Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    NetVoIP Ports schlau definieren

    Scheduled Pinned Locked Moved Deutsch
    14 Posts 6 Posters 2.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • jathagrimonJ
      jathagrimon
      last edited by jathagrimon

      Hallo zusammen

      Bei mir steht eine FritzBox hinter der pfSense und an der FritzBox ist ein VoIP Telefon angeschlossen (DECT).
      Seit ich die Verbindung zum ISP über die pfSense leite (seit ca. einer Woche) kann ich das VoIP Telefon nicht mehr nutzen. Da müssen sicher noch Regeln her.
      Im Netz finde ich aber viele widersprüchliche aussagen welche Ports da zu verwenden sind und wie man die jetzt auch noch gut abschirmt.

      Beim Anbieter gibt es zwar ein Wiki aber darin findet man nicht genau diese Infos (ich zumindest nicht): https://wiki.netvoip.cloud/display/WN/FRITZ%21Box

      Ich habe zwar schon mit den Regeln gespielt aber konnte noch keinen Erfolg erzielen:
      ca1de1be-546e-40ee-900c-4e7b1d3ae7ca-image.png
      be626bca-d316-4e43-b599-e33a6d7145d9-image.png

      Fehlt da vielleicht noch ein NAT oder gar Outbound Rules? :
      a0da5f25-8e4f-4ba3-9088-ccf57eeaa70f-image.png
      4d7783c4-d6b8-4311-a407-5c514ae6bd48-image.png

      Habe hier auch schon den Part ausgeführt (ohne Erfolge):
      https://docs.netgate.com/pfsense/en/latest/recipes/nat-voip-pbx.html

      JeGrJ 1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator @jathagrimon
        last edited by JeGr

        Ich denke der wichtigere Part ist eher das hier:

        https://wiki.netvoip.cloud/display/WN/netvoip.ch+%7C+SIP-Server

        Das andere ist ja nur ne bebilderte Anleitung wie man den SIP Account auf der FB einrichtet :)

        Ich würde daher erstmal hergehen und ein Alias mit den SIP Signalling IPs machen (.113, .114 und .152) und eines mit dem /27er Subnetz in dem die RTP Server rumstehen. Dann noch ein Port Alias für RTP mit 35000-65000. Sowie ein Alias mit der Fritzbox hinter der pfSense.

        Danach würde ich wie folgt vorgehen:

        • Auf LAN:
          • Proto UDP
          • Source: (Alias der FB intern)
          • Destination: (Alias SIP Signalling IPs)
          • Destination Port: SIP (5060)
          • allow
          • log

        Damit wird dann abgehend schonmal SIP geloggt was da passiert.
        Dann weiter:

        • NAT/Port Forward
          • Proto UDP
          • Source: (Alias SIP Signalling IPs)
          • Destination: (WAN Address)
          • weiterleiten an: (Alias FB intern)
          • Destination Port: 5060 UDP
          • auto rule erstellen

        Warum? Damit auch eingehend signalling SIP via 5060 vom Provider bei deiner Fritzbox ankommen kann.
        Dann:

        • NAT/Port Forward
          • Proto UDP
          • Source: (Alias RTP IP Range)
          • Destination: (WAN Address)
          • weiterleiten an: (Alias FB intern)
          • Destination Port: (Port Alias RTP Ports 35000-65000)
          • auto rule erstellen

        Die RTP Ports reinkommend reinlassen aber nur aus dem VoIP Subnetz vom Provider und direkt an die Fritte schicken.

        Nicht vergessen noch:

        • NAT/Outbound NAT (!!)
          • Hybrid umstellen (oder ganz auf manuell je nachdem was man sich traut)
          • Einzelne Regel vor den anderen erstellen mit
          • Source: (IP Fritzbox)
          • Destination: *
          • Ports: *
          • Proto: darf ruhig auch * sein
          • NAT Addr: WAN addr
          • static port an

        Bei allen Regeln den Log Haken nicht vergessen, das sollte hinhauen.
        Und dann mal loggen und schauen, wenn die FB versucht sich zu verbinden (udp/5060 müsste im Log auftauchen) und mit wem. Und auf dem WAN dann Loggen und schauen, ob von dort was zurück kommt (udp/5060 oder UDP >35000er Ports).

