[GELÖST] Unitymedia => pfSense => Fritzbox 7490 => Telefon
-
Hallo Leute,
ich bin mir sicher, dass das Thema keiner mehr sehen kann … ich habe jetzt so viel gelesen und recherchiert dass ich es selbst kaum glauben kann, dass es noch immer nicht geht.
Ich habe eine Fritzbox 7490 aus meinem noch bestehenden DSL-Vertrag mit 1&1 und nutze seit geraumer Zeit meinen neuen Kabel-Vertrag von Unitymedia. Die Fritzbox ist also selbst nicht mehr im DSL eingewählt und bezieht das Internet von der Horizonbox (Unitymedia). In dem Szenario funktioniert soweit auch alles.
Nun kam der Basteltrieb wieder durch und ich wollte eine pfSense zwischen die Horizonbox und dem restlichen LAN klemmen. Für das normale Netzwerk ist das auch erstmal kein Problem nur kommen auf einmal keine eingehenden Anrufe mehr durch.
Offenbar scheitere ich kläglich daran, die pfSense korrekt zu konfigurieren, um die Telefonie durchzulassen.
Kann mir mal bitte jemand ein funktionierendes Regelwerk zeigen?
Ich habe schon viele Screenshots gesehen nur bringen die alle samt nichts, wenn die Ports dabei immer nur Aliase sind, dessen Inhalt man ja schlecht sehen kann.Horizonbox LAN 192.168.178.1;
pfSense WAN: 192.168.178.21; LAN: 192.168.1.1;
Fritzbox LAN: 192.168.1.80In der Horizonbox ist der "DMZ-Host" auf 192.168.178.21 also die pfSense WAN-Seite gesetzt.
Wenn ich vom Handy mein Festnetz anwähle kommen in der Firewall-Log solche Einträge:
Mar 18 00:52:23 WAN 212.227.18.135:5060 192.168.178.21:31959Firewall => NAT => Port Forward
Interface Protocol Source Address Source Ports Dest. Address Dest. Ports NAT IP NAT Ports Description WAN UDP * * * 7078 - 7110 192.168.1.80 7078 - 7110 NAT VOIP FritzBox
Firewall => NAT => Outbound
Interface Source Source Port Destination Destination Port NAT Address NAT Port Static Port Description WAN 192.168.1.80/32 * * * WAN address * x
Firewall => Rules => WAN
States Protocol Source Port Destination Port Gateway Queue Schedule Description 0 /0 B IPv4 UDP 192.168.1.80 * 192.168.1.0/24 VOIP Ports * none NAT VOIP FritzBox (5060,5070,5080)
Firewall => Rules => LAN ist komplett offen
PS: Ich habe bisher auch noch nicht rausbekommen, wie ich bei den Port-Aliasen eine Portrange angeben kann. pfSense beschwert sich immer, dass es keine valide IP wäre :P
Hoffe, jemand kann mir weiterhelfen.
Grüße
Chris -
Boah, bei dem ganzen genatte wirds mir schwindelig, kannst du das Kabelmodem nicht in einen Bridgemode ändern ?
Also ich hab zwar keine Fritz direkt an der PFS hängen, sondern ein Asterisk aber ich denke mal Sip ist Sip (Ich glaube zumindest ganz fest daran ::) )
Folgende Einträge habe ich für meinen Voip-Server gemacht….
Firewall => NAT => Port Forward
Interface Protocol Source Address Source Ports Dest. Address Dest. Ports NAT IP NAT Ports Description WAN UDP * * WAN address 10000 - 10100 172.20.1.10 10000 - 10100 NAT RTP Asterisk
Interface Protocol Source Address Source Ports Dest. Address Dest. Ports NAT IP NAT Ports Description WAN UDP * * WAN address 5060 172.20.1.10 5060 NAT SIP Asterisk
Firewall => NAT => Outbound
Interface Source Source Port Destination Destination Port NAT Address NAT Port Static Port Description WAN 172.20.1.10/32 * * 5060 WAN address * x Static Sip
Bei deinen UDP Ports 7078 - 7110 handelt es sich um die von der Fritzbox festgelegten RTP Ports. Wobei AVM selbst 7078-7109 angibt, aber wir wollen ja nicht spalten :D
Mit den Einstellungen sollte es grundsätzlich gehen. Kontrolliere noch ob die Firewall Rules automatisch generiert worden sind und das auf dem WAN Interface das Häckchen bei "Block private networks and loopback addresses" rausgenommen ist. Letzteres ist wegen deinem Doppelnat mit privaten Adressen gegebenenfalls notwendig (Vermutung).
