spitzbube
Goto Top

Aufbau eines TK Netzwerks mit Pfsense, Asterisk und Cisco Telefonen

Guten Morgen,

ich habe mich in den vergangenen Tagen mal etwas mit dem Thema Telfeonanlagen im Netzwerk beschäftigt, leider verstehe ich nach so vielen Anleitungen und Möglichkeiten nicht, wie man das ganze Sinnvoll installiert. Wo man anfängt und was bei mir möglich ist.

Ziel: Eine PBX Open Source Software virtualisiert auf einem kleinen Rechner im Netzwerk laufen lassen. Es soll hier im Büro zunächst mal 1 Telefon damit Betrieben werden können, da das Ganze erst mal als Test zu Lernzwecken gedacht ist.

Netzwerk: An einem Business Anschluss von Unity Media (BW) stehen mir 3 Nummern mit SIP Daten zur Verfügung. Bisher hatte ich mich nie um die Telefonie gekümmert, da ein Gigaset DECT Telefon einfach zu verbinden war und dieses bis Dato problemlos funktioniert.

Hinter der Fritzbox befindet sich eine Pfsense Firewall mit einigen bereits konfigurierten und funktionierenden VLANs für die unterschiedlichsten Zwecke.

Wo plaziere ich den nun sinnvollerweise den Rechner mit der Asterisk? Klar hätte ich noch einen ESXi Server, da die Telefonie auch bei ausgeschatetem Server funktionieren soll fällt diese Möglichkeit schon mal weg. Wie kann / muss / sollte das VLAN aussehen, da das / die Telefone ja an einer LAN Dose im Office VLAN hängen sollten. Ist der TK Server dann im selben VLAN richtig plaziert, oder kann / sollte dieser in einem anderen VLAN angesiedelt werden.

Was steht zur Verfügung: Nun da man im Internet viel an Anleitungen mitbekommt, habe ich mir zunächst zwei Cicso Telefone 7975 und CP-9951 zugelegt. Hierzu gabs auch das ein oder andere How To wie hier.

Leider hab ich hier den zusammenhang zur Pfsense zum Asterisk Server und zum Netzwerk nicht verstanden.

Content-ID: 369560

Url: https://administrator.de/contentid/369560

Ausgedruckt am: 19.12.2024 um 11:12 Uhr

aqui
aqui 28.03.2018 aktualisiert um 14:46:08 Uhr
Goto Top
Wo plaziere ich den nun sinnvollerweise den Rechner mit der Asterisk?
In deinem Voice VLAN face-wink
Bei einem oder 10 Telefonen reicht dafür ein Raspberry Pi. Dafür gibts sogar schon fertige Asterisk Distros mit Klicki Bunti.
Für den Anschluss kommt es darauf an WIE du die Telefone anschliessen willst:
  • a.) mit einem separaten LAN Anschluss
  • b.) Über einen LAN Anschluss mit dem Office PC in einer Kaskade. Die Telefone haben ja einen integrierten 2 Port Switch.
Leider kommen ja dazu keinerlei Infos von dir so das wir hier nur im freien Fall raten können face-sad
Leider hab ich hier den zusammenhang zur Pfsense zum Asterisk Server und zum Netzwerk nicht verstanden.
WAS genau hast du da nicht verstanden ??
Die pfSense hat doch erstmal primär rein gar nix mit der Voice Lösung zu tun ! Sie ist nur Gateway zum Internet mehr nicht !
Im einfachsten Falle machst du die Dummie Lösung: Alles in ein flaches, dummes Netz und fertig ist der Lack.
Spitzbube
Spitzbube 29.03.2018 um 11:33:49 Uhr
Goto Top
Die Telefone werden über Aufputz Lan Dosen angeschlossen. Das mit dem Voice VLAN hab ich mir schon gedacht. Sowas hab ich bereits auch eingerichtet. Seh ich das Richtig, dass die Ports am Switch dann als Trunk definiert werden müssen?

Zur Pfsense: Bei mir ist ja die Fritzbox vorgeschalten und dahinter dann die Pfsene als Firewall. Beim Thema VPN haben wir ja schon festgestellt, dass die Fritzbox sich da tranzparent verhält also die Ports auf alle aktivierten LAN Anschlüsse weiterleitet. Liege ich da richtig, wenn ich sage, dass die Pfsense dann zum einen die Portfreigaben in der Firewall benötigt und zum anderen das Routing ins entsprechende Voice VLAN?

Hab mal die Tage in nem VM Ware Player ne Asterisk Now aufgesetzt. Mich hat die viele Werbung schon komplett angeschreckt. Als ich mir dann die Menüs und die ganzen Einstellungen die dort gemacht werden können wars dann völlig vorbei. Deshalb mal die Frage, mit was fange ich den hierbei am sinnvollsten an. Was muss den zu erst eingestellt werden?

Spaßeshalber hab ich mal versucht, das Cicso CP-9951 einzubinden. Dazu hab ich mich an dieser Anleitung orientiert. Daraufhin ist Asterisk beim nächsten Reboot der VM nur mit sämtlichen SQL Fehlern hochgefahren. Aufs Webinterface bin ich gar nicht mehr draufgekommen. Also war das schon mal falsch!

