Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Telekom VOIP über Fritzbox hinter pfSense

    Scheduled Pinned Locked Moved Deutsch
    8 Posts 3 Posters 11.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • L
      Lifeman
      last edited by

      Hallo zusammen,

      ich habe mir auf Basis eines Jetway NC9C-550-LF mit Atom Dual-Core ein pfSense-System ausgebaut, welches ich für Loadbalancing benutze. Der Aufbau ist folgender:

                      WAN                     WAN
                       :                       :
                       : CableProvider         : DSL-Provider
                       :                       :
                   .---+---.                .--+--.
               WAN | Cable |     Modems     | DSL | WAN2
                   '---+---'                '--+--'
                       |                       |
              Ethernet |                       | PPPoE 
                       |      .---------.      |
                       +------| pfSense |------+
                         DHCP '----+----' 
                                   |
                               LAN | 192.168.0.1/24
                                   | 
                             .-----+------.
                             | LAN-Switch |
                             '-----+------'
                                   |
                           ...-----+-----...
                           (Clients/Servers)
      

      Neben den PCs hängt als Client auch eine Fritzbox 7390 an dem Switch. Diese ist für das VOIP der Telekom (außerdem auch Sipgate) zuständig. Vorher hat sie das direkt am DSL-Anschluss getan und nun als IP-Client hinter der pfSense. Leider bekomme ist es nicht hin, dass ich das VOIP der Telekom benutzen kann. VOIP über Sipgate (mit Stun-Server) funktioniert komplett ohne irgendwelche Einstellungen.
      Das VOIP der Telekom muss zwingend über die DSL-Verbindung geroutet werden, da sich die Nummern nur aus dem eigenen Netz registrieren lassen. Dazu habe ich alle VOIP-Ports über DSL geroutet. Zusätzlich habe ich den Port 5060 und die Ports 7078-7097 versucht freizugeben. Wenn ich nun auf der Fritzbox den Stun-Server für die Telekom (stun.t-online.de) einschalte, dann bekomme ich eine Verbindung (es klingelt und ich kann abnehmen), aber es wird in beide Richtungen keinerlei Ton übertragen :(

      An diesem Problem hänge ich nun schon seit über 3 Wochen und bekomme es einfach nicht hin. Ich habe das Gefühl, dass ich die Einstellungen der Firewall nicht begreife und daher irgendeinen Fehler mache. Ich brauche daher dringend Hilfe, da ich jetzt schon 3 Wochen kein Telefon und kein Fax mehr habe und nicht nur meine Freundin von diesem Zustand alles andere als begeistert ist.

      Was mache ich falsch? Kann mir jemand helfen?

      Vielen Dank!!

      Gruß

      1status.jpg
      1status.jpg_thumb
      2gateways.jpg
      2gateways.jpg_thumb
      3gatewaygroups.JPG
      3gatewaygroups.JPG_thumb
      4aliases.JPG
      4aliases.JPG_thumb

      1 Reply Last reply Reply Quote 0
      • L
        Lifeman
        last edited by

        Weitere Screenshots

        5nat.jpg
        5nat.jpg_thumb
        6rules.JPG
        6rules.JPG_thumb
        7rules2.jpg
        7rules2.jpg_thumb

        1 Reply Last reply Reply Quote 0
        • F
          flix87
          last edited by

          das Test interface ist mir nicht so ganz klar für was das sein soll.
          Aber lass die Komplette IP der Fritzbox doch übers GW der Telekom raus und nicht nur die Voip Ports
          nicht das der Stun Server eine falsche IP übermittelt bekommt.
          und dann schau einfach mal in den Logs ob da was geblockt wird was die RTP Pakete von VOIP angeht

          1 Reply Last reply Reply Quote 0
          • L
            Lifeman
            last edited by

            @flix87:

            das Test interface ist mir nicht so ganz klar für was das sein soll.

            Das Test-Interface habe ich angelegt, weil ich die Fritzbox 7270, die ich als DSL-Modem benutz hatte in verdacht hatte den Port 5060 zu blockieren. Aber mit dem DSL-Modem über PPPoE geht es auch nicht besser.

            Aber lass die Komplette IP der Fritzbox doch übers GW der Telekom raus und nicht nur die Voip Ports
            nicht das der Stun Server eine falsche IP übermittelt bekommt.

            Ich habe an der Fritzbox über Wlan Clients hängen, die ich über das Loadbalancing laufen lassen möchte. Testweise habe ich das aber mal geändert, es funktioniert dennoch nicht.

            und dann schau einfach mal in den Logs ob da was geblockt wird was die RTP Pakete von VOIP angeht

            Es wird im Falle eines Rufaufbaus mit fehlendem Ton viel blockiert (alles auf der Telekomleitung), aber nichts was von den Ports her zu denen passt, die die Telekom angibt.

            Weiß irgendjemand Rat oder hat Tipps was ich noch testen kann?

            Vielen Dank

            1 Reply Last reply Reply Quote 0
            • N
              Nachtfalke
              last edited by

              Hallo

              http://doc.pfsense.org/index.php/VoIP_Configuration

              Firewall auf "Conservative" stellen
              Scrubbing ausschalten
              Outbound NAT überprüfen (manual outbound NAT)
              evtl. dieses "siproxy" package verwenden

              Habe leider keinerlei Erfahrung mit VoIP, deswegen den obigen Link und die unterlinks kurz zusammengefasst.

              PS: Generell solltest du aber vielleicht erst einmal versuchen, mittels 1 : 1 NAT alle ports und sämtlichen Verkehr auf die Fritzbox frei zu geben. Dann probieren ob VoIP läuft oder nicht. Wenn es geht, liegt es an den Ports, geht es nicht, stelle die anderen genannten Optionen um. Wenn es dann endlich läuft, kannst du beginnen, an der Firewall Ports zu schließen etc. pp.

