PfSense + Telekom Hybrid



  • Hallo,

    da bei uns in nächster Zeit kein (V)DSL Ausbau geplant ist, prüfe ich derzeit den Wechsel auf einen Hybrid-Anschluss. Laut Telekom wäre bei uns Hybrid M möglich. Zur Zeit haben wir an der pfSense ein ALLNET-DSL Modem (normaler 16 MBit DSL-IP Anschluss) am WAN-Port hängen, dazu LAN und DMZ Port (letzterer aber quasi ungenutzt).

    Gibt es bereits Erfahrungen in Bezug auf Telekom Hybrid mit pfSense? Mir ist bewusst das ich dann vermutlich den Speedport-Router einsetzen muss, somit würde es am Schluss auf ein Double-NAT hinauslaufen. Klappen in diesem Zusammenhang auch Portweiterleitungen wie bisher, kann man das anständig im Speedport konfigurieren oder gibt es da Besonderheiten?

    Insbesondere bin ich noch unschlüssig, ob ich den bestehenden IP-Anschluss auf einen Hybrid umwandeln sollte oder einen komplett neuen Anschluss schalten lasse, der dann mit dem Speedport-Router an einem zweiten WAN-Anschluss bei der pfSense angeklemmt wird. Wir haben hier intern einige VOIP-Telefone (sipgate) im Einsatz und ich möchte natürlich vermeiden, das nach der Umstellung auf Hybrid dort nichts mehr zuverlässig funktioniert. Mein Gedanke bei Multi-WAN war daher, bestimmte Hosts anhand der IP-Adresse immer über den Speedport zu routen und alle übrigen Geräte wie bisher über den DSL-Anschluss. Eine Komplettumstellung auf Hybrid wäre aber wohl einfacher und kostengünstiger.

    Was meint ihr, welche Option dahingehend am sinnvollsten wäre? Hat jemand von euch bereits Hybrid im Einsatz und kann etwas zur Geschwindigkeit/Zuverlässigkeit sagen?

    Grüsse,

    Michael



  • Hi Michael,
    habe ich hier so laufen!

    Der Speedport Hybrid wird bei mir nur für den Internetzugang benutzt.
    Leider muss man natürlich die Portfreigabe im Speedport vornehmen und dann in der pfSense.
    Aber Achtung! Der Speedport kann nur UDP und TCP Portfreigaben…
    IPSec VPN funktioniert, nur über NAT Port 4500
    OpenVPN keine Probleme.
    Geschwindigkeit ist echt super, habe einen DSL 6000 Anschluss und mit LTE auf 100 / 40 angehoben.

    Anbei ein aktueller Speedtest (Ookla)
    102,78MBit/s -//- 42,3MBit/s -//- PING 26ms



  • Das klingt doch schonmal ganz gut. Portfreigaben benötige ich momentan nur eine, da bleibt natürlich die Frage ob ich zukünftig für die VOIP-Telefone noch die Ports einzeln durchschleifen muss. Die Möglichkeit einer DMZ oder eines "Exposed Host" wie bei den Fritzboxen gibt es bei den Speedports aber nicht, oder?

    Was passiert eigentlich, wenn die Tarifumstellung auf Hybrid bei einem vorhandenen Anschluss beauftragt wird - funktioniert der normale DSL-Zugang mit den bisherigen Zugangsdaten weiterhin nach der Umstellung (natürlich dann ohne LTE) ? Mir geht es nur darum Ausfälle zu vermeiden, notfalls könnte ich dann ein pfSense-Backup vorher ziehen oder wieder einspielen. Wie sieht die Umschaltung auf LTE denn in der Praxis aus, springt das automatisch ein sobald größere Downloads/Uploads starten oder gibt es da noch weitere Kriterien?



  • Moin Moin,
    ich würde sagen, es wird kurzfristig ausfallen. Da deine DSL-Leitung auf DSL-RAM umgeschaltet wird. Bedeutet, du hast sage ich mal vorher z.B. DSL 6000 / 600 bei der Umstellung auf Hybrid wird dann auf RAM Annex J (Reine DSL Leitung) umgestellt, dann hast du von ca 6000-16000 im Download und im Upload von ca. 600-2300. Hierbei kommt es immer auf die Entfernung zum Telekom Verteiler an.
    Im Normalfall wird nur umgeschaltet, hier sollte es eine Service- Unterbrechung von wenigen Minuten geben.
    Danach kommt es auf dein Modem / Router an, ob dieser auch Annex J als DSL- Profil kann.

    Der Speedport Hybrid kann keine Exposed Host Freigaben. Man muss hier immer schön alles einzeln per Hand freigeben. :-(

    Die zuschaltung von LTE funktioniert völlig automatisch innerhalb Sekunden. Nach extern hast du immer ein und dieselbe IPv4 Adresse (Der Speedport bündelt alles in VPN Tunneln bis zum Übergabepunkt der Telekom)

    VoIP der Telekom und Speedport + pfSense sind keine direkten Freunde :-)
    Funktioniert aber.
    Ich habe im Speedport Hybrid keine Telefonnummern angemeldet, ich habe eine TK-Anlage an der pfSense hängen und hier alle 10 VoIP MSN registriert. Dann im lokalen Netzwerk IP-Telefone die sich an der TK-Anlage anmelden.



  • Ich habe bereits einen Annex-J Anschluss (also nur IP-basierendes DSL) hier, von daher denke ich, dass da kein Ausfall zu erwarten wäre. Von der Geschwindigkeit liegt der bei 16MBit/s im Download und 1,5 Mbit/s im Upload, insbesondere aber bei letzterem wäre ein höherer Wert in Verbindung mit LTE dann schön. Die Rufnummern (VOIP) der Telekom nutze ich nicht.