Dann dachte ich mir, warum Asterisk? Versuchst es mal über die Fritzbox mit nem einfachen HowTo in der CT 14/2017 dazu hab ich ja noch das Cisco 7975. Also hab ich alles schön vorbereitet, jedoch startet SIP Update zwar, aber das Telefon startet immer wieder neu und fängt wieder an zu updaten. So geht das wie im Loop. Sehe ich das falsch oder muss beim Anschluss des Telefons über eine Fritzbox der TFTP Sever dann immer im Netz der Fritzbox mitlaufen. da ja die Fritzbox keinen solchen Dienst hostet.

Also was ist jetzt empfehlenswert? Asterik oder Fitzbox?
aqui
aqui 29.03.2018 aktualisiert um 12:59:59 Uhr
Goto Top
Die Telefone werden über Aufputz Lan Dosen angeschlossen.
Sind das dann Doppeldosen ?? Ala eine Buchse für den PC und eine fürs Telefon ?
Es ist wichtig zu wissen WIE du das anschliessen willst bzw. welche Optionen du dafür überhaupt hast.

Wenn du nur eine LAN Buchse pro Arbeitsplatz hast, dann beantwortet sich die Frage von selber....
Entweder...
  • a.) Flaches, doofes Netz und alles in ein Netz. Oder...
  • b.) Wenn du das Voice LAN segmentieren musst oder willst, denn mit einem Tagged Port und der Switch im Telefon macht die Trennung

Bei eine Doppeldoose hast du ja den Luxus der Wahl... Auch:
  • a.) Wieder beide Buchsen in ein flaches, doofes Netz
  • b.) Bei Segmentierung des Voice in ein VLAN dann die 2te Buchse in das VLAN. Hier untagged.

Da kannst du dir dann für dich die schönste Lösung aussuchen nach deinen Möglichkeiten.
Seh ich das Richtig, dass die Ports am Switch dann als Trunk definiert werden müssen?
Nein !
Nur wenn du nur eine einzige LAN Buchse am Arbeitsplatz hast UND wenn du eine Trennung des Vpoice Netzes in ein VLAN hast. Dann ja und nur dann.
Ist ja auch logisch, denn wie sollte sonste der Switch im Telefon die verschiedenen VLANs erkennen.
Wenn alles flach und doof ist dann kannst du alles einfach nur zusammenstecken und geht.
Bei mir ist ja die Fritzbox vorgeschalten und dahinter dann die Pfsene als Firewall.
Eine klassische Router Kaskade mit doppeltem NAT also !
Beim Thema VPN haben wir ja schon festgestellt, dass die Fritzbox sich da tranzparent verhält
Nein !
Auch das ist wieder falsch ! Oder nur halb richtig.
Die FritzBox kann ja selber auch VPN Server sein für das IPsec VPN Protokoll. Da ist sie also keineswegs transparent ohne das du ihr das explizit konfigurierst.
Richtig ist das nur für andere VPN Protokolle wie SSL (OpenVPN usw.), PPTP usw. was die FritzBox NICHT selber kann.
Liege ich da richtig, wenn ich sage, dass die Pfsense dann zum einen die Portfreigaben in der Firewall benötigt und zum anderen das Routing
Das kommt darauf an...
Erstmal musst du dich generell entscheiden WO du das VPN terminieren willst. Du hast ja die Option FB oder pfSense !
Deinen Äußerungen kann man entnehmen das du das auf der pfSense machen willst, richtig ?
Wenn das so stimmt musst du auf der FB ein Port Forwarding der Ports machen die dein VPN Protokoll was du bevorzugst zu verwenden, auf die kaskadierte WAN IP Adresse der pfSense weiterleitet. Das ist richtig !
Da du in einer Router Kaskade arbeitest mit einem RFC 1918 IP Netz als Koppelnetz entfernst du dann einfach den Haken am WAN Port "Block RFC 1918 networks" und trägst eine Regel ein die den Zugriff des VPN Protokoll auf die "WAN IP address" erlaubt. Fertisch !
Mich hat die viele Werbung schon komplett angeschreckt.
Nimm lieber ne ferige Asterisk Distro auf einem Raspberry Pi !
Was muss den zu erst eingestellt werden?
Nimm erstmal zum Üben ein simples Softphone wie den Phoner:
http://phoner.de/index.htm
oder Zoiper
https://www.zoiper.com/en/voip-softphone/download/current
Das reicht. Dort gibst du nur die SIP Adresse deines Providers ein, registrierst dich da und telefonierst mal los.
Das reicht für erste.
Wie man die Cisco Telefone zum Fliegen bekommt steht HIER.
Versuchst es mal über die Fritzbox mit nem einfachen HowTo in der CT 14/2017 dazu hab ich ja noch das Cisco 7975
Richtig !
Das wäre die andere schlaue Variante !!
aber das Telefon startet immer wieder neu und fängt wieder an zu updaten.
Das zeigt ganz klar das DU selber einen Fehler bei der Installation bzw. Setup des Telefons gemacht hast !
Da musst du also nochmal ran !!
Vielleicht hilft das hier:
https://www.heise.de/ct/ausgabe/2017-14-Cisco-IP-Telefone-an-der-Fritzbo ...
https://www.adriansauer.com/2008/12/06/meine-cisco-cp-7960g-konfiguratio ...
http://wiki.siftah.com/Cisco_7960G_IP_Phone_on_Asterisk
Halte dich da sonst an das hiesige Cisco Telefon Tutorial.

