Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Problem mit Telekom Voip

    Scheduled Pinned Locked Moved Deutsch
    18 Posts 3 Posters 2.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      SnakeZZ
      last edited by

      Hallo Zusammen!

      Erstmal sorry für den Double-Post… ich hab mein Problem auch schon hinter dem gepinnten Topic für Voip/Telekom geschildert, vermute aber, dass ihn da nicht so viele Leute sehen...
      Ich bin ein wenig am Verzweifeln... ich hab die Einstellungen vorgenommen, wie von Flix87 beschrieben....
      Es kommen von Mobiltelefonen und anderen Festnetzgeräten Gespräche an, ich kann normal telefonieren.
      Auch non-Telekom VOIP Anrufe funktionieren. Abgehend kann ich auch telefonieren (egal wohin).

      Aber immer, wenn ein Telekom-VOIP Netz Teilnehmer bei mir anrufen will, geht das nicht.
      Die Sense spuckt dann folgendes aus:

      Feb 3 16:33:58	WAN	  217.0.23.100:5060	  <meineip>:5064	UDP</meineip>
      

      Hinter dem geblockten Eintrag verbirgt sich dann folgender Hinweis:

      The rule that triggered this action is:
      @9(1000000103) block drop in log inet all label "Default deny rule IPv4"
      

      Mein Setup ist: Zyxel Modem im Bridge Betrieb <-> pfSense <-> Agfeo ES Telefonanlage

      Die Agfeo Anlage steckt in einem separaten VLAN (falls das was zur Sache tut).
      Was kann ich hier tun?

      Beste Grüsse,

      SnakeZZ

      1 Reply Last reply Reply Quote 0
      • A
        athurdent
        last edited by

        Wenn die Telekom einen STUN Server bereitstell, dann trag den mal ein.

        1 Reply Last reply Reply Quote 0
        • S
          SnakeZZ
          last edited by

          Gemacht - keine Veränderung…
          Du meinst den STUN-Server auf der Telefonanlage, oder?

          1 Reply Last reply Reply Quote 0
          • A
            athurdent
            last edited by

            Ja, eigentlich sollte der STUN Server dafür sorgen, dass Telefonate dann funktionieren. Gibt's in der Anleitung/Knowlowledgebase des Herstellers vielleicht ein Sektion, was den Betrieb hinter Firewall/NAT angeht?

            1 Reply Last reply Reply Quote 0
            • S
              SnakeZZ
              last edited by

              Was mich halt so puzzelt ist, dass die Telekom von 5060 auf meine PublicIP auf einem SIP-Registration Port reinkommen will und die Sense sie nicht durchlässt (siehe auch Bild 4):

              
              Last 300 Firewall Log Entries. (Maximum 300)
              Action	Time	Interface	Source	Destination	Protocol
              Feb 4 11:17:01	WAN	  217.0.23.100:5060	  <meinepublicip>:5064	UDP</meinepublicip>
              

              Dabei habe ich das schon mehrfach und doppelt freigegeben (denke ich  :o)

              Bild 1 zeigt den Port Forward, den ich explizit nochmals zum Testen eingerichtet habe, das Alias PBX ist dabei meine Telefonanlage.
              Bild 2 zeigt noch zusätzlich eine leicht angepasste Easyrule, nach der die Firewall die Pakete eigentlich gar nicht fangen dürfte
              Bild 3 zeigt die Outbound NAT Konfig
              Bild 4 zeigt die auf der Sense geblockten Pakete wenn ich vom Telekom VOIP hier anrufe

              2017-02-04_11-28-02.png_thumb
              2017-02-04_11-28-02.png
              2017-02-04_11-22-33.png
              2017-02-04_11-21-59.png_thumb
              2017-02-04_11-22-55.png_thumb
              2017-02-04_11-22-55.png
              2017-02-04_11-22-33.png_thumb
              2017-02-04_11-21-59.png

              1 Reply Last reply Reply Quote 0
              • S
                SnakeZZ
                last edited by

                @athurdent:

                Ja, eigentlich sollte der STUN Server dafür sorgen, dass Telefonate dann funktionieren. Gibt's in der Anleitung/Knowlowledgebase des Herstellers vielleicht ein Sektion, was den Betrieb hinter Firewall/NAT angeht?

