VoIP Telekom Umstellung



  • Hallo zusammen,

    ich werde von der Telekom auf VoIP umgestellt. :-(
    Derzeit bereibe ich meine ISDN Telefonie unabhängig vom Internet über eine Firtzbox (7490) und den internet S0-Bus.

    Die Internet Einwahl erfolgt über eine Zyxcel Modem, welches vor der pfSense Firewall hängt.
    Dahinter hängen an einem Switch die Clients.

    Nach der Umstellunge wollte die Einwahl ebenfalls über das Zyxcel Modem erfolgen, danach die Firewall hängen und hinter der Firewall die Fritzbox.
    An dem internet S0-Bus der Fritzbox sollen dann wieder die Telefone angeschlossen werden.

    Ich habe hierzu auch einen Netzwerkplan angehängt.

    Mir ist jedoch nicht klar, wie ich das ganze aufbauen muss.
    Welche Ports muss ich öffnen?
    Welche Ports muss ich forwarden?
    Was muss ich sonst noch an der pfSense einstellen,freigeben?

    Könnte mir hier jemand ein paar Tipps geben.

    Vielen lieben Dank.

    Grüße




  • Schau mal hier da gab es vor Kurzem schon mal was:
    https://forum.pfsense.org/index.php?topic=97642.0
    https://doc.pfsense.org/index.php/VoIP_Configuration

    Ansonsten ist es für Voip natürlich Unschön Firewall vor Firewall. Besser wäre es wenn die PfSense die Einwahl macht sorgt später für weniger Probleme

    Forwarden ist schlecht das mag SIP nicht  ;)
    Was man am Zyxel einstellen muss weiß ich nicht kenne ich nicht. Daher besser ein Modem kaufen und die PfSense macht direkt die Einwahl.
    Dann kann die Fritzbox auch ohne Probleme wieder den S0 bereitstellen



  • Hallo,

    danke dir für die schnelle Antwort!
    Dann habe ich es etwas ungenau beschrieben.
    Die pfSense macht die Einwahl und hat auch eine offizelle IP.
    Das Zyxcel ist nur das Einwahlmodem.

    Gruß



  • Ach so dann ist es ja gut  :)
    dann solltest du alles finden in den beiden Beiträgen die ich da oben geschrieben habe.
    Wenn ich mich nicht täusche ist das genau das selbe Konstrukt



  • Hallo flix,

    Bin mir noch nicht sicher, ob ich es 100%ig verstanden habe.

    1. Schritt: Disable source port rewriting

    _    Navigate to Firewall > NAT on the Outbound tab
        Select Manual Outbound NAT rule generation (Advanced Outbound NAT (AON))
        Click Save
        Find the rule at the bottom of the page labeled "Auto created rule for LAN".
        Click + at the end of that row to copy the rule.
        Edit the rule so it only covers the source IP of the device that needs static port, and any other required settings.
        Check Static Port box on that page
        Click Save
        Move the rule to the top of the list
        Click Apply Changes
        Navigate to Diagnostics > States
        Enter the IP address of the device in the Filter box
        Click Filter
        Click Kill_

    2. Schritt: Set Conservative state table optimization

    Set Firewall Optimization Options to Conservative under System > Advanced, Firewall/NAT tab

    3. Schritt: Disable scrub

    Under: System > Advanced, Firewall/NAT tab

    Ist das alles?
    Abgesehen davon, dass die Firtzbox dann noch eingerichtet werden muss.

    Du hast in einem Beitrag geschrieben, dass man folgendes einstellen soll:

    _Interface: WAN (telekom)
    Protocol: TCP/UDP
    Source:  192.168.1.50/32
    Destination: any
    Dest.Port: blank for any
    und dann den Hacken bei "static-Port" setzen.

    So verhinderst du das die Ports nach extern verändert werden. Also intern 5060 kommt auch mit 5060 bei der Telekom an. Genauso die Ports für den RTP/Voice Stream_

    Kommt das zusätzlich noch dazu?

    Sorry für die vielen Fragen.
    Hoffe du kannst mir weiter helfen :-)

    Vielen Dank schon mal & Gruß



  • Ist das alles?
    Abgesehen davon, dass die Firtzbox dann noch eingerichtet werden muss.

    Wenn ich es richtig im Kopf habe ja

    Kommt das zusätzlich noch dazu?

    Das steht oben auch schon

    Edit the rule so it only covers the source IP of the device that needs static port, and any other required settings.

