Telekom VOIP über Fritzbox hinter pfSense

Lifeman

Hallo zusammen,

ich habe mir auf Basis eines Jetway NC9C-550-LF mit Atom Dual-Core ein pfSense-System ausgebaut, welches ich für Loadbalancing benutze. Der Aufbau ist folgender:

                WAN                     WAN
                 :                       :
                 : CableProvider         : DSL-Provider
                 :                       :
             .---+---.                .--+--.
         WAN | Cable |     Modems     | DSL | WAN2
             '---+---'                '--+--'
                 |                       |
        Ethernet |                       | PPPoE 
                 |      .---------.      |
                 +------| pfSense |------+
                   DHCP '----+----' 
                             |
                         LAN | 192.168.0.1/24
                             | 
                       .-----+------.
                       | LAN-Switch |
                       '-----+------'
                             |
                     ...-----+-----...
                     (Clients/Servers)

Neben den PCs hängt als Client auch eine Fritzbox 7390 an dem Switch. Diese ist für das VOIP der Telekom (außerdem auch Sipgate) zuständig. Vorher hat sie das direkt am DSL-Anschluss getan und nun als IP-Client hinter der pfSense. Leider bekomme ist es nicht hin, dass ich das VOIP der Telekom benutzen kann. VOIP über Sipgate (mit Stun-Server) funktioniert komplett ohne irgendwelche Einstellungen.
Das VOIP der Telekom muss zwingend über die DSL-Verbindung geroutet werden, da sich die Nummern nur aus dem eigenen Netz registrieren lassen. Dazu habe ich alle VOIP-Ports über DSL geroutet. Zusätzlich habe ich den Port 5060 und die Ports 7078-7097 versucht freizugeben. Wenn ich nun auf der Fritzbox den Stun-Server für die Telekom (stun.t-online.de) einschalte, dann bekomme ich eine Verbindung (es klingelt und ich kann abnehmen), aber es wird in beide Richtungen keinerlei Ton übertragen :(

An diesem Problem hänge ich nun schon seit über 3 Wochen und bekomme es einfach nicht hin. Ich habe das Gefühl, dass ich die Einstellungen der Firewall nicht begreife und daher irgendeinen Fehler mache. Ich brauche daher dringend Hilfe, da ich jetzt schon 3 Wochen kein Telefon und kein Fax mehr habe und nicht nur meine Freundin von diesem Zustand alles andere als begeistert ist.

Was mache ich falsch? Kann mir jemand helfen?

Vielen Dank!!

Gruß

Lifeman

Weitere Screenshots

flix87

das Test interface ist mir nicht so ganz klar für was das sein soll.
Aber lass die Komplette IP der Fritzbox doch übers GW der Telekom raus und nicht nur die Voip Ports
nicht das der Stun Server eine falsche IP übermittelt bekommt.
und dann schau einfach mal in den Logs ob da was geblockt wird was die RTP Pakete von VOIP angeht

Lifeman

@flix87:

das Test interface ist mir nicht so ganz klar für was das sein soll.

Das Test-Interface habe ich angelegt, weil ich die Fritzbox 7270, die ich als DSL-Modem benutz hatte in verdacht hatte den Port 5060 zu blockieren. Aber mit dem DSL-Modem über PPPoE geht es auch nicht besser.

Aber lass die Komplette IP der Fritzbox doch übers GW der Telekom raus und nicht nur die Voip Ports
nicht das der Stun Server eine falsche IP übermittelt bekommt.

Ich habe an der Fritzbox über Wlan Clients hängen, die ich über das Loadbalancing laufen lassen möchte. Testweise habe ich das aber mal geändert, es funktioniert dennoch nicht.

und dann schau einfach mal in den Logs ob da was geblockt wird was die RTP Pakete von VOIP angeht

Es wird im Falle eines Rufaufbaus mit fehlendem Ton viel blockiert (alles auf der Telekomleitung), aber nichts was von den Ports her zu denen passt, die die Telekom angibt.

Weiß irgendjemand Rat oder hat Tipps was ich noch testen kann?

Vielen Dank

Nachtfalke

Hallo

http://doc.pfsense.org/index.php/VoIP_Configuration

Firewall auf "Conservative" stellen
Scrubbing ausschalten
Outbound NAT überprüfen (manual outbound NAT)
evtl. dieses "siproxy" package verwenden

Habe leider keinerlei Erfahrung mit VoIP, deswegen den obigen Link und die unterlinks kurz zusammengefasst.

PS: Generell solltest du aber vielleicht erst einmal versuchen, mittels 1 : 1 NAT alle ports und sämtlichen Verkehr auf die Fritzbox frei zu geben. Dann probieren ob VoIP läuft oder nicht. Wenn es geht, liegt es an den Ports, geht es nicht, stelle die anderen genannten Optionen um. Wenn es dann endlich läuft, kannst du beginnen, an der Firewall Ports zu schließen etc. pp.

flix87

Ich habe an der Fritzbox über Wlan Clients hängen, die ich über das Loadbalancing laufen lassen möchte. Testweise habe ich das aber mal geändert, es funktioniert dennoch nicht.