                Anbei die relevanten Auszüge aus diesem Dokument https://www.agfeo.de/agfeo_web/dokulib.nsf/Anlage_w/8EC91059E9E14914C12580360049ED66/$FILE/SIPTrunk_ALLIP_10_16.pdf (Seite 11 und 12) - sie lassen mich im Dunkeln. 5064-5127 leite ich ja weiter per Port-Forward. Aber ich denke, dass sei gar nicht nötig (zumindest scheint das ja der Konsens hier im Forum zu sein, oder?)?
                Die RTP-Ports hatte ich auch schon mal auf die PBX weitergeleitet, wenn ich mich recht entsinne… Aber die liegen ja ausserhalb des Ranges, die das Firewall Log anmeckert.

                Beste Grüsse,

                SnakeZZ

                2017-02-04_11-35-11.png
                2017-02-04_11-35-11.png_thumb
                2017-02-04_11-35-23.png
                2017-02-04_11-35-23.png_thumb

                1 Reply Last reply Reply Quote 0
                • A
                  athurdent
                  last edited by

                  @SnakeZZ:

                  Was mich halt so puzzelt ist, dass die Telekom von 5060 auf meine PublicIP auf einem SIP-Registration Port reinkommen will und die Sense sie nicht durchlässt (siehe auch Bild 4):

                  
                  Last 300 Firewall Log Entries. (Maximum 300)
                  Action	Time	Interface	Source	Destination	Protocol
                  Feb 4 11:17:01	WAN	  217.0.23.100:5060	  <meinepublicip>:5064	UDP</meinepublicip>
                  

                  Dabei habe ich das schon mehrfach und doppelt freigegeben (denke ich  :o)

                  Bild 1 zeigt den Port Forward, den ich explizit nochmals zum Testen eingerichtet habe, das Alias PBX ist dabei meine Telefonanlage.
                  Bild 2 zeigt noch zusätzlich eine leicht angepasste Easyrule, nach der die Firewall die Pakete eigentlich gar nicht fangen dürfte
                  Bild 3 zeigt die Outbound NAT Konfig
                  Bild 4 zeigt die auf der Sense geblockten Pakete wenn ich vom Telekom VOIP hier anrufe

                  Hmm, das sieht auf den ersten Blick sauber aus. Aber wenn das Paket geblockt wird, scheint die Portforward-NAT Regel nicht zu ziehen.
                  Schalte mal "Where to show rule descriptions" in den Logoptionen an, damit man sehen kann, welche Rule das blockt.
                  Mal den Filter neugeladen, oder ggf. die gesamte Firewall rebooted?
                  Hast Du noch andere Dienste laufen?

                  1 Reply Last reply Reply Quote 0
                  • S
                    SnakeZZ
                    last edited by

                    @athurdent:

                    Schalte mal "Where to show rule descriptions" in den Logoptionen an, damit man sehen kann, welche Rule das blockt.
                    Mal den Filter neugeladen, oder ggf. die gesamte Firewall rebooted?
                    Hast Du noch andere Dienste laufen?

                    OK, Screenshot anbei - "Default deny rule IPv4…." :o
                    Reboot mach ich jetzt gleich mal und geb nochmal Rückmeldung.

                    Welche anderen Dienste meinst du? Ausser dass die Telefonanlage in einem separaten Netz (VLAN) läuft, macht die Sense nur noch einen OpenVPN Server und monitored die UPS.
                    Aber eigentlich alles nix, was da in die Quere kommen dürfte.

                    2017-02-04_12-16-51.png
                    2017-02-04_12-16-51.png_thumb

                    1 Reply Last reply Reply Quote 0
                    • S
                      SnakeZZ
                      last edited by

                      Also: Der Reboot brachte keine Änderung. Habe die Telefonanlage auch gleich noch durchgestartet….
                      Es ist immer noch so, dass ich

                      • raustelefonieren kann

                      • Anrufe z.B. vom Mobilfunknetz annehmen kann

                      • Anrufe aus dem Telekom VOIP Netz nicht mal signalisiert werden und ich folglich auch mit Anrufern nicht sprechen kann

                      :(

                      1 Reply Last reply Reply Quote 0
                      • A
                        athurdent
                        last edited by

                        Vielleicht ist irgendwas auf Deinem Telefon VLAN unsauber, so dass die NAT Regel nicht zieht und der Traffic ungemappt auf Deiner WAN IP aufschlägt. Probier mal testweise, die Telefonanlage ins LAN zu stellen.