Achso, ganz wichtig… Vergiss nicht einen Stun-Server auf der FB einzutragen (Falls nicht standardmäßig aktiviert)
Manche Provider wollen die richtige IP im Sip-Header angezeigt bekommen.Ich hoffe das hilft.
-
Moin,
Also ich hab zwar keine Fritz direkt an der PFS hängen, sondern ein Asterisk aber ich denke mal Sip ist Sip (Ich glaube zumindest ganz fest daran )
Stimmt SIP ist komplett Genormt
Großes S
Großes I
Großes P
und der Rest so wie man will >:(Aber NAT ist aufgrund des Protokolls alles andere als toll.
Mehrfaches NAT ist des SIP tot.Grüße HornetX11
-
Boah, bei dem ganzen genatte wirds mir schwindelig, kannst du das Kabelmodem nicht in einen Bridgemode ändern ?
Sieht schlecht aus: https://support.upc.ch/app/answers/detail/a_id/11040/~/bridge-modus-mit-horizon-hd-recorder
Dass die Horizonbox alles auf die pfsense umleitet per "DMZ-Host" ist also schonmal ein Problem, wenn ich es recht verstehe?
Wie gesagt: ohne der Firewall dazwischen funktioniert es ohne weitere Konfiguration.
Mit den Einstellungen sollte es grundsätzlich gehen. Kontrolliere noch ob die Firewall Rules automatisch generiert worden sind und das auf dem WAN Interface das Häckchen bei "Block private networks and loopback addresses" rausgenommen ist. Letzteres ist wegen deinem Doppelnat mit privaten Adressen gegebenenfalls notwendig (Vermutung).
Ist beides der Fall
Achso, ganz wichtig… Vergiss nicht einen Stun-Server auf der FB einzutragen (Falls nicht standardmäßig aktiviert)
Manche Provider wollen die richtige IP im Sip-Header angezeigt bekommen.Nach etwas rumgooglen hab ich den entsprechenden Servereintrag gefunden und auch die Stelle, wo es in der Fritzbox reingehört :)
(https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publication/show/119_Gespraechspartner-hoeren-sich-nicht/)was die Regeln angeht habe ich bei AVM noch das hier gefunden (der selbe Link):
Von beliebigen UDP-Ports >= 1024 (z.B. 6078-6097) auf die Ports 7078-7109 der FRITZ!Box
Von UDP-Port 5060 auf Port 5060 der FRITZ!BoxWobei ich erst verwundert war, ob das wirklich heißt, dass der eingehende Port auch 5060 ist
die Regel sieht nun also so aus:```
Interface Protocol Source Address Source Ports Dest. Address Dest. Ports NAT IP NAT Ports
WAN UDP * * WAN address 7078 - 7109 192.168.1.80 7078 - 7109
WAN UDP * 5060 (SIP) WAN address 5060 (SIP) 192.168.1.80 5060 (SIP)Damit habe ich gerade mit dem Handy zumindest das Festnetz erreicht, aber konnte nur auf dem Handy hören, was ich im Festnetz reingesprochen habe … also Ton von Aussen klappt nicht.
-
Hat noch wer eine Idee, was noch fehlen könnte, damit ich auch denjenigen höre, der mich angerufen hat?
-
Da gibts einige Möglichkeiten, wie hornetx11 schon erwähnt hat, ist SIP sehr flexibel was den Standard angeht.
Grundsätzlich müsste es mit den oben angegebenen PFS Einstellungen funktionieren, aber…
Manche Voip Provider wollen Stun, die anderen nicht. Bei manchen Provider muss man andere RTP Ports verwenden.
Es gibt noch die Möglichkeit das Paket Sipproxd zu installieren. Ich hab da zwar schlechte Erfahrungen damit gemacht, aber einen Versuch ist es wert. Wobei dir da womöglich wieder das doppelte NAT in die Suppe spuckt.
Was man noch machen kannst, ist einen größeren RTP Bereich forwarden. z.b. von UDP 5100 - 11000, jedoch in der Firewall blocken und mitloggen. Dann siehst du ob was auf einem anderen Port aufschlägt.
