[solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen
-
Zu 1: Anleitung pfSense Seite 340, in der aktuellen PDF müsste das 343 sein.
Zu 2: Weil die Systeme für SIP Signaling das erwarten.
Zu3: Das was die Fritz da dynamisch macht kannst du auch statisch machen, klar wenn es dir besser gefällt. So hört das halt auf, wenn du den Tel Dienst auf der Fritz abschaltest, machst das statisch schlagen die Anfragen weiterhin bei der Fritz ein.
-
@nocling Siehst du und genau das verstehe ich auch nicht. Bei meinem Unifi USG-3 musste ich keinerlei Port öffnen, damit die Fritz-Box Telefon machen konnte. Jetzt bei der Pfsense muss man da was öffnen - komisch.
-
@greeneyedandy Nope, ich habe auch keine Ports geöffnet.
-
@bob-dig said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
Mir sind noch ein paar Fragen aufgekommen, die eher allgemeiner Natur sind, vielleicht lässt sich trotzdem jemand herab.
Frage 1. Um die Fritzbox ansprechen zu könne, musste ich schon mal die Notfall-IP nutzen (169.254.1.1). Von einem direkt verbundenem Laptop kein Problem, mit einer aber quasi identisch eingerichteten Verbindung über die pfSense war kein Zugriff möglich, selbst mit NAT nicht. Warum?
Frage 2. Wozu einen outbbound static port nutzen, weil die andere Seite der Verbindung einfach darauf besteht? Gibt es da sinnvolle Gründe für?
(Bonus-)Frage 3. Die Telefonie der Fritzbox sendet alle 30 Sekunden ein keep alive um die Verbindung aufrecht zu erhalten. Was wäre die Alternative, welche Ports müssten dauerhaft geöffnet werden, SIP oder RTP oder beides? Mit pfBlocker könnte ich das ja versuchen abzusichern.
Noch jemand anderes?
-
@bob-dig Hab ich dann was falsch verstanden? Outbound-NAT öffnet gar keinen Port? Ok, aber im USG-3 musste ich auch das nicht machen.
-
@greeneyedandy Vielleicht ist auch nur der keep alive wichtig und static outbound NAT ist es nicht mehr, müsste ich mal testen.
-
Das ermöglicht der Fritz die Ports ausgehend zu öffnen, so dass sich der Sip Registrar dann von außen hier melden kann um einen Anruf zu signalisieren.
Wenn das bei der USG-3 einfach so funktionierte, dann besorgt mich das ein wenig.
Vermutlich ist hier SIP Inspection aktiv und macht das damit automagisch, aber damit kann man auch recht gute Bruchlandungen hin legen.
Besser ist halt wenn man das sauber, an die jeweiligen Bedürfnisse angepasst, einstellen kann wie hier beschrieben. -
@bob-dig ohne Outbound-NAT hörst du dein Gegenüber nicht!
-
@greeneyedandy said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
@bob-dig ohne Outbound-NAT hörst du dein Gegenüber nicht!
Es geht hier doch um static port outbound NAT. Aber wenn Du das eh meintest, dann hast Du wohl recht, hab es schon wieder vergessen.
Viele andere Router haben da wohl spezielle Assistenten, die versuchen das für diverse Protokolle gleich "richtig" zu machen. Bei pfSense musst du halt das allermeiste selbst machen. -
@nocling ja aber dann ist es ja doch, wie einen Port zu öffnen. Weil für ausgehende Anfragen an irgendwelche Ports brauche ich doch normal (wenn es nicht explizit gesperrt wurde) keine Regeln.
-
@greeneyedandy said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
ja aber dann ist es ja doch, wie einen Port zu öffnen. Weil für ausgehende Anfragen an irgendwelche Ports brauche ich doch normal (wenn es nicht explizit gesperrt wurde) keine Regeln.
Puh, was Du schreibst stimmt vorne und hinten nicht.
Du brauchst immer Regeln und nein, das ist nicht wie einen Port zu öffnen nach außen...
-
@bob-dig was schreibst du denn da? Wenn ich, von einem Rechner hinter der Pfsense eine Verbindung zu, sagen wir mal einem MongoDB-Dienst auf einem gehosteten Server, aufmache, brauche ich doch in der Pfsense nicht den Port 27017 aufmachen, damit er RAUS kommt! Anders sieht das auf dem Server auf, wenn der eine Firewall hat, muss ich den Port 27017 für eingehende Verbindungen öffnen.
OK, du hast natürlich Recht, ich brauche eine Allow-Regel. Die hatte ich schon vergessen. -
Heute noch mal in die Logs geschaut und 5060 wir anscheinend nicht genutzt. Gehe daher davon aus, dass nur die RTP Ports static outbound sein müssen und diese sind nur UDP, also Regel angepasst.
