Problem mit VOIP Telefon. Klingelt, aber kein Audiostream



  • Hallo liebes Forum,

    ich versuche jetzt seit über einer Woche, unseren Netzwerkumbau fertig zu bekommen. Es ist fast geschafft, bis auf das blöde Telefon :(
    Topologie und Firewallregeln sind angehängt. Historisch war das ganze einmal ein Netz, deswegen haben beiden Firmen den selben IP Bereich. Das ganze später getrennt.
    Aufbau war: Speedportrouter Telekom, direkt daran das Problemtelefon mit entsprechenden Portforwards. Außerdem noch zwei kleine D-Link Router, die die beiden Netze voneinander trennten.
    Wir(Firma1) nutzen NFON haben aber ständig Probleme mit der Sprachqualität. Scheinbar ein bekanntes Problem mit den Speedports der Telekom :)

    Also Umbau auf den gezeichneten Zustand. Ich bin leider nicht der Netzwerkexperte, aber mir ist bewusst, dass da noch vieles nicht ideal ist. Leider habe ich im Moment keine Managed Switches zur Verfügung um VOIP in ein eigenes VLAN zu legen. Aber kommt noch.

    Problem: Telefon kann angerufen werden und kann hinausrufen. Es kommt nur leider keine Tonübertragung zustande(beide Richtungen).

    Ich hoffe hier kann mir jemand helfen, denn ich verzweifle langsam.

    Vielen Dank

    Bernhard




    ![Firewall Rules WAN.JPG](/public/imported_attachments/1/Firewall Rules WAN.JPG)
    ![Firewall Rules WAN.JPG_thumb](/public/imported_attachments/1/Firewall Rules WAN.JPG_thumb)
    ![Firewall Rules Firma1.JPG](/public/imported_attachments/1/Firewall Rules Firma1.JPG)
    ![Firewall Rules Firma1.JPG_thumb](/public/imported_attachments/1/Firewall Rules Firma1.JPG_thumb)
    ![Firewall Rules Firma 2.JPG](/public/imported_attachments/1/Firewall Rules Firma 2.JPG)
    ![Firewall Rules Firma 2.JPG_thumb](/public/imported_attachments/1/Firewall Rules Firma 2.JPG_thumb)


  • LAYER 8 Moderator

    Dir ist bewusst dass in deinem Aufbau 2x das gleiche Netz vorkommt? 192.168.0.0 ist 2x verbaut, einmal hinter dem .2.0/24 Netz und einmal davor. Da in einem davon auch was von VoIP Gegenstelle steht, würde ich einmal versuchen das kleinere hintere Netz in eine andere Netzmaske zu verschieben. So würde mir der Aufbau zumindest problematisch vorkommen.



  • Wenn ich das richtig sehe wirst du um einen SIP Proxy auf der PfSense wohl auch nicht drum rum kommen.

    SIP und NAT verstehen sich nicht immer so gut.
    Hast du nur einen SIP Client hinter der Firewall kannst du das ganz gut im Static Port Mapping lösen bei mehreren geht das nicht mehr.

    Gibt wohl ein Paket für die PfSense welches SIP Proxy macht. Dann die PfSense also Proxy bei den Clients eintragen und schauen ob es geht.

    Eingesetzt habe ich es selber noch nicht. Sollte aber gehen.



  • @JeGr: Ja, das ist mir bewusst, dass das Netz zweimal vorkommt. Das ist historisch bedingt, weil das einmal ein Netz war und mein Chef auch pro Netzwerk so wenig wie möglich umbauen will. Deswegen ist das Firmennetz auch über einen zweiten Router hinter 2.0/24 gehängt. Die pfsense sollte davon aber gar nichts mitbekommen, genau wie das problematische Telefon. Oder habe ich da einen Denkfehler?

    @flix87: Das ist schlecht. Ich wollte den Proxy eigentlich gerne vermeiden, NFON empfiehlt von solchen SIP Helpern die Finger zu lassen. Aber einen Versuch ist es wert. Das wird dann wohl siproxd sein. Ich habe mir das schon ein bisschen angesehen, aber nicht viel dazu gefunden. Aber vielleicht lässt sich die Anleitung aus dem Ubuntuwiki so weit verwenden, dass ich es zum laufen bekomme.