Oder du legst dir ein anderes Modem zu das den Bridge-Mode unterstützt ;)
-
Hallo chrisi51,
zunächst entferne bitte die WAN Regel Port 5060. Das hat Parsec schon mal erläutert warum 8)
Ansonsten sahen die Regeln gut aus, Outgoing-NAT von Fritzbox-IP mit Port 5060 und statisch ist richtig/nötig. Der Ton läuft über die RTP-Ports die je nach PBX unterschiedlich sind.
Anbei der Beitrag hier im Forum sowie ein Zitat von Parsec ;D
https://forum.pfsense.org/index.php?topic=112764.0
Der SIP Dienst der Telekom funktioniert im Prinzip wie jeder andere - dort liegt das Problem nicht.
Auch nicht in PFsense 2.3.1Eingehend Port 5060 freizuschalten ist falsch. Zumindest hast Du ihn aber auf tel.t-online.de beschränkt.
Hättest du dies nicht, könnte jeder aus dem Internet sich an deiner Telefonanläge anmelden und auf deine Kosten telefonieren.
Hat mal einen Kunden von mir 9000€ gekostet!Du brachst in der PFsense EINE ausgehende NAT-Regel mit Port 5060/UDP
Source: IP der Telefonanlage - dort MUSS der Haken bei "Static Port" sitzen
Eingehend müssen nur die RTP Ports auf diene Anlage weitergeleitet werden.
Standard RTP ist 5004/UDP und folgende.Ja nach Anlage werden aber auch gerne 10000/UDP-10100/UDP verwendet.
Gigaset DECT Stationen verwendet 5004/UDP bis 5020/UDP
Frizboxen 7078/UDP-7110/UDP -
zunächst entferne bitte die WAN Regel Port 5060. Das hat Parsec schon mal erläutert warum
Eingehend Port 5060 freizuschalten ist falsch. Zumindest hast Du ihn aber auf tel.t-online.de beschränkt.
Hättest du dies nicht, könnte jeder aus dem Internet sich an deiner Telefonanläge anmelden und auf deine Kosten telefonieren.
Hat mal einen Kunden von mir 9000€ gekostet!Ähm, jein. Das kann ich so nicht stehen lassen. Pauschal zu sagen dass man die Freischaltung nicht braucht ist falsch.
Manche Provider verlangen aus eigender Erfahrung die Weiterleitung dieses Ports.Und ja, bei alten Fritzboxen oder schlecht konfigurierten Asterisk Server bestand die Möglichkeit des Missbrauchs.
Bedenkt, dass alle Fritzboxen die als Router fungieren und direkt mit dem Internet hängen, den Port 5060 auf der WAN Seite offen haben.Wenn du eine FB mit einer FritzOS Version 6.50 oder höher hast, sind seitens AVM Vorkehrungen getroffen worden, dass so ein solcher Missbrauch nicht mehr möglich ist. (Sehr zum Leidwesen Jener, die die FB als Client einsetzen und über ein Thirtparty VPN oder einem anderen Subnetz drauf zugreifen wollen)
Gruß
Rubinho -
Also 5060 offen zu halten scheint tatsächlich doch nicht notwendig zu sein … ich habe mir nun noch mal https://doc.pfsense.org/index.php/VoIP_Configuration genauer angeschaut und einfach mal try'n'error praktiziert ...
also mal von der Fritzbox kommend alles im Outbound Nat Static zu machen .... DAS bringts ... Nach bisschen hin und her kam ich dann doch noch auf eine geistreiche Idee und habe nur 7078-7110 auf der Sourcesite static gesetzt ...
also im Outbound habe ich nun:
Mappings Interface Source Source Port Destination Destination Port NAT Address NAT Port Static Port WAN 192.168.1.80/32 * * 5060 WAN address * x WAN 192.168.1.80/32 7078:7110 * * WAN address * x
=> läuft ;)
jetzt steht wohl noch ein langzeittest aus um zu schaun wie stabil es ist.
-
Ich bin immer wieder überrascht, wieviel unterschiedliche Lösungen notwendig sind, um zum gleichen Ziel zu kommen…. so viel zum Standard :/
Sei froh, dass du nur einen Voip Provider benutzt. Ich habe 7 unterschiedliche Provider mit insgesamt 20 Accounts auf meinem Asterisk-Server am laufen und einige sind richtige Zicken !
(Und nein, die Accounts sind nicht alle für mich. Ich betreibe einen Internet Gemeindschaftsanschluss incl Telefonie)Trotzdem Glückwunsch :)
-
ja ich find's auch mächtig merkwürdig … aber wer weiß, an welcher Ecke diese Abhängigkeit nun ausgelöst wird ...