Nur mal doof nachgefragt:
Machst du diesen Test schon mit der FritzBox hinter der pfSense ? Sprich also muss das Cisco Telefon durch die pfSense durch um sich per SIP an der FB zu registrieren ??
Dann brauchst du natürlich diverse FW Regeln.
Für einen ersten Test solltest du das Telefon DIREKT ohne FW an der FB haben !
Wie gesagt...nimm immer mal den Phoner als Softphone statt des Cisco Telefons und registriere den an der FB. Wenn das geht, dann geht es auch ganz sicher mit dem Cisco Telefon !
Der Phoner hat den Vorteil das er ein Log führt und du anhand des Logs ganz genau sehen kannst was du in deiner Konfig falsch gemacht hast face-wink
Wenn die ct' und wir das schaffen solltest du das allemal hinbekommen.
Spitzbube
Spitzbube 31.03.2018 um 15:45:44 Uhr
Goto Top
Moin,

ich hab den Luxus, zwei Ports an meinen Lan Dosen zu haben. Das Voice VLAN ist sowohl an der Pfsense als auch am Switch hier für die nötig en Ports untagged eingerichtet.

Die Softphone Software konnte ich nun bereits erfolgreich im Netz der Fritzbox testen, wenn auch mit etwas rumspielen der Zugnagsdaten. So war der Proxy / Registrar nicht der von Unitymedia.de sondern die Fritzbox (192.168.178.1) an sich. Liege ich da richtig mit meiner Anahme, dass das Ganze auch unabhängig von der Fritzbox gehen. Also wenn ich bspw. in nen ganz anderen Netzwerk mobil bei nem Kumpel bin müsste ich doch problemlos mit diesen Daten an den Unitymedia Servern anmelden können oder nicht? Sofern das Unitymedia zulässt.

Dann hab ich das Ganze mal hinter der Fritzbox und hinter der Pfsense getestet. Nochmals zur Info. Das ist ein Business Anschluss von Unitymedia (BW) die Fritzbox hat die statische IP .41 und die Pfsense die .42

Auf der Fritzbox ist der Port 5060 genauso wie auf der Pfsense .42 per Portfreigabe freigeschalten. Liege ich da richtig, dass nun der PC im Office VLAN, erst mal wissen muss, dass es die Fritzbox irgendwo im Netzwerk mit Ihrem SIP Server gibt und hierhin erst mal eine Route definiert werden muss? Das verstehe ich nicht, was da im Detail gemacht werden muss.
Pjordorf
Pjordorf 31.03.2018 um 16:32:17 Uhr
Goto Top
Hallo,

Zitat von @Spitzbube:
Die Softphone Software konnte ich nun bereits erfolgreich im Netz der Fritzbox testen, wenn auch mit etwas rumspielen der Zugnagsdaten. So war der Proxy / Registrar nicht der von Unitymedia.de sondern die Fritzbox (192.168.178.1) an sich.
Wenn deine Fritte von UnityMedia ist, du eine n Businessanschluß mit fester IPv4 dein eigen nennst, dann macht deine Fritte dort VOIP und muss dann natürlich in deinen VOIP gerätschaften hinterlegt werden. Falls deine Fritte dort kein VOIP macht dann sollten dir die Daten deines VOIP Anbieters in deinen VOIP Gerätschaften reichen.

Liege ich da richtig mit meiner Anahme, dass das Ganze auch unabhängig von der Fritzbox gehen.
Na klar, aber nur wenn dein Konstrukt dies auch tut.

Also wenn ich bspw. in nen ganz anderen Netzwerk mobil bei nem Kumpel bin müsste ich doch problemlos mit diesen Daten an den Unitymedia Servern anmelden können oder nicht?
Nur wenn dessen VOIP Daten über einen anderen ISP genutzt werden können. Das ist mittlerweile zuerst zu hinterfragen.

Das ist ein Business Anschluss von Unitymedia (BW) die Fritzbox hat die statische IP .41 und die Pfsense die .42
Also macht deine Fritte Routing, vergibt eine Feste IPv4 und macht VOIP.

Auf der Fritzbox ist der Port 5060 genauso wie auf der Pfsense .42 per Portfreigabe freigeschalten.
Bringt dir nur nichts, da ein Port aface-smile nur einmal erfolgreich geforwarded werden kann und bface-smile dadurch das deine Fritte VOIP macht ist der Port eh schon in benutzung.

Liege ich da richtig, dass nun der PC im Office VLAN, erst mal wissen muss, dass es die Fritzbox irgendwo im Netzwerk mit Ihrem SIP Server gibt
Ja.

und hierhin erst mal eine Route definiert werden muss?
Je nach wie dein Routing aussieht.