    Falls sich die beiden Telefoniesysteme( :) ) in die Quere kommen, ist es möglich, quasi ein virtuelles Interface zu erstellen, auf den ausschließlich der Traffic des Telefons und des Telefonieservers des Problemtelefons geroutet wird? Also das der SIP Proxy nur für das Telefon und diesen Server sichtbar ist?



  • So bin gerade nochmal hingerauscht und getestet. Siproxd hat die Lösung gebracht. Ton in beide Richtungen freu. Vielen Dank. Jetzt werden wir das ganze mal testen und dann sehe ich ja, ob es das jetzt war, oder ob sich die Dinge in die Quere kommen. Ich lasse den Thread jetzt erst mal noch offen.



  • Hast Du hier im Forum schon gesucht? Ich habe hier mal eine Anleitung für ein C430 geschrieben. Ich denke das o.a. Netzwerk sollte für so ein Setup kein Hindernis sein.



  • @-flo-:Ich kannte die Anleitung noch nicht. Habe sie gerade durchgelesen. Aber sind das nicht auch nur Portforwards und Outbound Regel? Genau damit läuft es eben nicht. Vielleicht liegt das daran, das es mindestens 4 VOIP Telefone in den Netzwerken sind, auch wenn sie nicht über den selben Anbieter laufen. Aber mit Proxy läuft es.



  • Bei meinem Post gestern hatte ich Deine Rückmeldung noch nicht gesehen. Hauptsache, Du hast eine Lösung!

    Aus dem ursprünglichen Beitrag konnte ich nicht entnehmen, ob Du Outbound NAT mit static port konfiguriert hast. Damit und mit getrennten Bereichen für die SIP-und RTP-Ports müßte das ganze auch mit zwei oder mehr Netzen funktionieren. Ich wüßte jedenfalls nicht, warum es nicht gehen sollte. Probiert habe ich es selbst nicht. (Mein Netz ist einfacher gestrickt.) Das wäre sicher interessant zu überprüfen, aber Du wirst ja kaum Zeit übrig haben, wenn es jetzt läuft.  :)



  • Mit dem Static Port Mapping klappt nur bei einem Telefon hinter einer öffentlichen IP.
    Damit sorgen wir ja dafür das die Ports nach extern einfach durchgereicht werden und nicht nur NAT geändert werden.
    Jeder Port darf aber nur einmal benutzt werden.
    Habe ich 4 gleiche Telefone ist die Wahrscheinlichkeit sehr hoch das diese auch alle den Port 5060 für Signaling und den selben RTP Port verwenden.
    Das geht dann nach extern natürlich schief. Daher der SIP Proxy der ändert das so ab das es wieder passt.

    Mit einem Telefone hinter einer öffentlichen IP kein Problem sind es zwei oder mehr braucht man wohl schon den SIP Proxy wenn man nichts total verbiegen will.



  • Stimmt, wenn man die Ports bei den Telefonen nicht einstellen kann, dann geht das natürlich nicht. Ich kenne das von meinen C430IP so, daß SIP-Port und RTP-Ports einstellbar sind. Das mit den getrennten Bereichen habe ich weiter oben schon geschrieben.

    Übrigens ist das unabhängig davon, in wie viele Subnetze diese Telefone verteilt sind. Zwei IP-Telefone mit identischen Ports in einem gemeinsamen Subnetz gehen auch nicht. Ich habe wirklich keinen Überblick über die Fähigkeiten aktueller IP-Telefone und kann nur mutmaßen. Aber welcher Hersteller würde ein Gerät ohne einstellbare Portbereiche herstellen und damit effektiv verhindern, daß ein Kunde zwei (oder mehr) seiner Geräte zusammen betreiben kann?  :o



  • Einstellen kann man das bei den meisten Telefonen schon.
    Hat nur zwei Nachteile
    -Man muss jedes Telefon anpacken. Hat man zwei drei kein Thema hat man 200-300 Telefone -> Problem  ;)
    -Manchen Provider oder PBX systeme akzeptieren anfragen nicht die nicht vom Port 5060 oder 5061 kommen

    das ich so etwas beruflich mache habe ich damit schon einige Erfahrungen sammeln dürfen
    Daher ist ein Proxy manchmal einfach das einzige Mittel der Wahl dafür wurde er ja gemacht.



