Auerswald Compact 3000 VOIP

Dunkelfalke · Mar 26, 2015, 9:20 PM

Hallo zusammen,

ich verzweifel gerade bei der inbetriebnahme eine VOIP TK Anlage hinter meiner pfsense…:-/

TK Anlage ist in einem eigenen Netz mit der festen IP mit 192.168.111.111 direkt an einem Port der APU.1D4 angeschlossen.

Aus lauter Verzweiflung hab ich IMHO erstmal alles aufgemacht was geht

-Outbound NAT mit Static Port ist an erster Position eingerichtet
-NAT Port Forward auf 5000 bis 41000
-Firewall des VOIP Interface auf durchzug gestellt

Siehe angehängte Screenshots.

Raus kommt die TK Anlage definitiv, ich kann "tel.t-online.de" von ihrer Netzwerkdiagnose pingen.

Aber leider registriert sie den VOIP Account nicht, es kommt immer der Fehler "408, Request timed out"

Irgendjemand eine Idee was ich falsch gemacht hab?

Mfg
DF

PS:VPN Interface ist erstmal deaktiviert bis die Anlage überhaupt funktioniert.

Mar 27, 2015, 8:16 AM

Hallo,

Aber leider registriert sie den VOIP Account nicht, es kommt immer der Fehler "408, Request timed out" Irgendjemand eine Idee was ich falsch gemacht hab?

LAN & DMZ Zone erstellen
VOIP Anlage in DMZ packen
für VOIP benötigte Ports öffnen
fertig

Ansonsten muss man mit STUN Server oder SIP-ALG arbeiten und ein SIP-ALG
hat die pfSense nicht!

flix87 · Mar 27, 2015, 1:20 PM

Was für ein WAN Interface hast du denn?
Hat die PfSense direkt Internet oder steht da noch eine Fritz Box oder was auch immer davor?

Dunkelfalke · Mar 27, 2015, 4:01 PM

Hallo,

die pfsense hängt an einem reinen Modem (Vigor 130) und baut die Verbindung via PPPoE selber auf.

Ich hab heute Nachmittag eine andere APU frisch mit pfsense 2.2.1 aufgesetzt und nur die TK Anlage mit einem Notebook in einem gemeinsamen LAN angeklemmt und mit den Port Einstellungen aus den Screenshots

Wenn ich von extern meine WAN IP prüfe gibt es die Meldung das z.B. Port 5060 offen ist.

Im Firewall Log sehe ich (ausser den erfolgreichen STUN Anfagen) nichts im Verbindung mit SIP.

Das Versteh ich langsam nicht mehr….:-(

Mfg
DF

Dunkelfalke · Mar 27, 2015, 5:07 PM

@BlueKobold:

Aber leider registriert sie den VOIP Account nicht, es kommt immer der Fehler "408, Request timed out" Irgendjemand eine Idee was ich falsch gemacht hab?

LAN & DMZ Zone erstellen
VOIP Anlage in DMZ packen
für VOIP benötigte Ports öffnen
fertig

Hallo,

wäre es möglich die notwendigen Schritte etwas zu erklären? Die Nacht war kurz und ich hab das Gefühl ich seh den Wald vor lauter Bäumen nicht mehr….seufz

Mfg
DF

Dunkelfalke · Mar 27, 2015, 6:56 PM

Hallo,

ich glaube das Problem ist nicht das Portforwarding.

Habe gerade noch mal alles neu eingerichtet mit Aliasen (Screenshot).

Auerswald -> interne IP Adresse der Anlage
VOIP_Ports -> UDP Ports 5060, 5070, 5080, 30000-31000, 40000-41000 (lt. Telekom Support Seite)

Zusätzlich habe ich zum testen noch Port 80 dazu genommen.

Wenn ich jetzt via Smartfon mit einem Browser auf meine öffentliche IP Adresse gehe dann lächelt mich die Login Seite der Auerswald an….

Tjo, jetzt bin ich ratlos.

Mfg
DF

-flo- 0 · Mar 27, 2015, 7:32 PM

SIP und RTP sind UDP basiert. Stell das mal um!

Dann dürfte das schon laufen (wenn Deine Auenwald keine Ports < 5000 verwendet. :-)

Die angegebene Ports von der Telekom brauchst Du nicht. Das sind aus Deiner Sicht Zielports oder aus Telekom-Sicht Source-Ports. Das kannst Du ignorieren.

