Neuer VDSL-Anschluss: Speedport 300HS + pfSense + Gigaset C430 IP?
-
@knebb: BITTE "kapert" nicht einfach die Diskussion eines anderen Kollegen hier. Es mag ja ggf. zutreffend sein und Teile davon auf euch zutreffen, aber die Diskussion ist vielleicht einen ganz anderen Weg gegangen und jetzt soll man sich auf ein ganz neues Topic einstellen? Das ist nicht fair dem OP gegenüber, der vielleicht noch auf Antwort wartet und für euch auch nicht, denn Leute bringen euer und das Originalthema vllt durcheinander. Ich habe das schon häufiger gesagt, deshalb nochmals: Macht doch bitte für euch in eurem eigenen Sinn ein eigenes Thema auf. Danke! :)
Zum Thema:
Da hast du m.A.n. viel zu viel Angst vor ganz normalen Techniken. Und einiges an Halbwissen:
pfSense an das Modem ran und als Front-End-Router ohne NAT
Das ist bspw. quatsch, denn auch die pfSense macht NAT. Ob die jetzt vorne raus nochmal ne NAT hat oder nicht ist ihr vollkommen egal.
AsteriskNOW-Distri als virtuelle Maschine (VM) auf meinen VMware ESXi Server
Portforwarding VoIP von der pfSense auf Asterisk in der DMZDas kann ein ziemlich übles (man vergebe mir den Ausdruck!) geficke sein, denn VoIP Anmeldung und Weiterleitung gerade von Telekom bspw. kann richtig fies sein. Das mögen andere vielleicht gelöst haben, mein letzter Stand ist das übles Gefrickel, vor allem wenn dann noch jemand kommt und einen zweiten SIP Anbieter mit ins Spiel bringen will (SIPgate o.ä.)
Genau deshalb gibt es viele, die eben die vorgeschaltete Fritzbox mögen, denn die zweigt sich eben allen SIP Mist ab und muss somit nichts da rumfrickeln mit Weiterleitungen. Zudem hat man an der FB dann alle Anschlüsse die man braucht.Ich weiß nicht, warum du fast panisch Probleme suchst mit der Routerkaskade (außer dass es eben mehr kostet und etwas mehr Aufwand beim Setup ist), aber Fakt ist, dass viele eben wegen Kabel- oder reinen IP Anschlüssen inzwischen genau dieses Setup nutzen und es - sofern der VoIP Box vornedran nicht grad schlapp macht - weniger Probleme gerade mit dem Leidthema VoIP macht (zumindest mein leidiges Thema ;)).
Ansonsten Teile ich Flos Respekt vor Asterisk der doch ziemlich komplex ist und sein kann.
Grüße
JensPS: Zuletzt noch als Disclaimer die Bitte, meine Texte nicht immer als monströs ernst oder beleidigend zu sehen. Wenn ihr überlegt, ob ein bestimmtes Wording negativ gemeint ist, nein, definitiv nicht :)
-
Ich plane ja ebenfalls die Umstellung von ADSL2+/ISDN auf VDSL/VoIP. Ich möchte ebenfalls den Gerätezoo minimieren und plane Modem (Zyxel VMG1312 B30A bzw. Vigor 130) -> pfSense ->Gigaset C430 IP.
Könnte jemand mit Erfahrung bitte kurz erläutern, was es auf der pfSense zu konfigurieren gilt? Oder ist es so schwierig VoIP durch die Firewall zu bekommen, dass man sich eine FritzBox dafür vor die pfSense-Box hinstellen muss. Ich würde liebend gerne darauf verzichten, weil ich insbesondere auch aktuell gar keine besitze. Für Asterisk habe ich aktuell keinen Bedarf. Wenn ich alles eingerichtet und verstanden habe, will ich mich damit vielleicht auch beschäftigen.
Beim ersten Überfliegen folgender pfSense Doku https://doc.pfsense.org/index.php/VoIP_Configuration habe ich nicht sofort verstanden, was etwa für meinen Fall wirklich gemacht werden muss. Ich würde mich auch über aktuelle Links zum Thema freuen.
Gruß
PeterEDIT: Ich habe gerade noch folgenden Link gefunden, der mir sehr gut erscheint:
http://www.3cx.com/blog/voip-howto/pfsense-firewall/ -
Also die Beschreibung unter https://doc.pfsense.org/index.php/VoIP_Configuration halte ich für etwas unvollständig.