    Eine Sache verstehe ich an der LTE-Geschichte aber noch nicht: Wovon hängt es dort technisch ab, welche Maximalgeschwindigkeit (bzw. welchen Hybrid-Tarif) man buchen kann? Laut telefonischer Auskunft bekomme ich lediglich Hybrid M (also mit 50 Mbit/s Download / 10 MBit/s Upload), obwohl mir die LTE-Verfügbarkeitskarte der Telekom einen Wert von 150 Mbit/s anzeigt? Der Hybrid L mit 100 Mbit/s wäre natürlich toll, den scheine ich aber nicht erhalten zu können. Wird bei LTE in den Hybrid-Tarifen auch die Geschwindigkeit (nicht nach Verbrauch, nur die Bandbreite, z.B. 50 Mbit/s) gedrosselt?



  • Ja, richtig. Die Telekom verkauft nur 50/10 per Hybrid bei ADSL bis 16000. Es gibt dann aber eine "Option" welche ich buchen konnte. Damit hatte ich dann die Anhebung auf 100/40
    Diese Werte schwanken natürlich nach Auslastung der LTE-Zelle
    Der Hybrid Traffic wird gaaaaaaaaaanz hinten dran gehängt.
    Es gehen alle Kunden im Mobilfunknetz vor.

    Ich habe habe ca. 200m zum LTE Standort der Telekom, somit 100% Empfang.
    Der Speedport kann aber auch mit externen Antennen versorgt werden.



  • Hat diese "Option" eine spezielle Bezeichnung? Ich bin dies heute an der Hotline nochmal durchgegangen, dort konnte man aber bisher auch nur Hybrid M mit 50 MBit/s ordern - das habe ich dann auch mal direkt getan. Die Distanz zum Mobilfunkmast ist auch nur wenige hundert Meter. Mir ist allerdings aufgefallen, dass ich im LTE-Band B3 (1800 MHz) deutlich höhere Datenraten bekommen habe, als mit B20 (800 MHz). Dafür empfange ich B3 aber auch nur direkt ganz oben im Dachboden, mal sehen wie das später mit den richtigen Antennen aussieht (habe das nur mit einem Netgear WLAN-Hotspot testen können auf die schnelle).

    Gibt es seitens pfSense etwas besonderes zu beachten? Ich würde jetzt mal vermuten, dass die bisherige PPPoE-Konfiguration am WAN-Port abgeändert wird zu DHCP oder einer statischen IP, dann eine Kabelverbindung zum Speedport Hybrid Router. Falls Ports durchgereicht werden müssen, das ganze direkt im Hybrid-Router und in der pfSense-Firewall konfigurieren. Gibt es grosse Geschwindigkeitseinbussen aufgrund des Doppel-NATs?



  • Habe gerade mit einem Kollegen gesprochen, dieser sagte mir in manchen Regionen gibt es nur bis zu 50MBit. Ich bin mir nicht sicher was der Speedport kann, 1800MHz auf jeden Fall, ist ja hier verfügbar :-)

    Ich habe dem Speedport einfach eine andere IP gegeben (Standard ist ja 192.168.2.0/24), habe DHCP am Speedport deaktiviert und der pfSense eine Feste IP auf dem WAN- Interface gegeben.

    Geschwindigkeitsmäßig kann ich keine großen Unterschiede feststellen.
    Wie gesagt, dass LTE schwankt halt nach Auslastung der Basisstation.

    Ich würde mir einen Hybrid Router von AVM wünschen, denke allerdings das wird nix ;-)



  • Danke für die Rückmeldung :-) Bereits heute (2 Tage nach der Bestellung) ist der neue Router mit SIM-Karte eingetroffen. Dummerweise ist der Umstellungstermin erst am Montag, also heisst es jetzt abwarten. Laut Rücksprache mit der Hotline kann man nach 3 Monaten die Speed-Option wohl ändern lassen, dann führe ich evtl. das Upgrade auf Hybrid L durch (sofern Hybrid M problemlos funktioniert). Was die Auslastung anbelangt so bin ich guter Dinge, ich habe es zumindest bereits tagsüber geschafft problemlos 50 MBit/s im Download zu übertragen - größtes Problem wird erstmal sein, wie ich den Router auf den Dachboden bekomme ;-)

    Die Konfiguration auf der pfSense dürfte sehr einfach sein. Kann man eigentlich bestimmte Dienste auf die DSL-Festnetzleitung im Speedport beschränken? Ich hatte da mal etwas gelesen, dass SSH & co Probleme bereiten sollen, oder war dies nur in der Anfangszeit?



  • Dann viel Spaß damit :-)

    Ja kann man! Hier kann man einstellen was nur über DSL rausgehen soll.
    SSH und VPN machen keine Probleme mehr.
    Habe nur eine Regel drin welche SIP Traffic über DSL leitet. Dieses machte bei mir Probleme.



  • Nachdem der Hybrid-Router schon einige Tage hier bereit lag, wurde heute auch endlich der Anschluss geschaltet :-) Ich habe bis jetzt alles geschafft einzustellen, nur eine Sache macht noch Probleme: VOIP :-(

    Um die Fehlerquelle zu lokalisieren, hatte ich zunächst alles auf "DSL-Only" umgestellt bzw. über eine Regel alles was von der pfsense kommt bzw. an diese geht über die DSL-Leitung im Speedport geroutet. Ich habe hier einfache Snom-Telefone, darin stehen die jeweiligen Zugangsdaten - als die pfsense noch die PPPoE-Einwahl getätigt hatte, brauchte es dort keine speziellen Portfreigaben oder Firewallregeln, die Telefone liefen auf Anhieb. Jetzt aber besteht das Problem, dass man zwar herausrufen kann, der Angerufene hört auch etwas, aber der Weg zurück funktioniert nicht (bleibt Stumm). Ebenso kommen keine Anrufe rein.