Was Du brauchst sind die SIP- und RTP-Ports. Schau da nach:

"Eine Auflistung der in der TK-Anlage verwendeten Ports finden Sie im Konfigurationsmanager der TK-Anlage unter Service > Portübersicht." (Quelle: Handbuch zur Anlage)

Damit kannst Du Deine Freigaben passend eingrenzen.

-flo-

Dunkelfalke · Mar 27, 2015, 8:36 PM

Autsch, das kommt davon wenn man zu lange auf den Bildschirm schaut….

Habs natürlich auf UDP umgestellt, lt. der Portübersicht der Anlage (und einem Fritzbox Forum) benutzt die Anlage

5062-5069 und 49152-49408

Wenn ich diese und die Telekom Angaben (30000:31000, 40000:41000) mit drinn lasse bekomme ich einen Showstates wie im Screenshot dargestellt

Zumindest scheint sich die Auerswald 192.168.111.111 und tel.t-online.de 217.0.23.100 schonmal nicht ganz unbekannt zu sein.

Allerdings scheitert die Anlage beim Anmeldung immer noch mit einem Timeout.

Die Zugangsdaten habe ich übrigens heute noch mit Phonerlite gestestet, mit der Software ist die Rufnummer sofort erreichbar und bei der Telekom somit alles ok.

-flo- 0 · Mar 27, 2015, 10:05 PM

Also mit den Einstellungen seitens pfSense müßte sich die Anlage wirklich im Netz anmelden können. Bei mir sieht das mit einer FB Fon ganz ähnlich aus. Siehst Du die SIP-Ports im Firewall-Log? Die Telefonate sind dann noch eine andere Sache. Wenn Du STUN aktiviert hast, dann das mal abschalten. Das ist wegen des Static Port unnötig.

@Dunkelfalke:

Die Zugangsdaten habe ich übrigens heute noch mit Phonerlite gestestet, mit der Software ist die Rufnummer sofort erreichbar und bei der Telekom somit alles ok.

Das heißt aus Deinem Netz hinter der pfSense? Klappen da auch Telefonate? Dann ist die pfSense ja offenbar ok eingerichtet. Sieht dann wirklich eher nach den Einstellungen in der Auerswald aus …

-flo-

Dunkelfalke · Mar 27, 2015, 10:43 PM

Stun habe ich mal komplett abgeschaltet, TK Anlage neu gestartet und gewartet bis zur Fehlermeldung "Timeout" kommt.

Das Firewall Log mit dem Zeitraum ist nicht vie los, die Kommunikation wird IMHO durchgelassen.

Der Software Client zum testen hat auch geklingelt als ich den mit dem Handy angerufen hab. Wie der sich jetzt aber durchtunnelt hab ich keine Ahnung. In der pfsense ist für den überhaupt nichts konfiguriert.

Mfg
DF

Dunkelfalke · Mar 28, 2015, 4:24 PM

Hallo,

kleines Update:

Hab heute eine Fritzbox 7050 via Kleinanzeigen für 10,-EUR gekauft, die zwei Aliase eingerichtet, VOIP Daten in die Fritzbox geklimmert und Telefon geht sofort, Zeitaufwand 5min.

Ich hab grad nen ziemlichen Hals auf Auerswald…..seufz

Mfg
DF

-flo- 0 · Mar 28, 2015, 4:29 PM

Kann ich verstehen. Es wäre schon interessant zu wissen, worin das Problem mit der Auerswald liegt. Aber wenn Du mit Hilfe der FritzBox telefonieren kannst, läßt der Antrieb zur Fehlersuche wahrscheinlich stark nach …

-flo-

Dunkelfalke · Mar 28, 2015, 4:40 PM

Ne, das Rätsel will ich lösen, die 14 Tage Rückgabefrist der Auerswald sind leider schon rum. Support Anfrage bei Auerswald läuft.

Immerhin ist hier jetzt erstmal der Druck aus dem Kessel "Warum können wir immer noch nicht telefonieren?"…..;-)

Mfg
DF

Docadmin · Mar 30, 2015, 2:15 PM

Grüße,

wir hatten auch eine VoIP-Anlage hinter der pfSense …. nachdem ALLES nicht funktioniert hat und immer wieder der von Dir beschrieben Fehler auftauchte, haben wir ein 2. Netz "neben" der pfSense gebaut - damit funktionierte es dann tadellos innerhalb kürzester Zeit.

