Fritzbox SIP durch pfSense einrichten?



  • Hey! Ich habe neuerdings eine Fritzbox7490 als DSL Router. Sie soll aber nur fürs Internet sorgen und sich eben ins Telekom VoIP einwählen. Und das funktioniert ja auch..allerdings habe ich jetz die Fritzbox eben nichtmehr als Komplettrouter. Am LAN der FB steckt nun eine pfSense als Exposed Host, welche mit 4 netzwerkkarten bestückt ist und Heimnetz, Servernetz und Gastnetz liefert. Dies alles funktioniert ja auch schon wirklich gut und so weiter ^^

    Allerdings will ich ja weiterhin telefonieren usw. Ich habe an der Fritzbox per DECT ein FritzFon und ein Fax. Dies funktioniert natürlich problemlos… allerdings hängt im Heimnetz der pfSense nun eine Türstation als IP-Client, welche gerne per SIP auf die FB im (von der pfSense aus gesehen) WAN zugreiffen will um dort intern dann Nummern zu wählen blabla... ausserdem hab ich auf 2 PC's noh PhonerLite, einen SIP Client mit diesen möchte ich ebenfalls über die Fritzbox telefonieren können...und dann wären noch 4 Handy mit der FritzFon App, die halt eben auch telefonieren können sollen.
    Ich hoffe man versteht was gemeint ist...

    Würde das mit irgendwelxhen Freigaben oder so funktionieren? müsste doch eigentlich gehen denke.

    Vielleicht würde es funktionieren ein VPN zwischen FB und pfSense aufzubauen, is aber wohl auch nicht das beste. Ich hätte auch noch eine andere Fritzbox rumliegen, falls man mit der was machen könnte

    Vielen dank im Vorraus!


  • Moderator

    Würde das mit irgendwelxhen Freigaben oder so funktionieren? müsste doch eigentlich gehen denke.

    Hast du es denn überhaupt mal ausprobiert ob es geht? Sind auf den LAN Ports irgendwelche Regeln, die das unterdrücken oder verbieten? Ansonsten ist die FB ja trotz allem dein Upstream Gateway und IP Verbindungen dorthin sollten kein Problem darstellen.

    Gruß



  • Danke schoneinmal an die Antwort.

    Ja die Fritzbox ist ja das Gateway und somit im LAN das stimmt schon. Und ich kann mit einem EINFACHEM SIP-Client eine Verbindung zur Fritzbox im WAN herstellen. Allerdings lässst wohl die pfSense nix eingehendes durch. Denn wenn ich von aussen Anrufe, klingelt innen nichts. Von innen nach aussen kann ich anrufen, allerdings hört mich dann der Gesprächspartner, ich ihn aber nicht. Also irgendwas blockiert zwischen Fritzbox und Client bei eingehenden Sachen. Die App FritzFon kommt nur bis zu einem bestimmten Punkt der Authentifizierung und bricht dann ab. Diese benutzt wohl noch mehr Ports und so weiter ist ja auch kein einfacher Sip client mehr.

    Über ne weitere Hilfe würde ich mich freuen!



  • richte mal bei Outbound NAT für die Source IP-Adresse des Phoner eine Regel ein

    Source-Port *
    Destination  *
    Destination-Port *

    und AKTIVIERE die Checkbox für StaticPort.

    kannst dud ich dann in beide Richtungen verständigen?



  • Wie "für den Phoner" ? Was soll ich konkret eingeben?

    Außerdem gibt es später ja mehr "Phoner"



  • Es geht mir um einen Test.

    Du schreibst:
    ausserdem hab ich auf 2 PC's noh PhonerLite, einen SIP Client mit diesen möchte ich ebenfalls über die Fritzbox telefonieren können

    Du sollst nunfür sie Ip des Rechners auf dem PhonerLite läuft eine outbound nat rule mit den angegebenen Daten einrichten und versuchsweise damit testen ob es dann geht.



  • Moin, Moin,

    für SIP ist NAT eine Komplikation, die wohl noch nicht in allen Kombinationen "out of the box" läuft. Die Komplikation hier ist, dass die FritzBox keinen STUN-Server eingebaut hat.

    Ich habe eine ähnliches Setup wie du, eine 6490 Cable und dahinter pfsense. Die Lösung für mich war ein SIP-Proxy auf der pfsense Firewall (das ist das Paket "siproxd")

    Konfiguration bei mir:

    Services -> siproxd

    • Enable siproxd: aktiviert

    • Inbound Interface:

    • Outbound Interface: <üblicherweise WAN>

    • der Rest kann auf den Default-Einstellungen bleiben

    Als Proxy Adresse stellt du dann im Telefon das Gateway deines LANs ein (üblicherweise xxx.xxx.xxx.1).