Ich kann nur beschreiben, wie ich es mit einer Fritzbox mache, aber das müßte weitgehend das gleiche sein wie für ein C430.
Die Fritzbox verwendet Port 5060 als SIP port (Standard) und die Ports 7078 bis 7019 als RTP-Ports. Diese Ports können sich je nach Gerät unterscheiden. Bei einer Fritzbox sind die Ports nicht konfigurierbar, d.h. zwei gleiche Fritzboxen im selben LAN würden nicht funktionieren.
Bei einem Gigaset C430IP geht das. Es verwendet 5060 als SIP-Port und 5004 bis 5020 als RTP Ports. Diese sind in den Advanced Settings aber einstellbar. (Quelle: http://www.gigaset.com/fileadmin/legacy-assets/NAT_troubleshooting_en.pdf)
Damit wäre in pfSense folgendes zu konfigurieren:
-
Du legst eine feste IP für das C430 fest, z.B. 192.168.1.10.
-
Du konfigurierst unter Firewall: NAT: Outbound eine Regel auf dem WAN-Interface, Source = 192.168.1.10, NAT Address = WAN address, static port = yes.
-
Du konfigurierst unter Firewall: NAT: Port Forward zwei Einträge:
-
If=WAN, Proto=UDP, Src./Src ports = any, Dest. addr = WAN address, Dest. ports = 5060, NAT IP = 192.168.1.10
-
If=WAN, Proto=UDP, Src./Src ports = any, Dest. addr = WAN address, Dest. ports = 5004-5020, NAT IP = 192.168.1.10
-
-
Auf der Firewall muß ausgehender Traffic erlaubt werden (wenn nicht ohnehin aller ausgehender traffic bereits erlaubt ist):
-
Proto = IPv4 TCP/UDP, Source = 192.168.1.10, Dest port = 5060
-
Proto = IPv4 UDP, Source = 192.168.1.10, Source Ports = 5004 - 5020, Dest / port = any
-
siproxd ist m.E. nicht erforderlich.
Bitte beachten: Ich habe kein C430 im Betrieb. Besser wäre natürlich, jemand hat so ein Teil und kann das hier bestätigen …
-flo-
Edit: Habe die Ports korrigiert ...
-
-
EDIT: Ich habe gerade noch folgenden Link gefunden, der mir sehr gut erscheint:
http://www.3cx.com/blog/voip-howto/pfsense-firewall/Das ist grob das gleiche, was ich auch beschreibe, aber mit vielen ausführlichen Bildern. Gefällt mir auch gut. Ein paar der Konfigurationen sind für C430IP vermutlich / evtl. nicht erforderlich, z.B. die http- und Tunnel-Konfigurationen. Das scheinen Spezialitäten dieses 3CX Phone System zu sein.
-flo-
-
Also die Beschreibung unter https://doc.pfsense.org/index.php/VoIP_Configuration halte ich für etwas unvollständig.
Ich kann nur beschreiben, wie ich es mit einer Fritzbox mache, aber das müßte weitgehend das gleiche sein wie für ein C430.
Vielen Dank für deine ausführliche Beschreibung. Nur nochmals zur Sicherheit, weil ich langsam den Überblick im Thread zu verlieren drohe: Du betreibst deine Fritzbox dann ebenso wie ich das C430 betreiben würde, nämlich HINTER pfSense im LAN, oder?
Gruß
PeterEDIT: Gerne hätte ich dir noch einen DANKESCHÖN-Klick spendiert, doch das Forum erlaubt wohl nur einen pro Thread, und mein Pulver habe ich bereits verschossen :)
-
Ja, korrekt, VoIP-Gerät hinter pfSense.
Ich habe übrigens selbst über ein C430 IP nachgedacht. Mich reizt die bessere Sprachqualität. Aber da waren ja schon zwei gute analoge Telefone vorhanden und als schwäbischer Sparmuckel habe ich dann die Variante mit der gebrauchten Fritzbox für wenige Euro gewählt. Ich warte nur darauf, daß ein Telefon abraucht, dann ist ein IP Telefon fällig. :-)
Übrigens habe ich oben eine falsche Angabe zu den Ports beim C430IP- Das korrigiere ich noch gleich.
