Problem mit Telekom Voip



  • Hallo Zusammen!

    Erstmal sorry für den Double-Post… ich hab mein Problem auch schon hinter dem gepinnten Topic für Voip/Telekom geschildert, vermute aber, dass ihn da nicht so viele Leute sehen...
    Ich bin ein wenig am Verzweifeln... ich hab die Einstellungen vorgenommen, wie von Flix87 beschrieben....
    Es kommen von Mobiltelefonen und anderen Festnetzgeräten Gespräche an, ich kann normal telefonieren.
    Auch non-Telekom VOIP Anrufe funktionieren. Abgehend kann ich auch telefonieren (egal wohin).

    Aber immer, wenn ein Telekom-VOIP Netz Teilnehmer bei mir anrufen will, geht das nicht.
    Die Sense spuckt dann folgendes aus:

    Feb 3 16:33:58	WAN	  217.0.23.100:5060	  <meineip>:5064	UDP</meineip>
    

    Hinter dem geblockten Eintrag verbirgt sich dann folgender Hinweis:

    The rule that triggered this action is:
    @9(1000000103) block drop in log inet all label "Default deny rule IPv4"
    

    Mein Setup ist: Zyxel Modem im Bridge Betrieb <-> pfSense <-> Agfeo ES Telefonanlage

    Die Agfeo Anlage steckt in einem separaten VLAN (falls das was zur Sache tut).
    Was kann ich hier tun?

    Beste Grüsse,

    SnakeZZ



  • Wenn die Telekom einen STUN Server bereitstell, dann trag den mal ein.



  • Gemacht - keine Veränderung…
    Du meinst den STUN-Server auf der Telefonanlage, oder?



  • Ja, eigentlich sollte der STUN Server dafür sorgen, dass Telefonate dann funktionieren. Gibt's in der Anleitung/Knowlowledgebase des Herstellers vielleicht ein Sektion, was den Betrieb hinter Firewall/NAT angeht?



  • Was mich halt so puzzelt ist, dass die Telekom von 5060 auf meine PublicIP auf einem SIP-Registration Port reinkommen will und die Sense sie nicht durchlässt (siehe auch Bild 4):

    
    Last 300 Firewall Log Entries. (Maximum 300)
    Action	Time	Interface	Source	Destination	Protocol
    Feb 4 11:17:01	WAN	  217.0.23.100:5060	  <meinepublicip>:5064	UDP</meinepublicip>
    

    Dabei habe ich das schon mehrfach und doppelt freigegeben (denke ich  :o)

    Bild 1 zeigt den Port Forward, den ich explizit nochmals zum Testen eingerichtet habe, das Alias PBX ist dabei meine Telefonanlage.
    Bild 2 zeigt noch zusätzlich eine leicht angepasste Easyrule, nach der die Firewall die Pakete eigentlich gar nicht fangen dürfte
    Bild 3 zeigt die Outbound NAT Konfig
    Bild 4 zeigt die auf der Sense geblockten Pakete wenn ich vom Telekom VOIP hier anrufe










  • @athurdent:

    Ja, eigentlich sollte der STUN Server dafür sorgen, dass Telefonate dann funktionieren. Gibt's in der Anleitung/Knowlowledgebase des Herstellers vielleicht ein Sektion, was den Betrieb hinter Firewall/NAT angeht?

    Anbei die relevanten Auszüge aus diesem Dokument https://www.agfeo.de/agfeo_web/dokulib.nsf/Anlage_w/8EC91059E9E14914C12580360049ED66/$FILE/SIPTrunk_ALLIP_10_16.pdf (Seite 11 und 12) - sie lassen mich im Dunkeln. 5064-5127 leite ich ja weiter per Port-Forward. Aber ich denke, dass sei gar nicht nötig (zumindest scheint das ja der Konsens hier im Forum zu sein, oder?)?
    Die RTP-Ports hatte ich auch schon mal auf die PBX weitergeleitet, wenn ich mich recht entsinne… Aber die liegen ja ausserhalb des Ranges, die das Firewall Log anmeckert.

    Beste Grüsse,

    SnakeZZ






  • @SnakeZZ:

    Was mich halt so puzzelt ist, dass die Telekom von 5060 auf meine PublicIP auf einem SIP-Registration Port reinkommen will und die Sense sie nicht durchlässt (siehe auch Bild 4):

    
    Last 300 Firewall Log Entries. (Maximum 300)
    Action	Time	Interface	Source	Destination	Protocol
    Feb 4 11:17:01	WAN	  217.0.23.100:5060	  <meinepublicip>:5064	UDP</meinepublicip>
    

    Dabei habe ich das schon mehrfach und doppelt freigegeben (denke ich  :o)

    Bild 1 zeigt den Port Forward, den ich explizit nochmals zum Testen eingerichtet habe, das Alias PBX ist dabei meine Telefonanlage.
    Bild 2 zeigt noch zusätzlich eine leicht angepasste Easyrule, nach der die Firewall die Pakete eigentlich gar nicht fangen dürfte
    Bild 3 zeigt die Outbound NAT Konfig
    Bild 4 zeigt die auf der Sense geblockten Pakete wenn ich vom Telekom VOIP hier anrufe

    Hmm, das sieht auf den ersten Blick sauber aus. Aber wenn das Paket geblockt wird, scheint die Portforward-NAT Regel nicht zu ziehen.
    Schalte mal "Where to show rule descriptions" in den Logoptionen an, damit man sehen kann, welche Rule das blockt.
    Mal den Filter neugeladen, oder ggf. die gesamte Firewall rebooted?
    Hast Du noch andere Dienste laufen?



