SIP-Telefonate durch VPN-Tunnel, einseitige Audio-Übertragung



  • Wir haben hier hinter der Hardware-pfSense 2.4.5 eine Hardware-Asterisk-Telefonanlage im Büro.

    Unsere Mitarbeiter im HomeOffice sollen ihre Softphones nun per IPsec IKEv2-VPN mit der Anlage verbinden. Da wir uns auf VPN-Zugänge beschränken, sind die bislang eingerichteten Regeln extrem überschaubar.

    Der Tunnel ist erfolgreich eingerichtet. Bei einem ersten Telefonie-Test hat es fast geklappt, d.h. die Rufe wurden aufgebaut und es kam eine Verbindung zustande. Allerdings war die Audio-Übertragung einseitig, d.h. wir konnten die Kollegen im HomeOffice zwar hören, sie uns aber leider nicht.

    Ich tippe darauf, dass die ausgehenden UDP-Pakete nicht richtig ins VPN geleitet werden. Woran kann das liegen? Muss evt. eine NAT-Outbound-Regel hinzugefügt werden und wie sollte die wohl aussehen? Bislang gibt es dort im wesentlichen nur eine Regel für das Outbound-NAT der Telefonanlage in Richtung WAN.

    Viele Grüße!



  • Gerade bei mir getestet, das funktioniert, je nach Qualität des LTEs mehr oder weniger gut.
    Wenn die stabil im WLAN @home sind, könnte es hingegen echt gut funktionieren.

    Da die Clients eine IP aus dem Pool bekommen den du für IPSec hinterlegt hast, sind die intern und du brauchst hier keine Regel.

    Wenn SIP Inspection nicht aktiv ist, muss die Anlage aber auch zu den Clients sprechen können.
    Wenn deine App andere Protokolle als SIP einsetzt, dann kann es auch sein, dass du mindestens einen Port manuell im Regelwerk von der TK zu den Clients hin freigeben musst.

    Bau doch mal eine IP permit Regel mit Logging und schaue was die beiden so quatschen wollen.



  • Wir haben für unseren ersten Test sowohl für das LAN als auch für das IPsec-Interface eine any any allow-Regel eingerichtet. Damit sollten sich doch weitere Regeln erübrigen, oder? Trotzdem scheinen die UDP-Pakete zwar aus dem Tunnel heraus aber nicht in den Tunnel hinein zu kommen.

    In den Firewall-Logs war nichts rot. Das Problem wird oft im Zusammenhang mit NAT diskutiert, aber ich sehe da bei uns nicht, wo ich ansetzen sollte.



  • Was hat denn jetzt NAT damit zu tun.
    Wenn eine RFC1918 IP an eine andere ran will?
    Oder hast du intern auch NAT aktiv?

    Ich habe aber such nicht den Auto NAT Mode der pfSense aktiv, ich nutze hier Hybrid Mode.
    Ggf. haut dir ja diese Auto Funktion dazwischen.


Log in to reply