    Dementsprechend scheitert es wohl irgendwo noch an der Übergabe der Datenpakete vom Speedport an die pfsense, obwohl ich dort testweise einmal die Ports direkt an die pfsense freigegeben hatte (und in der NAT/Firewall-Konfig natürlich ebenso auf die interne IP). Habe ich irgendwo einen Punkt vergessen?

    ![Bildschirmfoto 2016-04-25 um 21.12.34.png](/public/imported_attachments/1/Bildschirmfoto 2016-04-25 um 21.12.34.png)
    ![Bildschirmfoto 2016-04-25 um 21.12.34.png_thumb](/public/imported_attachments/1/Bildschirmfoto 2016-04-25 um 21.12.34.png_thumb)
    ![Bildschirmfoto 2016-04-25 um 21.12.54.png](/public/imported_attachments/1/Bildschirmfoto 2016-04-25 um 21.12.54.png)
    ![Bildschirmfoto 2016-04-25 um 21.12.54.png_thumb](/public/imported_attachments/1/Bildschirmfoto 2016-04-25 um 21.12.54.png_thumb)
    ![Bildschirmfoto 2016-04-25 um 21.13.08.png](/public/imported_attachments/1/Bildschirmfoto 2016-04-25 um 21.13.08.png)
    ![Bildschirmfoto 2016-04-25 um 21.13.08.png_thumb](/public/imported_attachments/1/Bildschirmfoto 2016-04-25 um 21.13.08.png_thumb)



  • Das liegt am NAT - NAT (Hybrid Router, pfSense Netz)
    Hier gibt es das Packages siproxd. Das könntest du mal probieren.
    Die Regel im Hybrid alles was mit SIP zutun hat über DSL zuleiten habe ich auch drin.
    Dann noch stun benutzen und es sollte funktionieren.
    Hatte ja ganz zu Anfang schon geschrieben, pfSense und Speedport sind keine direkten Freunde :-)



  • Mich wundert es allerdings, das die direkten Port-Weiterleitungen auch nicht funktionieren. Einen STUN-Server von sipgate habe ich ebenfalls hier und grade getestet, ebenfalls ohne Erfolg.

    Wie ist denn dein Aufbau genau?
    Speedport <-> pfSense <-> Fritzbox <-> Telefone ?
    Welche Ports hast du denn auf dem Speedport und der pfSense für SIP geöffnet, gab es besondere Einstellungen an der Fritzbox?



  • Wichtig ist nur, bitte in den IP-Telefonen den Port ändern mit dem die Telefone die Verbindung raus aufbauen. Standard ist 5060, habe bei meinen z. B. 5065, 5066 usw. eingetragen. Der Speedport macht sonst was ganz komisches, wenn Geräte Port 5060 benutzen.



  • Leider bin ich in der Sache noch immer nicht weiter gekommen - wie es scheint, kommen wohl die Portweiterleitungen überhaupt nicht an der pfsense an, daher vermute ich derzeit eher noch einen Fehler im Speedport-Router. Im folgenden mal meine Einstellungen im Detail:

    Speedport-Router:
    Internetverbindungen -> LTE deaktivieren oder Ausnahmen hinzufügen -> Verbindungsmodus -> Nur DSL (um LTE-Probleme vorerst auszuschliessen)
    Portfreischaltungen -> Port-Umleitungen und Port-Weiterleitungen:
    Gilt für folgendes Gerät: [pfSense ausgewählt]
    UDP 6000 -> 6000, UDP 60200-60240 -> 60200-60240

    pfSense:
    Firewall -> NAT -> Port Forward
    Interface WAN, Protocol UDP, Source address + Ports *, Dest. WAN address, Dest Ports 6000, NAT IP 192.168.0.150, NAT Ports 6000
    Interface WAN, Protocol UDP, Source address + Ports *, Dest. WAN address, Dest Ports 60200-60240, NAT IP 192.168.0.150, NAT Ports 60200-60240

    Interfaces -> WAN -> Block private networks (RFC 1918): Ist derzeit nicht markiert, da der Speedport die 192.168.2.1 nutzt, das WAN-Interface der pfSense die 192.168.2.2. Ist dies korrekt? "Block bogon networks" ist aktiv.

    snom Telefon:
    STUN-Server ist hinterlegt (stun.sipgate.net:3478)
    Outbound-Proxy ist eingetragen (proxy.live.sipgate.de, Port:5060)
    Netzwerkidentität (Port): 6000
    Dynamischer RTP Port start: 60200
    Dynamischer RTP Port stop: 60240

    Wenn ich das Telefon von extern anrufe, kommt nach kurzer Zeit ein besetzt (die Verbindung geht scheinbar nicht durch). Rufe ich vom Telefon aus nach extern an, dann wird der Anruf signalisiert und Sprache kommt beim Angerufenen an, nicht jedoch umgekehrt beim snom-Telefon (demnach wohl kein eingehender RTP-Traffic). Bei den Firewall-Rules in der pfsense habe ich für die Ports 6000 und 60200-60240 das Logging aktiviert, sehe aber bei "Status -> System Logs -> Firewall" keine Einträge für die IP 192.168.0.150 (snom). Ich gehe daher davon aus, dass kein Traffic bei der pfSense eintrifft?