  • Ja klar, mehr als eine Handvoll Telefone konfiguriert man so nicht um.  :) Selbst mit einer automatisierten Provisionierung bei den Telefonen bleibt dann pro Telefon eine Einstellung in pfSense. Das wäre bei mehr als einer Handvoll Telefonen schon ein Alptraum, auch in der späteren Pflege.

    Bei welchen Providern ist das mit einem Port abweichend von 5060 oder 5061 ein Problem?



  • Hab jetzt keine Namen mehr im Kopf weiß aber noch das das mal Probleme gemacht hatte.



  • Moin,

    @Bebu:

    @JeGr: Ja, das ist mir bewusst, dass das Netz zweimal vorkommt. Das ist historisch bedingt, weil das einmal ein Netz war und mein Chef auch pro Netzwerk so wenig wie möglich umbauen will. Deswegen ist das Firmennetz auch über einen zweiten Router hinter 2.0/24 gehängt.

    Ich hatte auf der Arbeit ein ähnliches Problem, nach langem hin und her habe ich mit entschieden, das kleinere Netz zu Ändern.
    Damit ist die Sache jetzt wieder eindeutig und ich muss nicht an 2 Router denken wenn ich mal was ändere.
    Deshalb einfach mal ernsthaft gefragt: Ist es nicht besser einfach mal Augen auf und durch und hinterher ein sauberes Ergebnis wo dich keine Altlasten mehr verfolgen?

    -teddy



  • @flix87:

    SIP und NAT verstehen sich nicht immer so gut.
    Hast du nur einen SIP Client hinter der Firewall kannst du das ganz gut im Static Port Mapping lösen bei mehreren geht das nicht mehr.

    Gibt wohl ein Paket für die PfSense welches SIP Proxy macht. Dann die PfSense also Proxy bei den Clients eintragen und schauen ob es geht.

    Ich hatte ein ähnliches Problem in einer Double-NAT Konfiguration. Dank -flo- hatte ich auch den Tipp mit dem Outbound-Natic + Static Port getestet, das funktionierte sehr gut solange nur ein Telefon im Spiel war. Als die anderen hinzukamen, gab es trotz verschieden konfigurierter SIP- und RTP-Ports massive Probleme (beispielsweise waren dann mehrere Geräte plötzlich bei unterschiedlichen Accounts registriert). Das kann natürlich auch damit zusammenhängen, das sich mein internes Netz mit der pfsense nicht hinter einer öffentlichen IP befand, sondern hinter einem Router mit Privater IP.

    Den SIP-Proxy hatte ich kurzzeitig auch installiert und konnte damit bei einem Telefon die Audio-Probleme beheben. Ich meine aber hier im Forum gelesen zu haben, dass der Traffic der darüber läuft nicht über den Traffic-Shaper konfigurierbar ist, ist dies korrekt? Ich muss leider sicherstellen können, das bei größeren Up-/Downloads die Telefonie nicht beeinträchtigt wird.


  • Banned

    Hi!

    Wegen genau solcher Threads wie diesem hatte ich lange Zeit keine Lust auf SIP. Dann habe ich es erstmal mit einem Softphone und einem Account bei sipgate probiert, 2-3 Firewallregeln und das Ding lief. Mit einer default allow any-any Regel wäre es wohl sofort gelaufen, habe ich aber nicht.

    Dann habe ich mir ein Gigaset für IP und normales Netz gekauft (man weiss ja nie… ;-) ), nach der Anleitung bei sipgate konfiguriert und am nächsten Morgen lief das einfach. Nur noch eine BLOCK rule, damit die alte Quatschbase nicht ständig nach Hause telefoniert. Fertig.

    Nix Portforward, garnix. Einfach die entsprechenden Ports im LAN freigeschaltet. Ende.

    Warum ist das immer alles so kompliziert hier, oder was mache ich falsch?

    Grüße!

    chemlud



  • Das kommt auf den VoIP-Provider an. Grundsätzlich braucht es die Konfiguration, wie ich es hier mal beschrieben habe.

