Fritzbox als VOIP Telefonanlage vor pfSense



  • Hallo liebe Community,
    ich betriebe derzeit eine FRITZ!Box 6490 Cable als Modem, und Telefonanlage. Hinter der FRITZ!Box ist meine pfSense Firewall (Exposed Host). In meinem LAN Netzwerk befinden sich nun VOIP Telefone.

    Aktuell erreicht das Telefon die FRITZ!Box nicht. Obwohl ich schon die Ports UDP 5060, 7078-7109 als Port Forwarding freigegeben habe.

    Hat jemand eine ähnliches Setup und eine Idee wie ich mein Problem lösen kann?

      WAN / Internet
            :
            : Kabe
            :
      .-----+-------.
      |  FRITZ!Box  |  
      '-----+-------'
            |
        WAN | 192.168.178.1/24
            |
      .-----+-----.  
      |  pfSense  |
      '-----+-----' 
            |
        LAN | 192.168.1.1/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Server/Telefone)


  • Moin,

    kannst du denn von einem PC aus die Fritzbox erfolgreich anpingen?
    Da muss ootB funktionieren, auch ohne Port Freigaben.

    -teddy



  • Ping funktioniert wunderbar.

    Ein Portscan von innen an die Fritzbox zeigt mir diese offenen Ports.

    53,80,139,443,445,554,5060,8181

    Inzwischen kann sich das Telefon auch mit der Fritzbox verbinden. Anrufe nach aussen klappen, jedoch ohne Audio. Anrufe von aussen an das Telefon kommen nicht durch.


  • Rebel Alliance Moderator

    @stvmyr said in Fritzbox als VOIP Telefonanlage vor pfSense:

    Aktuell erreicht das Telefon die FRITZ!Box nicht. Obwohl ich schon die Ports UDP 5060, 7078-7109 als Port Forwarding freigegeben habe.

    Bitte die Forwardings (WO sind die denn überhaupt eingerichtet?) wieder rausnehmen, die bringen IMHO gar nichts.

    Die Telefone müssen sich wenn sie innerhalb des LAN der Sense hängen mit der FritzBox verbinden, mehr nicht. Das sollte wie Teddy sagt, OOTB funktionieren, da abgehend NAT etc. aktiv ist. Ansonsten sollte ggf. abgehend NAT der Port 5060/UDP static port bleiben und/oder man schaltet für die Kommunikation die NAT ganz ab und routet nur durch, dann muss aber auf der FB die Route zum internen LAN auf die exposed Host IP der Sense zeigen.



  • Hallo, ich habe das gleiche Problem. Bei mir kann ich mein iPhone mit der Fritz!Fon App ohne Probleme durch die Pfsense an der FritzBox anmelden. Ich kann auch nach ausserhalb telefonieren bzw. Anrufe von außen nach innen annehmen. Nur ich kann kein Ton hören, mein Gegenüber auch nicht. Wenn ich die Pfsense dazwischen rausnehmen und das ganze Netzwerk über die FritzBox laufen lasse, dann funktioniert es und ich kann auch etwas hören.

    Im Bild kann man noch sehen welche Port Forwarding ich eingestellt habe.

    Bildschirmfoto 2019-03-25 um 18.55.03.png


  • Rebel Alliance Moderator

    Nochmal: warum forwardings und auf welchem Interface? Es macht doch keinen Sinn, es bleibt doch "intern"! Zudem outbound NAT oder Forwardings spielen eher Probleme mit rein, denn die Protokolle müssen bei VOIP Static bleiben und/oder können sonst dem Telefon nicht mehr zugewiesen werden.

    Versucht es einmal einfacher und legt für die IP der Fritzbox eine "NOT NAT" Regel und uf der FB eine Rückroute für euer internes LAN an mit Ziel Firewall. Dann auf dem WAN der Firewall kommend nur von der Fritzbox die notwendigen Ports reinlassen für SIP und dann sollte es auch gehen.

    Die andere - viel einfachere - Methode ist natürlich die Telefonie Geräte direkt in das Netz der Fritzbox zu hängen, gibt ja keinen wirklichen Grund warum die unbedingt im LAN sein müssten?