    So läuft es bei mir ohne Probleme

    Beste Grüße und viel Erfolg!


  • Moderator

    Was pfsnooker schreibt. Das Problem wird bei SIP immer werden, dass das Protokoll Port 5060 nutzen will. Wenn man am Client bzw. am Telefon nicht explizit einen anderen Port konfigurieren kann ist NAT ein ziemliches Problem für SIP. Deshalb ist der SIP Proxy die einzige Chance ohne Einzelkonfiguration der Teilnehmen im internen Netz durchzukommen. Ansonsten könnte man natürlich auch versuchen das "WAN" Netz (also das LAN der FritzBox) an den Telefonen aufzulegen, dann haben diese keine NAT zwischen sich und dem SIP Server der FB. Die PC Clients wird das aber auch nicht glücklicher machen, allerdings können diese oftmals auf andere Ports konfiguriert werden.

    Grüße



  • @Parsec:

    richte mal bei Outbound NAT für die Source IP-Adresse des Phoner eine Regel ein

    Source-Port *
    Destination  *
    Destination-Port *

    und AKTIVIERE die Checkbox für StaticPort.

    kannst dud ich dann in beide Richtungen verständigen?

    Nachdem ich dies mal für mein Handy gemacht habe, ging dann tatsächlich die Verbindung auch mit der Fritz!Fon App. Aber da damit ja nur ein Gerät ging und ich damit ja glaube ich die Firewall für dieses Gerät öffne lass ich das mal und habe den nächsten Ratschlag versucht…



  • @Parsec:

    Es geht mir um einen Test.

    Du schreibst:
    ausserdem hab ich auf 2 PC's noh PhonerLite, einen SIP Client mit diesen möchte ich ebenfalls über die Fritzbox telefonieren können

    Du sollst nunfür sie Ip des Rechners auf dem PhonerLite läuft eine outbound nat rule mit den angegebenen Daten einrichten und versuchsweise damit testen ob es dann geht.

    Also ja, damit ging es. Aber nun?



  • @pfsnooker:

    Moin, Moin,

    für SIP ist NAT eine Komplikation, die wohl noch nicht in allen Kombinationen "out of the box" läuft. Die Komplikation hier ist, dass die FritzBox keinen STUN-Server eingebaut hat.

    Ich habe eine ähnliches Setup wie du, eine 6490 Cable und dahinter pfsense. Die Lösung für mich war ein SIP-Proxy auf der pfsense Firewall (das ist das Paket "siproxd")

    Konfiguration bei mir:

    Services -> siproxd

    • Enable siproxd: aktiviert

    • Inbound Interface:

    • Outbound Interface: <üblicherweise WAN>

    • der Rest kann auf den Default-Einstellungen bleiben

    Als Proxy Adresse stellt du dann im Telefon das Gateway deines LANs ein (üblicherweise xxx.xxx.xxx.1).

    So läuft es bei mir ohne Probleme

    Beste Grüße und viel Erfolg!

    Wenn dein Setup änhlich ist (eigentlich ja gleich) dann ist das ja schonmal gut ^^. Hab das Sipproxy-Package schon vorher entdeckt, wusste damit aber nichts anzufangen. Hab das dann mal eingerichtet und siehe da - funktioniert! :)



  • @JeGr:

    Was pfsnooker schreibt. Das Problem wird bei SIP immer werden, dass das Protokoll Port 5060 nutzen will. Wenn man am Client bzw. am Telefon nicht explizit einen anderen Port konfigurieren kann ist NAT ein ziemliches Problem für SIP. Deshalb ist der SIP Proxy die einzige Chance ohne Einzelkonfiguration der Teilnehmen im internen Netz durchzukommen. Ansonsten könnte man natürlich auch versuchen das "WAN" Netz (also das LAN der FritzBox) an den Telefonen aufzulegen, dann haben diese keine NAT zwischen sich und dem SIP Server der FB. Die PC Clients wird das aber auch nicht glücklicher machen, allerdings können diese oftmals auf andere Ports konfiguriert werden.

    Grüße

    Jawohl jetzt versteh ich natürlich auch genau, wieso das schlecht funktionieren kann und erst recht nicht auf mehreren Telefonen hinter einem NAT. Weiß selber nicht wieso ich mir das nicht gleich gedacht habe… Naja aber mit der SIP Proxy geht das ja alles recht gut!