Gibt ja ausreichend Angriffsfläche. ;)
-
Moin,
;D nach meiner Erfahrung heißt es bei SIP nicht try'n'error sondern try and worry ;D
Wireshark wird hier zum besten Freund. Manchmal auch mit trap.HornetX11
-
Also 5060 offen zu halten scheint tatsächlich doch nicht notwendig zu sein … ich habe mir nun noch mal https://doc.pfsense.org/index.php/VoIP_Configuration genauer angeschaut und einfach mal try'n'error praktiziert ...
also mal von der Fritzbox kommend alles im Outbound Nat Static zu machen .... DAS bringts ... Nach bisschen hin und her kam ich dann doch noch auf eine geistreiche Idee und habe nur 7078-7110 auf der Sourcesite static gesetzt ...
also im Outbound habe ich nun:
Mappings Interface Source Source Port Destination Destination Port NAT Address NAT Port Static Port WAN 192.168.1.80/32 * * 5060 WAN address * x WAN 192.168.1.80/32 7078:7110 * * WAN address * x
=> läuft ;)
jetzt steht wohl noch ein langzeittest aus um zu schaun wie stabil es ist.
Ich habe leider auch nur wenige VOIPs machen müssen/können, bisher genügte mir aber die 5060 NAT Regel. Es gibt hier übrigens eine sicherere Umsetzung mit Port 5061 bei manchen Anlagen.
Die RTP Ports müssen glaube ich nicht Outbound geNATet werden. Ich meine das es aber deswegen bei dir geht, weil NAT vor den Firewallregeln abgearbeitet wird, und du somit die Ports (hinten herum) freigeschalten hast. Ich mache das üblicherweise am Interface per Firewall-Regeln, da dies bisher genügt hat. Also einmal 5060 Outbound NAT, sowie unter Firewall RTP ausgehend und am WAN eingehend per PortForewarding NAT. Je nach Anlage sind die RTP Ports dann andere als oben angegeben.
Grüße
-
@rubinho: wenn du so viele unterschiedliche SIP Provider am Start hast (inkl Zicken :D) - was wäre denn dann bspw. eine (oder mehrere) Empfehlungen von der Konfiguration (einfach) und Funktion her, wenn man einen alternativen SIP Provider sucht? Was wären denn Empfehlungen was Leistungen etc. angeht und recht wenig zicken bei der Konfiguration macht?
Grüße
-
@JeGr
an was hast du Gedacht ?Einen Provider zum Beherbergen deiner Rufnummern oder hauptsächlich zum raustelefonieren.
Meine Rufnummern hab ich momentan gesplittet, ein Teil meiner Rufnummern liegt bei Dus.net und ein anderer bei Sipgate.
Sipgate ist aber bei mehr als einer Nummer nur zu empfehlen, wenn du einen Asterisk Server betreibst. Ansonsten kannst du bei einem Basic Sipgate Anschluss nicht unterscheiden, auf welche Rufnummer angerufen wurde, weil du nur einen Sipaccount hast. Bei Dus sind es derweilen 5.
Beide Provider verlangen für das Beherbergen der Rufnummer einmalig für das Portieren Geld. Ab dann kostet es nichts mehr.Da aber sowohl Sipgate als auch Dus nicht die günstigsten Verbindungspreise besitzen, kann ich für ausgehende Gespräche folgende Provider empfehlen…
Wer eine preiswerte Festnetz-Flat benötigt, der kann sich mal bei Toplink-Xpress umsehen. Dort kostet die preiswerteste Flat 2,90€ (Eine Leitung als Analog Ersatz), 5,80€ (Zwei Leitungen als ISDN Ersatz) und 11,60€ (4 Leitungen)Für preiswertes Telefonieren (Fest und Mobil) ohne Flat, kann ich Voip2GSM empfehlen. 3,8ct/min ins Mobilfunknetz bzw 0,8ct/min ins Festnetz. Taktung ist 30/30
Beide Provider erlauben Clip no Screening, d.h. man kann die Ausgehende Rufnummer am Endgerät festlegen. (Ein Feature das nicht jeder anbietet.)
Aber nur bei Toplink kannst du ne echte Nummer beantragen, oder portieren lassen. Falls man alles bei einem Provider haben möchte.
Zickig ist meiner Erfahrung nach hauptsächlich Dus.net (Bei eingehenden Verbindungen). Aber wenn die Konfig passt, läuft auch Dus.net problemlos.