[solved] fritzbox->pfsense->gigaset = kein Ton



  • Edit2: Problem gelöst, siehe Beitrag#6

    Hi,
    an unserer Unitymedia Fritzbox sind zwei Rufnummern registriert. Zwei IP-Telefone sind eingerichtet.
    Die SIP Telefone sind:

    • eine Fritzbox 7270 mit einem Analogtelefon
    • DECT-Basisstation (Gigaset N510)

    In unserer ursprünglichen Konfiguration gab es nur einen Router - die Fritzbox 7490.
    Sie war Gateway, der DNS und DHCP Server des Netzwerks.

    Parallel habe ich mich mehrere Monate in pfsense eingearbeitet. Nun, gestern war nun der Tag. Habe die Topologie geändert.
    Um unabhängig und flexibel zu bleiben, möchte ich in Zukunft nur auf pfsense setzen.

    Bis auf SIP geht auch alles (proxy, DNS, DHCP, openvpn, ipsec, iptv, etc)
    Habe hier und ip-phone forum sehr viele Beiträge zu der NAT-Problematik gelesen.

    Bisher habe ich nur die Gigaset N510 umgestellt.
    Die SIP-Verbindung ist OK, man kann anrufen und angerufen werden, aber kein Ton.
    Ich habe bereits viereckige Augen und bin am verzweifeln  ???
    Als Anhang habe ich eine Skizze der alten und der neuen Topologie angehängt.

    Folgende Threads/Tipps waren sehr hilfreich, aber ich bin leider genauso weit wie am Anfang:

    Ich habe:

    • in pfsense/NAT/Outbound/ den Port 5060 sowie alle Ports Richtung Gigaset auf statisch gesetzt
    • die pfsense WAN-IP in der Fritzbox 7490 als exposed Host eingetragen (=DMZ)
    • alle mir bekannten relevanten Ports für SIP/RTS von pfSense richtung Gigaset 'forwarded'
    • pfSense firewall Einstellungen, auf konservativ eingestellt und 'scrubs' ausgeschaltet
    • alle wichtigen Ports auf der WAN Seite in pfsense eingeschaltet..

    In den angehängten Screenshots sind die meisten Regel wieder deaktiviert worden.

    Ich weis nicht, was ich übersehe.
    Ich vermute, das weiterleiten der RTP Sprach-Pakete funktionieren irgendwie nicht wegen dem 'doppelten' NAT.

    Edit1: denke zwar nicht, das es ein Unterschied macht - sollte aber dennoch erwähnen, das die pfsense in einer appliance@esxi läuft. Siehe letzen Anhang


























  • Hallo,

    also zunächst mal: unser Setup ist ein wenig anders, weil wir die FritzBox ja komplett hinter den PfSense ziehen woll(t)en.

    Aber grundsätzlich sind mir folgende Punkte aufgefallen:

    • Im Bild "Gigaset.png" siehst du rechts die SIP- und RTP-Port-Ranges. Die müssen glaube ich im PfSense freigegeben werden, am besten pro Gerät (oder notfalls eben allgemein) - allerdings kommt es mir da auch komisch vor, dass da steht "49060 - 5076". Das ist in meinen Augen keine gültige Range.
    • Du kannst dir auch mal ganz am Ende jedes Stacks je eine Firewall-Rule mit "DROP ALL" anlegen, die gleichzeitig die Pakete mitloggt. Dann siehst du besser, was an der Firewall ankommt. Speziell Rufaufbau und die folgenden Pakete sind natürlich im Bezug auf Port und Quell-/Zieladdresse interessant für dich.
    • Ich bin mir nicht sicher, ob du mit einer IP-Adresse (=^ PfSense) mehrere SIP-Telefone an der FritzBox anmelden kannst. Wir haben dafür den "siproxd" an PfSense aktiviert. Daran können sich alle internen Telefone anmelden und die Anfragen werden weitergeleitet. Damit ist sichergestellt, dass PfSense weiß, wo welches Paket hin muss (so zumindest unsere Theorie). Außerdem ist es sehr angenehm zu sehen, welche Telefone korrekt angemeldet wurden usw.