    Ich habe gleichzeitig noch im Speedport und in der pfSense ein TCP-Portforwarding für einen Rechner auf einem einzelnen Port hinterlegt (HTTP-Traffic), dort funktioniert alles einwandfrei. Testweise habe ich auch mal ein Softphone (Telefon.app unter OS X) installiert - dort werden zwar Anrufe von extern signalisiert, allerdings funktioniert die eingehende Sprachübertragung ebenfalls nicht.

    Sorry für den vielen Text, aber nach mehreren Stunden testen von allen möglichen Kombinationen an Einstellungen bin ich leider mit meinem Latein am Ende. Es wäre sehr schade wenn ich den Router zurückschicken müsste, denn alles andere funktioniert bis dato einwandfrei - die Übertragung mit der Hybrid-M Option liegt bei zwischen 50-60 MBit/s im Download und bei um die 10 MBit/s im Upload, obwohl der Router nur 2 Empfangsbalken zeigt und derzeit noch im Erdgeschoss steht :-)



  • Ja, der Speedport Hybrid ist echt nicht so schön!!!

    Was passiert wenn du das SIP-Telefon direkt an dem Speedport betreibst? Funktioniert es dann?
    Ich kann es morgen (heute schaffe ich es nicht) mal testen bei mir, habe ein Gigaset Pro IP-Telefon und ein SNOM für Testzwecke.



  • Ich habe heute mal die einfachste aller Varianten getestet: Das Snom-Telefon direkt mit an den Speedport per separatem LAN-Port, somit nicht mehr hinter der pfsense. Jetzt ist das Problem mit der Audioübertragung gelöst (man hört also Sprache von beiden Seiten). Allerdings kann nur das snom-Telefon raustelefonieren, die Anrufsignalisierung nach innen funktioniert noch immer nicht :-(

    Habe da bereits viele Kombinationen durch:

    • Ohne Portweiterleitungen
    • Extra Port für snom (5160 statt 5060), mit und ohne Portforwarding
    • LTE komplett deaktiviert
    • LTE+DSL und das Snom-Telefon als Ausnahme für LTE eingefügt
    • STUN-Server im Telefon eingetragen / entfernt
    • Mehrfache Reboots des Telefons
    • Einige Reboots des Speedport-Routers

    Da das Snom-Telefon auch zuvor an der pfSense (WAN mit PPPoE) mit den normalen Einstellungen perfekt funktionierte, gehe ich davon aus das der Speedport in Sachen NAT / Firewall etwas prinzipiell anders macht. Ich kann mir allerdings nicht vorstellen, das ein VOIP-Telefon direkt am Speedport angestöpselt nicht funktionieren soll, dann würde es auch Probleme mit den ganzen Fritzboxen, Asterisk-Systemen usw. geben.

    Edit:
    Ich bin einen Schritt weiter aufgrund dieses Topics:
    http://www.ip-phone-forum.de/showthread.php?t=282174

    Nachdem ich den Servertyp auf "Asterisk" beim snom-Telefon umgestellt hatte, funktionieren nun die Anrufsignalisierungen ebenfalls einwandfrei, als auch die beidseitige Audioübertragung. Wohlgemerkt aber bisher nur am Speedport direkt - ich hatte daraufhin nochmal das Telefon umgestöpselt an die pfsense, dort funktioniert jetzt auch die Anrufsignalisierung, aber die Audioübertragung nach innen geht noch nicht. Testweise nochmal eigene Ports im Forwarding eingetragen auf Speedport & pfSense & snom (UDP 5160 für SIP und 5104-5120 für RTP), brachte aber keine Änderung. Speedport-Router lief in diesem Moment zur Sicherheit auf DSL-Only Betrieb ohne LTE.



  • Hast Du im letzten Setup auch nochmal ohne STUN und port forwards probiert?

    Lies mal in diesem Post über Symmetric RTP nach. Sofern Du Telekom VoIP nutzt, sollte die Gegenstelle den selben Port für eingehendes Audio verwenden, wie das Snom für ausgehendes Audio. Wenn das so läuft, braucht es keine Port-Forwards, static ports und auch kein STUN, da die Firewall das eingehende Audio im Rahmen einer bereits aufgebauten Verbindung annimmt.

    -flo-



  • Mit "letzten Setup" meintest du mit dem snom-Telefon wieder an der pfsense? Am Speedport funktionieren nun alle Telefone bis jetzt problemlos, allerdings benötigen diese dann einen eigenen LAN-Port, damit ich den Datenverkehr auf den neuen Switch lenken kann (der an der Speedport hängt).

    Als VOIP-Anbieter ist hier sipgate Team im Einsatz. Dadurch das die übrigen Telefone jetzt erstmal übergangsweise laufen, kann ich mit einem Gerät in Ruhe an der pfSense testen. Soweit ich mich erinnere hatte ich diese Konstellation aber bereits geprüft:

    Internet <-> Speedport <-> pfSense <-> snom

    Das war ganz zu Beginn, als die Telefone noch die Standard-Konfiguration hatten. Zu diesem Zeitpunkt musste ich auch in der pfSense in den Firewall/NAT-Regeln keine Einstellungen vornehmen, alle Telefone liefen auf Anhieb. Durch das jetzige schalten hinter den Speedport haben wir aber kein normales NAT mehr sondern ein Doppel-NAT, daher vermute ich das in den RTP-Paketen irgendwo ein falscher Port oder IP-Adresse steckt und dieser daher nicht am Telefon ankommen.



