[solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen
-
@bob-dig ohne Outbound-NAT hörst du dein Gegenüber nicht!
-
@greeneyedandy said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
@bob-dig ohne Outbound-NAT hörst du dein Gegenüber nicht!
Es geht hier doch um static port outbound NAT. Aber wenn Du das eh meintest, dann hast Du wohl recht, hab es schon wieder vergessen.
Viele andere Router haben da wohl spezielle Assistenten, die versuchen das für diverse Protokolle gleich "richtig" zu machen. Bei pfSense musst du halt das allermeiste selbst machen. -
@nocling ja aber dann ist es ja doch, wie einen Port zu öffnen. Weil für ausgehende Anfragen an irgendwelche Ports brauche ich doch normal (wenn es nicht explizit gesperrt wurde) keine Regeln.
-
@greeneyedandy said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
ja aber dann ist es ja doch, wie einen Port zu öffnen. Weil für ausgehende Anfragen an irgendwelche Ports brauche ich doch normal (wenn es nicht explizit gesperrt wurde) keine Regeln.
Puh, was Du schreibst stimmt vorne und hinten nicht.
Du brauchst immer Regeln und nein, das ist nicht wie einen Port zu öffnen nach außen...
-
@bob-dig was schreibst du denn da? Wenn ich, von einem Rechner hinter der Pfsense eine Verbindung zu, sagen wir mal einem MongoDB-Dienst auf einem gehosteten Server, aufmache, brauche ich doch in der Pfsense nicht den Port 27017 aufmachen, damit er RAUS kommt! Anders sieht das auf dem Server auf, wenn der eine Firewall hat, muss ich den Port 27017 für eingehende Verbindungen öffnen.
OK, du hast natürlich Recht, ich brauche eine Allow-Regel. Die hatte ich schon vergessen. -
Heute noch mal in die Logs geschaut und 5060 wir anscheinend nicht genutzt. Gehe daher davon aus, dass nur die RTP Ports static outbound sein müssen und diese sind nur UDP, also Regel angepasst.
-
@bob-dig bei mir war 5060 immer in den States zu sehen. Du hast es jetzt also hinbekommen, dass du nur noch eine Fritz.Box hast, welche im BridgeMode arbeitet und Telefonie macht. Die Pfsense macht die PPPoE Einwahl. Hast du bisher schon Berichte gehabt, das Leute dich nicht anrufen konnten? Bei mir war das immer das Problem, dass man mich zeitweise nicht erreichen konnte.
-
@greeneyedandy Also ich sehe viel 5061, aber nur ausgehend als Ziel-Port. Ich werde meine Settings noch bis morgen durch Selbstanrufe testen und dann soll es das gewesen sein.
Denn eigentlich will ich lediglich ein Faxgerät betreiben und das auch nur ausgehend für 2x im Jahr.
Das hätte vermutlich also auch ohne irgendwas in der Sense zu konfigurieren geklappt.
-
@bob-dig said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
Denn eigentlich will ich lediglich ein Faxgerät betreiben und das auch nur ausgehend für 2x im Jahr.
Das hätte vermutlich also auch ohne irgendwas in der Sense zu konfigurieren geklappt.Ja aber so ist schon geiler, damit hast auch eine schöne Anleitung für alle nachfolgenden hinterlassen.
Und jetzt hast ja doch meine Regel quasi in Kopie rein gebaut
Netgate 6100 & Netgate 2100
-
@nocling said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
Und jetzt hast ja doch meine Regel quasi in Kopie rein gebaut
Ohne den SIP Port.
Aber @thiasaef hat hier die entscheidenden Hinweise gegeben. Ich hab als privacy VPN Nutzer nur noch duckduckgo genutzt, welches wohl auf bing beruht und vielleicht deshalb selbst nichts gescheites mehr gefunden. Ich werde wohl google wieder verstärkt nutzen und will die captchas irgendwie anders umgehen, vielleicht mit startpage...
