Pfsense VoIP/SIP Nat Setup



  • Hallo,

    hinter unserer pfsense- FW hängt eine Askozia- Anlage, die sowohl ISDN also auch VoIP/SIP verwendet. Nun kann habe ich die SIP- Ports (5060 bis 5062) und RTP-Ports (10000 bis 10200) per NAT vom WAN zur Askozia weitergeleitet. Ich kann über den VoIP- Zugang "raustelefonieren" nur das mit dem Anrufe entgegennehmen! Gemeinsam mit dem Askozia- Support bin ich nun auf folgendes Problem gestoßen: Der SIP- Server (im Internet) sendet die "Nachricht", dass ein Telefonat ankommt. Die Askozia versucht zu antworten/ sich einzuloggen und schickt das an die pfSense- Adresse. Dort wird die Antwort der Askozia aber an die statische WAN-Adresse gesndet und nicht an den SIP-Provider weitergeleitet.

    Was mache ich falsch? Wie kann ich der pfSense beibringen die Antwort der Askozia an die statische Adresse des SIP-Providers durchzureichen?

    Setup:
    Hardware:
    SIP-Server <=> Satmodem <=> pfSense (WAN, statische öffentliche IP) <=> pfSense (LAN) <=> Askozia/ asterisk

    pfSense- NAT:
    If        |  Proto  |  src.addr.  |  src.ports      |  Dest.addr.  |  Dest.ports    |    NAT IP              |  NAT Ports
    WAN  |  UDP  |  <sip-ip>    |  5060-5062  |  <wan-ip>    |  5060- 5062  |  192.168.0.222  |  5060 (SIP)
    WAN  |  UDP  |  <sip-ip>    |  10000-        |  <wan-ip>    |  10000-          |  192.168.0.222  |  5004-5204
              |              |                      |        10200      |                        |        10200    |                                |

    pfSense- Version: 2.1

    MfG
    SNR</wan-ip></sip-ip></wan-ip></sip-ip>



  • Hallo!

    Ich weiß zwar nicht, wie VoIP genau funktionieren soll, mir kommt deine Einschränkung auf die bestimmten Source-Ports spanisch vor. Das wird sehr selten verwendet.
    Ist das sicher so einzustellen?
    Wenn nicht, versuche es mal mit "any" als Source-Ports bei beiden Einträgen.

    Ansonsten, das was der Support da verzapft, ist IMHO Quatsch. Wenn ein Paket vom SIP Server kommt, reicht es die Firewall über NAT an die Askozia weiter, im Paket bleibt aber die Sende-IP des SIP Servers erhalten. Demnach kommt des Paket in den Augen der Askozia vom SIP und diese schickt die Antwort eben an die Adresse des SIP. Die geht dann zwar an die Firewalle, weil die interne Schnittstellen-IP dieser als Standard-Gateway in der Askozia konfiguriert ist, ist sie hoffentlich, und pfSense schickt es dann, durch das Outbound NAT versehen mit der WAN Adresse an den SIP Server weiter.

    Gruß
    Richard


Log in to reply