  • Also sipgate habe ich gerade getestet. Es funktioniert!
    Anbei zwei Sceenshots.

    Speedport: Portfreischaltung UDP 7078-7096 -> Auf die pfSense
    pfSense: NAT-Regel 7078-7096 auf meine Gigaset N510 IP Pro

    Ab da an funktionierte die Sprache.






  • Jedes Telefon benötigt hier einen eigenen RTP-Bereich, sowie SIP-Port

    http://teamhelp.sipgate.de/hc/de/articles/203643481-Allgemeine-Konfigurationsdaten



  • comtel: Kannst du kurz noch Screenshots von den Speedport-Einstellungen dazu machen? Die Portweiterleitungen sind wohl klar, mich würden aber zusätzlich die Einstellungen für DSL/LTE interessieren, danach prüfe ich das hier mal mit meinem Testgerät.



  • Da habe ich jetzt nichts eingestellt. Könnte man machen, sollte aber auch so funktionieren.



  • Ok, habe das ganze jetzt mal exakt nachkonstruiert. Auf dem Speedport die Forwardings von 7078-7096 reingesetzt, ebenso in der pfsense bei den Firewall -> NAT Forwardings (die zugehörigen Firewall-Rules werden dabei automatisch mit erstellt). Im Telefon den SIP-Port 5065, Outbound-Proxy von sipgate rein, STUN-Server eingetragen, RTP-Ports auf 7078-7096 angepasst. Anrufsignalisierung von aussen geht, keine Sprachübertragung nach innen. Ich habe mal Screenshots vom snom-Telefon gemacht, da ich vermute das dort noch was falsch sein könnte. Auf der pfsense muss ganz sicher nichts weiter konfiguriert werden? Kein Forwarding von SIP-Ports (5065 wie im Telefon hinterlegt?).












  • Möglicherweise noch ein interessanter Punkt:
    In den Firewall-Logs tauchen bei einem Anruf Einträge auf, mit der Quelle 192.168.2.1 (Speedport) auf 192.168.2.2 (pfsense), alle im Quellport-Bereich 7070+ und als Ziel-Port 5-stellig (60.000+), siehe Anhang. Als ich eine "Easy Rule" auf einen geblockten Eintrag erstellte, lief für kurze Zeit auch die eingehende Sprachübertragung. Da stellt sich die Frage, woher dieser Traffic kommt und warum er im Portbereich unter 7078 beginnt? :-)

    ![Bildschirmfoto 2016-04-26 um 23.46.17.png](/public/imported_attachments/1/Bildschirmfoto 2016-04-26 um 23.46.17.png)
    ![Bildschirmfoto 2016-04-26 um 23.46.17.png_thumb](/public/imported_attachments/1/Bildschirmfoto 2016-04-26 um 23.46.17.png_thumb)



  • Klar, so soll es ja auch sein.
    Die RTP-Port (Sprache) schlagen ja auch auf dem Speedport auf, dieser leitet diese dann an die pfSense weiter

    Wie gesagt, meine RTP-Ports (In meinem Test) sind 7078-7096, wenn dein RTP Bereich ein anderer ist, musst du diesen Bereich per NAT-Regel freigeben.

    Beispiel:
    IP-Telefon 1: RTP-Ports 7078-7096 // SIP-Port 5065
    IP-Telefon 2: RTP-Ports 7097-7115 // SIP-Port 5066
    …. usw.

    (Die RTP-Ports können sich je nach Telefon ändern, manch ein Endgerät hat nur 1 oder 2 RTP-Ports)

    und natürlich nicht vergessen, im Speedport immer schön die RTP UDP-Bereiche an die pfSense leiten.



  • @michaeljk:

    Anrufsignalisierung von aussen geht, keine Sprachübertragung nach innen. Ich habe mal Screenshots vom snom-Telefon gemacht, da ich vermute das dort noch was falsch sein könnte. Auf der pfsense muss ganz sicher nichts weiter konfiguriert werden? Kein Forwarding von SIP-Ports (5065 wie im Telefon hinterlegt?).

    Wenn die Anrufsignalisierung geht, dann ist bei den SIP-Ports bereits alles in Ordnung.

    Das Problem mit eingehendem Audio liegt offenbar nicht am Snom:

    @michaeljk:

    Möglicherweise noch ein interessanter Punkt:
    In den Firewall-Logs tauchen bei einem Anruf Einträge auf, mit der Quelle 192.168.2.1 (Speedport) auf 192.168.2.2 (pfsense), alle im Quellport-Bereich 7070+ und als Ziel-Port 5-stellig (60.000+), siehe Anhang. Als ich eine "Easy Rule" auf einen geblockten Eintrag erstellte, lief für kurze Zeit auch die eingehende Sprachübertragung. Da stellt sich die Frage, woher dieser Traffic kommt und warum er im Portbereich unter 7078 beginnt? :-)

    Die Quell-Ports des Speedport sind an sich nicht relevant, wenn die port forwards auf die korrekten Ziel-Ports im Speedport funktionieren. Entweder ist das nicht der Fall (würde ich nicht vermuten) oder das eingehende Audio kommt am Speedport erst gar nicht an einem der konfigurierten Ports an (halte ich für wahrscheinlicher).

    Hast Du bei Outbound NAT für den ausgehenden Traffic des Snom static port konfiguriert?

