Ersatz für FritzBox 7490? (Telekom vdsl 100/40)
-
Ist die Fritze dann für Telefonie zuständig oder was macht sie in dem Konstrukt?
-
Ja, die Fritzbox ist nur für VoIP, ggf. noch als WLAN…
-
Ist die Fritze dann für Telefonie zuständig oder was macht sie in dem Konstrukt?
ja, die Fritzbox bekommt (noch) die SIP Ports weitergerleitet
-
Ein Ip-Telefon braucht keine Fritzbox oder ähnliches als SIP-Client.
Gruß
pfadmin -
Kurz eingeworfen:
Also die Fritze macht Telefnie und (auch wenn viele hier anderer Meinung sind) "Teilrouting" also die kennt meine Netze hinten pfSense (ich kann mich irgendwie mit dem doppelten NAT nicht anfreuen)
Diese Panik vor mehr als 1x NAT ist kompletter Blödsinn und unbegründet. Bislang ist mir jedenfalls noch jeder den Beweis schuldig geblieben, dass das so wahnsinnig große Schwierigkeiten macht (zumal keiner weiß, was beim Provider vornedran noch alles genattet wird, Stichwort Kabeldienstleister…)
Mehr noch: Eine FB bspw. vom Provider ist eben - und dabei bleibe ich - immer noch als WAN/öffentlich zu betrachten, und KEIN Teil des eigenen Netzes -> daher aus Security Sicht eindeutig nichts, was ich in meinem Netz haben möchte. Dass das keine falsche Denkweise ist, sieht man an den aktuellen Meldungen zur Info Leak Lücke der Fritzboxen, in denen fremd ausgelesen werden kann, was im eigenen Netz so an Geräten hinter der FB herumfliegt (weil AVM wohl immer noch IPv6 nur mit halbem Hintern eingebaut hat...) aber genau deshalb steht hinter so einer Kiste eine eigene Firewall die sowas blockt. VoIP kann sie gern machen :) Das macht sie ganz OK ;)
Gruß
-
Diese Panik vor mehr als 1x NAT ist kompletter Blödsinn und unbegründet.
Also bei mir ist das sicherlich keine Panik. Ich habe "noch" nicht wirklich den zwingenden Grund dafür gesehen die Netze "zu verstecken". Deine Begründung ist aber selbstverständlich nachvollziehbar.
Vielleicht werde ich es ändern, da ich an die Sense eh dran muss weil mir da ein Bockmist eingefallen ist den ich da geschlossen habe :(Ja mit IP Telefonen käme ich der Problematik aus dem Weg. Das wurde aber das ganze nicht billiger machen denn ich könnte dann z.B so ein Vigor nehmen, musste aber neue Telefone kaufen und wäre wohl beim Preis wie bei Lancomm.
-
alternativ macht es auch eine VigorNIC 132 (F). hab somit einen 1HE-router mit der pfsense. meine 7490 ist dahinter gesetzt mit eigenem netz, und nur benötigte ports geNATet…
-
Hallo zusammen,
ich habe auch die Konstellation
Vigor 130 <–> pfSense <--> und für die Telefonie eine Fritz7270.
Die pfSense stellt dabei via PPPoE die Verbdinung zum VDSL her.
Zunächst hat die Telefonie mit der hier beschriebenen Anleitung tadellos funktioniert.
Seit gut einem Monat kann sich die FritzBox nicht mehr als SIP Client registrieren.
Ich erhalte dort stets einen Fehler "Timeout der Gegenstelle".Mittlerweile habe ich in der pfSense alle installierten Pakete deinstalliert und alle Regeln deaktiviert - im LAN ist alles erlaubt.
Auf anraten der Telekom habe ich auch die "alte Dame" Fritz Box 7270 durch ein Gigaset N510 IP Pro ersetzt.
Hier das gleiche Spiel - die SIP Registierung ist nicht erfolgreich.- Im Kundencenter der Telekom ist EasyLogin aktiviert.
- Automatisches Kundencenter Login ist auch aktiv
Ich hatte auch schon einen Experten hier aus dem Forum, der aber auch ratlos ist, warum mein VOIP nicht klappt.
Als Alternative hatte ich dann die App "Zoiper" installiert und meine Telekom-Benutzerdaten hinterlegt.