Meiner Ansicht nach liegt der Fehler nicht bei Auerswald .....

Mar 31, 2015, 1:50 AM

@Docadmin:

Grüße,

wir hatten auch eine VoIP-Anlage hinter der pfSense …. nachdem ALLES nicht funktioniert hat und immer wieder der von Dir beschrieben Fehler auftauchte, haben wir ein 2. Netz "neben" der pfSense gebaut - damit funktionierte es dann tadellos innerhalb kürzester Zeit.

Kann man natürlich auch machen, nur wenn dann jemand an eines der Telefone ran kommt und
damit ein Wochenende nach Japan telefoniert, ist das auch nicht so pralle. :o

Meiner Ansicht nach liegt der Fehler nicht bei Auerswald …..

Das mag schon sein nur bei pfSense auch nicht, denn dort kann man ein FreePBX
Paket installieren und das funktioniert damit auch sehr gut, also denke ich mal eher
das es hier an der Konfiguration der pfSense liegt.

Ist echt nicht böse gemeint oder sogar gehässig nur ich kenne eben Leute die unterschiedliche
VOIP Anlagen betreiben vor der pfSense, in der DMZ, auf der pfSense und nur auf der vorgelagerten
AVM FB zu Hause, dort funktioniert das überall, also ist da einfach nur eine kleine Ungereimtheit die
@Dunkelfalke garantiert nur übersehen hat.

Docadmin · Mar 31, 2015, 6:15 AM

Ja, er hat mit Sicherheit was übersehen … die pfSense ist wohl eine der Firewalls, die für Bastler und Vielklicker gemacht ist.

In meinen Augen ein Produkt welches man nicht für den professionellen Einsatz empfehlen sollte ... ach doch...., wenn der Admin "Eh-Da"-Kosten sind.

JeGr · Mar 31, 2015, 9:23 AM

die pfSense ist wohl eine der Firewalls, die für Bastler und Vielklicker gemacht ist.
In meinen Augen ein Produkt welches man nicht für den professionellen Einsatz empfehlen sollte …

Halte ich für eine völlig falsche Aussage. Und da ich keine Verbindung zum pfSense Team irgendwelcher Art habe (bevor mir das mal wieder unterstellt wird), kann ich das m.E. auch vertreten.
Ich habe an anderer Stelle dir bereits geschrieben, dass das auch stark von der Ausgangshaltung abhängt. Wenn ich eine Windows-Klickibuntu-fertig Firewall haben möchte, dann ist pfSense sicher nichts. Für "Bastler und Vielklicker" ist aber schon ziemlich verrückt. Ich musste zumindest weder "basteln", "frickeln", noch sonstwas und bin in zigfachen Jahren BSD und Linux sicher auch kein Vielklicker.

Ich sehe solche Statements eher von Leuten, die sich - so liest es sich zumindest für mich, man mag mich gerne korrigieren - noch nie mit anderen großen/führenden Firewall- oder Netzwerkkomponenten Herstellern auseinander gesetzt haben. Cisco PIX? Cisco ASA? Juniper SRX/SSG? Watchguard? etc. etc.
Wenn ich da sehe, dass bspw. eine Juniper nicht mehr über ihre UI konfigurierbar ist, weil keine Regel mehr gelöscht werden kann (Browser gibt nur Fehler aus), Cisco ASAs zum Teil nur über einen frickeligen Java Client konfigurierbar sind, weil diverse Optionen nicht via CLI erreichbar sind usw. usf. und das sowohl vom Preis als auch der Leistung im Vergleich mit pfSense sehe, kann ich hier wirklich keinen Sinn in deiner Aussage sehen, außer einem Rant.

ach doch...., wenn der Admin "Eh-Da"-Kosten sind.

Wer ein Produkt wie pfSense einsetzt, hat entweder jemand, der sich damit auseinander setzen (sollte), oder einen Partner/Systemhaus/whatever, der ihn an der Stelle betreut. Aber jemand "mal eben" eine Firewall aufbauen lassen, ist genauso schlau, wie dem Buchhalter "mal eben" einen WLAN AP aufsetzen zu lassen. Genau, das sind dann die Dinger, die offen ohne Crypto in irgendwelchen Büros rumstehen über die man dann auf die ganzen Unterlagen zugreifen kann... Alles schon erlebt. Aber wer braucht auch schon Admins, Sys/NetOps ..?

