Telefonie mit Fritzbox hinter pfSense und DrayTek Vigor 165



  • Hallo Allerseits!
    Ich plane an einem DSL100 von 1&1 ein DrayTek Vigor 165 als Modem und dann eine pfSense Box zu betreiben. Dahinter soll die alte Fritzbox 7590 weiterhin die Telefonie übernehmen.
    Gibt es Erfahrungen wie dies zu bewerkstelligen ist und was man beachten muss?
    Vielen Dank!



  • Hi,

    ich habe fast eine identische Konstellation (nur einen anderen ISP). Ja das funktioniert ohne Probleme!

    Die Fritzbox muss hierbei als IP-Client eingerichtet werden:
    screen.jpg

    Alle anderen Einstellungen bzgl. IP-Telefonie kannst du im Grunde so lassen.



  • Super. Vielen Dank!
    Betreibst Du das Modem als Bridge (Logindaten in pfSense) oder lässt Du das Modem die Verbindung herstellen (Logindaten im Modem) und lässt dann per IP zur pfSense verbinden? Oder ist das egal?



  • @defender110

    Das Modem betreibe ich im Full-Bridge-Modus. Es setzt aber den VLAN-TAG - Bei mir 132. Telekom hat glaub ich 7, was aber Standard sein müsste.



  • @enJOyIT Dankeschön! Probier ich so aus!



  • Ich habe auch die gleiche Anordnung(DrayTek Vigor130, Fritzbox7490) nur DSL und Telefonie von der Telekom. Bei mir reißen Gespräche immer mal ab bzw. der Anschluß ist nicht erreichbar. Alle Tipps hier aus dem Forum haben nicht geholfen.



  • @More Danke für den Hinweis! Na das sind ja Aussichten. :-(
    Ich glaube 1&1 nutzt auch das Telekomnetz.
    Na hoffen wir mal das Beste!



  • @More said in Telefonie mit Fritzbox hinter pfSense und DrayTek Vigor 165:

    Ich habe auch die gleiche Anordnung(DrayTek Vigor130, Fritzbox7490) nur DSL und Telefonie von der Telekom. Bei mir reißen Gespräche immer mal ab bzw. der Anschluß ist nicht erreichbar. Alle Tipps hier aus dem Forum haben nicht geholfen.

    Das ist ein Indiz dafür, dass die SIP-Session nicht konstant in der State Table gehalten wird und in nen Timeout läuft bevor eine erneute Registrierung stattfindet. UDP Multiple wird mit den pfSense Default State Timers für 60 Sekunden offen gehalten. Wenn in diesem Zeitraum keine Kommunikation zwischen DTAG SIP Proxy und der Fritzbox stattfindet, wird die Session verworfen und alle eingehenden Anrufe von der Firewall geblockt. Auch laufende Gespräche können dadurch nach exakt 15 Minuten Gesprächsdauer "abgerissen" werden, da die Telekom in diesem Intervall SIP UPDATE Pakete schickt und bei Nichtbeantwortung das Gespräch einfach beendet wird.

    Der Fritz Kasten registriert sich alle 600 Sekunden? NAT Keepalive (sofern aktiviert) sendet alle 60 Sekunden?

    Ob die Session aus der State Table geschmissen wird, lässt sich einfach mit pftop herausfinden. Falls ja passe deine Konfiguration auf der Fritzbox an bzw. wähle eine UDP Multiple Timeout der sicherstellt, dass die SIP Session nicht durch ein Timeout raus geschmissen wird.
    Faustregel sind die ersten zwei Punkte aus der pfSense Dokumentation für SIP Phones, um das ganze stabil ans laufen zu bekommen.



  • Erst mal Danke für deine Tips. Gesprächsabrisse habe ich nach unterschiedlichen Zeiten. Mal nach 15Min, mal nach 30, mal nach 2h oder gar nicht. Ich sehe in der Systemprotokollierung die geblockte Verbindung. Bisher hatte ich die gesperrten IPs in einer Freigabeliste eingetragen. Da die Telekom oft die Server wechselt kamen besonders anfangs oft Abbrüche vor. Die Fritzbox ist auf 30sec. eingestellt.

    Beim Eintragen der Port-Weiterleitung werden ja automatisch die WAN-Freigaben eingetragen. Inzwischen habe ich unter Firewall/Regeln/WAN den Telekom-Ipbereich 217.0.0.0/13 mit Port 5060 freigegeben für die Fritzbox. Zusätzlich die RTP-Ports. Bis jetzt läufts.
    Damit da nicht jeder rein kann, WLAN läuft auch noch über die Fritzbox, habe ich das jetzt bei Port 5060 auf den Telekom-IP-Bereich beschränkt. Ist das nicht sinnvoll?



  • @More

    Ich betreibe ein Yealink IP-Telefon hinter einer pfSense und Vigor165 im FullBridgeMode.

    Ich habe für die Telefonie keine Portweiterleitungen, nur eine Outbound NAT Rule. (Source = IP des Telefons, Transport-Protokoll = UDP))

    43ff118c-6a66-4486-9a70-c916fafe0cb4-grafik.png

    Kein NAT und kein STUN im Telefon, das Keep-Alive ist auf 30 sek eingestellt.

    Damit kann ich anrufen und angerufen werden und habe keinerlei Abbrüche festgestellt.



  • @wkn said in Telefonie mit Fritzbox hinter pfSense und DrayTek Vigor 165:

    Kein NAT und kein STUN im Telefon, das Keep-Alive ist auf 30 sek eingestellt.
    Damit kann ich anrufen und angerufen werden und habe keinerlei Abbrüche festgestellt.

    Unter den oben aufgeführten Randbedingungen sind diese Einstellungen an der Fritte für ein problemloses telefonieren völliog ausreichend.

    Es halten sich immer noch im Netz Anleitungen für freizugebenden Ports an der pfSense. Warum die einfache Lösung wählen, wenn es kompliziert auch geht?

    LG



  • @wkn @Gladius
    Da durch die aktuelle Situation (Homeoffice und Homeschooling) die Leitung ständig verfügbar sein muß, konnte ich die Tests noch nicht durchführen. Ich danke euch und melde mich wieder sobald ich es umstellen konnte.

    LG



  • Danke für den Tip, so hatte ich das noch nicht versucht, es ist aber viel besser als die Portfreigabe.



  • Guter Tip.

    Bei mir stellt eine 7490 am EWE Glasfaseranschuss die Verbindung her und direkt dahinter ist die pfSense als Exposed Host.
    Die Fritte macht nur die Verbindung und VOIP.

    Nachdem ich die Einstellungen mit dem Ausgehenden NAT gemacht habe, konnte sich unser Yealink T42S hinter der pfSense an der Fritte anmelden.

    Leider kann man weder raus noch rein telefonieren.......

    Im Telefon ist NAT und STUN deaktiviert.

    Gruß
    Marco



  • @Mäggo

    Kannst du deine Geräte nicht einfach "drehen", also die pfSense an das Modem hängen und die Einwahl machen lassen und die Fritzbox am LAN der pfSense allgemein für die Telefonie? Das sollte besser zu konfigurieren sein als so, wie es nun aufgesetzt ist.



  • Mein Setup ist
    Telekom - Fritzbox 7530 - Pfsense (NordVPN) - Fritzbox 7590 (Mesh Master) - Fritzbox Repeater 1750E (3 Stück).
    Telefonie geht über 7530. Funktioniert tadellos.


Log in to reply