        Evtl. ist die Seite mit den IPs nicht ganz aktuell etc., das muss man dann rausknobeln und schauen.

        Im Netz finde ich aber viele widersprüchliche aussagen welche Ports da zu verwenden sind und wie man die jetzt auch noch gut abschirmt.

        Das liegt daran, dass jeder Frosch im Netz mit einem Blog behauptet, DAS Rezept für Regeln für SIP und Co zu kennen. Das kann es aber gar nicht geben, denn jeder SIP/VoIP Provider backt seine eigenen Brötchen und was für den einen stimmt, ist für den anderen wieder falsch. Es kommt also immer auf die Summe aller Teile an. Welche SIP Provider, welche Verbindung, welche Geräte und über welchen Modus Operandi wird die Verbindung aufgebaut etc. Wohl dem, dessen Provider ordentliche Dokumentation über IPs und Ports am Start hat. Ohne Werbung zu machen ist aber bspw. SIPgate einer der großen Player, die da vorbildlich arbeiten (klar auch Pionier in dem Gebiet, aber trotzdem!) und alles in ihren Dokus offengelegt haben. Wohin muss welche IP mit welchen Ports über welches Proto erreichbar sein etc. etc. ist es ein Trunk oder mehrere Einzelverbindungen usw. Würde ich mir für alle Provider wünschen, dass die verpflichtend ihre Kommunikationsbeziehungen so offenlegen und dokumentieren müssen, dann gäbe es viel weniger try&error und Testspielchen beim Thema SIP :)

        Cheers

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        jathagrimonJ 1 Reply Last reply Reply Quote 1
        • jathagrimonJ
          jathagrimon @JeGr
          last edited by

          Danke für die Ausführungen. Ich versteh leider nicht alles genau. Daher hier ein paar Rückfragen:

          Meinst du mit "und eines mit dem /27er Subnetz in dem die RTP Server rumstehen." dass ich sowas anlegen soll?:
          e7c6d569-c695-44f3-be11-c12aa0bb569d-image.png

          Als Rule am LAN habe ich es jetzt so:
          21d59239-e9ee-4490-9a56-4da37cd38f70-image.png

          Das NAT schaut so aus:
          12573f86-c690-4942-815a-aaef335665dd-image.png

          Outbound so?:
          784c596b-6004-4979-baff-909dc78f7b78-image.png

          Wäre froh wenn du das nochmal Querlesen könntest um mir meine sicherlich eingebauten Fehler um die Ohren zu hauen. 🤐

          W 1 Reply Last reply Reply Quote 0
          • W
            wkn @jathagrimon
            last edited by

            @jathagrimon

            also ich benötige da an einem Anschluss der Telekom nur die Outbound-NAT-Rule, keinerlei Port-Forwards. Im Telefon ist ein Keep-Alive von 30 s eingestellt. Die Ports werden stateful von "innen" geöffnet.

            9a416815-ef55-4c6a-b3f2-8ac129806124-grafik.png

            Die Source ist die IP meines IP-Telefons im LAN.

            1 Reply Last reply Reply Quote 0
            • micneuM
              micneu
              last edited by

              @wkn das ist bei mir an einem willy.tel voip anschluß auch bei mir so. nur die outbound nat. läuft

              Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
              Hardware: Netgate 6100
              ALT Intel NUC BNUC11TNHV50L00 (32GB Ram, 512GB M.2 NVME SSD)

              jathagrimonJ 1 Reply Last reply Reply Quote 0
              • jathagrimonJ
                jathagrimon @micneu
                last edited by

                Die States geben folgendes aus:
                a864b3f7-7244-4284-9e71-df209b2d9aca-image.png

                Was sagt denn der closed Eintrag? Gerät ...111.249 versucht via Port 39122 auf die IP 192.168.178.210 zuzugreifen???