-
@bob-dig bei mir war 5060 immer in den States zu sehen. Du hast es jetzt also hinbekommen, dass du nur noch eine Fritz.Box hast, welche im BridgeMode arbeitet und Telefonie macht. Die Pfsense macht die PPPoE Einwahl. Hast du bisher schon Berichte gehabt, das Leute dich nicht anrufen konnten? Bei mir war das immer das Problem, dass man mich zeitweise nicht erreichen konnte.
-
@greeneyedandy Also ich sehe viel 5061, aber nur ausgehend als Ziel-Port. Ich werde meine Settings noch bis morgen durch Selbstanrufe testen und dann soll es das gewesen sein.
Denn eigentlich will ich lediglich ein Faxgerät betreiben und das auch nur ausgehend für 2x im Jahr.
Das hätte vermutlich also auch ohne irgendwas in der Sense zu konfigurieren geklappt.
-
@bob-dig said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
Denn eigentlich will ich lediglich ein Faxgerät betreiben und das auch nur ausgehend für 2x im Jahr.
Das hätte vermutlich also auch ohne irgendwas in der Sense zu konfigurieren geklappt.Ja aber so ist schon geiler, damit hast auch eine schöne Anleitung für alle nachfolgenden hinterlassen.
Und jetzt hast ja doch meine Regel quasi in Kopie rein gebautNetgate 6100 & Netgate 2100
-
@nocling said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
Und jetzt hast ja doch meine Regel quasi in Kopie rein gebaut
Ohne den SIP Port.
Aber @thiasaef hat hier die entscheidenden Hinweise gegeben. Ich hab als privacy VPN Nutzer nur noch duckduckgo genutzt, welches wohl auf bing beruht und vielleicht deshalb selbst nichts gescheites mehr gefunden. Ich werde wohl google wieder verstärkt nutzen und will die captchas irgendwie anders umgehen, vielleicht mit startpage...
Und wenn es der Schweinehund zulässt, poste ich vielleicht eine vollständige "Anleitung" im Luxx.
-
@greeneyedandy said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
@nocling Siehst du und genau das verstehe ich auch nicht.
Der Witz ist, dass man mit obiger Outbound NAT Regel die automatische
source port randomizationabschaltet.@nocling said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
damit hast auch eine schöne Anleitung für alle nachfolgenden hinterlassen.
Hat er das? Ich lese nur, "es funktioniert nicht" ... ... ... "oh, es funktioniert doch".
@bob-dig said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
Aber @thiasaef hat hier die entscheidenden Hinweise gegeben.
Ich habe im Endeffekt nur das erneut verlinkt, was dir in einem anderen Forum schon mal auf die Frage geantwortet wurde.
wenn es der Schweinehund zulässt, poste ich vielleicht eine vollständige "Anleitung"
Das würde ich begrüßen.
-
@thiasaef said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
Der Witz ist, dass man mit obiger Outbound NAT Regel die automatische 'source port randomization' abschaltet.
Genau darum geht es ja, das SIP Gateway vom Provider muss ich auf einem definiertem Port erreichen können, sonst kommt der Anruf zwar rein, aber der Inhalt vom Gespräch wird nicht übertragen. Sprich es klingelt, du gehst ran, er hört dich du hörst ihn aber nicht.
SIP Inspection macht so was automatisch, kann dir aber je nach System beim konfigurieren auch ins Gesicht explodieren.
-
@greeneyedandy said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
@bob-dig was schreibst du denn da? Wenn ich, von einem Rechner hinter der Pfsense eine Verbindung zu, sagen wir mal einem MongoDB-Dienst auf einem gehosteten Server, aufmache, brauche ich doch in der Pfsense nicht den Port 27017 aufmachen, damit er RAUS kommt!
Doch brauchst du. Per default lässt die pfSense nur mit der allow-any Regel auf dem LAN einfach alles "raus" (auch wenn es eher eingehend auf dem LAN ist was die Richtung angeht, aber das sei jetzt mal dahingestellt). Du machst also auch was auf bzw es wurde eben schon aufgemacht.