Gefunden hier:
Die FRITZ!Box ist bei den Produkten Business Internet + Telefon inkludiert und bei der Wahl von statischen IP Adressen für die Nutzung statischer IP Adressen konfiguriert. Sie fungiert dann als Kabelmodem/eRouter und IP-basierte Telefonanlage. Die Funktionen Firewall, WLAN, NAT und DHCP sind deaktiviert. Ein eigener Router mit einer Ethernet-Schnittstelle für die Nutzung der deaktivierten Funktion ist zwingend erforderlich. Diesen können Sie an die FRITZ!Box 6360 Cable anschließen und darüber Ihre(n) Server einbinden.
Gruß,
Peter
aqui
aqui 31.03.2018 aktualisiert um 16:59:45 Uhr
Goto Top
So war der Proxy / Registrar nicht der von Unitymedia.de sondern die Fritzbox (192.168.178.1) an sich.
Ist ja logisch, denn die FB stellt sich ja als interne VoIP Telefonanlage dar. Quasi also eine Mini Asterisk face-wink
Zeigt aber auch das du dein Voice komplett FALSCH konfiguriert hast !
Den eigentlich sollte der Asterisk Server ALLEIN die SIP Provider Session aufmachen und niemals die FB ! Die FB wäre in einem Konstrukt mit einer eigenen VoIP Anlage die der Asterisk ja darstellt, niemals in eine VoIP Konfig mehr involviert !
Alles das macht nur noch der Asterisk Server, deshalb darf die FB keinerlei VoIP Konfig mehr haben !
Das ist vermutlich der grundlegende Fehler den du begangen hast im VoIP Setup !
dass das Ganze auch unabhängig von der Fritzbox gehen.
Ja, natürlich !
Aber Achtung !!
Du musst die Voice Funktion auf der FB deaktivieren, denn sonst "denkt" die FB immer vorbeikommende VoIP Pakete sind für sie selber und forwardet die nicht.
Da du aber mit dem Asterisk arbeiten willst musst du ihr sagen: "Nicht du sondern Astersik !" indem du ihre VoIP Aktionen im Setup deaktivierst ! Siehe oben !
müsste ich doch problemlos mit diesen Daten an den Unitymedia Servern anmelden können oder nicht?
Nur wenn der Kumpel auch im Unity Media Netz ist bzw. Kunde von Unitymedia ist ! Sonst nicht !!
Fremde Provider blockieren generell die VoIP Daten anderer Provider sofern das auch Infrastruktur Provider sind und nicht reine VoIP Anbiter wie z.B. SIPgate.
Aus einem Telekom oder Vodafone Netz wirst du also niemals den Unitymedia SIP Server kontakten können !! Egal ob Business oder sonstwas. VoIP Provider wollen nicht das andere VoIP Provider Voice Sprachdaten durch ihr Netzwerk schleusen.
und hierhin erst mal eine Route definiert werden muss?
Nein !
Das ist auch Quatsch, denn die pfSense hat ja eine Default Route auf die FB die in der Kaskade ja vor ihr liegt. Sie "kennt" also den Weg dahin !
Kannst du auch selber mal ganz einfach testen indem du entweder:
  • von einem PC im Office netz mal die FB IP anpingst
  • von der pfSense einmal im Menü Diagnostics -> Ping ein Ping auf die FB IP mit Source Interface Office Netz machst.
Das hätte dann diese Frage überflüssig gemacht !
Ping und Traceroute sind immer deine besten Freunde !
Logischerweise gehört dazu in solcher Kaskade am WAN Port Setup der pfSense dort den Haken Block RFC 1918 IP networks zu entfernen. Klar, denn dein Koppelnetz ist ja ein RFC 1918 Netz !
Das verstehe ich nicht, was da im Detail gemacht werden muss.
Dann solltest du nochmals einen Blick ins hiesige Routing und VLAN Tutorial machen. Das sollte deine Fragen umfassend beantworten. Oder.... du definierst mal ganz genau WAS du nicht verstehst ?!
Spitzbube
Spitzbube 01.04.2018 um 13:47:30 Uhr
Goto Top
Frohe Ostern,

@Pjordorf ja, Voip macht die Box. Hatte bis dato auch schon ein Dect Phone Gigaset angeschlossen und über eine der 3 Nummern telefoniert. Was die Box unterbindet oder zulässt, ist immer so ne Sache, das hast ja auch damals beim VPN Projekt bemerkt. Da gelten für BW ganz andere Regeln seitens UM als für NRW. Ganz davon abgesehen, geb ich nicht sehr viel drauf, was AVM dazu sagt, da die FB von UM ist, also Mietrouter. Dann ne Custom Firmware seitens UM drauf hat, die viele Funktionen und Einstellungen schon mal unterbindet etc. So ist in dem Abschitt zu lesen, das die Funktionen Firewall, WLAN, NAT und DHCP deaktiviert sind das kann ich schon mal fürs WLAN und DHCP sicher ausschließen. Um sicher zu gehen kannst das nur ausprobieren, dann weißt es sicher was geht und was nicht face-smile

@aqui momentan ist das ganze Testsetup zunächst mal auf das Softphone Phoner beschränkt und noch nicht auf eine Asterisk. Will nun zunächst mal gerne wissen, was den da genau an der Voip Config gestrichen werden muss. Mit nur Nummern und Geräten löschen wirds ja wohl nicht getan sein.

den Haken Block RFC 1918 IP networks hab ich entfernt. Dieser war in der Tat noch gesetzt. Nun kann ich die FB auch auf 192.168.178.1 pingen, was ja zuvor über die statische IP auch schon ging. Die Registrieung mit dem Softphone klappte jedoch noch nicht. Dabei habe ich aber die gleichen working Einstellungen verwendet, wie am Testaufbau Notebook direkt an der Box nur eben am Client hinter der Pfsense. Das Ganze hab ich mal mit Phoner getestet. Anbei mal die Settings und der Wireshark Mitschnitt. Hier versucht sich Phoner immer wieder zu registrieren und schafft es nicht, so lange bis dann eben der Timeout kommt.