Hiermit klappte die Registrierung aus dem Wlan hinter der pfSense auf Anhieb.Somit schließe ich als Laie erstmal folgendes aus:
- Telekom-Leitung hat keinen Fehler (hat der Support mir auch bestätigt)
- pfSense kann nicht der Verursacher sein, da sonst ja die App auch nicht funktioniert haben könnte.
- laut Telekom soll ich auch seit Vertragsabschluss für meine Leitung BNG aktiv sein.
Habt ihr eine Idee, was da noch als Ursache möglich sein könnte?
@ hbauer: Könntest du mir Screenshots von deinen Einstellungen geben? Meldest du dich dort per EasyLogin an, oder oer anonymous@t-online.de oder mit ZugangsnummerNutzername0001@t-online.de oder noch was anderes?Danke schonmal für jeglichen Tipp....
VG
Alex -
Hallo alexbeer,
meine Anmeldung läuft über "anonymous@t-online.de"
Du schreibst "zunächst hat es funktioniert". Wie lange lief das gut? Nach welcher Beschreibung hast Du installiert?
Ich hab grad keine Zeit meine Einstellungen "zu anonymisieren" aber ich kann mich daran erinnern das der manuelle Outbound NAT kritisch war.
Gruß
Hagen
-
Hallo,
danke für die schnelle Antwort!
Ich habe in 04.2017 VDSL bekommen - bis Mitte Juli 2017 lief das ohne einen Abbruch - seit dem nicht mehr.
Ich hatte mich an diese Anleitung gehalten: https://blog.freeprojekt.de/2017/01/voip-mit-fritzbox-und-pfsense/Eigentlich kann die pfSense mit den aktuellen Einstellungen nicht Ursache sein. Ich kann mir nur nix anderes erklären…
VG Alex
P.S:
Ich werde närrisch:
Warum auch immer - die SIP-Registierung war jetzt mit der N510 erfolgreich!
Nachdem das Telefon klingelte und Audio nicht übertragen wurde, habe ich die im Screen dargestellten RTP Ports noch als NAT Port Forward hinterlegt (die FritzBox verwendet da andere Ports) und schon klappte es auch mit dem Audio!
Bei mir waren die Einstellungen im Anhang erfolgreich.Edit 2:
Ich habe heute morgen die N510 an einen anderen Ort gestellt und damit das Netzwerkkabel umgesteckt - IP natürlich ist gleich geblieben.
Jetzt ist die Registrierung schon wieder nicht mehr möglich. an pfSense und/oder N510 sind zwischenzeitlich keine Änderungen vorgenommen worden.
Das soll einer verstehen
-
Vielleicht Hardwarefehler am Kabel, switch, fritzbox?
-
Im Moment habe ich eine "Notlösung" hier mit einer Ersatz-Fritze von der Arbeit.
Das mit der Fritze hinten der Sense ist zwar spannende Geschichte, nach meinem Verständnis bzw. dem was man hier doch ab und an liest, nicht immer wirklich Funktional.
Da stellt sich für mich die Frage warum z.B die Fritze in so einer Situation wo ein anderes DSL Modem die Verbindung aufbaut, nicht direkt hinten dem Modem packt? Damit hätte pfSense nichts mit Telefonie zu tun und es dürfte viel problemloser laufen. -
Ich wüsste nicht wie man dem Modem das ja von der pfsense angesprochen wird beibringen soll an die Fritzbox zu routen
-
Ach ja natürlich - Modem != Router
-
@hbauer: Ich habe die Verbindungsdaten nochmals gelöscht, neu gestartet und wieder eingetragen. Jetzt funktioniert es (wieder). In Summe hinterlässt es einen recht fragilen Eindruck…
@ Tobi: Ich habe hier auch schon von Szenarien gelesen, dass WAN <-> FritzBox <-> PfSense betrieben wird, wobei die FritzBox die Funktionen Modem, Einwahl und Telefonie übernimmt. Dann muss man die pfSense wohl als "exposed host" definieren und hat auch mit doppeltem NAT zu tun.
Das war mir zu komplex und ich bereue den Einsatz eines (neuen) VDSL Modem (hier Vigor 130) nicht. Die Fritzbox kann dann ja immernoch im Client-Modus hinter der pfSense als WLan-AP und für Telefonie verwendet werden.VG
-
@ Tobi: Ich habe hier auch schon von Szenarien gelesen, dass WAN <-> FritzBox <-> PfSense betrieben wird,
Also das ist ja eben das einfachste, weil man quasi "nichts" machen/ ändern muss im Vergleich zu "normalen" Haushalt-Betrieb.
