Fritz.Box Tapi
-
Guten Tag Zusammen,
Mein Aufbau:
PC -> (192.168.3.2) pfSense (192.168.2.2) -> Fritz.Box (192.168.2.1)ich habe eine Fritz.Box auf der ich Tapi nutzen will.
Hänge ich mich direkt an die Fritz.Box geht alles einwandfrei.
Hänge ich mich aber an die pfSense klappt Tapi nicht.OK, da wird wohl was geblockt!
In der Doku sthet, dass ich 1012, 1147, 5031 freigeben soll.
Außerdem wärend des Setups Port 80 und UPnPVom LAN lasse ich alles Richtung WAN zu. Da sind KEINE Ports geblockt.
Zusätzlich erlaube ich der Fritz.Box auf den oben genannten Ports ins LAN zu kommen.Hat dieses Problem schon mal einer gelößt?
Ich verzweifle und mein Chef will telefonieren ….Gruß & DAnke
Carsten
-
Da es mit UPnP arbeitet und damit Multicast's auslöst geht das nicht so einfach über eine Firewall hinweg.
Du musst mal schauen ob du Multicast-Forwarding einrichten kannst. Das wäre das Stichwort.
Such mal im Forum nach UPnP bzw. Multicast vielleicht findest du was. Kenne mich damit leider nich so aus. -
Ich habe den entsprechenden Service aktiviert.
My Skype trägt sich da auch brav ein.
Aber der TAPI macht mich noch verrückt. -
Servus Carsten,
hast Du schon versucht in der pfS unter Services -> DNS Forwarder -> Host Overrides einen Eintrag für fritz.box mit der IP 192.168.2.1 zu machen?
Soweit ich mich erinnere kommen die wollen die ganzen Fritz Anwendungen immer diese Domain auflösen, was nicht geht, wenn die pfS dazwischen hängt. Darum muss man einen manuellen Eintrag machen.
Ich hatte den Fall mal mit einer Fritz!App auf Android, die die Box nicht finden wollte. Nach dem Hinzufügen der o.g. Einstellung war alles gut.Einen Versuch wäre es auf jeden Fall wert…
Viel Glück!
Harry -
Hallo,
so wie du beschrieben habe ich es nicht gemacht.
Ich habe fritz.box in die hosts eingetragen.Wenn ich also fritz.box im Browser eingebe, komme ich zur Fritz.Box
Gruß
Carsten -
Servus Carsten,
das geht natürlich auch - aber nur an dem PC an dem die FritzBox in der hosts eingetragen ist. Bei anderen Geräten, insbesondere mobilen Geräten, kannst Du die hosts nicht ändern, deshalb wäre der DNS Forwarder Eintrag in der pfS "universeller".
Aber die eigentliche Frage ist: läuft mit dem hosts Eintrag die TAPI (auf dem PC wo Du jetzt per http://fritz.box auf die Box zugreifen kannst)?
Gruß
Harry -
Hallo,
das klappt nicht :(
Es klappt nur, wenn ich direkt an der Fritz.Box hänge.Deshalb ja meine Frage, was ich in der Firewahl freigeben soll / muss
Gruß
Carsten -
Servus Carsten,
ich habe jetzt mal ganz auf die Schnelle versucht bei mir den Fritz!TAPI zum Laufen zu bringen und folgendes festgestellt:
Offenbar scheint das Ganze nicht über NAT zu funktionieren.D.h. Du müsstest das LAN der FritzBox und das WAN der pfSense normal (ohne NAT) routen.
Dazu musst Du (am sichersten bei physikalischem Zugriff auf FB und pfS, falls Du Dir den Zugriff auf eine der Boxen rauskonfigurierst):
1.) Sicherheitshalber den Exposed Host in der FB auf den WAN der pfS wieder aus der aus der FB herausnehmen
2.) In der FB eine Manuelle Route auf Dein internes LAN 192.168.3.0/24 mit Gateway 192.168.2.2 konfigurieren
3.) In der pfS NAT auf Manuell umstellen und alle Regeln heraus löschen (= NAT deaktivieren)
4.) Im pfS WAN Interface prüfen, dass der Haken bei Block private networks NICHT gesetzt istDamit sollte dann erstmal wieder der normale Internet Betrieb im LAN laufen. Ob das soweit passt kannst Du feststellen, wenn im Netz der FB nun die echten IPs der Geräte aus dem LAN auftauchen, die im Internet sind - nicht mehr nur die WAN IP der pfS.
Nun musst Du noch in den Firewall Regeln der pfS auf dem WAN Interface die vom TAPI benötigten Ports mit Source FB IP (192.168.2.1) freigeben. Zum Testen, ob's überhaupt klappt kannst Du erstmal Ports und Protokoll any nehmen.
Wichtig: Falls in der FB irgendwelche Ports weitergeleitet sind, könnten diese u.U. auf Geräte im LAN kommen. Daher genau prüfen und bei den Tests vorsichtshalber schließen!
Wenn Du alles richtig gemacht hast, sollte der Fritz TAPI jetzt aber endgültig laufen.
Abschließend würde ich die pfS WAN Regeln wieder so restriktiv wie möglich einstellen (nur die Ports offen lassen, die für die TAPI notwendig sind) damit das LAN sicher bleibt.Viel Erfolg!
Harry