2018_04_01_09_36_22_phoner_sip_192.168.178.1_register_failed_request_timeout_

2018-04-01 10_03_24-einstellungen

Recht aktuell wäre dann noch dieses HowTo. Das soweit ich das beuteilten kann, doch meinen Fall beschreibt oder liege ich hier nicht richtig?
aqui
aqui 01.04.2018 um 21:18:55 Uhr
Goto Top
Die Registrieung mit dem Softphone klappte jedoch noch nicht.
Dazu solltest du das Kapitel "VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:" im hiesigen pfSense_Tutorial mal lesen face-wink
so lange bis dann eben der Timeout kommt.
Das kommt weil du dich versuchst an der FB zu registrieren aber nicht am SIP Gateway des Providers, was sinnvoller wäre.
Wenn du dich an der FB registrieren willst musst du den Phoner entsprechend als Nebenstelle in der FB Telefonie Setup einrichten.
Vermutlich hast du das nicht gemacht und deshalb bleibt die FB stumm und antwortet nicht.
Spitzbube
Spitzbube 04.04.2018 um 01:25:51 Uhr
Goto Top
also was mich total irritiert, ist dass die leute hier immer wieder von Fritzbox hinter der PFsense reden. Ich hab die vor der PFsense und dahinter kommt nur mein Switch mit den VLANs. Ich weis auch nicht in was das für auswirkungen hat, Fritzbox davor oder danach, beides ?! Fakt ist doch erst mal egal wie man es nun hat, dass 1 SIP Server zuviel ist und der FB SIP Server der Asterisk oder was auch immer für einer Distribution im wege steht. Also hab ich mich mal dran gemacht was passendes zu finden, um die Ports 5060 bspw. Schach Matt zu setzen. Das ist zugegeben kein Hexenwerk mal die Config zu exportieren umzuschreiben, prüfsumme neu zu berechnen und wieder hochzuladen. Vorausgesetzt man hat dann noch ein Dect Telefon mitregistriert, dass wie in meinem Fall die Rettung war. Nun hatte ich eine verhunzte Config auf einer Box die zwar gebootet hat, jedoch weder per Lan noch W-Lan ansprechbar war. Nauch einem Reset mit dem Telefon wars wieder okay. Daher stellt sich mir die Frage, was die FB von UM (BW) überhaupt zulässt?! Das ist wie schon gesagt keine Standard Fritz Firmware, wie irgendwelche Anbieter wie 1und1 und andere. Kanns nun nicht genau sagen, obs wirklich ein Fehler von mir war oder irgend ein Mechanismus, welcher die Box vor irgendwelchen Manipulationen schützt. Da bin ich komplett überfragt.

Was das Phoner angeht. Ja eine Nebenstelle ist und war an der Fritzbox eingerichtet. Direkt an der Box angeschlossen tuts ja, nur nicht sobald die FW dazwischen ist nicht. Das was du hier bewirbst, ist zunächst mal ein anderer SIP Provider. Klar, dann würde es gehen. Ich will aber die Unity Media Rufnummern nutzen. D.h. ich hab jetzt mal bei denen im Forum angefragt, ob man die SIP Zugangsdaten auch problemlos in einem anderen SIP Server betreiben kann und was dabei zu beachten ist.