Und wenn es der Schweinehund zulässt, poste ich vielleicht eine vollständige "Anleitung" im Luxx.
-
@greeneyedandy said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
@nocling Siehst du und genau das verstehe ich auch nicht.
Der Witz ist, dass man mit obiger Outbound NAT Regel die automatische
source port randomizationabschaltet.@nocling said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
damit hast auch eine schöne Anleitung für alle nachfolgenden hinterlassen.
Hat er das? Ich lese nur, "es funktioniert nicht" ... ... ... "oh, es funktioniert doch".
@bob-dig said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
Aber @thiasaef hat hier die entscheidenden Hinweise gegeben.
Ich habe im Endeffekt nur das erneut verlinkt, was dir in einem anderen Forum schon mal auf die Frage geantwortet wurde.
wenn es der Schweinehund zulässt, poste ich vielleicht eine vollständige "Anleitung"
Das würde ich begrüßen.
-
@thiasaef said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
Der Witz ist, dass man mit obiger Outbound NAT Regel die automatische 'source port randomization' abschaltet.
Genau darum geht es ja, das SIP Gateway vom Provider muss ich auf einem definiertem Port erreichen können, sonst kommt der Anruf zwar rein, aber der Inhalt vom Gespräch wird nicht übertragen. Sprich es klingelt, du gehst ran, er hört dich du hörst ihn aber nicht.
SIP Inspection macht so was automatisch, kann dir aber je nach System beim konfigurieren auch ins Gesicht explodieren.
-
@greeneyedandy said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
@bob-dig was schreibst du denn da? Wenn ich, von einem Rechner hinter der Pfsense eine Verbindung zu, sagen wir mal einem MongoDB-Dienst auf einem gehosteten Server, aufmache, brauche ich doch in der Pfsense nicht den Port 27017 aufmachen, damit er RAUS kommt!
Doch brauchst du. Per default lässt die pfSense nur mit der allow-any Regel auf dem LAN einfach alles "raus" (auch wenn es eher eingehend auf dem LAN ist was die Richtung angeht, aber das sei jetzt mal dahingestellt). Du machst also auch was auf bzw es wurde eben schon aufgemacht.
Die USG Kiste ist genau wie ne Fritzbox irgendwo zwischen "Amateur" und "Profi" angesiedelt wobei die USG zumindest etwas weiter Richtung Funktion und die FB eher Richtung Amateur pendelt. Die Fritte macht einfach immer alles von innen auf. Da kannst du gar nichts einstellen, das ist einfach fix eingestellt. Die USG hat wie @NOCling sagt sicher irgendwelche Helper die gewisse Dinge automagisch abhandeln, damit sie funktionieren. Machen andere Hersteller wie Cisco und Co auch, was dann genau zu solchen Aussagen führt "aber das musste ich mit X und Y nie machen...". Nur weil die anderen Geräte ggf. im Hintergrund irgendwelche Agents, Proxies, Wizards oder sonstigen Auto-Krempel haben, heißt das nicht, dass sie das nicht genauso auch einrichten. Nur hat die pfSense das eben nicht und deshalb muss mans händisch machen und sich damit auseinandersetzen anstatt es abgenommen zu bekommen und irgendwie schwarzmagisch hintenrum zu lösen. Das erzeugt dann nämlich genau solche Effekte dass man nicht weiß, was die Kiste eigentlich macht.
@greeneyedandy said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
@nocling ja aber dann ist es ja doch, wie einen Port zu öffnen. Weil für ausgehende Anfragen an irgendwelche Ports brauche ich doch normal (wenn es nicht explizit gesperrt wurde) keine Regeln.