Grüße

tpf · Mar 31, 2015, 3:22 PM

Servus,
ich gebe kurz meinen Senf dazu. Ich betreibe selbst eine PBX hinter pfSense. Dazu habe ich mich an die Standartportvorgaben gehalten: TCP5060 (kann auch UDP sein, maschinenabhängig) und UDP10000-20000 auf die PBX genattet.

Läuft einwandfrei mit Sipgate, keine extra Geschichten notwendig. Bis auf anbieterspezifische andere Ports kann und muss das mit pfSense laufen.

Mar 31, 2015, 5:22 PM

@Docadmin:

Ja, er hat mit Sicherheit was übersehen … die pfSense ist wohl eine der Firewalls, die für Bastler und Vielklicker gemacht ist.

Das würde ich jetzt auch eher mit gemischten Gefühlen betrachten wollen!
Denn wenn das auch sicherlich so für den einen oder anderen erscheinen mag,
ist doch sicherlich eine ganz andere Tendenz zu erkennen und ich finde das auch
gut so. Und nicht vergessen das es sich hier um ein OpenSource Projekt handelt!!!

Es wird Hardware verkauft die eigentlich ein recht großes Spektrum abdeckt
Alix APU basieren für den Heimbereich
Intel C2358 basierend für den ambitionierten Heimbereich bis hin zum SOHO Bereich
Intel C2558 basierend für den KMU Bereich
Intelc C2758 basierend für den KMU Bereich mit erhöhten Anforderungen

pfSense wird von Netgate und deren Geräten unterstützt Lanner ist sehr verbissen daran
zu arbeiten das selbst bei Ihren Appliances, und das auch sicherlich bei den großen Geräten
nicht nur vorher Test gemacht werden, sondern selbst das Bios abgeändert wird, damit pfSense
darauf installiert werden kann z.B. FW-8895 aktuell. Ebenso die breite Unterstützung von Intel
basierenden NICs und nicht mehr von allen Realtek NICs ist ein Indiz dafür das es eben auch
nicht nur auch die 20 e Hardware abzielt sondern sich auch Hardware seitig etwas tut.

pfSense erhält auch zusätzlichen Code der Intel QuickAssist API´s nutzt genauso wie Pakete
wie Snort die davon profitieren, und es wird von der AES-NI Funktioni Gebrauch gemacht die
in vielen Intel CPU´s vorhanden ist um einen höheren Durchsatz zu erzielen!

Sicherlich steht das gerade erst alles in den Startlöchern und braucht seine Zeit, aber ich würde
mich doch sehr freuen wenn damit Geld für die Entwicklung und eventuell einmal eine ICSAS Prüfung
zusammen käme, denn genau dann kann man den Versicherungen auch sagen das die Version XYZ
von ICSAS geprüft wurde und die haften dann auch dafür, und genau das ist der Grund warum sich
in Deutschland und auch ganz Europa zur Zeit noch sehr viele Leute scheuen diese Firewall in ihren
Betrieben einzusetzen, da die rechtliche Variante nicht geklärt ist!!!

Ich denke was pfSense selber einmal gefährlich werden könnte ist mehr OpenBSD mit einer GUI
denn ein CLI bringen die BSD basierenden Systeme schon von Haus aus mit!

Und andere Distributionen sind noch lange nicht dort wo pfSense jetzt steht, allerdings wäre
ein aktualisiertes pfSense Buch und vor allem in englischer und deutscher Sprache nicht schlecht
und puscht das System bestimmt noch mehr, bzw. sorgt auch im deutschsprachigen Raum für eine
höhere Verbreitung Schweiz, Deutschland, Österreich. Genau so wie Kurse an Unis oder gar Zertifikate
ähnlich wie MikroTik, Cisco, Juniper, und Ubiquiti sie schon anbieten wäre mal eine Überlegung wert.

In meinen Augen ein Produkt welches man nicht für den professionellen Einsatz empfehlen sollte … ach doch...., wenn der Admin "Eh-Da"-Kosten sind.

Das hat zum Einen mit der Zertifizierung zu tun und zum Anderen damit das auch pfSense,
obwohl es OpenSource ist gerne sehr potente Hardware haben möchte, also so wie ich das
sehe fühlt sich pfSense erst auf X86_64 Hardware so richtig und bringt dort auch erst im
Zusammenspiel mit Snort, Squid, + SquidGuard, DansGuardian, ClamAV oder Suricata sein
volles Potential zur Geltung und das ist eben auch der einen oder anderen "Heimhardware"
nicht so der "Bringer".