Werde die Tage mich nochmals an die Pfsense machen und das das hier testen. Dazu erst mal eine Asterisk installieren.
aqui
aqui 04.04.2018 aktualisiert um 10:00:22 Uhr
Goto Top
Ich hab die vor der PFsense und dahinter kommt nur mein Switch mit den VLANs.
Das kann man auch so machen, dann hast du aber den gravierenden Nachteil einer Router Kaskade mit doppeltem NAT was die Performance schmälert und erhebliche Probleme mit Port Forwarding macht bei VPN Nutzung usw.
Ein suboptimales Design also.
Besser ist es die FB als reines Modem zu verwenden oder durch ein reines Modem zu tauschen um diese Einschränkungen und nachteile zu umgehen.
Das bedeutet dann aber den L3 Forwarding Verlust der FB und damit auch den vollständigen Verlust der VoIP Funktion in diesem Mode.
Daher entscheiden sich viele zu Recht für die Option die Firewall mit einem reinen NUR Modem anzubinden und die FB im lokalen LAN als stinknormale VoIP Anlage zu betreiben wie einen VoIP Adapter wie den Cisco_SPA-112 z.B. oder eine kleine VoIP Anlage wie die Auerswald 3000 oder 4000 oder einen Asterisk auf einem Raspberry Pi oder oder..
Technsich ist das logischerweise immer die bessere Lösung.
und der FB SIP Server der Asterisk oder was auch immer für einer Distribution im wege steht.
Nein, das ist technsicher Quatsch (und weisst du vermutlich auch selber ?!)
Wenn die FB als reines Modem arbeitet ist die VoIP Funktion tot ! Kann also logischerweise eine irgendwie geartete VoIP Kommunikation nicht mehr beeinflussen.
Wenn du die FB durch ein reines Modem ersetzt sowieso, denn dann ist die FB schlicht über und kann in die Bastelkiste.
Auch wenn du VoIP mit dem Asterisk machst brauchst du die FB ja ebenfalls nicht mehr und kannst sie entsorgen.
Die FB ist also überflüssig wenn man den VoIP Traffic mit andere Hardware bedient wie bei dir.
Das ist wie schon gesagt keine Standard Fritz Firmware,
Das ist generell Schrott. Solche verbogenen Zwangsrouter von Zwangsprovidern sollte man entbranden und dennen ganz normal die Standard Software von AVM flashen um sie so zu "normalen" Routern zu machen.
Hat der Zwangsprovider auch das unterbunden dann die Box am besten auf dem Recyclinghof schnell entsorgen. Das ist die beste Lösung.
Direkt an der Box angeschlossen tuts ja, nur nicht sobald die FW dazwischen ist nicht.
Das liegt dann aber an dir selber. Da liegt der fehler immer zw. den Kopfhörern, denn das zeigt das deine Firewall Konfig fehlerhaft ist vom Regelwerk ! SIP ist noch nicht alles ! Bedenke das die Voice datren mit RTP übertragen werden und das birgt einige Herausforderungen mit dynamischen Port Ranges. Aber alles bekommt man in den Griff wenn man richtige Regeln setzt was bei dir ganz sicher nicht der Fall ist. Vermutlich fehlt bei dir auch ebenso eine STUN Konfig. Mit einem STUN Server braucht man normalerweise keine FW Regeln.
Im Zweifel nimm dir immer einen Wireshark zur Hand, sieh dir an wie der SIP Verbindungsaufbau mit einer entspr. Konfig klappt. und vergleiche sie mit dem Setup wo es nicht klappt.
Dann siehst du sofort wo der Fehler ist. Ein Blick in das FW Logg der pfSense ist zusätrzlich hilfreich !
Auf alle Fälle bekommt man es problemlos zum Fliegen....wenn man alles richtig macht natürlich face-wink
Spitzbube
Spitzbube 04.04.2018 aktualisiert um 14:18:54 Uhr
Goto Top
Austauschen kann ich die Fritte nicht, da ich Business Kunde bin lässt das UM nicht zu, dass ich da eine Routerfreiheit habe.

Ich hab das Ganze wohl komplett missverstanden. Hab aber etwas Licht ins dunkle bringen können:

Stell dir deine Fritzbox im Moment nicht als Fritzbox vor, sondern als ein Modem + eine Fritzbox, beide mit eigenem "Internetanschluss" (IP). Anschluss 1 (Modem) geht an deinen Asterisk, ohne dass mit den Ports rumgespielt wird. Anschluss 2 (Fritzbox) an die Fritzbox selber, für die interne Telefonie. Das Problem ist nicht, dass die Fritzbox dir irgendwelche Ports klaut - die ist jetzt dummes Modem. Das Problem ist, dass Unitymedia nur eine Anmeldung pro Nummer zulässt und die klaut dir die Fritzbox, also musst du - durch entfernen der Rufnummern ("ua"-Blöcke) aus der Fritzbox-Konfig - verhindern, dass die Box sich registriert.

Also ist die Fritzbox bereits ein reines Modem, wird aber um das Voip erweitert, solange die Rufnummern darauf aktiv sind. Diese kann dann Asterisk und Co. nicht ansprechen, solange diese Nummern auf der Fritte geschalten sind. Liege ich da richtig?

Das Wireshark Log habe ich oben bereits angehängt.
Pjordorf
Pjordorf 04.04.2018 um 18:59:01 Uhr
Goto Top
Hallo,

Zitat von @Spitzbube:
Austauschen kann ich die Fritte nicht, da ich Business Kunde bin lässt das UM nicht zu, dass ich da eine Routerfreiheit habe.
Doch, natürlich kannst du anpappen was du willst. Du musst nur KD deine MAC nennen und die muss hinterlegt werden. Schau mal in den FAQs.

Stell dir deine Fritzbox im Moment nicht als Fritzbox vor, sondern als ein Modem + eine Fritzbox
Was soll das denn dann sein? Entweder ist die Fritte ein nur Modem oder ein Router. Beides geht ncht, auch nicht bei KD. Nur wenn du eine Feste IPv4 haben willst dann musst du deine eigenen Fritte / Router hinter der UM Kiste machen, diese macht dann NAT etc. Nennt sich Router kaskade. Und kein Modem dieser Welt kann VOIP machen, dazu ist ein Router nötig - ergo hast du einen Router. Und die Firmware ist die von AVM, nur das UM dort die Konfigs für dein KD Anschluss macht (dein Kabelfernsehanschluss). Der ist nämlich nicht von AVM Entwickelt worden, sondern von UM. Trotzdem ist es eine Firmware von AVM...

dass Unitymedia nur eine Anmeldung pro Nummer zulässt und die klaut dir die Fritzbox,
Aber nur wenn die Fritte VOIP machen soll.

solange die Rufnummern darauf aktiv sind. Diese kann dann Asterisk und Co. nicht ansprechen, solange diese Nummern auf der Fritte geschalten sind.
Das ist so bei VOIP. Es kann nur einen geben der die Ports nutzt.