    Steht da nur vielleicht etwas anders  :) aber da ist das selbe mit gemeint
    Geht einfach nur darum das nach extern wenn deine FritzBox mit port 5060 raus geht als Quell Port das dann auch beim Provider 5060 ankommt ansonsten wird es ja durch das NAT abgeändert.
    Und wichtig ist das die Regel ganz oben steht und nur die IP der FritzBox als Quelle drin steht.



  • Sorry für meine dumme Frage, aber stimmen die Einstellungen jetzt so wie auf den Bilder oder muss ich sonst noch etwas ändern?

    Vielen Dank für die Hilfe :-)








  • Das sieht gut aus.
    Einfach mal testen und schauen ob es geht  :)



  • Hallo,

    ich habe noch ein paar Probleme:

    • Vor der Umstellungen hatte ich 49,8 MBit/s im Download jetzt nur noch 31 MBit/s. Irgendeine Idee, was das sein kann?
    • Die Telefonie funktioniert manchmal nicht. Wenn ich versuche nach draußen zu wählen oder angerufen zu werden, ist die Leitung einfach tot (kein besetzt Zeichen oder etwas in der Art).

    Irgendeine Idee, was das Problem sein könnte?

    Danke und Gruß.



  • Mit dem Download wüsste ich nicht was es damit zu tun haben soll.

    Schau mal ob du irgendwie keep alive für SIP (NAT Keep Alive) einstellen kannst in der Fritz Box bei meinem IP Phone kann ich das nämlich. Das hällt die Firewall offen.



  • Alles klar, evtl. stimmt auch etwas bei der Telekom noch nicht.
    Ich werde es dennoch testen. Danke!  :)



  • Alles klar, evtl. stimmt auch etwas bei der Telekom noch nicht.

    Wegen der Downloadgeschwindigkeit vielleicht ja heißt ja immer bis zu  ;)

    Die Telefonie funktioniert manchmal nicht. Wenn ich versuche nach draußen zu wählen oder angerufen zu werden, ist die Leitung einfach tot (kein besetzt Zeichen oder etwas in der Art).

    das meinte ich mit dem Keep Alive das ist eher etwas bei dir nicht bei der Telekom.
    Wenn du langs nichts machst geht die Firewall wieder zu daher sollte man Keep Alive einstellen. Sollte auch gehen

    Beispiel: FRITZ!Box - Aktivierung "NAT Keep alive"

    Falls Sie unregelmässig eingehende Anrufe erhalten, kontrollieren Sie die Einstellungen Ihres Routers bezüglich "NAT Keep Alive". Am Beispiel der FRITZ!Box finden Sie dies unter ->Telefonie -> Internettelefonie -> Erweiterte Einstellungen. Sie müssen die "Portweiterleitung des Internet-Routers für Internettelefonie aktiv halten" aktivieren.



  • Beispiel: FRITZ!Box - Aktivierung "NAT Keep alive"

    Danke für die genaue Beschreibung! :-)
    Ich teste es heute Abend gleich.



  • Abend zusammen,

    diese Einstellungen waren schon gesetzt.

    ![Screenshot from 2015-10-12 20:29:44.png](/public/imported_attachments/1/Screenshot from 2015-10-12 20:29:44.png)
    ![Screenshot from 2015-10-12 20:29:44.png_thumb](/public/imported_attachments/1/Screenshot from 2015-10-12 20:29:44.png_thumb)



  • 5 Minuten sind zu lange
    Oben stellst du ja ein das die Firewall bei UDP 30 Sekunden offen bleiben soll.
    Wie weit kannst du da denn runter gehen? Bei meinem Phone daheim habe ich 20 Sekunden eingestellt.
    Du solltest unter den 30 Sekunden bleiben wenn möglich.
    Die 30 Sekunden in der Firewall höhrer zu stellen macht das Ganze wieder etwas unsicherer daher schau mal was in der Fritz Box geht.



  • Morgen,

    danke für den Tip.
    Könntest du mir bitte kurz erklären was ich hier eigenltich genau einstelle bzw was es mit der Zeitdauert auf sich hat.

