Neuer VDSL-Anschluss: Speedport 300HS + pfSense + Gigaset C430 IP?
-
Ich möchte den Thread um meine aktuellen Erfahrungen aktualisieren:
Seit zwei Wochen habe ich einen ADSL2+/Annex-J Anschluss der Telekom. VDSL ist leider (noch) nicht verfügbar.
Ich habe das Siemens C430 IP gekauft. Die Inbetriebnahme war unproblematisch, und die Einrichtung von pfSense funktionierte sofort - nicht zuletzt auch wegen deines Beitrags, -flo-.
siproxd habe ich nicht eingerichtet, habe aber auch nicht verstanden, wann man den braucht. Die Sprachqualität ist trotz vielfach gegenteiliger Berichte in diversen Foren zu VoIP hervorragend.Eine Ergänzung zur Einrichtung möchte ich machen: Mit pfSense 2.2.x gibt es "Hybrid Outbound NAT rule generation", was mir für meine Zwecke ideal erschien. So brauchte ich nur die Regel für meine IP-Telefon einrichten, der Rest funktioniert automatisch wie bisher.
Eine weiterführende Frage habe ich noch: Ich würde gerne mit Linphone auf meinem PC experimentieren. Reicht es dazu aus, den betreffenden PC in pfSense so zu behandeln wie mein IP-Telefon oder gibt es zusätzliche Dinge zu beachten, wenn zwei SIP-Clients im LAN verwendet werden?
Gruß
Peter -
Eine Ergänzung zur Einrichtung möchte ich machen: Mit pfSense 2.2.x gibt es "Hybrid Outbound NAT rule generation […]"
Das habe ich mittlerweile auch so. Ich finde das auch eine große Erleichterung.
Eine weiterführende Frage habe ich noch: Ich würde gerne mit Linphone auf meinem PC experimentieren. Reicht es dazu aus, den betreffenden PC in pfSense so zu behandeln wie mein IP-Telefon oder gibt es zusätzliche Dinge zu beachten, wenn zwei SIP-Clients im LAN verwendet werden?
Nur eines: Die Geräte müssen unterschiedliche Ports / Portbereiche verwenden für die SIP- und RTP-Ports. Das C430-IP ist einstellbar, beim Linphone weiß ich es nicht (sehr wahrscheinlich ja). In pfSense gibt es dann für jedes Gerät / Softphone ein Satz NAT- und Firewall-Regeln.
-flo-
-
Danke, flo, für die Rückmeldung. Ich hatte gehofft, es würde etwas einfacher. Da ich den ausgehenden Datenverkehr auch sehr restriktiv handhabe, müsste ich dann nochmals dieselbe Arbeit investieren wie fürs C430 IP. Mal sehen, wann ich dazu komme. Ich werde dann hier berichten.
Peter
-
@knebb:
Dazu noch ein VOIP-analog Adapter für 50€ fürs Fax.
Arghs! Ein Cisco SPA 8000 (oder war es ein SPA8800?) habe ich vor einigen Monaten zurückgeschickt, da die Firmware total verwanzt war. Der Cisco-Support hat die Bugs bestätigt, aber auch gleich mitgeteilt, dass es keine Bugfixes geben wird, weil die zuständige Entwicklungsmannschaft aufgelöst wurde…
Also besser die Finger lassen von Cisco SPA...
Wenn jemand ein gutes (und bezahlbares) FXS-Gateway mit 8 (oder mehr) Ports kennt: bitte melden!
Flo, kannst Du vielleicht die Konfig nochmal zusammenfassen? Was hat es mit dieser Hybrid outbound NAT rule generation auf sich?
-
Flo, kannst Du vielleicht die Konfig nochmal zusammenfassen? Was hat es mit dieser Hybrid outbound NAT rule generation auf sich?
:) Also nochmal vollständig: Konfiguration pfSense (Version 2.2.2) für C430-IP
Bitte beachten: Ich habe den SIP-Port im C430-IP auch den Port 5061 geändert, Standard ist 5060. Das kann auch so bleiben, in den Beispielen ist aber immer 5061 drin!
