Entega, openvpn und das leidige VoIP



  • Hallo zusammen,

    es gibt zwar viele Informationen zur Thematik VoIP und Telekom. Ich nutze als Anbieter Entega, was nicht das Problem sein sollte. Leider gelingt es mir nicht VoIP in einen funktionierenden Zustand zu bringen.

    Zum Aufbau:

          WAN / Internet
                :
                : 
                :
          .-----+-----.
          |   Modem   |  (Draytek Vigor 130, Bridge Mode)
          '-----+-----'
                |
            WAN | PPPoE
                |
          .-----+-----.
          |  pfSense  | (Entega PPPoE Einwahl, VPN Tunnel mit openvpn)
          '-----+-----'
                |
            LAN | 192.168.1.2 /24
                |
          .-----+------.
          | LAN-Switch +-------(Clients/Servers)
          '-----+------'
                |
                | 192.168.1.4
                |
          .-----+------.
          |  FritzBox  | (FritzBox 7490, IP-Adresse manuell festgelegt, VoIP)
          '-----+------'
    

    Die Internetverbindung mit openvpn funktioniert einwandfrei auf allen dahinter liegenden Geräten.

    Für VoIP habe ich in pfsense und FritzBox folgendes eingestellt:

    1. Portweiterleitung FritzBox

    0_1551614143915_Portweiterleitung_FritzBox.png

    1. Conservative Mode

    0_1551614180962_System_Advanced_Firewall&Nat.png

    1. Alias für Ports – SIP 5060 und RTP 7078:7109

    0_1551614213141_Alias_Ports.png

    1. Alias für FritzBox IP

    0_1551614233023_Alias_IP.png

    1. WAN Regeln

    0_1551614267798_WAN_Regeln.png

    1. Outbound Mode und Mapping (weitere automatisch generierte Regeln nicht dargestellt)

    0_1551614317682_Outbound_Mode_Mapping.png

    Soweit ich das aus verschiedenen Einträgen verstanden habe, ist Port Forwarding in pfsense nicht notwendig, da die Ports von Innen, also der FritzBox, offen gehalten werden.

    Trotz diesen Einstellungen registriert sich die Rufnummer nicht an der FritzBox. Liegt es hier an der Kombination VPN Tunnel und VoIP?

    Sieht jemand den Fehler und kann mir einen Rat geben, das VoIP Problem zu lösen?



  • Hallo Wayfarer,
    ich glaube nicht das dein Problem etwas mit mit OpenVPN zu tun hat.

    Ich habe in etwa die gleich Konstellation und habe folgende Regeln / NAT

    Zunächst eine Portweiterleitung zur deiner VOIP-Fritz Box in dem geschwärzten steht dann die IP-Adresse deiner Fritz-Box
    z.B: 192.168.1.4 oder VoIP_ip
    IP-TelefoniePorts sind bei mir 7072:7109

    0_1551698081018_VOIP_Portweiterleitung.jpg

    Als nächste die ausgehende NAT-Regel
    Zunächst eine Portweiterleitung zur deiner VOIP-Fritz Box in dem geschwärzten steht dann die IP-Adresse deiner Fritz-Box. z.B: 192.168.1.4/32 oder VoIP_ip
    Übrigens die obere NAT-Regel sorgt dafür das ich auch bei einer VPN Verbindung auf die Fritz-Box zugreifen kann. 10.8.0.0/24 ist mein OpenVPN-Netz. Siehe auch pfsense-openvpn-nicht-alle-webseiten-im-lan-erreichbar

    0_1551695212804_VOIP-NAT_Ausgehend.jpg

    Als nächstes die WAN-Regel
    SIP_Proxy ist ein Alias und verweist auf den Zugangsprovider. Somit sollten nur von diesem Provider Verbindungen aufgebaut werden können. z.B sip.1und1.de.
    Welcher SIP-Adresse Entega hat kannst du über die Fritz Box herausfinden.
    Gehe auf 'Eigene Rufnummern -> Rufnummer editieren -> 'Telefon Anbieter ="Anderen Anbieter'' auswählen.
    Hier stehen dann die SIP und STUN Server. (Vorgang abbrechen)
    0_1551695720458_VOIP_WAN_Regel.jpg

    Nun noch die LAN-Regel
    0_1551696524392_VOIP_LAN_Regel.jpg

    So funktioniert es bei mir.
    Die Einstellung "Conservativ" unter "Firewal Optimierungsoptionen" ist ok.
    Die Einstellung an der Fritz-Box ebenso.

    Viel Erfolg
    dahoam



  • Hallo dahoam,

    vielen Dank für die schnelle Antwort. Aller Anfang ist schwer.

    Ich habe das soweit umgesetzt. Zwei Fragen bleiben noch. Das VPN-Netz, wie oben beschrieben, 10.8.0.0/24 und unter Beachtung des gegeben Links, habe ich auf 168.192.1.0/24 gesetzt. Dies führe ich auf meine Augehenden NAT zurück.

    0_1551818347026_Outbound.png

    Ist dies so korrekt?

    Für die Entega Telefonie Registrierung sind in der FritzBox kein Proxy-Server und kein STUN-Server hinterlegt. Hier steht lediglich der Registrar "voip.entega-medianet.de". Ist dies anstelle von "SIP_Proxy" in der WAN-Regel zu setzen oder muss hier weiteres beachtet werden?