    Danke :-)



  • Die Firewall ist Dynamisch sprich wenn ein Paket raus geht lässt sie die Antwort auf dieses Paket automatisch zu.
    Bei TCP Gibt es einen Anfang und ein Ende (Syn und Fin).
    Bei UDP gibt es das nicht also macht die Firewall auf und wenn nach einer bestimmten Zeit (Bei dir in der PfSense 30 Sekunden) kein Paket mehr kommt macht sie wieder zu.
    Mit dem Keep Alive in der Fritz Box kann man dafür sorgen das in einem bestimmten Abstand (bei dir in der Frit Box alle 5 Minuten) ein UDP Paket geschickt wird welches die Firewall offen hält.
    Da bei dir alle 5 Minuten ein UDP Paket geschickt wird und die Firewall aber schon nach 30 Sekunden wieder zu macht, werden die ankommenden Pakete (z.B. eingehende Anruf) geblockt.
    Daher solltest du in der Fritz Box nicht 5 Minuten einstellen sondern 30 Sekunden oder weniger.



  • Alles klar :-)
    Habe es verstanden.
    Many thanks ;-)



  • Ich habe jetzt die Zeit auf der Fritzbox auf 30 Sekunden gestellt (weiter runter kann man sie nicht stellen).
    Dies gilt ebenfalls für die Firewall. Hier steht es auch auf 30 Sekunden.
    Hoffe es wird jetzt besser.

    Danke & Gruß



  • Leider besteht das Problem immer noch :-(
    Hat jemand noch eine Idee, was man machen kann?



  • In dem Telefonlog der Fritzbox finde ich immer wieder diesen Eintrag:

    Internettelefonie mit xxxxxxxxxxx@tel.t-online.de über tel.t-online.de war nicht erfolgreich. Ursache: (408)



  • Ich hatte mal das Problem das wenn sich mein WAN IP geändert hat das die States irgenwie hängen geblieben sind.
    https://redmine.pfsense.org/issues/1629
    Sprich ich hatte einen Trace gemacht (unter Diagnostics: Packet Capture) und habe da gesehen das die PfSense Invites an die Telekom mit einer alten WAN IP schickt.
    Ich hatte aktuell auf dem WAN Interface eine andere IP als in dem Trace stand.

    War es ein ausgehendes Gespräch?
    Könntest mal die States reseten und schauen ob es dann wieder geht.
    Oder du dich mit Wireshark auskennst könntest du das ja mal mittracen (unter Diagnostics: Packet Capture) und schauen ob das bei dir auch so ist.



  • Das Problem ist sehr komisch.
    Ich versuche z.B. nach draußen zu wählen –> Die Leitung ist wie tot, sprich es klingelt nicht.
    Versuche ich es direkt im Anschluss nochmal klappt es.
    In der Zeit hat sich auch nicht die IP auf der WAN Seite geändert oder sonstiges.

    War es ein ausgehendes Gespräch?
    Ja.
    Das Problem tritt aber auch bei eingehenden Gesprächen auf.

    Könntest mal die States reseten und schauen ob es dann wieder geht.
    Sorry, aber verstehe nicht was du damit meinst :-)



  • Wenn es nicht geht und direkt danach geht nützt es auch nichts die States zu reseten.

    ein 408 bedeutet Timeout also das die Gegenstelle nicht reagiert.

    Dann müsste man echt mal mittracen und schauen wie die SIP Invites aussehen aber das ist nicht so einfach wenn man nicht weiß wie man Wiresharktrace lesen soll.
    Machen kann man die recht einfach unter Diagnostics: Packet Capture aber wenn man es nicht lesen kann nützt es leider nicht viel.



  • Ich kann in der Fritzbox sehen, dass die Antwortzeiten sehr hoch sind.
    Teilweise >3000ms.

    Hast du eine Idee, was man noch Einstellen kann um das Problem in den Griff zu bekommen?

    ![Screenshot from 2015-10-14 13:03:00.png](/public/imported_attachments/1/Screenshot from 2015-10-14 13:03:00.png)
    ![Screenshot from 2015-10-14 13:03:00.png_thumb](/public/imported_attachments/1/Screenshot from 2015-10-14 13:03:00.png_thumb)



  • die 3000 ms besziehen sich auf die Gesprächsdauer wenn ich das richtig lese das ist nicht schlimm

    Jitte, Paketloss und Verzögerung der Sprachpakete passen das ist nicht das Problem.
    Sieht aber so aus als hättest du bei ausgehenden Gesprächen einseitige Verständigung weil in die eine Richtung gar keine Pakete gehen.

    Prüf doch noch mal deine NAT Einstellungen ist da alles richtig gepflegt also stimmt der Alisa FritzBox steckt dahinter die richtige IP?
    Weil es scheint mir so als wenn da etwas nicht stimmt.



  • Ich habe mal beide Screenshots angehängt.