                192.168.178.0/24 war mal früher mein altes Netz. Ist das vielleicht der Versuch das Mobilteil zu erreichen? Ich verstehe es leider nicht.

                micneuM 1 Reply Last reply Reply Quote 0
                • micneuM
                  micneu @jathagrimon
                  last edited by

                  @jathagrimon ich habe es ganz simple.
                  wie schon geschrieben einfach eine outbound nat erstellt.
                  2022-01-15_00-26-02.png

                  hier die stats
                  2022-01-15_00-23-24.png

                  Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
                  Hardware: Netgate 6100
                  ALT Intel NUC BNUC11TNHV50L00 (32GB Ram, 512GB M.2 NVME SSD)

                  1 Reply Last reply Reply Quote 0
                  • N
                    NOCling
                    last edited by

                    Bei mir hat das so funktioniert, wollte das maximal einschränken.
                    Hybrid Outbound NAT:
                    493b545d-7fdd-4df2-b7a3-97129e6cf4f5-image.png
                    Port Alias:
                    1225266f-95a6-4c90-be05-644dcaf3868f-image.png

                    Lan Out Regelwerk hast du ja schon.

                    Die Ports für den Alias kannst du in der Fritz unter Diagnose -> Sicherheit finden.

                    Netgate 6100 & Netgate 2100

                    JeGrJ 1 Reply Last reply Reply Quote 0
                    • JeGrJ
                      JeGr LAYER 8 Moderator @NOCling
                      last edited by

                      Ja man kann es erstmal nur mit der Manual Outbound NAT Rule probieren.

                      Warum Forwards? Weil einige SIP Dienstleister Signalling (SIP inbound) zuerst versuchen wenn ein Anruf rein kommt. Gerne und gerade genutzt bei SIP Trunks bspw., da reicht es eben nicht nur abgehend zu arbeiten. Für 90% der Fälle kann das klappen, aber dann hat man eben die schlecht verfolgbaren Fehlerchen, dass immer mal wieder vereinzelt Anrufe nicht reinkommen oder man die ersten Sekunden nicht verstanden wird. Weil der Dienstleister versucht von außen zu schicken, das geht nicht, läuft in Timeout und die Anlage nimmt dann von innen nach extern Verbindung auf. Aber nicht jede Anlage und nicht jeder Anbieter spielt da eben mit.

                      Willkommen im Chaos-Zoo von SIP :)

                      Cheers
                      \jens

                      Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                      If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                      jathagrimonJ 1 Reply Last reply Reply Quote 0
                      • jathagrimonJ
                        jathagrimon @JeGr
                        last edited by

                        So, da finde ich mal wieder etwas Zeit am Problem weiterzuforschen.

                        Zwischenbericht:

                        • Ich kann mit dem Fritzfon nun raustelefonieren.
                        • Eingehende Anrufe klingeln aber nicht

                        Zu dem Problem sollten ja die OutboundRegeln kein Thema mehr sein.

                        Meine Konfig aktuell:

                        94730c2c-8412-492d-a41b-c16cf1b6647f-image.png

                        Die Regeln:
                        de8d637d-1c89-4c6c-8bef-3d0f6f67cac2-image.png
                        4a38c875-d1cf-45b7-8f94-1b0218c0eded-image.png

                        c1b55682-c1b8-46f3-b219-220a54ce116a-image.png

                        45db0549-90a4-45c7-9bcb-2406ec31949d-image.png

                        Die Fritzbox hat eine IP aus dem Netz "SWISS" .

                        Wenn ich den Verbindungsaufbau versuche kommt lange kein Ton und dann nach ca. 20 Sekunden scheint es zu klingeln (zumindest hört man das als Anrufer). Das Telefon bleibt jedoch stumm.

                        Jemand eine Idee?

