Telekom IP Tel mit FB: Tel funktioniert nicht mehr wenn allow lan to any inaktiv

ceofreak · Jun 9, 2016, 1:00 PM

Hi Leute!

Ich hab ne pfsense in kombination mit meiner Fritzbix 7490, die als DECT station und Wlan AP genutzt wird.

Modem -> Pfsense -> Fritzbox

Ich hab also per NAT port 5060 an die FB freigegeben (http://imgur.com/2r3xwlL)

Deaktiviere ich jetzt allerdings die Default Allow LAN to ANY rule, funktionieren meine Telefone nicht mehr.

Und zwar gar nicht mehr, wenn man anruft kommt dass die Nummer nicht vergeben wäre oder sowas.

Gebe ich nun die von der TElekom angegebenen ports von LAN Net zu ANY frei (https://www.telekom.de/hilfe/festnetz-internet-tv/ip-basierter-anschluss/einstellungen-fuer-die-ip-telefonie-mit-anderen-clients?samChecked=true), bekomme ich ein Freizeichen, kann abnehmen aber höre nichts (Beidseitig).

Sind die Ports von der Telekom falsch? Muss ich nochwas an die FB weiter NATten?

Bin noch nich so weit mit meinem Networking Material, dass ich bei NAT angekommen bin :)

Wäre für eure Hilfe zur Verständnis sehr Dankbar!

Greets,

Ceo

Parsec · Jun 9, 2016, 1:25 PM

Deine Konfiguration ist völlig falsch:

Lösche alle Rules und NAT Einträge bzgl. der Telefonie und lege zwei NAT-Regel an
(Siehe Screens)
Die Einträge sollten die ersten Rules in der Liste sein, damit sie nicht mit anderen beeinträchtigt werden.

Dann in der FB unter Telefonie – Eigene Rufnummern -- Anshclusseisntellungen

Portweiterleitung des Internet-Routers für Telefonie aktiv halten setzten
und bei "Portweiterleitungen aktiv halten' einen Wert setzen: 1-2minuten

die IP 192.168.1.251 musst du natürlich durch die IP deiner Fritzbox ersetzen.

ceofreak · Jun 9, 2016, 1:31 PM

Aber so lange ich die allow lan to any rule nicht deaktiviere funktioniert die telefonie ja.

Kann also nicht komplett falsch sein oder? War damals so die einzige Einstellung wie ich das ganze überhaupt zum laufen gebracht habe…

Parsec · Jun 9, 2016, 1:37 PM

Dein Satz
Ich hab also per NAT port 5060 an die FB freigegeben

macht mir Angst, weil falscher kann es kaum werden.

Mit so einer Regel stellst du deine Fritzbox ungeschützt ins Internet.
Mittels Brute Force Attacks können sich Gauner an dieser registrieren und auf deine Kosten Telefonieren.
Einziger Schutz ist das Passwort auf deinem SIP-Endpoint welches dann hoffentlich super komplex eingestellt ist.

Ich kenne einen Fall, den hat so eine Regel 9000€ gekostet, weil der Gauner 1000ende Mal eine Sex Hotlines in Indien angerufen hat (die er vermutlich auch noch selbst betreibt).

Diverse Warnungen diesbezüglich und Sicherheitsupdates durch AVM gibt es auch, aber würdest du drauf Wetten, dass alle Schwachstellen gefunden wurden?

ceofreak · Jun 9, 2016, 3:25 PM

Ich glaub ich verstehe:

Ich hab quasi mit der NAT Rule weil Interface=WAN und Source = ANY Zugang von WAN auf meine interne FB freigegeben, richtig?

Was ich nicht verstehe ist, das bei den Ports die du angegeben hast 5060 gar nicht dabei ist (der SIP port?)

EDIT: Vlt sollt eich noch hinzufügen was ich bei FIREWALL/NAT/OUTBOUND hab: http://imgur.com/bqwA4Dw

Parsec · Jun 9, 2016, 3:36 PM

Der SIP-Port wird nur ausgehend benutzt, eingehend wird nichts extra AUFGEBAUT - daher ist keine Weiterleitung erforderlich. Die Verbindung wird von der Fritzbox zum Telekom Server aufgebaut
und funktioniert dann in beide Richtungen. Natürlich darf keine Regel ausgehenden Datenverkehr zum Telekom Server (217.0.16.0/20 ) VERHINDERN.