-flo-
-
EDIT: Gerne hätte ich dir noch einen DANKESCHÖN-Klick spendiert, doch das Forum erlaubt wohl nur einen pro Thread, und mein Pulver habe ich bereits verschossen :)
Ich glaube der [applaud] link auf der linken Seite tut das gewünschte. :-) Der "Thanks" links geht tatsächlich nur einmal pro thread.
-flo-
-
EDIT: Gerne hätte ich dir noch einen DANKESCHÖN-Klick spendiert, doch das Forum erlaubt wohl nur einen pro Thread, und mein Pulver habe ich bereits verschossen :)
Ich glaube der [applaud] link auf der linken Seite tut das gewünschte. :-) Der "Thanks" links geht tatsächlich nur einmal pro thread.
-flo-
Done :)
-
Ich möchte den Thread um meine aktuellen Erfahrungen aktualisieren:
Seit zwei Wochen habe ich einen ADSL2+/Annex-J Anschluss der Telekom. VDSL ist leider (noch) nicht verfügbar.
Ich habe das Siemens C430 IP gekauft. Die Inbetriebnahme war unproblematisch, und die Einrichtung von pfSense funktionierte sofort - nicht zuletzt auch wegen deines Beitrags, -flo-.
siproxd habe ich nicht eingerichtet, habe aber auch nicht verstanden, wann man den braucht. Die Sprachqualität ist trotz vielfach gegenteiliger Berichte in diversen Foren zu VoIP hervorragend.Eine Ergänzung zur Einrichtung möchte ich machen: Mit pfSense 2.2.x gibt es "Hybrid Outbound NAT rule generation", was mir für meine Zwecke ideal erschien. So brauchte ich nur die Regel für meine IP-Telefon einrichten, der Rest funktioniert automatisch wie bisher.
Eine weiterführende Frage habe ich noch: Ich würde gerne mit Linphone auf meinem PC experimentieren. Reicht es dazu aus, den betreffenden PC in pfSense so zu behandeln wie mein IP-Telefon oder gibt es zusätzliche Dinge zu beachten, wenn zwei SIP-Clients im LAN verwendet werden?
Gruß
Peter -
Eine Ergänzung zur Einrichtung möchte ich machen: Mit pfSense 2.2.x gibt es "Hybrid Outbound NAT rule generation […]"
Das habe ich mittlerweile auch so. Ich finde das auch eine große Erleichterung.
Eine weiterführende Frage habe ich noch: Ich würde gerne mit Linphone auf meinem PC experimentieren. Reicht es dazu aus, den betreffenden PC in pfSense so zu behandeln wie mein IP-Telefon oder gibt es zusätzliche Dinge zu beachten, wenn zwei SIP-Clients im LAN verwendet werden?
Nur eines: Die Geräte müssen unterschiedliche Ports / Portbereiche verwenden für die SIP- und RTP-Ports. Das C430-IP ist einstellbar, beim Linphone weiß ich es nicht (sehr wahrscheinlich ja). In pfSense gibt es dann für jedes Gerät / Softphone ein Satz NAT- und Firewall-Regeln.
-flo-
-
Danke, flo, für die Rückmeldung. Ich hatte gehofft, es würde etwas einfacher. Da ich den ausgehenden Datenverkehr auch sehr restriktiv handhabe, müsste ich dann nochmals dieselbe Arbeit investieren wie fürs C430 IP. Mal sehen, wann ich dazu komme. Ich werde dann hier berichten.
Peter
-
@knebb:
Dazu noch ein VOIP-analog Adapter für 50€ fürs Fax.
Arghs! Ein Cisco SPA 8000 (oder war es ein SPA8800?) habe ich vor einigen Monaten zurückgeschickt, da die Firmware total verwanzt war. Der Cisco-Support hat die Bugs bestätigt, aber auch gleich mitgeteilt, dass es keine Bugfixes geben wird, weil die zuständige Entwicklungsmannschaft aufgelöst wurde…
Also besser die Finger lassen von Cisco SPA...
Wenn jemand ein gutes (und bezahlbares) FXS-Gateway mit 8 (oder mehr) Ports kennt: bitte melden!
Flo, kannst Du vielleicht die Konfig nochmal zusammenfassen? Was hat es mit dieser Hybrid outbound NAT rule generation auf sich?
-
Flo, kannst Du vielleicht die Konfig nochmal zusammenfassen? Was hat es mit dieser Hybrid outbound NAT rule generation auf sich?