Also so eine Appliance mit kann dann auch schon einmal die 20.000 € erreichen
Dual Xeon E5
Intel Crystal Forest aka QuickAssist Karte
Tilera Gx 72 Core Karte
Exar VPN Karte 17xx, 18xx oder 19xx
PCIe Kompressionskarte

das sind erst einmal Hausnummern mit denen andere zurecht kommen müssen, aber
man kann sich das bei bzw. mit pfSense alles selber zusammenstellen und ist nicht
auf vorkonfigurierte Firewalls oder Router angewiesen!

JeGr · Apr 1, 2015, 11:34 AM

Kurz zu Hardware: Also 20k€ hab ich hier noch lange nicht. Wenn man bspw. nen halbwegs potenten Server nimmt, muss da gar nichts großartiges mehr rein. Wir haben 2 Server mit einen 4-Kern Xeon mit 20GB RAM am Start. Und das auch nur, weil es verflixt nochmal kaum was sinnvolleres gab, kleinere Komponenten hatten kaum Ersparnis, größere würden nichts bringen. Da der Paketfilter - noch - recht single-core lastig läuft, wird nichtmal der 4-Kerner groß beansprucht (von HT mal zu schweigen) und das Paar läuft bei uns als Datacenter Firewall vor etlichen Kundenpräsenzen mit ordentlich Traffic. Und dabei haben wir noch mehr als die Hälfte an Ausgaben gespart im Gegensatz zu dem Angebot, das wir von Cisco oder Juniper hatte inklusive Support-Stunden beim pfSense Team selbst. Kleinere Problemchen hatten wir schon und waren deshalb auch mit dem Team schon in Kontakt - die wurden sehr flott behoben oder gebugfixt. Bspw. die Aliase auf CARP Interfaces, die plötzlich weg waren (Update 2.1.3) -> pfSense Support behoben nach ca. 30min mit einem custom fix, neues Release etc. kam später auch raus. Im Gegensatz dazu sind zwei Cases bei Juniper wegne unserer alten Firewall immer noch offen und die Truppe wäre "am Untersuchen warum das auftreten sollte"…
QuickAssist und Derlei mehr sind Dinge, die brauche ich bei einem großen Xeon noch gar nicht, weil die CPU eh genug Power hat. Selbst bei mehreren VPN Tunneln zu Kunden langweilen sich die Büchsen noch.
Wenn aber bspw. ein C2758 mit QA und AES dann ähnlich viel wuppen kann wie eine mittlere Xeon Kiste, weil Intel mit FreeBSD/pfSense Entwicklern eben Support dafür ins Spiel bringt ist das großartig und drückt nochmals das Preisgefüge erheblich bzw. bringt die Performance nach vorne. Und die Arbeiten an ARM als Plattform sind nun ebenfalls schon angelaufen. IDS, Proxies, AV/Malware Filter etc. lassen sich andere mit extra Appliances bezahlen (oder bieten es gar nicht an). Wer da behauptet, das wäre "Spielzeug Bastelsoftware", hat meiner Ansicht nach was grundlegendes verpasst. Zumal auch im Heim/SOHO Bereich eine ALIX/APU preislich nicht mehr einschlägt, als die neueste Fritzbox oder der Kram, dafür aber wenns um den Hauptaspekt geht - Netzwerk (und keine All in Wonder Box die nichts richtig kann) - alles andere im Regen stehen lässt.

Zu VoIP @tpf:

Das bestärkt eigentlich meine Vermutung, dass es sich meistens um Rand- oder Spezialfälle dreht, in denen Abhängigkeiten bestehen. Sei es, dass die Telekom andere Ports o.ä. nutzt als andere, oder eben bestimmte Anlagen anders konfiguriert sein müssen oder im Extremfall nicht funktionieren (weil 'keiner' damit gerechnet hat, dass da mal nen Gateway davor steht)
Aber gerade VoIP hinter NAT kann da schon ein Problemfall sein, wie es lange bei IPSEC ja auch der Fall war, ich bin da gespannt ob mit der Anlage noch was rauskommt, was ggf. allen weiterhilft wenns ums Thema VoIP geht.