                        1 Reply Last reply Reply Quote 0
                        • S
                          SnakeZZ
                          last edited by

                          Das muss irgendetwas Telekom-Spezifisches sein. Ich habe eben mal testweise auf der Anlage noch eine Sipgate-Nummer eingerichtet, damit funktioniert es problemlos!

                          1 Reply Last reply Reply Quote 0
                          • S
                            SnakeZZ
                            last edited by

                            Hallo nochmal,

                            heute habe ich noch eine interessante Entdeckung gemacht. Ich habe inzwischen ein Site-2-Site VPN aufgebaut.
                            Das VPN läuft auf Port 1195 und funktioniert eigentlich problemlos. Ich komme an alle Netze zwischen beiden Seiten.

                            Wenn ich nun von Offsite mit einem Soft-VOIP-Client auf die Anlage verbinde, kann ich auf lokale Nebenstellen telefonieren.
                            Sobald ich aber raustelefonieren will, funktioniert das nicht (timeout). Die Firewall schreibt u.a. log.
                            Sieht irgendwie nach etwas Ähnlichem aus wie mein Telekom Problem… oder?

                            Beste Grüsse,

                            SnakeZZ

                            2017-02-05_12-38-43.png
                            2017-02-05_12-38-43.png_thumb

                            1 Reply Last reply Reply Quote 0
                            • F
                              flix87
                              last edited by

                              Wenn Anrufe nicht ankommen liegt es meistens am Keep Alive.
                              Ist das wirklich aktiv?
                              Mal mit Wireshark einen Trace gezogen ob es auch wirklich kommt.
                              Wenn das Keep Alive aktiv ist braucht mal normal ein Inbound NAT oder Firewall Regeln das sollte durch das Keep Alive aufgehalten werden.

                              1 Reply Last reply Reply Quote 0
                              • S
                                SnakeZZ
                                last edited by

                                Hallo,

                                lt. Dokumentation (s. Screenshot oben) ist das standardmässig auf 15s eingestellt. Pfsense habe ich auf 55s eingestellt.
                                Ich bin etwas unbedarft, was wireshark angeht…. was muss ich da genau tun, um das zu prüfen?

                                Beste Grüsse,

                                SnakeZZ

                                1 Reply Last reply Reply Quote 0
                                • S
                                  SnakeZZ
                                  last edited by

                                  Hallo nochmal,

                                  ich hab einfach mal einen UDP-Paket Capture gemacht, Ergebnis siehe Anhang.
                                  Wie habe ich das jetzt zu interpretieren?

                                  Es sieht schon so aus, als ob die 192.168.48.50 (die Telefonanlage) alle 15 Sekunden was rausschickt… oder?

                                  Beste Grüsse,

                                  SnakeZZ

                                  2017-02-07_11-38-20.png
                                  2017-02-07_11-38-20.png_thumb

                                  1 Reply Last reply Reply Quote 0
                                  • F
                                    flix87
                                    last edited by

                                    das sieht eigentlich gut aus. normal sollten die Inbound NAT und Firewallregeln nicht gebraucht werden dafür.
                                    Sollte das Keepalive immer aktiv sein sollte die Firewall nicht dicht machen.

                                    Hast du es schonmal ohne diese Regeln versucht?

                                    1 Reply Last reply Reply Quote 0
                                    • S
                                      SnakeZZ
                                      last edited by

                                      Ja, das habe ich versucht. Da bekomme ich gar keine Anrufe rein.
                                      Ich hab immer noch nicht verstanden, wieso überhaupt der default ipv4 filter auf der Sense greift… das macht aus meiner Sicht gar keinen Sinn?!?

                                      1 Reply Last reply Reply Quote 0
                                      • F
                                        flix87
                                        last edited by

                                        Das deutet eigentlich darauf hin das das Keep Alive nicht klappt.
                                        Siehst du denn Offene States in der PfSense mit dem Port auf dem der Ruf reinkommen soll?

                                        Was meinst du mit default ipv4 filter?
                                        Bei der PfSense wird alles was nicht definiert ist geblockt und das passt ja von extern nach intern auch so.

                                        1 Reply Last reply Reply Quote 0
                                        • First post
                                          Last post
                                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.