:) Also nochmal vollständig: Konfiguration pfSense (Version 2.2.2) für C430-IP
Bitte beachten: Ich habe den SIP-Port im C430-IP auch den Port 5061 geändert, Standard ist 5060. Das kann auch so bleiben, in den Beispielen ist aber immer 5061 drin!
1. Feste IP für das C430 festlegen. Ich verwende 172.27.2.61, dafür habe ich auch einen IP-Alias "C430IP" festgelegt. Den sieht man in den Bildern.
2. Unter Firewall: NAT: Outbound eine Regel auf dem WAN-Interface, Source = 172.27.2.61/32, NAT Address = WAN address, static port = yes.
Die restlichen Regeln werden weiterhin automatisch verwaltet (hybrid).
Siehe Bild 1.
3. Unter Firewall: NAT: Port Forward zwei Einträge:
If=WAN, Proto=UDP, Src./Src ports = any, Dest. addr = WAN address, Dest. ports = 5061, NAT IP = 172.27.2.61
If=WAN, Proto=UDP, Src./Src ports = any, Dest. addr = WAN address, Dest. ports = 5004-5020, NAT IP = 172.27.2.61Siehe Bild 2 und 4.
Die notwendigen Regeln auf dem WAN interface werden automatisch mit angelegt, siehe Bild 3.
4. Auf der Firewall muß ausgehender Traffic erlaubt werden (wenn nicht ohnehin aller ausgehender traffic bereits erlaubt ist):
Proto = IPv4 TCP/UDP, Source = 172.27.2.61, Dest port = 5060 (nicht 5061, das ist der Port des Providers!)
Proto = IPv4 UDP, Source = 172.27.2.61, Source Ports = 5004 - 5020, Dest / port = anySiehe Bild 4.
Optional:
a) Eine weitere Regel erlaubt dem C430-IP den Zugriff in das Internet. Das kann man auch temporär freischalten, zumindest für ein Firmware-Update ist das erforderlich, aber das C430-IP bietet ja auch Infodienste, die das nutzen. Siehe Bild 4.
b) Das C430-IP macht STUN-Zugriffe, auch wenn man das abgeschaltet hat. Bei mir laufen die auf der Firewall auf und müllen das Log zu. Ich habe eine Regel dafür die das ohne Logging blockt. Siehe Bild 4.
siproxd ist nicht erforderlich STUN braucht es auch nicht.
-flo-
-
Bitte beachten: Ich habe den SIP-Port im C430-IP auch den Port 5061 geändert, Standard ist 5060. Das kann auch so bleiben, in den Beispielen ist aber immer 5061 drin!
Es ist übrigens immer sinnvoll den eigenen SIP-Port von 5060 auf was anderes zu legen. Wenn man das nicht tut, sieht man wie man aus dem Internet regelrecht attackiert wird. Hier gibt es die Gefahr, dass jemand es schafft eine Telefonnummer/Passwort zu hacken und hohe Kosten produziert. Das kann man dann im Log von Asterisk beeindruckend sehen. Des Weiteren erzeugt das auch nicht zu vernachlässigenden Traffic auf der WAN-Leitung. Ein anderer Port reduziert diese Gefahr erheblich und es gibt keine Nachteile.
-
Hallo Flo,
eigentlich sind doch alle Regeln, bis auf die letzte, obsolet. Die erste Regel erlaubt doch alles.
Die Hybrid Einstellung beim Outbound NAT werde ich auch mal ausprobieren!
Gruß
Matthias"4. Auf der Firewall muß ausgehender Traffic erlaubt werden (wenn nicht ohnehin aller ausgehender traffic bereits erlaubt ist):
Proto = IPv4 TCP/UDP, Source = 172.27.2.61, Dest port = 5060 (nicht 5061, das ist der Port des Providers!)
Proto = IPv4 UDP, Source = 172.27.2.61, Source Ports = 5004 - 5020, Dest / port = anySiehe Bild 4."
-
@matz: was meinst du was obsolete ist? Ich sehe keine Regel von Flo die durch andere bereits abgedeckt sind, da alle entweder Source oder Destination Einschränkungen haben.
-
Hey, Du hast recht! Ich habe bei mir als erste Regel eine, die allen Traffic erlaubt (ist glaube ich immer son). Habe die beiden Ports bei ihm übersehen. Sorry!
-
Macht nichts, war nur irritiert :)