Eingehend werden nur die RTP Ports verwendet, die Fritzbox 7490 verwendet 7078 und folgende (eigentlich nur jeden zweiten, die ungeraden sind für ausgehende Daten die geraden für eingehende)

Die Anweisung in der Fritzbox sorgt dafür dass diese die Ports mittels Pinholing offen hält

Wenn es nach Anwendung der beiden Regeln noch Probleme gibt, hast du irgendwo sonst was falsch eingestellt. Es funktioniert bei mir mit exakt gleicher Konfiguration

ceofreak · Jun 9, 2016, 3:43 PM

Cool funktioniert! Danke!

Welche ports muss ich nun von LAN Net to Any freigeben, damit das ganze auch funzt wenn ich die default allow lan to any disabled habe?

JeGr · Jun 9, 2016, 3:58 PM

@ceofreak hat @parsec doch oben geschrieben. Die SIP Anmeldung bei den Telekom Servern darfst du nicht blocken, ergo muss 5060 abgehend erlaubt sein (zu den Telekom Servern oder wo auch immer du hin verbindest). Ansonsten mal den Port in den Firewall Logs im Auge behalten, da sollten dann ja entsprechende Blocks auftauchen.

Parsec · Jun 9, 2016, 4:01 PM

Von der Theorie her

Destination Ports: 3478, 3479, 5070, 7078-7110 jeweils UDP

Getestet habe ich es nicht

ceofreak · Jun 9, 2016, 4:12 PM

Danke! Der Tip mit den Firewall Logs hats gelöst!

Jun 9 18:09:16 LAN 192.168.100.2:7086 217.0.0.207:3478 UDP

Port 3478 UDP von Fritzbox nach 217.0.0.143 freigeben und es geht!!!

Danke euch! Endlich funzt es so wie es soll :))

Parsec · Jun 9, 2016, 4:34 PM

7086 ist einer der RTP Ports, das langt nicht, beim nächsten mal ist es ein anderer
Dann gib wenigsten Source 7078-7110/UDP to any frei

ceofreak · Jun 9, 2016, 6:34 PM

So: http://imgur.com/ghP4Lk6 ???

JeGr · Jun 10, 2016, 7:33 AM

Nein SOURCE, nicht Destination Port. Deine Ports sind unter Ziel nicht unter Quelle eingetragen. Deine Fritzbox sendet VON den angegebenen Ports nicht AN diese :)

ceofreak · Jun 10, 2016, 8:06 AM

Ah,

so dann quasi: http://imgur.com/GzJOJdA

Hatte seit gestern immer mal wieder Abbrüche und knacken in der Leitung usw. Fehlen da noch weitere Ports oder liegt das an der falschen Reihenfolge von eben?

ceofreak · Jun 10, 2016, 9:17 AM

Zusätzlich besteht jetzt noch das Problem, wenn ich telefoniere und jemand ruft an, bricht das Gespräch ab und der neue Anruf wird angenommen oO

Die Probleme hatte ich vorher mit der (falschen) 5060 konfiguration nicht..

Parsec · Jun 10, 2016, 9:26 AM

Eigentlich nicht möglich wenn diese Konfiguration wie beschrieben eingehalten wurde.

Dafür gibt es ja die unterschiedlichen RTP Ports - für jedes Gespräch wird ab 7078 ein neues Portpaar belegt.
1. Gespräch 7078 eingehend 7079 ausgehend
2. Gespräch 7080 eingehend 7081 ausgehend
…

Da muss irgend eine Regel bei dir über Kreuz gehen.

ceofreak · Jun 10, 2016, 9:48 AM

Ich poste jetzt einfach mal die Config wie sie im moment ist.

Default allow lan to any rule ist im moment wieder ENABLED, bis ich das problem so in den griff bekomme.

Firewall / Rules / WAN
http://imgur.com/zJKx1kb

Firewall / Rules / LAN
http://imgur.com/qhWFTl7

Firewall / NAT / Port Forward
http://imgur.com/oYqdLWa

Firewall / NAT / Outbound
http://imgur.com/qioFNmw

Das is jetz meine komplette config im endeffekt.

ceofreak · Jun 12, 2016, 5:05 PM

Niemand ne Ahnung? :-[

ceofreak · Jun 14, 2016, 10:40 AM

Also ich hab jetzt herausgefunden, dass die Gespräche nach ziemlich genau 10 Minuten abbrechen. Woran kann das liegen?