Voip (sip,rtp) über ipsec tunnel -> kein Audio
-
Hallo zusammen,
ich habe folgendes Szenario:iPhones / Laptops verbinden sich über IPSEC mit der pfsense. Das läuft einwandfrei (Zugriffe auf Server, Daten, usw). In der IPSec-Konfiguration habe ich den virtuellen Adressbereich 10.10.10.0/24 für die IPSec-Clients angegeben.
Nun möchten die Clients sich mit installierten SIP-Clients über die bestehende VPN-Verbindung mit der Auerswald Anlage verbinden. Auch das funktioniert. Gespräche werden in beide Richtungen signalisiert.
Nehme ich dann aber ein Gespräch an, kommt keine Audio-Verbindung zu stande. Sprich RTP wird von der pfsense nicht durch gelassen. Dabei ist die Richtung egal. Signalisierung geht, Sparchkanal nicht.IPSEC mobile client pfsense
10.10.10.0./24 –--------------------- IPSEC virtual IP 10.10.10.0/24
| Auerswald Commander 6000R (VoIP)
LAN 192.168.123.1 -------------------- 192.168.123.240Ich bin Dankbar für jegliche Tips :'( :'(
-
Hmm, schwer zu sagen, ohne Angabe der Regeln.
Auf beiden Interfaces (LAN und IPSec) müssen zumindest die SIP bzw RTP Ports gegeneinander freigeschaltet werden. Oder halt komplett offen (Permit IP LAN <-> IPSEC)
Ich habe selbst Voip über VPN ohne Probleme am laufen.
-
Tja, ich hab leider schon alles auf gemacht. Auf dem LAN-Inteface habe ich eine Regel die alles in das 10.10.10.0 Netz erlaubt, und auf dem IpSec-interface habe ich eine Regel die alles durch läßt.
Ich sehe auch in keinem Log das was geblockt wird.
So bald ich mich im Netzwerk befinde läuft alles wie geschmiert. Ich kann mit meinem Mobiltelefon über WLAN mit dem SIP-Client raus telefonieren und bekomme immer eine erstklassige Verbindung.
So bald die Firewall, bzw. IPSec dazwischen hängt bekomme ich keine Sparchübertragung mehr.Aber danke für die Antwort.
-
Hallo!
So etwas scheitert gerne am ausgehenden NAT. pfSense bekommt das normalerweise von selbst hin, aber wenn IPSec nachträglich eingerichtet wurde, muss NAT aktualisiert werden.
Oder hast du manuelle Outbound NAT Rules?
Wenn ja, eine entsprechende für IPSec hinzufügen. Wenn eh automatisch, dann auf der Tafel NAT: Outbound einfach mal auf "Save" klicken. Dann werden die Regenl neu generiert.Richard