WhatsApp Problem
-
Hallo zusammen,
ich habe bereits alle Whatsapp Forum Einträge im Deutschen wie Englischen Bereich durchgeschaut, konnte aber nichts im Hinblick auf meinen Fehler finden.
Folgendes Problem:
Aus dem LAN können keine WhatsApp Anrufe getätigt werden und der Anrufversuch bricht entweder ab, oder es kann die Gegenseite nicht gehört werden.Wenn ich mir die Firewall Logs anschaue, sehe ich folgende Einträge:
Den Port 3478 sowie die anderen üblichen Verdächtigen 4244, 5222, 5223, 5228, 5242 habe ich bereits als zusätzliche Regel zur Default Any->Any Rule hinzugefügt:
Was hier also nicht stimmt, ist das Interface. Es wird hier das Interface em1 benutzt und nicht wie zu erwarten wäre das LAN.
Somit greift auch nicht die Firewall Alias Regel, da das Interface schlichtweg das Falsche ist.Kurz zum Netzwerk:
LAN ist VLAN260(Tagged) und hat als Parent interface em1Also anstatt über das VL260 (LAN) die Whatsapp Verbindung aufzubauen, geht das Ganze über das Parent Interface raus.
Dieses Phänomen habe ich so nur bei der Whatsapp Verbindung.Zwischen LAN und WAN hängt noch ein Transparenter Proxy.
Jemand eine Idee?
-
Moin,
ja mit WhatsApp (Telefonie) habe ich auch eine ganze Weile gekämpft.
Funktioniert aber inzwischen problemlos und meine Frau hat mich wieder lieb! ;)Habe folgende Ports speziell für WA freigeschaltet:
TCP: 4244,5222,5223,5228,5242
TCP/UDP: 59234, 50318
UDP: 3478, 45395Die Liste mit den Ports habe ich mal irgendwo im Netz gefunden.
Gruß
Dirk -
Hi Dirk,
leider konnte ich nicht eher antworten, habe aber mittlerweile noch ein paar andere Sachen getestet. Auch deinen Vorschlag mit den zusätzlichen Ports.
Leider geht es immer noch nicht.
Ich verstehe auch nicht warum die Default Rule diesen Traffic nicht abfängt - soll heissen, die Regel ist nach meinem Verständiß überflüssig.
Wie dem auch sei, kann ich nun für die Regel die States einsehen und habe auch diverse hits, trotzdem lässt sich ein Telefonat nicht aufbauen.Was habe ich hier noch übersehen?
Hier nochmal die Ports für den Alias:
Und hier die Logs der Firewall bei Verbindungsaufbau.
Also reiner UDP Traffic auf Port 3478
Warum ist das Interface em1 ????? Und wieso greift die Alias LAN Rule nicht?? -
Klick mal auf das rote X WARUM der Traffic auf em1 geblockt wird. Warum ist der Traffic em1? Kommt der WLAN Kram etwa ungetaggt auf dem Interface an und nicht als VLAN260? Da solltest du ggf. mal prüfen?
-
Klick mal auf das rote X WARUM der Traffic auf em1 geblockt wird.
Der Grund für den Block ist:
"block drop in log on ! em1.260 inet from 10.201.6.0/24 to any"
Warum ist der Traffic em1? Kommt der WLAN Kram etwa ungetaggt auf dem Interface an und nicht als VLAN260? Da solltest du ggf. mal prüfen?
Das em1 interface ist wie bereits erwähnt das parent interface für das VL260. VL260 ist das LAN und WLAN - also sämtlicher Traffic der genattet wird.
Komischerweise landet auch nur der udp traffic auf dem em1 interface. Der TCP traffic für WA kommt richtig am LAN interface an und wird auch durchgelassenEDIT:
Kann es sein, dass das NAT Source Port Randomization Feature der pfSense das Problem ist??@doc.pfsense.org:
Static Port
By default, pfSense rewrites the source port on all outgoing packets. Many operating systems ….........
However, rewriting the source port breaks some applications which require the source port to remain unmodified. Notably, there are a handful of protocols, including IPsec and some games, which suffer from this limitation.
Habe nun sämtlichen UDP Traffic per NAT Regel auf static gesetzt:
Hat aber nichts gebracht…... (States wurden resettet)
-
Kann es sein, dass das NAT Source Port Randomization Feature der pfSense das Problem ist??
Das kann ja aber nicht das Problem sein, warum ein Teil deines Traffics auf EM1 direkt aufschlägt statt auf dem VLAN?
-
Ok, ich habe es nun auf einer anderen Firewall probiert:
System ist diesmal eine Netgate SG-8860 (physikalisch)Hier funktioniert es:
Der UDP Traffic auf Port 3478 geht wie zu erwarten über das LAN interface raus.
Der Unterschied zwischen den beiden Systemen ist:
1. Kein VLAN Tagging
2. Physikalische Firewall und Virtuelle Firewall.Wie dem auch sei, ich komme hier nicht weiter, solange der UDP Traffic nicht über das LAN Interface rausgeht.
Für mich sieht es danach aus, als würde hier ein pfSense Bug beim 802.1q Protokoll vorhanden sein.
-
Bei VLAN soll es einen Bug geben den du nur durch Whatsapp und UDP triggerst? hört sich extrem weit hergeholt an, für eine Funktion die derart weitflächig benötigt und genutzt wird. Ich denke eher du hast hier ggf einen Konfigurationsfehler vorliegen. Zusätzlich schreibst du auch noch was von Proxy - lief der auf dem Testsystem auch? Ansonsten ist der Test nur soweit aussagekräftig als das er bestätigt dass es normalerweise funktioniert du aber wohl einen Käfer in deiner Konfiguration hast ;)
Gruß
-
Problem wird hier weiter diskutiert:
-
Ah sehr schön, da bin ich gespannt.