    Aber: Bei manchen Providern (Telekom gehört dazu) ist das wesentlich einfacher. Telekom verwendet einfach den RTP-Port, den ein Telefon für ausgehendes Audio verwendet, direkt auch für die Verbindung für eingehendes Audio. Damit hat die Firewall bereits eine Verbindung, es braucht kein static port und keine Port forwards.

    Irgendwer hat mich da mal hier im Forum drauf gebracht, ich weiß aber nicht mehr, wer das war … ;D



  • @-flo-:

    Irgendwer hat mich da mal hier im Forum drauf gebracht, ich weiß aber nicht mehr, wer das war … ;D

    Das wird wohl cogumel0 gewesen sein: https://forum.pfsense.org/index.php?topic=89846.msg500497#msg500497
    ;-)

    Das Zauberwort hierfür lautet dann "Symmetric RTP", welches nicht nur die Telekom, sondern auch sipgate nutzt. Ich habe hier verschiedene snom-Telefone und eine Multi-Station von Panasonic im Einsatz, komplett auf SIP-Port 5060 und bei RTP auf den Standard-Ports belassen. Wenn man eine normale PPPoE-Verbindung nutzt, braucht es keinerlei Firewall-Rules, keine STUN-Einstellung, nichts. Nur die Zugangsdaten, den Registrierungsserver und den Outbound-Proxy definieren, schon läuft alles.

    2chemlud: Der Spass fängt dann erst an, wenn man mehrere interne Netze mit mehreren Geräten nutzt oder sich die pfsense intern hinter einem weiteren Router befindet. In meinem Fall war das ein Speedport-Router, resultierend in einem Double-NAT. Sämtliche TCP NAT-Rules liefen einwandfrei, die Clients kamen wie bisher ins Internet, alles kein Problem - bis auf die blöden SIP-Telefone, die hinter dem Double-NAT zwar erreichbar waren, aber bis zum Schluss keine eingehende Audio-Übertragung lief. Als ich die Telefone dann direkt an den äußeren Router klemmte lief zwar alles, mangels QoS am Speedport war Telefonieren aber keine Freude mehr, sobald da mal ein größerer Upload im Hintergrund lief. Fazit: Lieber nutze ich für VOIP eine getrennte Leitung, als mich im Falle eines besonderen Netzaufbaus mit den SIP-Problematiken beschäftigen zu müssen :-)


  • Banned

    OK, dann belasse ich es bei einem Telefon, wenn ich es richtig verstehe könnte sich das theoretisch auch bei mehreren SIP-Anbietern anmelden, aber da beginnt sicher schon das vermiente Gebiet :-D



  • @michaeljk:

    Das wird wohl cogumel0 gewesen sein: https://forum.pfsense.org/index.php?topic=89846.msg500497#msg500497
    ;-)

    Ja, danke für's Nachschauen! :D Das war der Post.



  • @magicteddy:

    Moin,

    Ich hatte auf der Arbeit ein ähnliches Problem, nach langem hin und her habe ich mit entschieden, das kleinere Netz zu Ändern.
    Damit ist die Sache jetzt wieder eindeutig und ich muss nicht an 2 Router denken wenn ich mal was ändere.
    Deshalb einfach mal ernsthaft gefragt: Ist es nicht besser einfach mal Augen auf und durch und hinterher ein sauberes Ergebnis wo dich keine Altlasten mehr verfolgen?

    -teddy

    Das ist leider ein bisschen komplizierter, jetzt nicht technisch gesehen, sondern anderweitig, ohne jetzt zu viel zu verraten ;)
    Ich bin auch ehrlich gesagt nicht so böse deswegen, das ist das Netz der anderen Firma und sind damit ja nur Gäste in unserem Netz. Wenn sie sich einen eigenen Zugang besorgen, muss ich nur ein Kabel umstecken. Das kann ruhig sehr scharf abgetrennt sein. Und das Telefon liegt außerhalb dieses Netzes. Ich brauche dank des Proxys zwar keine Ports mehr aufzumachen, aber ich hatte gewisse bedenken, es direkt in das Netz zu hängen. Nicht weil ich arge Sicherheitsbedenken habe, sondern weil ich nicht schuld sein will…



  • Nun, manchmal gibt es halt "Randbedingungen" und dann kann man halt nichts machen …  ;D



Log in to reply