1. Feste IP für das C430 festlegen. Ich verwende 172.27.2.61, dafür habe ich auch einen IP-Alias "C430IP" festgelegt. Den sieht man in den Bildern.
2. Unter Firewall: NAT: Outbound eine Regel auf dem WAN-Interface, Source = 172.27.2.61/32, NAT Address = WAN address, static port = yes.
Die restlichen Regeln werden weiterhin automatisch verwaltet (hybrid).
Siehe Bild 1.
3. Unter Firewall: NAT: Port Forward zwei Einträge:
If=WAN, Proto=UDP, Src./Src ports = any, Dest. addr = WAN address, Dest. ports = 5061, NAT IP = 172.27.2.61
If=WAN, Proto=UDP, Src./Src ports = any, Dest. addr = WAN address, Dest. ports = 5004-5020, NAT IP = 172.27.2.61Siehe Bild 2 und 4.
Die notwendigen Regeln auf dem WAN interface werden automatisch mit angelegt, siehe Bild 3.
4. Auf der Firewall muß ausgehender Traffic erlaubt werden (wenn nicht ohnehin aller ausgehender traffic bereits erlaubt ist):
Proto = IPv4 TCP/UDP, Source = 172.27.2.61, Dest port = 5060 (nicht 5061, das ist der Port des Providers!)
Proto = IPv4 UDP, Source = 172.27.2.61, Source Ports = 5004 - 5020, Dest / port = anySiehe Bild 4.
Optional:
a) Eine weitere Regel erlaubt dem C430-IP den Zugriff in das Internet. Das kann man auch temporär freischalten, zumindest für ein Firmware-Update ist das erforderlich, aber das C430-IP bietet ja auch Infodienste, die das nutzen. Siehe Bild 4.
b) Das C430-IP macht STUN-Zugriffe, auch wenn man das abgeschaltet hat. Bei mir laufen die auf der Firewall auf und müllen das Log zu. Ich habe eine Regel dafür die das ohne Logging blockt. Siehe Bild 4.
siproxd ist nicht erforderlich STUN braucht es auch nicht.
-flo-
-
Bitte beachten: Ich habe den SIP-Port im C430-IP auch den Port 5061 geändert, Standard ist 5060. Das kann auch so bleiben, in den Beispielen ist aber immer 5061 drin!
Es ist übrigens immer sinnvoll den eigenen SIP-Port von 5060 auf was anderes zu legen. Wenn man das nicht tut, sieht man wie man aus dem Internet regelrecht attackiert wird. Hier gibt es die Gefahr, dass jemand es schafft eine Telefonnummer/Passwort zu hacken und hohe Kosten produziert. Das kann man dann im Log von Asterisk beeindruckend sehen. Des Weiteren erzeugt das auch nicht zu vernachlässigenden Traffic auf der WAN-Leitung. Ein anderer Port reduziert diese Gefahr erheblich und es gibt keine Nachteile.
-
Hallo Flo,
eigentlich sind doch alle Regeln, bis auf die letzte, obsolet. Die erste Regel erlaubt doch alles.
Die Hybrid Einstellung beim Outbound NAT werde ich auch mal ausprobieren!
Gruß
Matthias"4. Auf der Firewall muß ausgehender Traffic erlaubt werden (wenn nicht ohnehin aller ausgehender traffic bereits erlaubt ist):
Proto = IPv4 TCP/UDP, Source = 172.27.2.61, Dest port = 5060 (nicht 5061, das ist der Port des Providers!)
Proto = IPv4 UDP, Source = 172.27.2.61, Source Ports = 5004 - 5020, Dest / port = anySiehe Bild 4."
-
@matz: was meinst du was obsolete ist? Ich sehe keine Regel von Flo die durch andere bereits abgedeckt sind, da alle entweder Source oder Destination Einschränkungen haben.
-
Hey, Du hast recht! Ich habe bei mir als erste Regel eine, die allen Traffic erlaubt (ist glaube ich immer son). Habe die beiden Ports bei ihm übersehen. Sorry!
-
Macht nichts, war nur irritiert :)