Das macht ja nichts die sollten ja vom DHCP in der PfSense (oder wo auf immer) eine eigene IP bekommen und fallen so nicht in die Regel.
Die Fritzbox hat ja eine eigene IP und die WLAN Clients eine andere.

aber ich würde auch erst mal das versuchen was Nachtfalke sagt
Die RTP Ports sind meistens sehr flexibel und daher auch sehr viele das heißt das du vielleicht sehr viel durchnatten musst

Lifeman

@Nachtfalke:

Firewall auf "Conservative" stellen
Scrubbing ausschalten
Outbound NAT überprüfen (manual outbound NAT)
evtl. dieses "siproxy" package verwenden

Bis auf dieses "siproxy", von dem ich schon gelesen habe, was aber nach meinem Verständnis nur gebraucht wird, wenn mehrere Geräte sich nach extern anmelden wollen, sagen mir die Begriffe oben gar nichts. Kannst du mir das kurz erläutern?

PS: Generell solltest du aber vielleicht erst einmal versuchen, mittels 1 : 1 NAT alle ports und sämtlichen Verkehr auf die Fritzbox frei zu geben. Dann probieren ob VoIP läuft oder nicht. Wenn es geht, liegt es an den Ports, geht es nicht, stelle die anderen genannten Optionen um. Wenn es dann endlich läuft, kannst du beginnen, an der Firewall Ports zu schließen etc. pp.

Wie stelle ich am einfachsten ein 1:1 NAT ein? Ich habe das Gefühl, dass ich durch die Firewall nicht ganz durchsteige und bevor ich jetzt was einstelle und sage es geht nicht, hätte ich gerne eine kurze Erläuterung was ich wo angeben muss (IP-Adressen, Gateway oder so)
@flix87:

Das macht ja nichts die sollten ja vom DHCP in der PfSense (oder wo auf immer) eine eigene IP bekommen und fallen so nicht in die Regel.
Die Fritzbox hat ja eine eigene IP und die WLAN Clients eine andere.

Stimmt, da hatte ich ein dickes Brett vor dem Kopf  ::)

aber ich würde auch erst mal das versuchen was Nachtfalke sagt
Die RTP Ports sind meistens sehr flexibel und daher auch sehr viele das heißt das du vielleicht sehr viel durchnatten musst

Wenn ich ein 1:1 NAT eingestellt bekomme, dann kann ich doch theoretisch die Fritzbox das NAT für sich selbst machen lassen, oder? Ist natürlich nicht die korrekte Lösung, aber wenn ich es anders nicht hinbekomme..

Vielen Dank

Nachtfalke

Die Firewall auf "Conservative" zu stellen und das scrubbing zu deaktivieren erledigst du folgendermaßen:
system -> advanced -> firewall

Outbund NAT stellst du ein unter:
Firewall -> NAT -> Outbound
Outbound NAT gibt an, wie die interne Kommunikation nach extern geschehen soll. Hat man beispielsweise mehrere externe IP Adressen kann man so angeben, welche Hosts im LAN mit welcher externen IP nach außen auftreten sollen.
Ebenso kann man den Source Port "static" einrichten. Normalerweise ist es ja so, versucht ein Host aus dem LAN einen Webserver (google.de) zu erreichen, dass er die goole IP und ziel port 80 versucht zu erreichen. weiterhin gibt der host einen dynamisch gewählten source port an. Das ist notwendig, denn die firewall muss ja wissen, wohin sie die Daten weiterleiten soll, die der Google server sendet.
Laut dem link über die VoIP Konfiguration von meinen vorherigen Posts ist es aber wohl so, dass VoIP manchmal keinen dynamischen Quell Ports mag. Das bedeutet also, du musst sagen, wenn ein Host aus deinem LAN deinen SIP Provider über Port 5060 versucht zu erreichen, dass er als quell Port den Port 5060 wählen soll und zwar immer (static). Das kannst du über Outbound NAT realisieren.

1 : 1 NAT stellst du unter:
Firewall -> NAT -> 1:1 ein
Diese Form des NAT leitet alle externen Anfragen eins zu eins an deine FritzBox weiter. Alle Ports von 1 bis 65536 werden eins zu eins weitergeleitet. Die Fritzbox befindet sich dann quasi vollkommen ungeschützt am Internet.
Beim PortForwarding hingegen leitest du nur gezielt einzelne Ports oder eine kleine Port Range weiter. Außerdem kannst du Ports umbiegen, das heisst eine öffentliche Anfrage auf Port 80 soll intern auf Port 8000 laufen.
PortForward und 1:1 NAT sind beides Funktionen um den Zugriff von extern auf interne Geräte weiterzuleiten. Natürlich benötigt man auch für jede NAT Regel eine Firewall Regel - diese kann man sich aber automatisch erstellen lassen, indem man "Create associated Firewall rule" auswählt.

Zu den Firewall Regeln gibt es folgendes zu sagen:
Sie werden von oben nach unten abgearbeitet. Die Regel, die zuerst zutrifft, wird angewendet. alle weiteren werden ignoriert.