Gruß,
Peter
Spitzbube
Spitzbube 16.04.2018 um 11:02:01 Uhr
Goto Top
Also ich hatte nun die Tage etwas Zeit zum testen:

Was einfach schnell und verständlich für mich zum konfigurieren ist ein Mini PC mit Mobydick (Asterisk) als TK drauf. Daran dann die Fritzbox als Gateway zu nutzen. Dafür gibts schon Vorlagen seitens der TK Software, die ich lediglich mit den Fritzbox Daten füttern muss natürlich angelegtes IP Telefon in der FB voruasgesetzt. Damit kann ich dann ein IP Telefon an der Mobydick registrieren und dem Telefon die Nummer zuweisen. Das befindet sich alles im Netz der Fritzbox 192.168.178.0


Was ich bisher nicht begreife, wie das ganze mit der Pfsense abläuft. Was muss ich an Ports forwarden welche Outbound Rules setzen. Da gibts im Internet zig unterschiedliche Anelitungen und Ansätze. Wenn ich das richtig verstanden habe, versucht ja die Asterisk lediglich die Registrierung an einem Server des Sipproviders durchzuführen. Dabei wird der Port bspw. 5060 verwendet. Dieser muss ja somit lediglich nur freigegeben werden (sollte an einem Interface was geblockt sein)

Kann mir nun keiner Step by step erklären, was ich den wie wo einstellen muss?

Grüße
aqui
Lösung aqui 16.04.2018 um 16:13:13 Uhr
Goto Top
ist ein Mini PC mit Mobydick (Asterisk) als TK drauf.
Ein 30 Euro Raspberry Pi kann das auch: face-wink
http://www.raspberry-asterisk.org
Was muss ich an Ports forwarden
Erstmal gar nicht. Wenn du mit einem STUN Server arbeitest vom Provider musst du erstmal rein gar nichts einstellen. Das sollte dann out of the Box klappen.
Ohne STUN müsstes due ein Port Forwarding von TCP 5060 auf dein Asterisk machen, sofern der Asterisk auch die Provider Kopplung realisiert.
Das hiesige pfSense Tutorial hat in der Rubrik "VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:" unter den Weiterführenden Links einige Infos dazu:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Damit klappt es sofort auch ohne STUN.
versucht ja die Asterisk lediglich die Registrierung an einem Server des Sipproviders durchzuführen
Das ist richtig !
Dieser muss ja somit lediglich nur freigegeben werden
Am Default LAN Port ist ALLES frei. Dort musst du erstmal nichts einstellen.
Also erstmal alles so lassen und dann probieren !

Einfacher Tip:
Erstmal einen Rechner mit einem einfachen Softphone wie Phoner: http://phoner.de/index.htm nehmen und dort auch Wireshark laufen lassen.
Mit dem Phoner machst du die SIP Connection zum Provider und siehst dir mit Wireshark an was da passiert bzw. passieren muss.
So kannst du live den kompletten SIP Sessionaufbau verfolgen. Der ist vollkommen identisch zu dem was der Asterisk macht bzw. immer generell gleich bei VoIP.
Durch das Logg im Phoner und den Wireshark bist du also genaustens im Bilde was da abgeht im Netz.

Rennt das alles klemmst du die pfSense dazwischen. Eigentlich sollte es wenn STUN werkelt auch so out of the Box klappen.
Wenn nicht kannst du anhand des Phoner Logs UND des Kabelhais genau sehen was da NICHT klappt und entsprechend reagieren.
Eigentlich doch ganz einfach, oder ? face-wink
Spitzbube
Spitzbube 22.04.2018 um 08:58:54 Uhr
Goto Top
Moin,

habe mir das Ganze nochmals angeschaut. Habe bisher 4 working Konfigurationen zum laufen bekommen.

1. direkt an der Fritzbox und die Mobydick als Registrar, dann funktionieren auch die UM Nummern. Dadurch hast halt null Sicherheit.

2. Phoner an der Fritzbox und hinter der Pfsense im VLAN mit sipgate, wobei man sagen muss, dass er den DNS sipgate.de als Registrar auch zunächst nicht auflösen konnte. Dann habe ich die Server IP mit nslookup aufgelöst und die IP eingetragen. Mit dieser gehts problemlos.

3. Mobydick hinter der Pfsense im VLAN. Du hattest recht das klappt auch so auf anhieb, ohne irgendwelche Ports freizugeben. Auch hier wieder die IP als Registrar und alles ist gut.

Ich weis nicht, was UM da für einen Hintergrund hat, jedoch ist die Sache mit den Registraren schon so ein Thema für sich. Klar konnte sich auch die Nummer bei der Sip registrierung hinter der Fritzbox den Port 5060 krallen und das angegebene Gateway zunächst online anzeigen. Jedoch schlägt die Sip registrierung hier jedes mal fehl.

