Telekom IP Tel mit FB: Tel funktioniert nicht mehr wenn allow lan to any inaktiv



  • Hi Leute!

    Ich hab ne pfsense in kombination mit meiner Fritzbix 7490, die als DECT station und Wlan AP genutzt wird.

    Modem -> Pfsense -> Fritzbox

    Ich hab also per NAT port 5060 an die FB freigegeben (http://imgur.com/2r3xwlL)

    Deaktiviere ich jetzt allerdings die Default Allow LAN to ANY rule, funktionieren meine Telefone nicht mehr.

    Und zwar gar nicht mehr, wenn man anruft kommt dass die Nummer nicht vergeben wäre oder sowas.

    Gebe ich nun die von der TElekom angegebenen ports von LAN Net zu ANY frei (https://www.telekom.de/hilfe/festnetz-internet-tv/ip-basierter-anschluss/einstellungen-fuer-die-ip-telefonie-mit-anderen-clients?samChecked=true), bekomme ich ein Freizeichen, kann abnehmen aber höre nichts (Beidseitig).

    Sind die Ports von der Telekom falsch? Muss ich nochwas an die FB weiter NATten?

    Bin noch nich so weit mit meinem Networking Material, dass ich bei NAT angekommen bin :)

    Wäre für eure Hilfe zur Verständnis sehr Dankbar!

    Greets,

    Ceo



  • Deine Konfiguration ist völlig falsch:

    Lösche alle Rules und NAT Einträge bzgl. der Telefonie und lege zwei NAT-Regel an
    (Siehe Screens)
    Die Einträge sollten die ersten Rules in der Liste sein, damit sie nicht mit anderen beeinträchtigt werden.

    Dann in der FB unter Telefonie – Eigene Rufnummern -- Anshclusseisntellungen

    Portweiterleitung des Internet-Routers für Telefonie aktiv halten setzten
    und bei "Portweiterleitungen aktiv halten' einen Wert setzen: 1-2minuten

    die IP 192.168.1.251 musst du natürlich durch die IP deiner Fritzbox ersetzen.






  • Aber so lange ich die allow lan to any rule nicht deaktiviere funktioniert die telefonie ja.

    Kann also nicht  komplett falsch sein oder? War damals so die einzige Einstellung wie ich das ganze überhaupt zum laufen gebracht habe…



  • Dein Satz
    Ich hab also per NAT port 5060 an die FB freigegeben

    macht mir Angst, weil falscher kann es kaum werden.

    Mit so einer Regel stellst du deine Fritzbox ungeschützt ins Internet.
    Mittels Brute Force Attacks können sich Gauner an dieser registrieren und auf deine Kosten Telefonieren.
    Einziger Schutz ist das Passwort auf deinem SIP-Endpoint welches dann hoffentlich super komplex eingestellt ist.

    Ich kenne einen Fall, den hat so eine Regel 9000€ gekostet, weil der Gauner 1000ende Mal eine Sex Hotlines in Indien angerufen hat (die er vermutlich auch noch selbst betreibt).

    Diverse Warnungen diesbezüglich und Sicherheitsupdates durch AVM gibt es auch, aber würdest du drauf Wetten, dass alle Schwachstellen gefunden wurden?



  • Ich glaub ich verstehe:

    Ich hab quasi mit der NAT Rule weil Interface=WAN und Source = ANY Zugang von WAN auf meine interne FB freigegeben, richtig?

    Was ich nicht verstehe ist, das bei den Ports die du angegeben hast 5060 gar nicht dabei ist (der SIP port?)

    EDIT: Vlt sollt eich noch hinzufügen was ich bei FIREWALL/NAT/OUTBOUND hab: http://imgur.com/bqwA4Dw



  • Der SIP-Port wird nur ausgehend benutzt, eingehend wird nichts extra AUFGEBAUT - daher ist keine Weiterleitung erforderlich. Die Verbindung wird von der Fritzbox zum Telekom Server aufgebaut
    und funktioniert dann in beide Richtungen.  Natürlich darf keine Regel ausgehenden Datenverkehr zum Telekom Server (217.0.16.0/20 ) VERHINDERN.