                        Danke

                        J 1 Reply Last reply Reply Quote 0
                        • J
                          jma791187 @jathagrimon
                          last edited by jma791187

                          @jathagrimon
                          Bei mir ist das Setup leicht anders (die FB ist vor der PFS), aber das sollte eigentlich egal sein, denn Du willst ja durch die Firewall von der FB zum Telefon.
                          Ich musste eine Route auf der FB einrichten, die so aussieht:
                          65ad0a02-ce8b-43b8-89fd-f99fda07910b-grafik.png
                          10.0.20.117 ist mein iPhone (das seit dem Einrichten zuverlässig klingelt)
                          10.10.10.112 ist meine WAN-IP der PFS

                          Gruß, Jörg

                          jathagrimonJ 1 Reply Last reply Reply Quote 0
                          • jathagrimonJ
                            jathagrimon @jma791187
                            last edited by

                            @jma791187

                            Danke für die Idee. Da die FB bei mir nicht als Router läuft sondern den Internetanschluss "mitbenutzt", gibt es den Menüpunkt bei mir nicht:

                            429fddb4-69e7-4673-b2aa-2f3c661c0c02-image.png

                            😥

                            1 Reply Last reply Reply Quote 0
                            • N
                              NOCling
                              last edited by

                              Du brauchst kein eingehendes Regelwerk und keine Portweiterleitung auf dem WAN. Du musst nur eine Outbound NAT für die IP der Fritz einrichten und in der Fritz einstellen, dass die Portweiterleitung alle 30 Sekunden aufrecht erhalten werden soll.

                              Dann funktioniert es auch mit eingehenden Rufen sauber.

                              Denn SIP nutzt dynamisch gewisse Ports um 5060 rum, da hilft dir also eine rein statisches Portforwarding nicht.

                              Erlaubst du aber der Fritz selber über das NAT raus Ports zu öffnen, sind diese Statefull und der Rückweg vom Provider bei einem eingehendem Call ist damit sichergestellt.

                              Netgate 6100 & Netgate 2100

                              jathagrimonJ 1 Reply Last reply Reply Quote 0
                              • jathagrimonJ
                                jathagrimon @NOCling
                                last edited by

                                HA! Ich habs gelöst und wenn man sich das so anschaut ist es mega easy und macht total Sinn. :-)

                                Hier also meine Config für die Nachwelt und alle die das vielleicht mal suchen.

                                Daten vom VoiP Anbieter:
                                f2bf3e61-b920-4f32-81e0-2546890982dc-image.png

                                Alias-Einträge anlegen:
                                2b381f89-b1a2-435a-b35a-3c1fa6c24053-image.png

                                Eingehend:
                                c14f98c4-4fc4-40c3-9f66-bdd57eb079d6-image.png

                                Details SIP:
                                4fc0a206-c252-4895-b00b-71d4827d17d9-image.png

                                Details RTP:
                                f2e2ab59-0734-492a-bbab-31a48595f092-image.png

                                Regeln:
                                6027a4d9-11ad-4ed9-be26-cd922a4dcc9a-image.png

                                Details SIP Regel:
                                c72b66e4-69fe-4c78-86ff-bc6140ad9ba1-image.png

                                Details RTP Regel:
                                355b7af5-4dfe-4e0d-bb70-ccee91305850-image.png

                                Ausgehend:
                                0a4911d4-d0aa-44a8-8dc4-5eb357377180-image.png

                                Detaiils Ausgehend:
                                a8cf4d32-6dac-4413-b01a-5e48d395384d-image.png

                                In der Fritzbox:

                                FritzBox läuft bei mir nicht als Router sondern als ?Client?
                                1e0ea746-823f-48df-a19a-6aec5fc0a22b-image.png

                                Rufnummer definieren:
                                5f11fc76-f54a-4fb1-b635-0a36e943866b-image.png
                                8425a60d-2b27-49f2-a634-89e8c8a76563-image.png

                                Auf den Rest der Config in der Fritzbox gehe ich jetzt nicht näher ein.

                                Vielen Dank für Eure Unterstützung.

                                Ich lass es jetzt mal Klingeln. :-)

                                1 Reply Last reply Reply Quote 0
                                • First post
                                  Last post
                                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.