              1 Reply Last reply Reply Quote 0
              • F
                flix87
                last edited by

                Ich habe an der Fritzbox über Wlan Clients hängen, die ich über das Loadbalancing laufen lassen möchte. Testweise habe ich das aber mal geändert, es funktioniert dennoch nicht.

                Das macht ja nichts die sollten ja vom DHCP in der PfSense (oder wo auf immer) eine eigene IP bekommen und fallen so nicht in die Regel.
                Die Fritzbox hat ja eine eigene IP und die WLAN Clients eine andere.

                aber ich würde auch erst mal das versuchen was Nachtfalke sagt
                Die RTP Ports sind meistens sehr flexibel und daher auch sehr viele das heißt das du vielleicht sehr viel durchnatten musst

                1 Reply Last reply Reply Quote 0
                • L
                  Lifeman
                  last edited by

                  @Nachtfalke:

                  Firewall auf "Conservative" stellen
                  Scrubbing ausschalten
                  Outbound NAT überprüfen (manual outbound NAT)
                  evtl. dieses "siproxy" package verwenden

                  Bis auf dieses "siproxy", von dem ich schon gelesen habe, was aber nach meinem Verständnis nur gebraucht wird, wenn mehrere Geräte sich nach extern anmelden wollen, sagen mir die Begriffe oben gar nichts. Kannst du mir das kurz erläutern?

                  PS: Generell solltest du aber vielleicht erst einmal versuchen, mittels 1 : 1 NAT alle ports und sämtlichen Verkehr auf die Fritzbox frei zu geben. Dann probieren ob VoIP läuft oder nicht. Wenn es geht, liegt es an den Ports, geht es nicht, stelle die anderen genannten Optionen um. Wenn es dann endlich läuft, kannst du beginnen, an der Firewall Ports zu schließen etc. pp.

                  Wie stelle ich am einfachsten ein 1:1 NAT ein? Ich habe das Gefühl, dass ich durch die Firewall nicht ganz durchsteige und bevor ich jetzt was einstelle und sage es geht nicht, hätte ich gerne eine kurze Erläuterung was ich wo angeben muss (IP-Adressen, Gateway oder so)
                  @flix87:

                  Das macht ja nichts die sollten ja vom DHCP in der PfSense (oder wo auf immer) eine eigene IP bekommen und fallen so nicht in die Regel.
                  Die Fritzbox hat ja eine eigene IP und die WLAN Clients eine andere.

                  Stimmt, da hatte ich ein dickes Brett vor dem Kopf  ::)

                  aber ich würde auch erst mal das versuchen was Nachtfalke sagt
                  Die RTP Ports sind meistens sehr flexibel und daher auch sehr viele das heißt das du vielleicht sehr viel durchnatten musst

                  Wenn ich ein 1:1 NAT eingestellt bekomme, dann kann ich doch theoretisch die Fritzbox das NAT für sich selbst machen lassen, oder? Ist natürlich nicht die korrekte Lösung, aber wenn ich es anders nicht hinbekomme..

                  Vielen Dank

                  1 Reply Last reply Reply Quote 0
                  • N
                    Nachtfalke
                    last edited by

                    Die Firewall auf "Conservative" zu stellen und das scrubbing zu deaktivieren erledigst du folgendermaßen:
                    system -> advanced -> firewall

                    Outbund NAT stellst du ein unter:
                    Firewall -> NAT -> Outbound
                    Outbound NAT gibt an, wie die interne Kommunikation nach extern geschehen soll. Hat man beispielsweise mehrere externe IP Adressen kann man so angeben, welche Hosts im LAN mit welcher externen IP nach außen auftreten sollen.
                    Ebenso kann man den Source Port "static" einrichten. Normalerweise ist es ja so, versucht ein Host aus dem LAN einen Webserver (google.de) zu erreichen, dass er die goole IP und ziel port 80 versucht zu erreichen. weiterhin gibt der host einen dynamisch gewählten source port an. Das ist notwendig, denn die firewall muss ja wissen, wohin sie die Daten weiterleiten soll, die der Google server sendet.
                    Laut dem link über die VoIP Konfiguration von meinen vorherigen Posts ist es aber wohl so, dass VoIP manchmal keinen dynamischen Quell Ports mag. Das bedeutet also, du musst sagen, wenn ein Host aus deinem LAN deinen SIP Provider über Port 5060 versucht zu erreichen, dass er als quell Port den Port 5060 wählen soll und zwar immer (static). Das kannst du über Outbound NAT realisieren.

                    1 : 1 NAT stellst du unter:
                    Firewall -> NAT -> 1:1 ein
                    Diese Form des NAT leitet alle externen Anfragen eins zu eins an deine FritzBox weiter. Alle Ports von 1 bis 65536 werden eins zu eins weitergeleitet. Die Fritzbox befindet sich dann quasi vollkommen ungeschützt am Internet.
                    Beim PortForwarding hingegen leitest du nur gezielt einzelne Ports oder eine kleine Port Range weiter. Außerdem kannst du Ports umbiegen, das heisst eine öffentliche Anfrage auf Port 80 soll intern auf Port 8000 laufen.
                    PortForward und 1:1 NAT sind beides Funktionen um den Zugriff von extern auf interne Geräte weiterzuleiten. Natürlich benötigt man auch für jede NAT Regel eine Firewall Regel - diese kann man sich aber automatisch erstellen lassen, indem man "Create associated Firewall rule" auswählt.

                    Zu den Firewall Regeln gibt es folgendes zu sagen:
                    Sie werden von oben nach unten abgearbeitet. Die Regel, die zuerst zutrifft, wird angewendet. alle weiteren werden ignoriert.

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.