Outbound NAT hat mit Regeln zum Port öffnen absolut nichts zu tun, da hat @Bob-Dig völlig recht. Aus Sicht des Filters ist Outbound NAT lediglich eine Aussage darüber, dass der Traffic wenn er von deinem LAN kommt und nach draußen ins WAN geht bitte umgeschrieben werden soll auf die WAN IP, weil im Internet niemand was mit privaten RFC1918 IPs anfangen kann. Das ist der einzige Job der Outbound NAT Regel(n). OB da irgendwas erlaubt wird oder nicht steckt da überhaupt nicht drin, es wird nur etwas umgeschrieben.
Genauso auch bei Port Forwards, hier wird lediglich gesagt, dass eingehend auf IP X und Port Y bitte dann der Paketempfänger umgeschrieben wird auf interne IP Z und Port Y. Ob der Traffic auch erlaubt wird oder nicht - das regelt dann die zugehörige Filterregel. Aber NAT Rules erlauben erst einmal gar nichts. Das ist wichtig für das Verständnis. Sie schreiben nur um, erlaubt wird wo anders.
@greeneyedandy said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
@bob-dig ohne Outbound-NAT hörst du dein Gegenüber nicht!
Und das liegt an dem ach so schönen SIP Protokoll, das - ähnlich BTW wie IPsec - extrem empfindlich ist welche Ports verwendet werden. SIP kommuniziert auch Ports in seinen Paketen. Wenn dann aber die Firewall wie die pfSense eben auf Sicherheit bedacht ist und abgehend via Outbound NAT Verbindungen eben nicht static mappt damit man keine NAT Sequenz Angriffe versuchen kann, dann sind die Protokolle aufgeschmissen, denn sie gehen schlicht davon aus, dass sie via 5060 rausgehen und auch wieder reinkommen. Dann grätscht aber die Firewall dazwischen und schreibt den Sourceport 5060 in 54826 um und schon passt das Ganze nicht mehr zu dem, was im Paket kommuniziert wird. Darum setzt man bei VoIP für die Telefonanlagen-IP o.ä. eben ausgehend den Static Port Haken, damit die Anlage transparent ausgehend die gleichen Ports nutzt und damit auch die korrekten Ports kommunizieren kann.
Zudem agiert dann noch jeder VoIP Provider anders. Nur weil bei @Bob-Dig bspw. kein udp/5060 auftaucht, muss es bei @GreenEyedAndy nicht auch so sein. SIP ist leider ein einziger Kindergeburtstag in dem sich ein Haufen Anbieter austoben und jeder macht seinen eigenen Kram. Die einen setzen massiv auf 5060/udp wie die Spec, andere nutzen dann 5060/tcp oder 5061/tcp. Wenn man dann das ganze nichtmal dokumentiert ist Spaß garantiert ;)
Ein Beispiel dafür (wie man es gut macht) zeigt Sipgate, die sind auf dem Gebiet aber auch Pionier der ersten Stunde: https://basicsupport.sipgate.de/hc/de/articles/207426705-IP-Port-Bereiche-von-sipgate
Über solche Dokus würde man sich bei anderen Providern freuen, meistens muss man sich aber durch Hotlines und Support Mails fräsen bis man die Infos zusammen hat - nur um dann irgendwann nach Fehlersuche doch zu hören, dass da ja noch was anderes war.Deshalb bei SIP nicht einfach davon ausgehen, dass das, was beim Einen funktioniert zwingend beim anderen auch gehen muss :)
Cheers
-
Ja stimmt, NAT macht erstmal nix außer die Public - WAN IP tausch Aktion.
Im Hybrid Outbound NAT Mode wird aber eine Regel mit angelegt, ist aber nur eine Funktion die es vereinfacht.
Im Manuellen Modus musst das selber machen.Und wo wir dabei sind, je nachdem was in die SIP Pakete geschrieben wird, steht auch schon mal eine IP mit drin, dann musst auch beim NAT aufpassen.
Es ist wirklich ein gigantischer Spielplatz.