Hier hab ich ne gute Seite gefunden, die das Thema mal etwas reflektiert. wie du siehst gibts viele Möglichkeiten, von denen ich die IPv4 mit DNS und IP alle getestet habe und bei keinem konnte ich mich dort anmelden. Das ist auch teilweise so gewollt, um einen Missbrauch vorzubeugen, klar wenn jemand sonst an die Daten kommen würde könnte wohl sich jeder ein Sipphone damit einrichten, um sich einen abzutelefonieren, was dann schnell teuer werden kann.

Fazit: Momentan bringt es nichts sich hier über das Einrichten gedanken zu machen, sofern man keine funktionierende Zugangsdaten hat. Weiß nicht wie das andere machen, aber bei anderen registraren die welche haben und das vllt. noch privateuser sind und diese dann noch funktionieren oder die sicherheit seitens des ISP ne andere ist kann ich das mal eskalieren lassen, jedoch hab ich wenig chancen. Kann ja sein die sip registrierung ist bei den Business Kunden auf die Mac Adresse der Fritte beschränkt, dass nur die jene welche erfolgreich registrieren kann.

Werde das mal weiter verfolgen. Momentan fahre ich mit dem Sipgate basic sehr gut. Dazu ne Flat und kanns monatlich kündigen sowie gratis die Rufnummern portieren lassen. Sollte das UM Registrar Thema wirklich noch irgendwie klappen kann man ja nochmals drüber schauen face-smile
aqui
aqui 22.04.2018 um 17:10:17 Uhr
Goto Top
dass er den DNS sipgate.de als Registrar auch zunächst nicht auflösen konnte
Als DNS Server trägst du ja auch niemals Sipgate ein sondern immer den DNS Server deines Providers ! Bzw. den bekommst du so oder so immer dynmaisch via PPPoE mitgeteilt.
Oder wolltest du jetzt sagen das der den Domain Namen sip.sipgate.de nicht auflösen kann !
Wenn dem so ist dann ist ein Schelm wer Böses dabei denkt !!!
Dann kan man wohl davon ausgehen das dein Provider Sipgate Telefonie in seinem eigenen Netz unterbinden, mindestens aber erschweren will. Böse....!!!
Ich weis nicht, was UM da für einen Hintergrund hat,
Wie immer Gängelei und Entmündigung seiner Kunden. Aber jeder bekommt halt nun mal den Provider den er verdient !
sofern man keine funktionierende Zugangsdaten hat
Die gibts doch bei Sipgate umsonst mit dem Basis Account...?!
Momentan fahre ich mit dem Sipgate basic sehr gut. Dazu ne Flat und kanns monatlich kündigen sowie gratis die Rufnummern portieren lassen.
Dann ist doch alles gut ! face-smile
Spitzbube
Spitzbube 22.04.2018 um 18:03:08 Uhr
Goto Top
Ja vllt. hab ich da was falsch konfiguriert. Und den sip.sipgate.de kann ich in der Tat nict auflösen. Dafür den sipgate.de in 217.10.79.9 und die IP geht und die Anrufe somit auch.

Also ich weiß nicht wovon du nachts träumst, dass will ich auch gar nicht wissen, jedoch ist nur der Tod umsonst und du als allwissendes Orakel bist hier schlecht informiert was das angeht face-smile Sipate kostet zwar keine Grundgebühr und keine EInrichtung jedoch Geld wenn man damit telefoniert.

Mit der Gängelei geb ich dir recht. Das ist schon eine Zumutung, jedoch habe ich noch Restvertrag nicht mehr ganz ein Jahr. Mal sehen, wie sich so eine schweinerei auf die Vertragsverlängerung auswirkt. Aber es ist in der Tat so, dass da UM in jedem Bundesland sein eigenes Süppchen kocht grade in BW.
Pjordorf
Pjordorf 22.04.2018 um 18:35:23 Uhr
Goto Top
Hallo,

Zitat von @Spitzbube:
Ja vllt. hab ich da was falsch konfiguriert.
Oder dich nur ungeschickt ausgedrückt.

Und den sip.sipgate.de kann ich in der Tat nict auflösen.
Also diesen Satz wird auch kaum einer wirklich verstehen face-smile

Dafür den sipgate.de in 217.10.79.9 und die IP geht und die Anrufe somit auch.
Vielleicht willst du uns sagen das du anstelle des FQDN/URL in einem Feld die IP hinterlegst und es geht, obwohl dein nslookup dir die URL auf eben dieser IP aufgelöst hat. Vielleicht soll in dem Feld tatsächlich nur eine IP rein.

jedoch ist nur der Tod umsonst
Auch wieder falsch. Der kostet dir dein Leben.

Sipate kostet zwar keine Grundgebühr und keine EInrichtung jedoch Geld wenn man damit telefoniert.
Und deine Daten...

jedoch habe ich noch Restvertrag nicht mehr ganz ein Jahr. Mal sehen, wie sich so eine schweinerei auf die Vertragsverlängerung auswirkt.
Gar nicht, ausser du willst es evtl. mit UM ausdiskutieren und dein Vertrag wirft dort so viel ab das die dich unbedingt behalten wollen face-smile

Zum Vertrag gehören immer auch Vertragsbedingungen, aber wer liesst die schon vorher? face-smile

Gruß,
Peter