    Aber: Wir sind keine Profis, sondern eher Neulinge. Bevor du alles wild durcheinander würfelst, warte lieber auf die Spezies hier  ;D Ansonsten kannst du die Sachen natürlich gerne ausprobieren und sehen, ob es was hilft, aber mach es wieder rückgängig, wenn es nicht das gewünschte Ergebnis ist  ::)

    Edit: Zudem sind in deinem Screenshot der Firewall-Rules einige Regeln deaktiviert, die in meinen Augen aktiv sein müssten (Port-Weiterleitungen von "außen" zum Gigaset sowie die Outbound-Rule vom Gigaset) - zumindest ist das mein Begriff des blauen "X" vorne dran (wir sind noch auf einer älteren Version). Wenn es eine Deny-Rule ist, noch schlimmer :D



  • Hi, was mir so auffällt: In der Gigaset hast du 49060 statt der 5060 aus der Firewall eingetragen. Außerdem fehlen die Aliase bzw, die Auflösung der Aliase. Das, was in der Gigaset als Ports eingetragen ist, das mußt du freigeben. Vrmtl funkt hier das doppelte NAT rein, deshalb schalte es in der pfsense ab! Es macht keinen Sinn, hier zu natten.

    Gruß
    pfadmin



  • Vielen Dank euch für die konstruktiven Vorschläge. Ich werde mit den Hinweisen & Tipps heute Abend einen neuen Setup aufbauen und nochmal testen.
    Ich werde testen und berichten.  :)

    An das Deaktivieren des pfsenses-NATs hatte ich gar nicht gedacht. Interessanter Gedanke.
    Würde das wirklich gehen?
    LAN -> pfsense -> WAN1 -> Fritzbox -> WAN2

    Outbound natting@pfsense:
    Das 'natten/masquerading' ins WAN2 (Internet) übernimmt die Fritzbox.
    Somit könnte ich das outbound natting in pfsense abschalten.
    Aber, die Fritzbox kennt die Teilnehmer hinter pfsense nicht.
    Wenn nun die Absender-Adresse der Pakete aus dem LAN nicht modifiziert werden durch pfsense,
    woher soll die Fritzbox wissen, das das Paket für 10.0.0.15 zu pfsense muss, da das Netz dahinterliegt?
    Muss ich dann etwa eine statische Route in der Fritzbox hinterlegen?

    Inbound natting@pfsense:
    Zurück kommen alle WAN2-Pakete (per DMZ) über WAN1 an pfSense.
    Da beim Versenden an pfsense nicht genattet wurde, muss auch nichts
    'zurückgenattet' werden.
    Das Port Forwarding ist an sich ja ein manuelles natting, und sollte trotzdem noch gehen,
    oder?



  • Ja die Fritz muß eine statische Route bekommen ins 10.0.0.0/24 Netz

    Die Fritz schickt alles was von draußen (WAN1) kommt mit ihrer LAN-seitigen IP (10.0.0.1) an die pfsense. Lauscht dort ein Dienst auf einem Port, dann wird er antworten, lauscht keiner, eben nicht. Soll ein anderer Server im LAN von außen erreichbar sein, muß das Portforwarding  in die Fritz oder in die PFsense. Je nachdem, ob das durch die pfsense durch soll oder nicht.

    Gruß
    pfadmin



  • Hallo …

    eine kurze Anregung: Warum setzt du in deiner Konfiguration (Router-Kaskade) die Telefonie nicht auf die erste Fritzbox, was soll insbesondere für das Analoge Telefon durch die pfsense geschützt werden, gleiches gilt natürlich für die DECT-Basis?

    Dein Aufbau wäre "notwendig" wenn vor der pfsense nur ein reines Modem liegen würde.

    LG



  • @semonia,
    ich möchte das alle Pakete über pfSense verlaufen. Zum einen wegen der Struktur und der Übersicht und zum anderen ergeben sich dadurch erweiterte Analyse-und Priorisierungsmöglichkeiten.
    Zudem ist die 2. Fritzbox nicht direkt per Kabel angebunden. Es ist eine Richtfunkstrecke über 800m (je zwei TPlink CPE210). Wird nicht nur für Telefonie genutzt, sondern auf der anderen Seite wird auch noch Fern geschaut (Sat2IP) und gesurft. Das läuft bereits seit über einem Jahr, die Clientin ('Mutti') ist hochzufrieden :)

    @pfadmin & FFK,
    das Abschalten des Natting an der pfsense war der entscheidende Tipp.
    Somit habe ich mich mit dem Thema beschäftigt und verstehe nun die Grundprinzipien von statische Routen sowie dem 'natten'.
    Danke euch.

    Habe mir mal etwas Mühe gegeben und ein etwas vollständigere Topology aufzuzeichnen (fehlt aber immer noch die Hälfte :) )
    Läuft seit einigen Tagen ohne Störungen. Habe die Details in die jeweiligen Geräte (Fritzbox 7490 & 7270, Gigaset n510 und pfsense) eingezeichnet.

    Edit: Zeichnung korrigiert.