    Grüße



  • Danke schon mal für Deine Antwort. Ich bin da gerade ein wenig mit überfordert, sorry.
    Bei mir sieht das so aus:
    Internet - WAN FritzBox LAN (192.168.178.1) - WAN (192.168.178.254) Pfsense LAN (192.168.88.1) - alle Endgeräte werden hier per DHCP von der Pfsense versorgt.
    Jetzt könnte man meinen, laß doch die Pfsense weg und versorge per DHCP von der FritzBox. Ja habe ich auch schon gemacht, aber die FritzBox bietet mir nicht so viele Möglichkeiten wie die Pfsense (pfBlockerNG oder openVPN etc.)
    Deshalb habe ich die noch davor geschaltet.
    Wo lege ich denn nun in der Pfsense die "NOT NAT" Regel an, bzw. auf welchem Interface? Und wo bzw was genau in der FritzBox als Rückroute?
    Entschuldige bitte meine Fragen, leider komme ich da nicht ganz von selbst drauf.

    Danke & Grüße


  • Rebel Alliance Moderator

    @ankubo said in Fritzbox als VOIP Telefonanlage vor pfSense:

    Jetzt könnte man meinen, laß doch die Pfsense weg und versorge per DHCP von der FritzBox.

    Nö. Meint niemand. Von der FB will ich so wenig wie möglich sehen/hören :)

    @ankubo said in Fritzbox als VOIP Telefonanlage vor pfSense:

    Wo lege ich denn nun in der Pfsense die "NOT NAT" Regel an, bzw. auf welchem Interface?

    Outbound NAT über der/den Default Regeln, damit sie zuerst greift. Regel erstellen mit Quell-IP oder -IPs (würde ich dann statisch per DHCP vergeben lassen) oder generell das ganze LAN, Ziel FB IP (.178.1) und NOT NAT Haken rein. Damit sollten die Zugriffe auf die FB dann nicht mehr genattet werden und von der internen IP .88.x kommen statt alle von der .178.254.
    Dann in der FB noch im Routing die Route für .88.0/24 auf die .178.254 setzen damit die Pakete auch wieder zurückfinden.

    Grüße



  • Leider funktioniert das noch nicht. Es kann auf beiden Seiten kein Ton gehört werden.
    Ich habe mein iPhone einmal im Outbound NAT angelegt. In der FritzBox habe ich die Route gesetzt. Die Port Forwarding´s habe ich auch alle herausgenommen. Leider ohne ein positives Ergebnis. Die FritzPhone App habe ich auch noch einmal neu installiert und das iPhone angemeldet. Leider auch ohne Erfolg.
    Anbei einmal das was ich in der Pfsense und der FritzBox angegeben habe:

    Bildschirmfoto 2019-03-28 um 11.20.12.png
    Bildschirmfoto 2019-03-28 um 11.20.50.png


  • Rebel Alliance Moderator

    OK die Route sieht soweit gut aus. Hast du denn auch auf dem WAN ne Firewall Regel, dass Traffic von der FB kommend dann ins Netz darf? Wenn sich deine Geräte an der FB anmelden, dann müssen sie ja auch Traffic bekommen dürfen.

    Die pfSense Regel ist aber "disabled", die funktioniert so natürlich nicht?
    Das Ganze sollte da eher so aussehen:

    1eab5177-f49c-4e30-b4c5-5b77d599ee37-image.png

    und natürlich über den anderen Regeln stehen, damit sie auch greift und nicht versehentlich erst nach dem normalen Natting kommt. Daher das ganze auf Hybrid oder Manual stellen und die Regel anlegen.

    Gruß



  • Super, Besten Dank. Jetzt funktioniert es so wie es soll 👌


  • Rebel Alliance Moderator

    Astrein! 😃



  • Guten Abend,
    nachdem das Telefonieren nun klappt, taucht ein neues auf. Wenn ich so ca. 6 Minuten mit meinem iPhone über die FritzPhone App telefoniere, wird das Gespräch gekappt bzw. die Leitung ist stumm. Irgendeine Idee woran das liegen kann?



  • ...das liegt sicherlich an der neuen EU Direktive, die verhindern soll, dass Menschen durch monotones Verhalten Schaden nehmen. Wurde eigentlich für die Briten eingeführt, damit die mal auf den Punkt kommen, hat da aber offensichtlich auch nicht funktioniert.

    SCNR





  • Bei mir funktioniert es inzwischen auch wie beschreiben. Leitung bleibt auch beim telefonieren stabil. Ich kann von meinem VOIP Telefon hinter pfSense nach aussen Telefonieren, und theoretisch auch "rein". Allerdings ist das nur für ca. 5 Minuten möglich (nach dem letzten Telefonat nach aussen). Das gleiche passiert, wenn ich mit meinem DECT Telefon (das direkt an der FB angemeldet ist) das VOIP Telefon Intern anrufe.

    Ich vermute das es irgend ein NAT Timeout ist?


Log in to reply