Warum „nur“ Google stun Server?

altmetaller

Hallo,

pfsense als exposed Host hinter Providerrouter.

Ich spiele gerade mit uPNP herum und stelle fest, das die pfSense bei Verwendung von stun.l.google.com die generelle Weiterleitung im Providerrouter erkennt -> alles funktioniert.

Bei anderen stun Servern träumt die pfSense weiterhin davor, nicht öffentlich erreichbar zu sein -> nix löpt.

Warum funktioniert das nur mit dem Google-Server? Oder gibt es noch weitere Server, die mit der pfSense harmonieren?

Gruß,
Jörg

Dobby_

@altmetaller said in Warum „nur“ Google stun Server?:

Hallo,
pfsense als exposed Host hinter Providerrouter.

Hallo, wenn man einen einzigen port der AVM FB als
"Exposed Host" konfiguriert und an dem "hängt" nur die
pfSense dran dann ist das für die pfSense fast so als wenn
dort nur ein Modem angeschlossen wäre.

Es wird einfach alles aus dem Internet durchgereicht als
wäre die AVM FB gar nicht anwesend.

altmetaller

@dobby_ Und gehst Du noch auf meine Frage ein?

Warum funktioniert die Nutzung eines STUN-Servers auf der pfSense in diesem Fall nur dann, wenn ich den Google STUN Server benutze.

Andere STUN-Server scheinen nicht kompatibel zum uPnP-Daemon der pfSense zu sein.

Im Übrigen hängt die FRITZ!Box den "Exposed Host" an die IP-Adresse. Eine Zuordnung zu einem (physikalischen Netzwerk-)Port gibt es nicht. Zumindest nicht bei der 6660.

Bob.Dig

@altmetaller Kenne auch keinen anderen, der funktionieren würde... die Frage ist gut und berechtigt.

Dobby_

@altmetaller said in Warum „nur“ Google stun Server?:

@dobby_ Und gehst Du noch auf meine Frage ein?

Warum funktioniert die Nutzung eines STUN-Servers auf > der pfSense in diesem Fall nur dann, wenn ich den
Google STUN Server benutze.

Was Du dort konfiguriert hast kannst nur Du wissen und
nicht wir. Hier sind zwei Links wo das ganz gut beschrieben
wird und das Problem auch jedes mal gelöst wird.

pfSense Telekom VOIP
pfSense Portforwarding VOIP

//Wenn du mit STUN Server arbeitest dann reicht die SIP Weiterleitung vollkommen aus.// (von @aqui)

Andere STUN-Server scheinen nicht kompatibel
zum uPnP-Daemon der pfSense zu sein.

Kann ich nichts zu sagen, nur soweit wie ich informiert bin
(kann ja auch falsch sein) nur die beiden Methoden die
ich kenne funktionieren eigentlich fast immer
out-of-the -box order nach einigem hin und
her konfigurieren.

1. PBX in die DMZ macht am wenigsten Probleme und
   funktioniert "immer".

2. STUN Server konfigurieren ist die andere Lösung
   und auch hier würde es mich wirklich wundern wenn
   nur der von Google funktioniert.

3. Hier in Deutschland lässt man einfach die AVM FB
   die Telefonie machen, fertig! PoE Switch dran und daran
   dann die VOIP Telefone anschließen, fertig.

Im Übrigen hängt die FRITZ!Box den "Exposed Host" an die IP-Adresse. Eine Zuordnung zu einem (physikalischen Netzwerk-)Port gibt es nicht. Zumindest nicht bei der 6660.

Ich habe mich da wohl etwas unglücklich ausgedrückt, man kann dort einen Switch mit mehren Geräten dran haben oder eben "nur" den WAN Port der pfSense.

altmetaller

@dobby_ said in Warum „nur“ Google stun Server?:

Kann ich nichts zu sagen,

Wenn Du nichts zum Thema sagen kannst: Warum schreibst Du hier dann so viele Dinge, die nichts mit damit zu tun haben?

Die Frage ist lautet lediglich: Was macht der Google STUN-Server anders?

Alles Weitere lenkt unnötig von der Frage ab. Daher: Bitte beim Thema bleiben und nicht ausschweifen.

Bob.Dig

@dobby_ Ihm geht es hier rein um die UPnP Funktionalität der pfSense, wenn diese hinter einem anderen Router steht.
Selbst im GUI für UPnP werden mehrere STUN Server benannt, tatsächlich funktionieren tut es dann nur mit dem von google.

Dobby_

@bob-dig said in Warum „nur“ Google stun Server?:

@dobby_ Ihm geht es hier rein um die UPnP Funktionalität der pfSense, wenn diese hinter einem anderen Router steht.
Selbst im GUI für UPnP werden mehrere STUN Server benannt, tatsächlich funktionieren tut es dann nur mit dem von google.

Das hier ist das einzige was ich dazu gefunden habe.
UPnP+STUN forms invalid outbound NAT rules using the external address discovered from STUN

Vielleicht auch ein Woraround für den Fall hier?
Ich meine weiter unten den Teil mit der VIP Benutzung

Bob.Dig

@dobby_ Hehe, ja das kenne ich.
Aber ne VIP etc ist im normalen Setup nicht nötig.

Dobby_

@bob-dig said in Warum „nur“ Google stun Server?:

@dobby_ Hehe, ja das kenne ich.
Aber ne VIP etc ist im normalen Setup nicht nötig.

Aber wie soll der STUN server dann die Geräte im LAN erreichen? Man hat außerhalb (WAN) IPv6 Adressen und
versucht nun eine IPv6 Adresse im LAN zu erreichen, die haben aber alle eine "private" Endung und um das zu "umgehen" setzt man doch dann ein VIP auf, die von
außen zu erreichen ist (wenn man angerufen wird) und
diese VIP leitet dann an die private IPv6 Adresse weiter.

Und zusätzlich wurde zwei mal (unter dem Redmine Link)
darauf hingewiesen, dass man dazu noch IPv6 Firewall- Regeln definieren muss damit es funktioniert.

Oder liege ich damit jetzt wirklich so falsch?
Kann ja auch wirklich sein!

altmetaller

@dobby_ STUN funktioniert anders herum.

Die pfSense kontaktiert den Server. Dieser schickt im Antwortpaket die öffentliche IP und den Port, über den er die Anfrage erhalten hat.

Auf diesem Weg „erfährt“ die pfSense, wie sie öffentlich erreichbar ist.

Mit dem Google-STUN-Server klappt das, mit anderen STUN-Servern nicht.

Vermutlich wieder einmal ein Bug :-(

Bob.Dig

@dobby_ Außerdem geht es hier nicht um IPv6. Mein Eindruck ist, MiniUPnP in pfSense macht kein IPv6. Ich sehe zumindest keinerlei IPv6-"Einträge" im Status.

JeGr

@altmetaller Wir reden bei "Google Stun" aber über den Stun, der nicht auf dem common port läuft, sondern auf nem 19302? Vielleicht dadurch ein Problem mit 3478? Zudem: Ist der uPNP Patch über System Patches angewendet worden?

altmetaller

@jegr Japp, wir reden über genau den.

Vielleicht wurde der Port irgendwo "hardcodiert"? Wenn ich z.B. ein Binary aus einer älteren pfSense Version nehme und drüberkopiere, funktioniert es.

Ebenso mit einem selbstcompilierten Binary.