    -flo-



  • Das Outbound NAT steht derzeit auf:
    "Automatic outbound NAT rule generation. (IPsec passthrough included)"

    Wären denn hier noch zwingend gesonderte Einstellungen notwendig? Insgesamt wären das schon eine Vielzahl an Forwardings und Rules welche man bei mehreren Telefonen hinterlegen müsste. In diesem Fall dürfte es bestimmt sinnvoller sein, ein Asterisk oder ähnliches hinter die pfsense zu nehmen, dafür die Rules zu hinterlegen und die Telefone melden sich dann intern immer dort an?

    Ich habe gestern noch das folgende Posting gefunden:
    https://forum.stricted.net/index.php/Thread/92-Speedport-Hybrid-NAT-Probleme-mit-TK-Anlagen-wie-z-B-Asterisk/?postID=2230#post2230

    Dort wird nochmal auf die Problematik mit dem Hybrid-Betrieb und der externen IP-Adresse eingegangen. Empfohlen wird, entweder direkt den STUN-Server von T-Online (stun.t-online.de) zu nutzen da dieser generell über die DSL-Leitung geroutet wird, oder bei Nutzung eines anderen STUN-Servers dessen Domainnamen bei den Ausnahmen im Speedport zu konfigurieren, damit die richtige externe IP zurückkommt (vom DSL-Anschluss, nicht vom Tunnel). Das werde ich später auch nochmal überprüfen.

    Prinzipiell bestünde doch auch noch die Möglichkeit, das NAT auf der pfsense zu deaktivieren um das Double-NAT zu vermeiden? Wäre die Firewall selbst dann weiterhin aktiv bzw. könnte pfsense dann noch zwischen dem Netz des Speedport (192.168.2.0) und dem bisherigen LAN (192.168.0.0) routen? Hätte diese Vorgehensweise weitere Nachteile?



  • @michaeljk:

    Das Outbound NAT steht derzeit auf:
    "Automatic outbound NAT rule generation. (IPsec passthrough included)"

    Wären denn hier noch zwingend gesonderte Einstellungen notwendig?

    Ich würd's hat mal probieren. Du kannst das auf Hybrid umstellen, dann kannst Du selbst Regeln vor den automatisch generierten Regeln anlegen. Zweck ist, daß die pfSense den ausgehenden Port verwendet, den auch Dein Telefon schon verwendet. Wird das nicht so konfiguriert, dann mappt die pfSense auf irgendeinen freien ausgehenden Port (das ist das NAT Regelverhalten).

    @michaeljk:

    Insgesamt wären das schon eine Vielzahl an Forwardings und Rules welche man bei mehreren Telefonen hinterlegen müsste. In diesem Fall dürfte es bestimmt sinnvoller sein, ein Asterisk oder ähnliches hinter die pfsense zu nehmen, dafür die Rules zu hinterlegen und die Telefone melden sich dann intern immer dort an?

    Wenn Du viele Telefone hast, dann vereinfacht das die Konfiguration der pfSense, dafür hast Du dann eben ein Asterisk zu konfigurieren. Die Komplexität dürfte höher sein, aber es hängt natürlich davon ab, ob Du Dich mit Asterisk auskennst.



  • @michaeljk:

    Prinzipiell bestünde doch auch noch die Möglichkeit, das NAT auf der pfsense zu deaktivieren um das Double-NAT zu vermeiden? Wäre die Firewall selbst dann weiterhin aktiv bzw. könnte pfsense dann noch zwischen dem Netz des Speedport (192.168.2.0) und dem bisherigen LAN (192.168.0.0) routen? Hätte diese Vorgehensweise weitere Nachteile?

    Grundsätzlich ja. Soweit ich weiß (ich mache das so nicht) kann man die pfSense so betreiben, daß sie WAN und LAN per bridge verbindet. Dann arbeitet die pfSense als transparente Firewall. WAN und LAN aus Sicht der pfSense sind dann aber ein logisches Netz, also nicht mehr 192.168.2.0/24 und 192.168.0.0/24, sondern nur noch 192.168.2.0/24. Alle Geräte hinter der pfSense haben dann also eine Adresse aus diesem Netz.

    Vorteil ist, daß alles funktioniert, wie wenn die pfSense nicht im Netz integriert wäre, dennoch wäre eine Firewall-Funktionalität vorhanden. Genaue weitere Auswirkungen und Vor- / Nachteile kann ich nicht liefern, sorry.



  • @-flo-:

    Grundsätzlich ja. Soweit ich weiß (ich mache das so nicht) kann man die pfSense so betreiben, daß sie WAN und LAN per bridge verbindet. Dann arbeitet die pfSense als transparente Firewall. WAN und LAN aus Sicht der pfSense sind dann aber ein logisches Netz, also nicht mehr 192.168.2.0/24 und 192.168.0.0/24, sondern nur noch 192.168.2.0/24. Alle Geräte hinter der pfSense haben dann also eine Adresse aus diesem Netz.

    Schade - transparent müsste die Firewall nicht einmal sein, es wäre sogar besser wenn die Netze rein von der Organisation her getrennt bleiben würden. Mein Ziel ist es, möglichst ohne grossen Konfigurationsaufwand alle Dienste (Firewall, DHCP, VPN, …) weiterhin auf der pfsense laufen zu lassen und den Speedport Router lediglich als "notwendiges Übel" für den Internetzugang zu nutzen, dabei aber soweit es geht sämtliche optionalen Dienste darauf herunterfahre (kein WLAN, kein DHCP usw.). Würde sich die Konstellation denn verbessern, wenn man von IPv4 auf IPv6 auch im internen LAN umstellt? Der Speedport bekommt IPv6 Adressen und teilt diese auch den Clients zu (z.B. einem direkt angeschlossenen Mac), die Snom-Telefone sind IPv6 fähig, genauso wie alle übrigen Clients und Server im internen Netz. Würde hierdurch nicht auch die NAT-Problematik entfallen?

