Problem mit VOIP Telefon. Klingelt, aber kein Audiostream
-
Einstellen kann man das bei den meisten Telefonen schon.
Hat nur zwei Nachteile
-Man muss jedes Telefon anpacken. Hat man zwei drei kein Thema hat man 200-300 Telefone -> Problem ;)
-Manchen Provider oder PBX systeme akzeptieren anfragen nicht die nicht vom Port 5060 oder 5061 kommendas ich so etwas beruflich mache habe ich damit schon einige Erfahrungen sammeln dürfen
Daher ist ein Proxy manchmal einfach das einzige Mittel der Wahl dafür wurde er ja gemacht. -
Ja klar, mehr als eine Handvoll Telefone konfiguriert man so nicht um. :) Selbst mit einer automatisierten Provisionierung bei den Telefonen bleibt dann pro Telefon eine Einstellung in pfSense. Das wäre bei mehr als einer Handvoll Telefonen schon ein Alptraum, auch in der späteren Pflege.
Bei welchen Providern ist das mit einem Port abweichend von 5060 oder 5061 ein Problem?
-
Hab jetzt keine Namen mehr im Kopf weiß aber noch das das mal Probleme gemacht hatte.
-
Moin,
@JeGr: Ja, das ist mir bewusst, dass das Netz zweimal vorkommt. Das ist historisch bedingt, weil das einmal ein Netz war und mein Chef auch pro Netzwerk so wenig wie möglich umbauen will. Deswegen ist das Firmennetz auch über einen zweiten Router hinter 2.0/24 gehängt.
Ich hatte auf der Arbeit ein ähnliches Problem, nach langem hin und her habe ich mit entschieden, das kleinere Netz zu Ändern.
Damit ist die Sache jetzt wieder eindeutig und ich muss nicht an 2 Router denken wenn ich mal was ändere.
Deshalb einfach mal ernsthaft gefragt: Ist es nicht besser einfach mal Augen auf und durch und hinterher ein sauberes Ergebnis wo dich keine Altlasten mehr verfolgen?-teddy
-
SIP und NAT verstehen sich nicht immer so gut.
Hast du nur einen SIP Client hinter der Firewall kannst du das ganz gut im Static Port Mapping lösen bei mehreren geht das nicht mehr.Gibt wohl ein Paket für die PfSense welches SIP Proxy macht. Dann die PfSense also Proxy bei den Clients eintragen und schauen ob es geht.
Ich hatte ein ähnliches Problem in einer Double-NAT Konfiguration. Dank -flo- hatte ich auch den Tipp mit dem Outbound-Natic + Static Port getestet, das funktionierte sehr gut solange nur ein Telefon im Spiel war. Als die anderen hinzukamen, gab es trotz verschieden konfigurierter SIP- und RTP-Ports massive Probleme (beispielsweise waren dann mehrere Geräte plötzlich bei unterschiedlichen Accounts registriert). Das kann natürlich auch damit zusammenhängen, das sich mein internes Netz mit der pfsense nicht hinter einer öffentlichen IP befand, sondern hinter einem Router mit Privater IP.
Den SIP-Proxy hatte ich kurzzeitig auch installiert und konnte damit bei einem Telefon die Audio-Probleme beheben. Ich meine aber hier im Forum gelesen zu haben, dass der Traffic der darüber läuft nicht über den Traffic-Shaper konfigurierbar ist, ist dies korrekt? Ich muss leider sicherstellen können, das bei größeren Up-/Downloads die Telefonie nicht beeinträchtigt wird.
-
Hi!
Wegen genau solcher Threads wie diesem hatte ich lange Zeit keine Lust auf SIP. Dann habe ich es erstmal mit einem Softphone und einem Account bei sipgate probiert, 2-3 Firewallregeln und das Ding lief. Mit einer default allow any-any Regel wäre es wohl sofort gelaufen, habe ich aber nicht.
Dann habe ich mir ein Gigaset für IP und normales Netz gekauft (man weiss ja nie… ;-) ), nach der Anleitung bei sipgate konfiguriert und am nächsten Morgen lief das einfach. Nur noch eine BLOCK rule, damit die alte Quatschbase nicht ständig nach Hause telefoniert. Fertig.
Nix Portforward, garnix. Einfach die entsprechenden Ports im LAN freigeschaltet. Ende.
Warum ist das immer alles so kompliziert hier, oder was mache ich falsch?