Dann hast noch Mechaniken die bei der Registrierung die Zeit versuchen aus zu handeln, was mal gut mal gar nicht funktioniert und dann läuft deine Registrierung ab, bevor sich deine Kiste wieder meldet.Da kannst sehr viel Spaß mit Wireshark haben, wenn du willst.
Also sei doch froh wenn bei der USG und aktiver SIP Inspection zufällig alles einfach so funktioniert. Willst du genau wissen was da passiert, schneide das einfach mal auf LAN und WAN Seite mit, wist dich wundern was das Ding in den SIP Paketen alles rumschraubt.
Netgate 6100 & Netgate 2100
-
@thiasaef said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
Das würde ich begrüßen.
Sollst Du haben, dann hat auch der 0815-Luxx-User was davon.
-
@nocling said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
Im Hybrid Outbound NAT Mode wird aber eine Regel mit angelegt, ist aber nur eine Funktion die es vereinfacht.
Nö. Automatic und Hybrid Outbound NAT mode regeln lediglich das automatische erstellen der NAT bzw. RDR-Typ Rules in der pf.conf. Echte Regeln - pass/block/reject - werden weder durch "automatic" noch durch "hybrid" angelegt. Wie gesagt - wozu auch - ist ja das default Verhalten vom LAN Interface aus alles zu erlauben, außer der User möchte das nicht. Darum auch keine Regel nötig. :)
@nocling said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
Und wo wir dabei sind, je nachdem was in die SIP Pakete geschrieben wird, steht auch schon mal eine IP mit drin, dann musst auch beim NAT aufpassen.
Absolut. Darum ist das auch sinnvoll - wenn man mehrere IPs wie bspw. nen /29er Subnetz hat - eine IP direkt für VoIP auszudeuten und diese zu nutzen. Dann wird es auch bei der NAT einfacher.
@nocling said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
Da kannst sehr viel Spaß mit Wireshark haben, wenn du willst.
Hatten wir schon, eklig das. Vor allem wenn man über ein halbes Jahr mit dem Kunden debattieren muss, der ja auch hilflos ist, nur um am Ende dann die Bestätigung zu bekommen, dass VoIP Anbieter und Anlagenhersteller miteinander nicht "grün" waren und irgendwelche SIP Befehle nicht sauber interpretiert haben. Da kann man enorm Zeit für nichts versenken.
Aber wenn hier jetzt dann eben noch was an Settings oder Beispiel Konfig rausfällt, finde ich das als Nebeneffekt sehr schön :)
-
Ja hast recht, die Regel für die TK DMZ muss man noch anlegen, wenn man nicht mit dem LAN Sammelnetz alles raus feuer. Das macht man einfach automatisch so mit...
Nutze die Funktion aktuell nicht mehr, aber warum die Regel wegwerfen wenn man sie doch ggf. noch mal benötigt und wenn nur als Doku.
Einfach einen Alias mit dem Registart und fertig. -
@thiasaef said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
Das würde ich begrüßen.
Hier nun der versprochene Guide, noch in Rohform.
-
@bob-dig Danke für den Guide.
Du hast in der Fritz.Box die Option "Für Internettelefonie eine separate Verbindung nutzen (PVC)" angehakt. Ist das nicht problematisch? Ich dachte die macht dann mit den Anmeldedaten eine zweite Verbindung zum ISP auf (eventuell nicht gern gesehen bzw. kostenpflichtig???) oder hab ich da wieder mal was falsch verstanden? -
@greeneyedandy said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
Du hast in der Fritz.Box die Option "Für Internettelefonie eine separate Verbindung nutzen (PVC)" angehakt. Ist das nicht problematisch?
Nicht problematisch, weil das a) gar nicht mehr unterstützt wird vom rR und b), weil gar keine Zugangsdaten hinterlegt wurden, dadurch versucht die Fritte es auch gar nicht erst.
gar gar garOops, nicht richtig gelesen.
Dieser Haken war bei mir schon gesetzt und ich habe ihn nicht angefasst.
