Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Es klingelt in beide Richtungen doch kein Ton

    Scheduled Pinned Locked Moved Deutsch
    pfense voip fb
    6 Posts 2 Posters 1.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • H
      Harlekin Simplex
      last edited by Harlekin Simplex

      Servus zusammen,

      habe aktuell ein Problem beim konfigurieren meiner Firewalls.

      Setup:
      Internet <-> FritzBox <-> OpenMPTCProuter <-> pfSense <-> Zoiper (PC)

      OpenMPTCProuter ist ein OpenWRT basierter Multi Path Router den ich nutze um Bandbreitenbündelung und Ausfallsicherheit herzustellen.
      Bzgl. FW konfiguriert er sich wie ein OpenWRT mit 2 WAN interfaces.

      Die Frage ist, was muss ich wo hinterlegen das mein Zoiper mit der Fritz spielt.
      Wie sieht die Config für das Zoiper auf meinem PC aus.
      Alternativ: Wie sähe sie aus, wenn ich sipproxd auf der pfSense einsetze.

      Die Fritz hat die IP 192.168.2.1
      Der OpenMPTCProuter hat die IP 192.168.2.37(WAN) und 192.168.100.1(LAN)
      Die pfSense hat die IP 192.168.100.148(WAN) und 192.168.30.1(LAN)
      Also ein Doppel NAT Szenario zwischen Fritz und VOIP Client.

      Ganz ohne Regeln kann sich der VOIP Client an der Fritz anmelden und es klingelt in beide Richtungen.
      Welche NAT/Portweiterleitungen oder FW Regeln muss ich nun noch setzen damit auch ein Gespräch stattfinden kann?

      Die Fritz nutz m.W. UDP 7078-7110 für RTP
      Im Zoiper kann man einen RTP Port einstellen.
      Hab hier mal 7078 eingetragen.

      Doch was auch immer ich bislang an NAT Regeln probiert habe nichts hat funktioniert.
      Was wäre Euer Ansatz hier?

      VG
      Harlekin

      PS: Die pfSense ganz weg zu lassen und nur mit einer FW zu arbeiten wäre eine möglich Vereinfachungm, wenn nicht das 192.168.100.x Netz zwischen den beiden als DMZ genutzt würde, welches ebenfalls den Multi Path Bond nutzen soll.
      Doch auch hier stellt sich die Frage was in pfSense konfiguriert werden muss das das geht.

      micneuM 1 Reply Last reply Reply Quote 0
      • micneuM
        micneu @Harlekin Simplex
        last edited by

        @harlekin-simplex ich habe in meinem setup nur ein outbound nat für die fritzbox ertsellt und ich kann ganz normal telefonieren (meine fritzbox ist bei mir nur die voip anlage)
        Netzwerkplan_ASCII.png

        Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
        Hardware: Netgate 6100
        ALT Intel NUC BNUC11TNHV50L00 (32GB Ram, 512GB M.2 NVME SSD)

        H 1 Reply Last reply Reply Quote 0
        • H
          Harlekin Simplex @micneu
          last edited by Harlekin Simplex

          @micneu
          Das sieht mir nach folgendem Szenario aus:
          Internet <-> pfSense <-> FritzBox <-> Zoiper (PC)

          Mein Problem ist, das die FritzBox auf der anderen Seite der pfSense steht als bei Dir und zudem noch eine weitere Firewall (Doppel NAT) zu überwinden ist.
          Also sowas:
          Internet <-> FritzBox <-> OpenWRT <-> pfSense <-> Zoiper (PC)

          Eine Regel für die Fritz brauche ich nicht.
          Die dort direkt angeschlossenen IP Phones funktionieren tadellos.
          Nur hinter meinem doppel NAT kommt zum Zoiper SoftPhone kein Ton durch....

          micneuM 1 Reply Last reply Reply Quote 0
          • micneuM
            micneu @Harlekin Simplex
            last edited by

            @harlekin-simplex meine empfehlung:

            • Fritzbox gegen ein Modem Tauschen
            • eine Fritzbox nur im LAN als VoIP Telefonanlage (so wie ich es mache, ganz simpel und natürlich die Telefonie immer nur über eine Feste leitung gehen lassen.

            Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
            Hardware: Netgate 6100
            ALT Intel NUC BNUC11TNHV50L00 (32GB Ram, 512GB M.2 NVME SSD)

            1 Reply Last reply Reply Quote 0
            • H
              Harlekin Simplex
              last edited by

              Kann man natürlich so machen.
              Dann aber richtig, mit einem Draytec Vigor167 am T-DSL, dann durch eine Perimeter Firewall (pfSense auf einem Barbone oder und unter Proxmox virtualisiert) in die Fritz Box.
              Doch das löst mein Problem auch nicht.
              Denn dann liegt der OpenMPTCProuter und meine Produktion Firewall (pfSense) immer noch zwischen der FritzBox und den VOIP Phones.

              Das sähe dann so aus:
              <T-DSL> Vigot167 <-> pfSense <-> Fritz!Box <-OpenMPTCProuter> <-> pfSense <-VOIP Phone>

              Faktisch entwickele ich mein Netz derzeit genau in diese Richtung.
              Endziel wäre dann aber nicht mehr die FritzBox in der DMZ als PBX einzusetzen sonden ein Asterisk unter Docker oder Proxmox LXC mit FreePBX als GUI.
              In jedem Fall müssen entweder die Phones im Produktions Segment oder die Phones im DMZ Segment durch zwei Firewalls, je nachdem wo die PBX steht.
              Stelle ich die PBX in das Prod Segement muss auch diese wieder durch zwei FWs um zum Provider zu kommen.

              Einzig ein eigenes VLAN für die komplette Telefonie inkl. Fritz und/oder Asterisk wäre die beste Lösung. Doch das wäre ein kompletter Neubau des gesammten Setups den ich mal eben so nebenbei im laufenden Produktions Betrieb (Home Office) nicht umgesetzt bekomme. Daher jetzt erst mal die Dual NAT Lösung.

              H 1 Reply Last reply Reply Quote 0
              • H
                Harlekin Simplex @Harlekin Simplex
                last edited by Harlekin Simplex

                Btw: Läuft inzwischen

                In der pfSense braucht es in meinem Szenario lediglich das siproxd Package.
                Inbound Interface: LAN
                Outbound Interface: WAN
                Listening Port: 5060

                RTP Proxy: Aktivieren
                RTP Port Range (lower): 7080
                RTP Port Range (upper): 7110
                Das sind die offiziellen Fritz!Box RTP Ports.

                Und das wars dann auch schon.
                Den Zoiper auf dem PC und meinem Mobiltelefon habe ich auf UDP Transport gestellt, die pfSense LAN Adresse als Proxy in den Phones gesetzt und sich auf der Fritz!Box an zwei verschiedene IP Telefongeräte anmelden lassen.
                Funktioniert jetzt in allen Richtungen wie erwartet.

                Wichtig ist das man nach jeder Änderung an den siproxd Einstellungen den Proxy neu startet (Disable Save Enable Save). Sehr lästig ist aber nötig damit sich da nix verklemmt. Hatte ohne das zu tun ein sehr seltsames und intstabiles Verhalten.
                Vermutlich aufgrund der verschiedenen TimeOut Einstellungen etc.
                Ein Boot tut gut....
                :-)
                Am Ende der Ultimate Test mit Neustart aller Beteiligten.
                Aktuell alles Gut.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.