    Wenn ichs richtig verstehe erkennt die SIP-Proxy eine SIP Verbindung nach aussen und fängt die ab, right? Und die Proxy SELBER wählt sich dann mit der pfSense IP am Gateway (Fritzbox) als SIP Client an und reicht es dann intern an das Gerät weiter, das die Verbindung ursprünglich wollte? Eigentlich ja mega praktisch.

    Nun habe ich nurnoch das Problem, dass ich die FritzFon App gerne nutzen würde... kann mir da noch jemand weiterhelfen? Was ich herausgefunden habe ist, dass diese App eben nicht nur ein reiner SIP Client ist. Sie benötigt noch einige andere Ports für Dinge wie Adressbuch, Verschlüsselung und sowas...
    Wie kann ich dies dann trotzdem noch freigeben dass eingehende Ports vom Gateway ins LAN zugelassen werden...?



  • @pfsnooker:

    Ich habe eine ähnliches Setup wie du, eine 6490 Cable und dahinter pfsense. Die Lösung für mich war ein SIP-Proxy auf der pfsense Firewall (das ist das Paket "siproxd")

    Erstmal DANKE an alle die mir hier geholfen habe, ist schon fast zufriedenstellend so wie es nun läuft bis auf das mit der App eben. Und Entschuldigung für meinen Posting Spam ^^ aber ich wollte jedem Antworten.

    Nun noch eine Frage an pfsnooker. Wie machst du das, dass die Verbindung aufrechterhalten wird? Also dass man auch jederzeit angerufen werden kann? Weil bei mir schliesst wohl die Verbindung nach einer Zeit und keiner kann mehr anrufen



  • @Perex_:

    Nun noch eine Frage an pfsnooker. Wie machst du das, dass die Verbindung aufrechterhalten wird? Also dass man auch jederzeit angerufen werden kann? Weil bei mir schliesst wohl die Verbindung nach einer Zeit und keiner kann mehr anrufen

    Da kann ich dir leider nicht weiterhelfen. Bei mir klappt es, allerdings mit einem anderen Endgerät, einem DX800a.

    Beste Grüße



  • @pfsnooker:

    @Perex_:

    Nun noch eine Frage an pfsnooker. Wie machst du das, dass die Verbindung aufrechterhalten wird? Also dass man auch jederzeit angerufen werden kann? Weil bei mir schliesst wohl die Verbindung nach einer Zeit und keiner kann mehr anrufen

    Da kann ich dir leider nicht weiterhelfen. Bei mir klappt es, allerdings mit einem anderen Endgerät, einem DX800a.

    Beste Grüße

    Ähm jetzt noch ne kleine Frage :D
    Ich habe bei der Sipproxy ja das In und Outbound Interface eingestellt und so… kann ich das nicht auch irgendwie so einstellen dass es auch SIP Proxy für Verbindungen aus dem VPN heraus macht?

    Also:

    iPhone per LTE --> OpenVPN im Heimnetz --> SIPProxy


  • Moderator

    @Perex_ Bitte nicht für jede Antwort einen extra Post machen, das ist extrem unübersichtlich und könnte mit entsprechendem Zitat alles in einen Post. Danke.



  • Hallo ich versuche gerade ebenfalls PhonerLite durch die pfSense mit meiner Fritzbox 7490 zu betreiben. Dazu habe ich wie oben beschrieben siproxd auf der pfSense installiert und eingerichtet. –>
    Aber ich kann mich weder anrufen noch rauswählen.

    Momentan eingerichtet:

    -  Services -> siproxd
    -  Enable siproxd: aktiviert
    -  Inbound Interface: <dein lan="" interface="" an="" dem="" das="" telefon="" hängt="">-  Outbound Interface: <üblicherweise WAN>
    -  der Rest kann auf den Default-Einstellungen bleiben

    Proxy habe ich ebenfalls eingetragen. 192.168.76.xxx

    Ich sehe unter "registered phones" auch mein "PhoneLite Telefon".
    sip Profil_TWA 192.168.76.150 5060 sip Profil_TWA 192.168.76.254 5060 sip Profil_TWA 192.168.76.254 5060 09/22/2017 01:05:50pm

    PhonerLite kann sich mit der pfSense verbinden. (Grünes Licht in der unteren Statuszeile)

    Wenn ich mich jedoch direkt mit meiner FritzBox verbinde (ohne pfSense dazwischen) dann kann ich ohne weiteres mit PhonerLite telefonieren.

    Hat jemand eine Idee was ich noch ändern könnte?
    Vielen Dank.

    Grüße MU45</dein>