Die USG Kiste ist genau wie ne Fritzbox irgendwo zwischen "Amateur" und "Profi" angesiedelt wobei die USG zumindest etwas weiter Richtung Funktion und die FB eher Richtung Amateur pendelt. Die Fritte macht einfach immer alles von innen auf. Da kannst du gar nichts einstellen, das ist einfach fix eingestellt. Die USG hat wie @NOCling sagt sicher irgendwelche Helper die gewisse Dinge automagisch abhandeln, damit sie funktionieren. Machen andere Hersteller wie Cisco und Co auch, was dann genau zu solchen Aussagen führt "aber das musste ich mit X und Y nie machen...". Nur weil die anderen Geräte ggf. im Hintergrund irgendwelche Agents, Proxies, Wizards oder sonstigen Auto-Krempel haben, heißt das nicht, dass sie das nicht genauso auch einrichten. Nur hat die pfSense das eben nicht und deshalb muss mans händisch machen und sich damit auseinandersetzen anstatt es abgenommen zu bekommen und irgendwie schwarzmagisch hintenrum zu lösen. Das erzeugt dann nämlich genau solche Effekte dass man nicht weiß, was die Kiste eigentlich macht.
@greeneyedandy said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
@nocling ja aber dann ist es ja doch, wie einen Port zu öffnen. Weil für ausgehende Anfragen an irgendwelche Ports brauche ich doch normal (wenn es nicht explizit gesperrt wurde) keine Regeln.
Outbound NAT hat mit Regeln zum Port öffnen absolut nichts zu tun, da hat @Bob-Dig völlig recht. Aus Sicht des Filters ist Outbound NAT lediglich eine Aussage darüber, dass der Traffic wenn er von deinem LAN kommt und nach draußen ins WAN geht bitte umgeschrieben werden soll auf die WAN IP, weil im Internet niemand was mit privaten RFC1918 IPs anfangen kann. Das ist der einzige Job der Outbound NAT Regel(n). OB da irgendwas erlaubt wird oder nicht steckt da überhaupt nicht drin, es wird nur etwas umgeschrieben.
Genauso auch bei Port Forwards, hier wird lediglich gesagt, dass eingehend auf IP X und Port Y bitte dann der Paketempfänger umgeschrieben wird auf interne IP Z und Port Y. Ob der Traffic auch erlaubt wird oder nicht - das regelt dann die zugehörige Filterregel. Aber NAT Rules erlauben erst einmal gar nichts. Das ist wichtig für das Verständnis. Sie schreiben nur um, erlaubt wird wo anders.
@greeneyedandy said in [solved] Eine Fritzbox im PPPoe Passthrough Modus und dennoch für Telefonie nutzen:
@bob-dig ohne Outbound-NAT hörst du dein Gegenüber nicht!
Und das liegt an dem ach so schönen SIP Protokoll, das - ähnlich BTW wie IPsec - extrem empfindlich ist welche Ports verwendet werden. SIP kommuniziert auch Ports in seinen Paketen. Wenn dann aber die Firewall wie die pfSense eben auf Sicherheit bedacht ist und abgehend via Outbound NAT Verbindungen eben nicht static mappt damit man keine NAT Sequenz Angriffe versuchen kann, dann sind die Protokolle aufgeschmissen, denn sie gehen schlicht davon aus, dass sie via 5060 rausgehen und auch wieder reinkommen. Dann grätscht aber die Firewall dazwischen und schreibt den Sourceport 5060 in 54826 um und schon passt das Ganze nicht mehr zu dem, was im Paket kommuniziert wird. Darum setzt man bei VoIP für die Telefonanlagen-IP o.ä. eben ausgehend den Static Port Haken, damit die Anlage transparent ausgehend die gleichen Ports nutzt und damit auch die korrekten Ports kommunizieren kann.
Zudem agiert dann noch jeder VoIP Provider anders. Nur weil bei @Bob-Dig bspw. kein udp/5060 auftaucht, muss es bei @GreenEyedAndy nicht auch so sein. SIP ist leider ein einziger Kindergeburtstag in dem sich ein Haufen Anbieter austoben und jeder macht seinen eigenen Kram. Die einen setzen massiv auf 5060/udp wie die Spec, andere nutzen dann 5060/tcp oder 5061/tcp. Wenn man dann das ganze nichtmal dokumentiert ist Spaß garantiert ;)
Ein Beispiel dafür (wie man es gut macht) zeigt Sipgate, die sind auf dem Gebiet aber auch Pionier der ersten Stunde: https://basicsupport.sipgate.de/hc/de/articles/207426705-IP-Port-Bereiche-von-sipgate
Über solche Dokus würde man sich bei anderen Providern freuen, meistens muss man sich aber durch Hotlines und Support Mails fräsen bis man die Infos zusammen hat - nur um dann irgendwann nach Fehlersuche doch zu hören, dass da ja noch was anderes war.Deshalb bei SIP nicht einfach davon ausgehen, dass das, was beim Einen funktioniert zwingend beim anderen auch gehen muss :)
Cheers