  • @athurdent:

    Schalte mal "Where to show rule descriptions" in den Logoptionen an, damit man sehen kann, welche Rule das blockt.
    Mal den Filter neugeladen, oder ggf. die gesamte Firewall rebooted?
    Hast Du noch andere Dienste laufen?

    OK, Screenshot anbei - "Default deny rule IPv4…." :o
    Reboot mach ich jetzt gleich mal und geb nochmal Rückmeldung.

    Welche anderen Dienste meinst du? Ausser dass die Telefonanlage in einem separaten Netz (VLAN) läuft, macht die Sense nur noch einen OpenVPN Server und monitored die UPS.
    Aber eigentlich alles nix, was da in die Quere kommen dürfte.




  • Also: Der Reboot brachte keine Änderung. Habe die Telefonanlage auch gleich noch durchgestartet….
    Es ist immer noch so, dass ich

    • raustelefonieren kann

    • Anrufe z.B. vom Mobilfunknetz annehmen kann

    • Anrufe aus dem Telekom VOIP Netz nicht mal signalisiert werden und ich folglich auch mit Anrufern nicht sprechen kann

    :(



  • Vielleicht ist irgendwas auf Deinem Telefon VLAN unsauber, so dass die NAT Regel nicht zieht und der Traffic ungemappt auf Deiner WAN IP aufschlägt. Probier mal testweise, die Telefonanlage ins LAN zu stellen.



  • Das muss irgendetwas Telekom-Spezifisches sein. Ich habe eben mal testweise auf der Anlage noch eine Sipgate-Nummer eingerichtet, damit funktioniert es problemlos!



  • Hallo nochmal,

    heute habe ich noch eine interessante Entdeckung gemacht. Ich habe inzwischen ein Site-2-Site VPN aufgebaut.
    Das VPN läuft auf Port 1195 und funktioniert eigentlich problemlos. Ich komme an alle Netze zwischen beiden Seiten.

    Wenn ich nun von Offsite mit einem Soft-VOIP-Client auf die Anlage verbinde, kann ich auf lokale Nebenstellen telefonieren.
    Sobald ich aber raustelefonieren will, funktioniert das nicht (timeout). Die Firewall schreibt u.a. log.
    Sieht irgendwie nach etwas Ähnlichem aus wie mein Telekom Problem… oder?

    Beste Grüsse,

    SnakeZZ




  • Wenn Anrufe nicht ankommen liegt es meistens am Keep Alive.
    Ist das wirklich aktiv?
    Mal mit Wireshark einen Trace gezogen ob es auch wirklich kommt.
    Wenn das Keep Alive aktiv ist braucht mal normal ein Inbound NAT oder Firewall Regeln das sollte durch das Keep Alive aufgehalten werden.



  • Hallo,

    lt. Dokumentation (s. Screenshot oben) ist das standardmässig auf 15s eingestellt. Pfsense habe ich auf 55s eingestellt.
    Ich bin etwas unbedarft, was wireshark angeht…. was muss ich da genau tun, um das zu prüfen?

    Beste Grüsse,

    SnakeZZ



  • Hallo nochmal,

    ich hab einfach mal einen UDP-Paket Capture gemacht, Ergebnis siehe Anhang.
    Wie habe ich das jetzt zu interpretieren?

    Es sieht schon so aus, als ob die 192.168.48.50 (die Telefonanlage) alle 15 Sekunden was rausschickt… oder?

    Beste Grüsse,

    SnakeZZ




  • das sieht eigentlich gut aus. normal sollten die Inbound NAT und Firewallregeln nicht gebraucht werden dafür.
    Sollte das Keepalive immer aktiv sein sollte die Firewall nicht dicht machen.

    Hast du es schonmal ohne diese Regeln versucht?



  • Ja, das habe ich versucht. Da bekomme ich gar keine Anrufe rein.
    Ich hab immer noch nicht verstanden, wieso überhaupt der default ipv4 filter auf der Sense greift… das macht aus meiner Sicht gar keinen Sinn?!?



  • Das deutet eigentlich darauf hin das das Keep Alive nicht klappt.
    Siehst du denn Offene States in der PfSense mit dem Port auf dem der Ruf reinkommen soll?

    Was meinst du mit default ipv4 filter?
    Bei der PfSense wird alles was nicht definiert ist geblockt und das passt ja von extern nach intern auch so.