Ich werde mich da noch einlesen müssen wie das mit dem betrieb hinter der Sense wirklich aussehen muss und wie gut/ stabil und un-abhängig vom Provider ist.
-
Also das ist ja eben das einfachste, weil man quasi "nichts" machen/ ändern muss im Vergleich zu "normalen" Haushalt-Betrieb.
So könnte man sagen, ja. Und der Einsatz von doppeltem NAT ist - auch wenn ich hier gebetsmühlenartig werde ;) - nichts dramatisches zumal es meist um Outbound NATting geht was bis auf wenige Ausnahmen unkritisch ist. Da man noch dazu die NAT auf der pfSense mit statischen Ports konfigurieren kann, durch exposed Host nahezu alles reingeroutet bekommt (bei der Fritte gabs mal Terz mit IPSEC) und notfalls man mit upnp noch nachhelfen kann, wenn es unbedingt sein muss, kann man mit diesem Setup zu Hause problemlos und gut leben. :)
Grüße
-
Diese Panik vor mehr als 1x NAT ist kompletter Blödsinn und unbegründet. Bislang ist mir jedenfalls noch jeder den Beweis schuldig geblieben, dass das so wahnsinnig große Schwierigkeiten macht (zumal keiner weiß, was beim Provider vornedran noch alles genattet wird, Stichwort Kabeldienstleister…)
Ein vorgeschaltetes NAT selbst führt noch nicht unbedingt zu Problemen. Schwieriger wird es dann, wenn auf dem Gerät noch andere Dienste laufen und z.B. Portweiterleitungen verhindern bzw. Pakete selbständig umschreiben. So der Fall beispielsweise auf einem Speedport Hybrid, dort läuft eine eigene Firewall sowie ein SIPProxy drauf, was es quasi unmöglich macht, herkömmliche IP-Telefone direkt am Speedport oder auch an einer dahinterliegenden pfSense zu nutzen. Hingegen laufen andere Dienste (OpenVPN, HTTP über speziellen Port usw.) völlig problemlos durch das Double-NAT durch, wenn die Port-Weiterleitungen auch stimmen.
Ich sehe das daher eher zweigleisig: Einerseits bieten diese Router den Zugang zum Netz des Providers, diese Funktion würde ich immer ausserhalb des eigenen (privaten) Netzes sehen. Andererseits aber werden dort verschiedene weitere Dienste gebündelt (Telefonie, Heimautomatisierung, Fileserver, …), welche schlicht nicht so auf ein Providergerät gehören. Ich wünschte der Speedport Hybrid hätte einen Modus, in welchem er lediglich als Router fungiert und die Einwahl in die Netze erledigt (mit deaktivierter Firewall und ohne weitere Daemons hintendran) ;-)
-
verschiedene weitere Dienste gebündelt (Telefonie, Heimautomatisierung, Fileserver, …), welche schlicht nicht so auf ein Providergerät gehören
Bei den letzten Beiden Punkten geben ich dir natürlich recht, aber Telefonie gehört - inzwischen durch den ganzen VoIP Salat - durchaus ins Spielfeld des Providers und ist da meist auch einfacher/besser aufgehoben, weil der sich dann nicht rausreden kann, dass es ein Konfigurationsproblem ist ;)
-
Stimmt auch wieder… allerdings macht das dann den Einsatz eines anderen (SIP-) Providers manchmal unmöglich, wenn sich der Internetprovider hierfür exklusiv zuständig fühlt. Sofern man die Modems/Router flexibel austauschen kann, sehe ich da auch noch keine Probleme. Zu einem Hybrid-Router gibt es aber schlicht keine Alternative, entweder man nutzt ihn, oder man muss auf Hybrid verzichten. Ansonsten betreibe ich die pfSense aber mittlerweile auch immer hinter der Provider-Hardware, um möglichen Einwahl-Problemen vorzubeugen (schonmal an der Telekom-Hotline versucht einem Mitarbeiter zu erklären, dass eine "pfsense" die Einwahl per Modem macht? ;-) ).