Grüße!
chemlud
-
Das kommt auf den VoIP-Provider an. Grundsätzlich braucht es die Konfiguration, wie ich es hier mal beschrieben habe.
Aber: Bei manchen Providern (Telekom gehört dazu) ist das wesentlich einfacher. Telekom verwendet einfach den RTP-Port, den ein Telefon für ausgehendes Audio verwendet, direkt auch für die Verbindung für eingehendes Audio. Damit hat die Firewall bereits eine Verbindung, es braucht kein static port und keine Port forwards.
Irgendwer hat mich da mal hier im Forum drauf gebracht, ich weiß aber nicht mehr, wer das war … ;D
-
Irgendwer hat mich da mal hier im Forum drauf gebracht, ich weiß aber nicht mehr, wer das war … ;D
Das wird wohl cogumel0 gewesen sein: https://forum.pfsense.org/index.php?topic=89846.msg500497#msg500497
;-)Das Zauberwort hierfür lautet dann "Symmetric RTP", welches nicht nur die Telekom, sondern auch sipgate nutzt. Ich habe hier verschiedene snom-Telefone und eine Multi-Station von Panasonic im Einsatz, komplett auf SIP-Port 5060 und bei RTP auf den Standard-Ports belassen. Wenn man eine normale PPPoE-Verbindung nutzt, braucht es keinerlei Firewall-Rules, keine STUN-Einstellung, nichts. Nur die Zugangsdaten, den Registrierungsserver und den Outbound-Proxy definieren, schon läuft alles.
2chemlud: Der Spass fängt dann erst an, wenn man mehrere interne Netze mit mehreren Geräten nutzt oder sich die pfsense intern hinter einem weiteren Router befindet. In meinem Fall war das ein Speedport-Router, resultierend in einem Double-NAT. Sämtliche TCP NAT-Rules liefen einwandfrei, die Clients kamen wie bisher ins Internet, alles kein Problem - bis auf die blöden SIP-Telefone, die hinter dem Double-NAT zwar erreichbar waren, aber bis zum Schluss keine eingehende Audio-Übertragung lief. Als ich die Telefone dann direkt an den äußeren Router klemmte lief zwar alles, mangels QoS am Speedport war Telefonieren aber keine Freude mehr, sobald da mal ein größerer Upload im Hintergrund lief. Fazit: Lieber nutze ich für VOIP eine getrennte Leitung, als mich im Falle eines besonderen Netzaufbaus mit den SIP-Problematiken beschäftigen zu müssen :-)
-
OK, dann belasse ich es bei einem Telefon, wenn ich es richtig verstehe könnte sich das theoretisch auch bei mehreren SIP-Anbietern anmelden, aber da beginnt sicher schon das vermiente Gebiet :-D
-
Das wird wohl cogumel0 gewesen sein: https://forum.pfsense.org/index.php?topic=89846.msg500497#msg500497
;-)Ja, danke für's Nachschauen! :D Das war der Post.
-
Moin,
Ich hatte auf der Arbeit ein ähnliches Problem, nach langem hin und her habe ich mit entschieden, das kleinere Netz zu Ändern.
Damit ist die Sache jetzt wieder eindeutig und ich muss nicht an 2 Router denken wenn ich mal was ändere.
Deshalb einfach mal ernsthaft gefragt: Ist es nicht besser einfach mal Augen auf und durch und hinterher ein sauberes Ergebnis wo dich keine Altlasten mehr verfolgen?-teddy
Das ist leider ein bisschen komplizierter, jetzt nicht technisch gesehen, sondern anderweitig, ohne jetzt zu viel zu verraten ;)
Ich bin auch ehrlich gesagt nicht so böse deswegen, das ist das Netz der anderen Firma und sind damit ja nur Gäste in unserem Netz. Wenn sie sich einen eigenen Zugang besorgen, muss ich nur ein Kabel umstecken. Das kann ruhig sehr scharf abgetrennt sein. Und das Telefon liegt außerhalb dieses Netzes. Ich brauche dank des Proxys zwar keine Ports mehr aufzumachen, aber ich hatte gewisse bedenken, es direkt in das Netz zu hängen. Nicht weil ich arge Sicherheitsbedenken habe, sondern weil ich nicht schuld sein will… -
Nun, manchmal gibt es halt "Randbedingungen" und dann kann man halt nichts machen … ;D
