ICH VERZWEIFLE! Agfeo TK Anlage hinter PFSense an Telekom All-IP

SnakeZZ

Hallo Zusammen,

ich weiss nicht mehr weiter. Ich habe seit Anfang Februar einen Telekom All-IP Anschluss, daran ein Zyxel Modem und eine PFSense. An der PFSense hängt eine Agfeo 522 IT Telefonanlage in einem VLAN. Konfiguriert habe ich die Sense gemäss https://doc.pfsense.org/index.php/PBX_VoIP_NAT_How-to

Abgehende Telefonate laufen (es klingelt, wir können uns hören)
Ankommende Telefonate vom Mobilfunk laufen  (es klingelt, wir können uns hören)
Ankommende Telefonate von Kunden anderer SIP/Festnetzanbieter (z.B. O2) laufen  (es klingelt, wir können uns hören)

Ankommende Telefonate von anderen Telekom VOIP Kunden kommen NICHT an. Es klingelt nicht mal.  >:( >:( >:( >:(
In den Firewall Logs auf der Sense poppen dann solche Einträge auf (ich habe die tatsächliche IP mit <wanip>ersetzt):

Apr 7 11:36:51	WAN	  217.0.23.100	  <wanip>UDP
Default deny rule IPv4 (1000000103)
Apr 7 11:36:51	WAN	  217.0.23.100:5060	  <wanip>:5064	UDP
Default deny rule IPv4 (1000000103)
Apr 7 11:36:50	WAN	  217.0.23.100	  <wanip>UDP
Default deny rule IPv4 (1000000103)
Apr 7 11:36:50	WAN	  217.0.23.100:5060	  <wanip>:5064	UDP
Default deny rule IPv4 (1000000103)
Apr 7 11:36:50	WAN	  217.0.23.100	  <wanip>UDP
Default deny rule IPv4 (1000000103)
Apr 7 11:36:50	WAN	  217.0.23.100:5060	  <wanip>:5064	UDP
Default deny rule IPv4 (1000000103)</wanip></wanip></wanip></wanip></wanip></wanip> 

Und das passiert obwohl ich auf dem WAN-Interface noch als zusätzliche Sicherheit zu den Konfigs aus dem pfsense.org Artikel (von oben) noch folgenden Eintrag gemacht habe (und u.a. port 5064 auch per Portforward an die Adresse der Telefonanlage geht):

States	Protocol	Source	Port	Destination	Port	Gateway	Queue	Schedule	Description	Actions
IPv4 TCP/UDP	217.0.23.100	*	WAN address	5064	*	none	 	Easy Rule: Passed from Firewall Log View

Ich bin mit meinem Latein am Ende. Ich habe keine Ahnung, was hier genau falsch läuft.
Habt Ihr sowas schon mal erlebt?

Beste Grüsse,

SnakeZZ</wanip>

beppo

Hallo,
ich habe ein Gigaset C430A IP und auch einen IP basierten Anschluss bei der Telekom. Die Kombination von Zyxel Modem und Pfsense habe ich ebenfalls. Alles funktioniert wunderbar. Das Telefon ist zwar keine TK Anlage, aber ich denke, die Einstellungen sollten unabhängig davon auch auf einer TK Anlage funktionieren. Die Details kannst Du den angehängten Screenshots entnehmen.

Viele Grüße
Alex

/edit:
Eventuell musst Du den Source Port auf ANY stellen.

Parsec

Du postest hier eine Regel die auf dem wan Interface der Pfsense endet.
Wenn dies überhaupt die Ursache ist, dann müsstest du diesen Port mittels NAT auf die ip Adresse der Telefonanlage weiterleiten.

Der Port ist jedoch ungewöhnlich. Könnte sein, dass die Telefonanlage diese Port und die darauf folgenden als RTP Port nutzt, das müsste man aber in der Anlage nachvollziehen können.
In dem Fall müsste man aber immer ein ganzes Rudel an Ports an die Anlage weiterleiten. Da pro Gespräch immer ein paar neue RTP Ports bestimmt werden.

Prüfe das mit den RTP Ports und leite alle in der Anlage aufgeführten an diese weiter.
Desweiteren lege eine Outbound NAT Regel der Telefonanlage für Port 5060 ins Internet an und setze bei dieser die Option Static.

flix87

So wie von hier beschrieben schon mal versucht?
https://forum.pfsense.org/index.php?topic=120063.0
Weicht etwas von dem auf der Wiki ab.

arnog

Ich weiß nicht, ob das hilft, aber bei mir läuft VoIP an einem Telekom AllIP-Anschluss ohne manuell geöffnete Ports. Einzig am Telefon ist STUN deaktiviert (!) und ich habe darauf geachtet, dass die NAT-Refreshzeit am Telefon niedrig genug ist. Seitdem keine Probleme. Das Stichwort scheint "Symmetrisches RTP" zu sein.

https://forum.pfsense.org/index.php?topic=122596.msg677512#msg677512

cwt

Eine andere Frage: welche Firmware läuft auf Deines ES522 IT? In der V1.10 (Januar 2017) gab es eine Menge Bugfixes, u.a. für SIP-Trunks bei Telekomanschlüssen.