    @comtel:

    Die Telekom verkauft nur 50/10 per Hybrid bei ADSL bis 16000. Es gibt dann aber eine "Option" welche ich buchen konnte. Damit hatte ich dann die Anhebung auf 100/40

    Ich hatte heute nochmal Kontakt zur Telekom-Hotline - laut dortiger Auskunft wäre bei meinem 16000er Anschluss keine "Speedoption L" buchbar. Die LTE-Verfügbarkeitsabfrage zeigt 150 Mbit/s auf der Karte an, der Mobilfunkmast kann definitiv LTE1800 und quasi "nebendran". Gibt es irgendwelche Fristen die man einhalten muss, bevor man eine neue Option buchen kann? Oder technische Voraussetzungen die der LTE-Mast liefern muss (Frequenz, angeschlossene Bandbreite, darauf gebuchte Hybrid-Anschlüsse, …) ? Wo hast du die Option gebucht (Kundencenter / Hotline) ?

    Zusatzfrage: Was passiert eigentlich, wenn die DSL-Leitung ausfällt - ist dann der weitere Datenverkehr über LTE noch möglich?



  • @michaeljk:

    Würde sich die Konstellation denn verbessern, wenn man von IPv4 auf IPv6 auch im internen LAN umstellt? Der Speedport bekommt IPv6 Adressen und teilt diese auch den Clients zu (z.B. einem direkt angeschlossenen Mac), die Snom-Telefone sind IPv6 fähig, genauso wie alle übrigen Clients und Server im internen Netz. Würde hierdurch nicht auch die NAT-Problematik entfallen?

    Grundsätzlich hört sich das plausibel an, aber ich schätze die Umstellung auf IPv6 im Zusammenhang mit Speedport und pfSense ist dann ein größeres Projekt …  ???



  • Ich habe jetzt die restliche Woche damit verbracht, die Hardware umzukonfigurieren. Am Speedport-Router hängt ein sWitch am LAN-Port, an diesem wiederum sind auch die SIP-Telefone per Ethernet angeschlossen. Damit läuft VOIP einwandfrei, ohne besondere Einstellungen (bis auf die Umschaltung auf "Asterisk" als Server bei den snom-Telefonen).

    Leider ist mir heute ein neuer Nachteil dieses Aufbaus aufgefallen: Im Hintergrund wurde eine größere Datenmenge hochgeladen, während ein Telefonat geführt wurde. Resultat: Der Audio-Stream kam "stotternd" beim Gegenüber an, da kaum/keine Upload-Bandbreite zur Verfügung stand. In meiner alten Konfiguration (mit 16 MBit/s DSL) hatte ich direkt im Traffic-Shaper alles nötige eingestellt, das ist in dieser Form nun nicht mehr möglich, da die Telefone nicht mehr an der pfsense hängen. Jetzt bleiben eigentlich nur 5 Lösungen:

    1. Widerruf des neuen Vertrags, Rückkehr zum alten DSL-Anschluss. Ungerne, da die neue Internet-Geschwindigkeit wirklich überzeugend ist.

    2. Einen zweiten, reinen DSL-Anschluss hinzubestellen, alle VOIP-Telefone wieder an die pfsense und über ein Alias die Geräte in der Firewall komplett über den neuen Anschluss routen. Nachteil: Doppelte Kosten.

    3. Über den Traffic-Shaper innerhalb von pfsense die Upload-Bandbreite künstlich reduzieren, so dass am Speedport immer genug Rest-Bandbreite verfügbar ist. Nachteil: Die Upload-Bandbreite ist dann an der pfsense dauerhaft reduziert und nicht komplett verfügbar, unschön.

    4. Den DSL-Anschluss wieder direkt per PPPoE und ADSL-Modem am WAN-Port der pfsense nutzen, den Speedport-Router getrennt davon an einem weiteren Port an der pfsense anschliessen. Am Speedport läuft nur noch LTE, man hätte also 2x WAN und könnte die Telefone über den DSL-Anschluss, den Rest über LTE routen. Nachteile: Obwohl rein technisch wohl (noch) möglich, dürfte es für die Telekom technisch unproblematisch sein dies zu erkennen. Da ein solcher Betrieb sicherlich nicht beabsichtigt ist, bliebe die Frage wie lange dies geduldet würde (falls überhaupt). Zudem wäre die Bündelung ausser Kraft, so dass effektiv weniger Bandbreite zur Verfügung steht (bei einem 16 MBit-DSL Anschluss noch nicht so relevant, wenn aber ein 50/10 VDSL mit Hybrid kombiniert wird, geht mehr verloren).

    5. Einen Weg finden, doch noch alles über die pfsense im Double NAT laufen zu lassen. In diesem Fall würde auch der Traffic-Shaper wieder funktionieren, wobei ich mir aber unsicher bin ob dieser überhaupt noch sinnvoll wäre, da LTE ein shared-Medium darstellt. Es ist also ohnehin keine fixe Upload-Rate konfigurierbar (zu hoch eingestellt fehlt Bandbreite bei den wichtigen Geräten, zu niedrig geht Bandbreite generell verloren). Zudem wollte ich es bisher vermeiden, "Löcher" in die Firewall zu bohren, nur damit die Telefone wieder einwandfrei kommunizieren können.