  • Hallo Wayfarer
    Nun ich würde dem OpenVPN Netz auf jeden Fall eine andere IP Adresse geben.
    Am besten eine welche in einem privaten Umfeld sehr selten vorkommt wie z.B 10.0.8.0/24 oder so
    192.168.1.0/24 ist ein sehr gebräuchliches privates Netz. Wenn du dich in einem solchen Netz befindest z.B bei Freunden und du willst eine VPN Vetbindung aufbauen wird dies nicht funktionieren, da dein VPN Netz und Zugangsnetz gleich sind. Damit kein NAT möglich.

    voip.entega-medianet.de
    Ich bin mir zwar nicht sicher, aber ich denke das passt.
    SIP_Proxy ist bei mir ein Alias und beeinhaltet sip.1und1.de.

    Funktioniert mit diesen Einstellungen die Telefonie?

    Gruss
    dahoam



  • Guten Abend dahoam,

    danke für den Tip bezüglich des privaten IP Netzes.

    Nein leider sträubt sich die VoIP Registrierung mit diesen Einstellungen immer noch.

    Gruß



  • Hallo Wayfarer,

    Was geht im Detail nicht?
    Geht gar nichts, weder eingehende noch ausgehende Telefonie.
    Was zeigt die Fritz-Box in der Übersicht an? Ist dort unter 'Telefonie' deine Telefonnumer registriert?

    Wie sind den deine LAN-Regeln? Versuche mal zum Test eine Scheunentor-Regel (Alles auf any)

    Ich denke SIP_Proxy müsste bei dir "sip:voip.entega-medianet.de" heissen. oder mache mal zum Test 'any' rein.

    Der Port 5060 dient dem Verbindugsaufbau und Registrierung.
    Der SIP Registrar authentifiziert dich und vermittelt das Gespräch entsprechend der Telefonnummer an andere SIP-Adressen bzw. ein SIP zu Festnetz Gateway einer Telefongesellschaft weiter.
    Das Gespräch findet dann über die RDP- Ports statt.

    Hier ist noch eine Beschreibung von SIP-Mehrgeräteanschluss. Funktionsbeschreibung ENTEGA zu finden.

    Gruß
    dahoam



  • In der FritzBox steht: "1 Rufnummer aktiv, davon keine registriert"

    Die LAN-Regeln sehen wie folgt aus:

    0_1551988799988_LAN_Regeln.png



  • Hallo Wayfarer,

    Schieb mal die VoIP Regel nach oben.
    Denn mit der Allow All Regel vor der VoIP Regel gewinnt diese natürlich zuerst und es geht alles über diese Regel auf das VPN Gateway.
    Die VoIP Regel wird dabei nie aktiv

    Welche Ports sind im Alias von der VoIP Regeln.

    Kommst du nur über das VPN Gateway ins Internet?

    Gruss
    dahoam



  • Hallo dahoam,

    ich komme nicht jeden Tag dazu daran weiter zu arbeiten, deshalb etwas verzögerte Antworten.

    Die VoIP Regel nach oben verschieben geht, ins Internet komme ich weiterhin. Unter "States" steht jedoch kein Datenaufkommen. Was für mich auch Sinn macht, da noch keine Gespräche über die Ports gehen.

    Die Ports im Alias sind 7078:7109, welche ich aus der Sicherungsdatei der FritzBox ausgelesen habe.

    Zum Test habe ich SIP_proxy (Registrar: voip.entega-medianet.de) in der WAN-Regel auf "any" gestellt. Ich sehe dann eigehende Pakete, die jedoch nichts mit Entega zu tun haben. Kann es sein, dass die von der FritzBox ausgehende SIP-Registrierungs Anfrage an den Registrar nicht durch kommt?

    Gruß



  • Hallo Wayfarer,
    Du musst auch noch eine Regel für Port 5060 einstellen. Dies sollte ebenfalls vor der 'Allow All Regel' auf den VPN Gateway stehen. Am besten vor der Alias Regel mit dem VoiP-Ports.

    Gruß
    dahoam



  • Hallo dahoam,

    es bleibt spannend.

    Habe die genannte Regel eingestellt und sehe nun "REGISTER sip:voip.entega-medianet.de SIP/2.0" Anfragen von der FritzBox IP an eine externe IP von Entega an der LAN-Schnittstelle.

    Registrierungs-Antworten bleiben weiterhin aus.

    Gedanklich fehlt mir hier noch die Verknüpfung von der Registrierungsanfrage an der LAN-Schnittstelle auf die WAN-Schnittstelle, also nach außen. Benötige ich hier weitere WAN-Regeln oder ist diese Sichtweise falsch?

    Gruß, Wayfarer



  • Hallo Wayfarer
    Poste doch nochmal deine Wan Regel sowie deine Port Forwarding

    Gruss
    Dahoam



  • Hallo dahoam,

    hier der aktuelle Stand:

    WAN Regeln

    WAN Regeln.png

    LAN Regeln

    LAN Regeln.png

    Portweiterleitung

    Port  Forward.png

    Ausgehend

    Outbound.png

    Bin über jeden weiteren Tipp dankbar.

    Gruß, Wayfarer


Log in to reply