AGFEO an All-IP macht nie so wirklich Spaß… ::)

Jens76

Du hast eingangs ein VLAN erwähnt. VLANs hatten bei mir überhaupt nicht funktioniert. Nachdem ich etwas gegooglet hatte, kamen als mögliche Ursache Hardware(?), Suricata und pfSense selbst infrage. Irgendwo las ich, dass nicht jedes Hardware-Interface VLANs unterstützen würde, Suricata VLANs kaputt machen soll und pfSense habe Probleme mit zusätzlichen VLANs auf der LAN-Schnittstelle. Ich habe die  Ursache nicht weiter ermittelt, sondern habe letztendlich die VLAN-Konfiguration auf der pfSense wieder entfernt und die VLAN-Konfiguration auf einem extra angeschafften Switch durchgeführt.

magicteddy

Moin Jens,

ich hatte, sowohl mit der APU 1 (Realdreck Nics), der APU2 (Intel Nics) als auch der Lanner (Intel Nics) keinerlei Probleme bezüglich VLans auch auf dem LAN Interface.

-teddy

Jens76

Ja, bei mir sind es auch Intel-NICs. Ich vermute tatsächlich Suricata im IPS-Inline-Modus als Ursache:
https://redmine.pfsense.org/issues/6690

Ich würde daher Suricata mal temporär deaktivieren und schauen, ob's dann klappt.

SnakeZZ

Hallo,

ich bin erst jetzt wieder dazu gekommen, mich mit der Angelegenheit zu beschäftigen… sorry für die späte Antwort.

Leitest per portforward auch den port 5060 an die Anlage/das Telefon weiter. Ich habe gelesen, dass man damit u.U. meine Anlage missbrauchen kann, und dass man die eigentlich nicht weiterleiten bräuchte....?
Ansonsten ist meine Konfig fast gleich.

Ich lasse in den Firewall-Regeln die Ports 5064 bis 5127 (SIP Registration) sowie 5004 bis 5019 (RTP) mit der Destination Telefonanlage durch.
Ich hab ein Portforward vom WAN auf die Telefonanlage mit den Ports 5064 bis 5127 sowie 5004 bis 5019.
Ich habe Outbound NAT (Manual) Source Telefonanlage, destination any, port 5060 und nochmal source Telefonanlage udp/alles (von https://doc.pfsense.org/index.php/PBX_VoIP_NAT_How-to)
Die Keepalives UDP First, Single und Multiple stehen auf 120, die Agfeo macht meines Wissens nach weniger.

Hab ich etwas vergessen?

Die SIP Settings auf der Anlage hab ich nochmals als Screenshot angehängt.
Sind die richtig so?

Beste Grüsse,

SnakeZZ

@beppo:

Hallo,
ich habe ein Gigaset C430A IP und auch einen IP basierten Anschluss bei der Telekom. Die Kombination von Zyxel Modem und Pfsense habe ich ebenfalls. Alles funktioniert wunderbar. Das Telefon ist zwar keine TK Anlage, aber ich denke, die Einstellungen sollten unabhängig davon auch auf einer TK Anlage funktionieren. Die Details kannst Du den angehängten Screenshots entnehmen.

Viele Grüße
Alex

/edit:
Eventuell musst Du den Source Port auf ANY stellen.

SnakeZZ

@cwt:

AGFEO an All-IP macht nie so wirklich Spaß… ::)

Wieso?

SnakeZZ

@Parsec:

Du postest hier eine Regel die auf dem wan Interface der Pfsense endet.
Wenn dies überhaupt die Ursache ist, dann müsstest du diesen Port mittels NAT auf die ip Adresse der Telefonanlage weiterleiten.

Der Port ist jedoch ungewöhnlich. Könnte sein, dass die Telefonanlage diese Port und die darauf folgenden als RTP Port nutzt, das müsste man aber in der Anlage nachvollziehen können.
In dem Fall müsste man aber immer ein ganzes Rudel an Ports an die Anlage weiterleiten. Da pro Gespräch immer ein paar neue RTP Ports bestimmt werden.

Prüfe das mit den RTP Ports und leite alle in der Anlage aufgeführten an diese weiter.
Desweiteren lege eine Outbound NAT Regel der Telefonanlage für Port 5060 ins Internet an und setze bei dieser die Option Static.

Hallo Parsec,

vielen Dank für die Antwort. Muss 5060 wirklich weitergeleitet werden? Ich hab irgendwo hier im Forum gelesen, dass das eventuell missbräuchlich verwendet werden könnte, wenn man sowas macht?
Ansonsten hab ich meine Konfig etwas oben mal genauer beschrieben. Kannst du vielleicht auch mal schauen, ob ich etwas übersehen habe?

Beste Grüsse,

SnakeZZ

SnakeZZ

@arnog:

Ich weiß nicht, ob das hilft, aber bei mir läuft VoIP an einem Telekom AllIP-Anschluss ohne manuell geöffnete Ports. Einzig am Telefon ist STUN deaktiviert (!) und ich habe darauf geachtet, dass die NAT-Refreshzeit am Telefon niedrig genug ist. Seitdem keine Probleme. Das Stichwort scheint "Symmetrisches RTP" zu sein.

https://forum.pfsense.org/index.php?topic=122596.msg677512#msg677512

Bei mir ist es derzeit wie im Screenshot konfiguriert.
Es gibt da auf der Anlage noch diese Static Option, die beschrieben wird seitens Agfeo mit
"Beim Static Mode erfolgt KEINE Registrierung der Telefonanlage beim SIP-Provider.
Dem SIP-Provider muss in diesem Fall die externe IP-Adresse der Telefonanlage bekannt sein.
Bitte nur aktivieren, wenn diese Betriebsart von Ihrem SIP-Provider explizit gewünscht wird."

Ist das für die Telekom nötig?

Beste Grüsse,

SnakeZZ