    Was ich so komisch finde ist, das es manchmal geht und dann mal wieder nicht.
    Als würde irgendwas in einen sleepmode gehen und dann erst wieder aufwachen.






  • genau das sollte ja mit dem Keepalive verhindert werden.
    Wenn du bei der FitzBox nur 30 Sekunden einstellen kannst stellt doch mal die UDP Timeouts höher ein mal auf 60 und schau ob es besser wird.
    Wenn es besser wird dann versuchen so weit runter wie möglich zu gehen.



  • Ist auch nicht besser.
    Was spricht dagegen, die Zeit auf der pfSense hochzuseten.

    Verstehe ich das richtig, dass die pfSense den Port nach 30 Sekunden wieder schließt, wenn kein Traffic über ihn läuft?



  • Die PfSense macht wieder zu damit kein andere über diese Ports etwas einschleusen kann. Geht ja um die Eingehende Richtung und da sollte ja alles dicht sein.
    Nach Außen kannst du immer aber die Antwort muss ja auch durch kommen

    Ich meinte ja auch die UDP Timeouts auf der PfSense nicht auf der FritzBox da so klein lassen wie möglich.
    Und der der PfSense dann höher stellen und testen



  • Alles klar.  :-)
    Habe es auf 60 Sek. gestellt.
    Ich teste es mal wieder.

    Danke für die tolle Hilfe :-)



  • Ich habe nun das Problem, dass ich nicht mehr angerufen werden kann.
    Nach draußen wählen geht aber noch.

    Hat jemand eine Idee was das sein kann?



  • genau das sollte mit dem Keep Alive eigentlich verhindert werden das du nicht angerufen werden kannst.

    Wenn du angerufen wirst und es geht nicht taucht da etwas im Firewall log auf?



  • Hallo Hackel,

    funktioniert es jetzt bei Dir?

    Ich habe das gleiche Phänomen, jedoch ist es bei mir nicht die Telekom, sondern HTP ein lokaler Anbieter. Habe auch schon alle möglichen Einstellungen probiert, aber leider hat nichts geholfen. Manchmal funktioniert alles un dann wieder nichts. Bin am verzweifeln.

    Achso, auch bei mir ist es eine Fritzbox hinter einer pfSense. Ein Unterschied ist vielleicht, dass ich das WAN und das LAN der Fritzbox über unterschiedliche VLAN trenne.

    Wäre schön, wenn Du mir bescheid geben könntest, ob es jetzt bei Dir funktioniert.

    Herbert



  • Hallo Herbert,

    nein, leider funktioniert es nicht.
    Ich habe aktuell auch keine Idee, was ich noch testen kann. :-(
    Bin etwas verzweifelt. :-(



  • Hallo Hackel,

    gerade habe ich das Problem lösen können. Bei mir funktioniert die Verbindung, wenn die Fritzbox nach folgender Anleitung auf den internen Netzwerkverkehr umstelle: http://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publication/show/106_FRITZ-Box-fuer-Betrieb-mit-anderem-Router-z-B-IAD-einrichten/

    Dann erreiche ich die Fritzbox zwar nur noch über den LAN1, aber die Telefonie funktioniert ohne Probleme!!!

    Hoffe es hilft Dir,

    Herbert



  • Hallo Herbert,

    willst du vielleicht ein paar Screenshots von deinen Einstellungen machen, was du genau alles eingetragen hast.
    Dann gibt es hier im Forum eine komplette Anleitung für die VoIP-Umstellung.

    Die Leute, die nach uns umgestellt werden, sind bestimmt dankbar :-)

    Gruß



  • Hallo Herbert,

    bei mir funktioniert es mit der Anleitung auch leider nicht (so hatte ich es vorher auch alles eingetellt und jetzt nochmal auf Werkszustand zurückgesetzt und neu versucht).

    Im Log taucht immer wieder dieser Fehler auf:

    Internettelefonie mit xxxxxxxxxxxxxxx@tel.t-online.de über tel.t-online.de war nicht erfolgreich. Ursache: (408)



  • @flix87: Sorry für meine späte Anwort.

    Zu deiner Frage…:
    Wenn du angerufen wirst und es geht nicht taucht da etwas im Firewall log auf?
    Nein, das Firewalllog sieht gut aus. also es wird nichts geblockt, wenn das Anrufen mal wieder nicht funktioniert.



  • Dual WAN oder so hast du nicht im Einsatz oder?

    Weil so langsam weiß ich auch nicht mehr weiter bei mir klappt das so mit den Einstellungen.


Log in to reply