SIP-Telefonie in separatem Netz keine Tonübertragung einseitig
-
Hallo zusammen,
ich habe das klassische Problem dass ich zwischen zwei Netzen einseitig keine Tonübertragung bei der SIP-Telefonie habe.
Folgender Aufbau:
172.21.0.0 /16 normales Hauptnetz, hier steht auch die Telefonanlage mit der 172.21.190.25
10.19.0.0 /27 Kindernetz, das ist ein VLAN, in dem ein SIP-Telefon steht. Vom Kindernetz darf niemand und nichts ins Hauptnetz. Das Kindernetz darf nur ins Internet. Es soll aber möglich sein, dass sich ein Voip-Endgerät im Kindernetz zum Telefonserver verbinden kann und dass von diesem Endgerät telefoniert werden kann.Firewallregeln sind wie folgt:
Wenn ich jetzt zwischen 2 Endgeräten in unterschiedlichen Netzen telefoniere, wird das Gespräch auch sauber aufgebaut, man hört aber keinen Ton aus einem SIP Client der sich im KN / Kindernetz aufhält.
Packe ich diesen Voip-Client in das selber Netz wie die Pbx geht es sofort.Habt ihr noch eine Idee?
Evtl Outbound NAT?Vielen Dank im Voraus und einen schönen Rest Sonntag.
-
@heiko3001
was ist denn das für eine Telefonanlage?
Ich setzte die VoIP Clients immer auf nat=yes und ein keepalive = 2s um die Ports offen zu halten... -
@slu Das ist eine MikoPBX.
Den Punkt sehe ich leider nirgendwo.
Die Ports sind soweit offen, aber das wäre ja auch in diesem Fall egal, da ich ja nicht von außen auf die Anlage möchte, sondern von einem anderen internen Netz. -
Moin @heiko3001
Mach doch mal nen Scheunentor Rule auf, allow any to any und schmeiss die Logs an.
Gehe mal von aus, die Rule ist dem richtigen Interface zugeordnet.
Wer baut die Verbindung auf? Haupt zu KN oder anders rum?Mit wireshark auf dem IF sniffen, ob die Pakete da ankommen wo sie hin sollen.
Über deine Architektur schreibst Du wenig. Versch. Subnets über VLAN? VoIP über Switch oder direkt mit der Sense verbunden? Könnte helfen...
Gruß...
-
@heiko3001 said in SIP-Telefonie in separatem Netz keine Tonübertragung einseitig:
Das ist eine MikoPBX.
Hab ich noch nie gehört, spannend was es alles gibt.
@heiko3001 said in SIP-Telefonie in separatem Netz keine Tonübertragung einseitig:
Den Punkt sehe ich leider nirgendwo.
Vielleicht kann man das über die Zusätzliche Optionen setzen.
@heiko3001 said in SIP-Telefonie in separatem Netz keine Tonübertragung einseitig:
[...]da ich ja nicht von außen auf die Anlage möchte, sondern von einem anderen internen Netz.
Für SIP macht es kein Unterschied ob du NAT vom WAN oder zwischen den Netzen machst...
-
@mike69 said in SIP-Telefonie in separatem Netz keine Tonübertragung einseitig:
Moin @heiko3001
Mach doch mal nen Scheunentor Rule auf, allow any to any und schmeiss die Logs an.
Gehe mal von aus, die Rule ist dem richtigen Interface zugeordnet.
Wer baut die Verbindung auf? Haupt zu KN oder anders rum?Mit wireshark auf dem IF sniffen, ob die Pakete da ankommen wo sie hin sollen.
Über deine Architektur schreibst Du wenig. Versch. Subnets über VLAN? VoIP über Switch oder direkt mit der Sense verbunden? Könnte helfen...
Gruß...
Scheunentor Rule hab ich testweise aufgemacht - Keine Besserung.
Das kuriose ist, von außen, also vom Internet funktioniert alles. SIP Aufbau und RTC Tonübertragung in den High-Ports. Die exakt gleichen Regeln habe ich zum Kindernetz aufgebaut. SIP Anmeldung funktioniert, aber keine Tonübertragung. In den Logs werden auch keine High-Ports geblockt.Bezüglich Architektur: Verschiedene Subnets sind über physikalische, aber auch über VLANS realisiert. Das Kindernetz ist ein VLAN. Verbunden alles von der pfSense über einen Aruba Switch.
-
@slu said in SIP-Telefonie in separatem Netz keine Tonübertragung einseitig:
@heiko3001 said in SIP-Telefonie in separatem Netz keine Tonübertragung einseitig:
Das ist eine MikoPBX.
Hab ich noch nie gehört, spannend was es alles gibt.
@heiko3001 said in SIP-Telefonie in separatem Netz keine Tonübertragung einseitig:
Den Punkt sehe ich leider nirgendwo.
Vielleicht kann man das über die Zusätzliche Optionen setzen.
@heiko3001 said in SIP-Telefonie in separatem Netz keine Tonübertragung einseitig:
[...]da ich ja nicht von außen auf die Anlage möchte, sondern von einem anderen internen Netz.
Für SIP macht es kein Unterschied ob du NAT vom WAN oder zwischen den Netzen machst...
MikoPBX ist ein "Abklatsch" von Asterisk.
Ja, ich weiß dass es kein Unterschied macht ob von WAN zu LAN oder von LAN zu KN und trotzdem ist es gerade so.
-
@heiko3001
ich schätze Du kommst nur mit Wireshark und einer Analyse weiter... -
Hast du wirklich eine IP Regel für die beiden in beide Richtungen gebaut und die auf Logging gestellt?
Ohne Sip inspection müssen alle high Ports manuell freigeschaltet werden. In beide Richtungen die jeweils notwendigen Ranges.
Da kommen schon mal ein paar k Ports zusammen.
