Pfsense und VOIP Congstar <– meine erste Erfahrung
-
Nabend zusammen,
da ich ein neuer User bin bzw. ein blutiger Anfänger in Bezug auf pfsense, möchte ich mal gerne meine ersten Erfahrungen teilen.
Erstmal möchte ich mich hier bei allen Usern bedanken, da ich oft im Stillen mitgelesen habe und mir vieles sehr geholfen hat. So konnte ich mein VOIP einrichten. Vielen Dank an Euch.Vor ein paar Tagen habe ich meine Zywall USG-100 von Zyxel in den Ruhestand geschickt, da man auf dem Teil rohe Eier hätte kochen können, so heiss wurde das Teil. Der Router war stets ein treuer Begleiter und hat auch immer zuverlässig funktioniert. Auf Dauer war mir aber das Gerät einfach zu langsam, es gab keine FW updates mehr und vorallem wurden kaum neue DDNS - Anbieter unterstützt.
Nach dem Umstieg habe ich mich direkt geärgert, wieso ich das nicht schon früher gemacht habe. Naja selbst Schuld eben.Ich habe den pfsense Router auf Basis einer APU2C4 aufgebaut und direkt in Betrieb genommen.
Der Router baut das Inet auf und ich habe zwei verschiedene interne LANs aufgesetzt. VLAN nutze ich zurzeit noch nicht. LAN1 ist mein internes Netzwerk mit einem Cisco Switch. Am LAN2 habe ich eine alte Fritzbox eingeschlossen als IP Client, welche nun das VIOP regeln soll.
Weiterhin nutze ich Snort und pfblockerNG als Zusatzpakete und habe die sogut wie es geht eingerichtet.Selbstverständlich funktionierte kein VOIP zu Beginn, so dass ich folgendes gemacht habe.
- Auf der Fritzbox den UDP auf 30sec eingestellt (Portweiterleitung aktiv halten)
- Dann habe ich die FW der pfsense bei Outbound auf Hybrid Outbound NAT rule generation und auf conservative gestellt
- Der nächste Schritt war den Outbound Port als Static einzurichten. Hier habe die Fritzbox IP aus dem LAN2 eingetragen und jetzt nicht explizit auf UDP 5060 verwiesen. Sollte man das? Oder kann das so bleiben?
- Für die RTP Ports habe eine NAT forward rule rule eingerichtet, welche auf die Ports der Fritzbox weiterleitet. Die Fritte benötigt 7078-7110 und das habe ich mal so eingestellt. Die Infos konnte ich aus der Fritzbox Sicherung herauslesen. Was sagt ihr? Passt doch oder?
-
Mir ist dann allerdings aufgefallen, dass Snort die Telekom IPs für Congstar blockiert, da die Fritte die Telefonnummern nicht registieren konnte. Ich habe dann diese beiden IPs von der Blocklist aus Snort entfernt und eine FW rule für diese beiden IPs erstellt.
Und siehe da: Die Fritzbox konnte dann direkt die Telenummern registieren. Diese beiden IPs sind im alias IP_ALLOW_OUT definiert. Mir ist aufgefallen, dass die Fritzbox immer nur diese beiden IPs angesprochen hat, sodass ich diese halt freigegen habe.
Im LAN1 habe ich für die FW keine rules erstellt, da die Fritte ja im LAN2 hängt. -
Dann habe ich die Fritzbox und den Router mal neugestartet und siehe da. Alles funktioniert. Telefonate rein, raus, man kann sich gegenseitig hören usw….
Ehrlich gesagt war ich total überrascht, dass alles auf Anhieb direkt funktioniert!
Vielleicht hilft dem ein oder anderem ja diese kleine Einleitung wie ich das Ganze zum Laufen gebracht habe.
Allerdings würde mich interessieren, ob ich jetzt irgendwo die Büchse der Pandora geöffnet habe oder ob man das so lassen kann. Oder habt ihr noch Ideen für Optimierungen? Ich bin für alles offen :-)
Interessant finde ich, dass ich keine weiteren Ports in der FW öffnen musste, dass habe ich ehrlich gesagt nicht so verstanden bzw. erwartet. Einzig die beiden Telekom IPs zur Registierung der Telefonnummern wurden in der FW definiert.Da war meine Zywall USG eindeutig zickiger. SIP ALG hat nie funktioniert und ständig gab es Probleme mit eingehenden Telefonaten.
Das scheint jetzt endlich gelöst zu sein.Pfsense macht richtig Spass und ich bin gespannt was ich als Anfänger noch so entdecke.
Ich freue mich über jede Kommentare.
Schönen Abend Euch.relaxer
-
Punkt 4 brauchst du nicht umsetzen.
Unter SystemAdvancedFirewall & NAT noch die UDP Timeouts auf 35 Sekunden setzen.Was bei mir leider nicht funktioniert ist bei abgehenden Gesprächen die HD Telefonie.
-
Danke für Dein Feedback.
Meinst Du hier? In welches UDP Feld muss ich den Wert eintragen?Danke Dir vorab.
Viele Grüße
-
Gerne :)
Ich habe es bei allem UDP Einträgen so gemacht.
Klappt es so auch bei dir?