    @comtel: So wie ich es verstanden habe, benutzt du deine Telefone momentan an der pfSense hinter dem Hybrid-Router? Bist du per Email / Skype oder ähnlichem erreichbar, damit wir mal die Einstellungen kurz abgleichen können? Du musst irgendeine Regel (im Speedport oder pfsense) noch definiert haben, welche mir derzeit fehlt. Eine normale TCP-Portweiterleitung funktioniert hier perfekt für einen internen Webserver, bei den Telefonen kommt aber überhaupt nichts an der pfsense laut Logs an. Hast du mal einen grossen Upload gestartet und währenddessen ein Telefonat getestet, lief dies problemlos?

    Je länger ich darüber nachdenke, desto eher bevorzuge ich die getrennte DSL-Leitung für VOIP. Schade das man im Speedport nur definieren kann welche Geräte nicht über LTE laufen dürfen, aber nicht umgekehrt - sonst hätte ich die pfsense auf LTE konfiguriert, so das die DSL-Bandbreite nicht mehr benutzt würde.



  • @michaeljk:

    3. Über den Traffic-Shaper innerhalb von pfsense die Upload-Bandbreite künstlich reduzieren, so dass am Speedport immer genug Rest-Bandbreite verfügbar ist. Nachteil: Die Upload-Bandbreite ist dann an der pfsense dauerhaft reduziert und nicht komplett verfügbar, unschön.

    Naja, das ist zwar unschön, aber die erforderliche Bandbreite für Telefone ist gemessen an 10 oder 50Mbps wirklich nicht groß. Ich behaupte, Du würdest den Unterschied im LAN bei der Benutzung eines Browsers nicht merken. Und wenn E-Mail oder ein File-Download ein paar Sekunden länger brauchen, ist das sicher auch nicht dramatisch.

    Vorteile in Deiner Situation: keine zusätzlichen Kosten und annähernd die gewünschte hohe Bandbreite durch die Hybridtechnik. Außerdem hört es sich so an, als ob dieser Aufbau für Dich beherrschbar ist.



  • Die Frage ist eher, ob diese Möglichkeit praktikabel ist. Ich habe hier normales DSL (16/2,5 MBit/s) und LTE (50/10 Mbit/s). Die Telefone sind auf dem Speedport so konfiguriert, das nur DSL genutzt wird. Dementsprechend müsste ich in der Theorie die pfsense so konfigurieren, dass maximal 10 Mbit/s Uploadrate genutzt wird. LTE ist aber ein Shared-Medium - angenommen, es stehen aufgrund der Auslastung jetzt nur 7 Mbit/s darauf zur Verfügung, dann merkt die pfsense nichts davon und geht weiterhin von 10 MBit/s aus. In diesem Moment werden die 2,5 MBit/s welche fehlen, von der DSL-Leitung im Tunnel mit genutzt und die VOIP-Telefone sind beeinträchtigt. Stelle ich hingegen den Shaper auf z.B. 6 Mbit/s als Mittelwert, dann fehlen die übrigen 4 Mbit/s bei allen an der pfsense angeschlossenen Geräte. Bei größeren Uploads, z.B. Datensicherungen in die Cloud, kann dies einen beträchtlichen zeitlichen Unterschied machen.



  • @-flo-:

    Naja, das ist zwar unschön, aber die erforderliche Bandbreite für Telefone ist gemessen an 10 oder 50Mbps wirklich nicht groß. Ich behaupte, Du würdest den Unterschied im LAN bei der Benutzung eines Browsers nicht merken.

    Ich hatte nun einmal zum Testen im Traffic-Shaper die Bandbreite künstlich herabgesenkt. Leider hatte dies bei laufendem Upload keine Besserung gebracht, im Gegenteil - der Upload selbst lief spürbar langsamer, die ausgehende Sprachübertragung mit den an dem Speedport angeschlossenen Telefonen hatte aber weiterhin Fehler. Entweder liegt dies in der schwankenden LTE-Übertragungsrate begründet, oder daran wie der Speedport selbst den Traffic ausleitet.

    Die technischen Möglichkeiten des Telekom-Routers sind leider zu eingeschränkt, um einen reibungslosen Betrieb wie am vorherigen DSL-Anschluss zu gewährleisten. Übrig bleibt jetzt nur noch, entweder die Telefone zum Betrieb hinter dem Double-NAT zu überreden, oder direkt 2 WAN-Ports zu nutzen (1x DSL, 1x Hybrid-DSL). Genügt es im letzteren Fall, den Hybrid-WAN-Port als Default zu konfigurieren und für die VOIP-Telefone ein Alias in pfSense anzulegen sowie eine Firewall-Rule, die dann hierfür ein abweichendes Gateway (DSL-WAN-Port) nutzt?



  • Hatte Urlaub, deswegen meine Antwort erst jetzt :-)
    Ja, bin ab morgen wieder im Büro erreichbar.
    Schreib mir eine PN, eigentlich alle Kommunikationskanäle verfügbar ;-)



  • Hallo zusammen, zwar schon ein alter Post, aber ich habe seit Tagen das selbe Problem. Speedport Hybrid, dahinter pfSense. Anrufsignalisierung funktioniert, Ton leider nur von drinnen nach draußen - egal ob mit "Telefon" am Mac direkt bei Sipgate oder über Asterisk/FreePBX. Wenn ich mein Softphone im WLAN des Speedport registriere, klappt alles, d.h. es muss ein pfSense-Problem sein. @comtel hattest du dafür eine Lösung?


  • Moderator

    Hast du vor dem ausgraben von alten Threads mal in den angepinnten VOIP Thread geschaut, in dem lauter Lösungen zu VoIP mit Telekom und Co angegeben sind?