    Eingehend werden nur die RTP Ports verwendet, die Fritzbox 7490 verwendet 7078 und folgende (eigentlich nur jeden zweiten, die ungeraden sind für ausgehende Daten die geraden für eingehende)

    Die Anweisung in der Fritzbox sorgt dafür dass diese die Ports mittels Pinholing offen hält

    Wenn es nach Anwendung der beiden Regeln noch Probleme gibt, hast du irgendwo sonst was falsch eingestellt. Es funktioniert bei mir  mit exakt gleicher Konfiguration



  • Cool funktioniert! Danke!

    Welche ports muss ich nun von LAN Net to Any freigeben, damit das ganze auch funzt wenn ich die default allow lan to any disabled habe?


  • LAYER 8 Moderator

    @ceofreak hat @parsec doch oben geschrieben. Die SIP Anmeldung bei den Telekom Servern darfst du nicht blocken, ergo muss 5060 abgehend erlaubt sein (zu den Telekom Servern oder wo auch immer du hin verbindest). Ansonsten mal den Port in den Firewall Logs im Auge behalten, da sollten dann ja entsprechende Blocks auftauchen.



  • Von der Theorie her

    Destination Ports: 3478, 3479, 5070, 7078-7110 jeweils UDP

    Getestet habe ich es nicht



  • Danke! Der Tip mit den Firewall Logs hats gelöst!

    Jun 9 18:09:16 LAN 192.168.100.2:7086 217.0.0.207:3478 UDP

    Port 3478 UDP von Fritzbox nach 217.0.0.143 freigeben und es geht!!!

    Danke euch! Endlich funzt es so wie es soll :))



  • 7086 ist einer der RTP Ports, das langt nicht, beim nächsten mal ist es ein anderer
    Dann gib wenigsten Source 7078-7110/UDP to any frei




  • LAYER 8 Moderator

    Nein SOURCE, nicht Destination Port. Deine Ports sind unter Ziel nicht unter Quelle eingetragen. Deine Fritzbox sendet VON den angegebenen Ports nicht AN diese :)



  • Ah,

    so dann quasi: http://imgur.com/GzJOJdA

    Hatte seit gestern  immer mal wieder Abbrüche und knacken in der Leitung usw. Fehlen da noch weitere Ports oder liegt das an der falschen Reihenfolge von eben?



  • Zusätzlich besteht jetzt noch das Problem, wenn ich telefoniere und jemand ruft an, bricht das Gespräch ab und der neue Anruf wird angenommen oO

    Die Probleme hatte ich vorher mit der (falschen) 5060 konfiguration nicht..



  • Eigentlich nicht möglich wenn diese Konfiguration wie beschrieben eingehalten wurde.

    Dafür gibt es ja die unterschiedlichen RTP Ports - für jedes Gespräch wird ab 7078 ein neues Portpaar belegt.
    1. Gespräch 7078 eingehend 7079 ausgehend
    2. Gespräch 7080 eingehend 7081 ausgehend

    Da muss irgend eine Regel bei dir über Kreuz gehen.



  • Ich poste jetzt einfach mal die Config wie sie im moment ist.

    Default allow lan to any rule ist im moment wieder ENABLED, bis ich das problem so in den griff bekomme.

    Firewall / Rules / WAN
    http://imgur.com/zJKx1kb

    Firewall / Rules / LAN
    http://imgur.com/qhWFTl7

    Firewall / NAT / Port Forward
    http://imgur.com/oYqdLWa

    Firewall / NAT / Outbound
    http://imgur.com/qioFNmw

    Das is jetz meine komplette config im endeffekt.



  • Niemand ne Ahnung?  :-[



  • Also ich hab jetzt herausgefunden, dass die Gespräche nach ziemlich genau 10 Minuten abbrechen. Woran kann das liegen?


Log in to reply