in Kopie rein gebaut
Ohne den SIP Port.
Aber @thiasaef hat hier die entscheidenden Hinweise gegeben. Ich hab als privacy VPN Nutzer nur noch duckduckgo genutzt, welches wohl auf bing beruht und vielleicht deshalb selbst nichts gescheites mehr gefunden. Ich werde wohl google wieder verstärkt nutzen und will die captchas irgendwie anders umgehen, vielleicht mit startpage...
Und wenn es der Schweinehund zulässt, poste ich vielleicht eine vollständige "Anleitung" im Luxx.
