17
Firewall - Check
Hallo Leute,
könnt ihr mal meine Firewall Checken? Oder was könnte man optimieren und verbessern?
Mein größtes Problem ist aktuell das ich keinen Ton bekomme beim Telefonieren. Warum?
könnt ihr mal meine Firewall Checken? Oder was könnte man optimieren und verbessern?
Mein größtes Problem ist aktuell das ich keinen Ton bekomme beim Telefonieren. Warum?
/ip firewall connection tracking
set enabled=yes udp-timeout=10s
/ip firewall filter
add action=accept chain=input comment="Allow established and related connections" connection-state=established,related
add action=accept chain=forward comment="Allow established and related connections" connection-state=established,related
add action=accept chain=input comment="Allow Ping from local networks" protocol=icmp src-address-list=local
add action=accept chain=input comment="Allow DNS only from local networks" dst-port=53 protocol=udp src-address-list=local
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=5m chain=input comment="SSH First attempt" connection-state=new dst-port=43131 protocol=tcp
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=15m chain=input comment="SSH Second attempt" connection-state=new dst-port=43131 protocol=tcp
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1h chain=input comment="SSH Third attempt" connection-state=new dst-port=43131 protocol=tcp
add action=accept chain=input comment="Allow SSH from non-blacklisted sources and only from local networks" dst-port=43131 protocol=tcp src-address-list=local
add action=add-src-to-address-list address-list=winbox_stage1 address-list-timeout=5m chain=input comment="Winbox First attempt" connection-state=new dst-port=8291 protocol=tcp
add action=add-src-to-address-list address-list=winbox_stage2 address-list-timeout=15m chain=input comment="Winbox Second attempt" connection-state=new dst-port=8291 protocol=tcp
add action=add-src-to-address-list address-list=winbox_stage3 address-list-timeout=1h chain=input comment="Winbox Third attempt" connection-state=new dst-port=8291 protocol=tcp
add action=accept chain=input comment="Allow Winbox from non-blacklisted sources and only from local networks" dst-port=8291 protocol=tcp src-address-list=local
add action=accept chain=input comment="Allow HTTPS_ROUTER_Intern" dst-port=444 protocol=tcp src-address-list=local
add action=accept chain=input comment="Allow SNMP" dst-port=161 protocol=udp src-address-list=local
add action=accept chain=input comment="Allow Wireguard" dst-port=55003 in-interface-list=WAN protocol=udp
add action=accept chain=forward comment="Allow Wireguard to VLAN100" dst-address=!10.10.150.0/24 in-interface=wg0 out-interface=VLAN100
add action=accept chain=forward comment="Allow VLAN100 to Wireguard" dst-address=!10.10.150.0/24 in-interface=VLAN100 out-interface=wg0
add action=drop chain=input comment="Drop invalid packets" connection-state=invalid
add action=drop chain=input comment="Drop all other input traffic"
add action=accept chain=forward comment="Allow RTP (VoIP) traffic" connection-nat-state="" dst-address=192.168.100.200 dst-port=10000-20000 protocol=udp
add action=accept chain=forward comment=Phone connection-nat-state="" dst-address=192.168.100.200 dst-port=5060 log=yes log-prefix=5060 protocol=tcp
add action=accept chain=forward comment=Phone connection-nat-state="" dst-address=192.168.100.200 dst-port=5060 log=yes log-prefix=5060 protocol=udp
add action=accept chain=forward comment=Phone connection-nat-state="" dst-address=192.168.100.200 dst-port=5061 log=yes log-prefix=5061 protocol=tcp
add action=accept chain=forward comment=Phone connection-nat-state="" dst-address=192.168.100.200 dst-port=5222 log=yes log-prefix=5061 protocol=tcp
add action=accept chain=forward comment="Accept other dst-nat connections" connection-nat-state=dstnat
add action=drop chain=forward comment="Drop invalid packets" connection-state=invalid disabled=yes
add action=drop chain=forward comment="Drop all other forward traffic" disabled=yes
/ip firewall nat
add action=dst-nat chain=dstnat comment=Opensense dst-port=443 in-interface=WAN1 protocol=tcp to-addresses=192.168.200.250 to-ports=443
add action=dst-nat chain=dstnat comment=Telefon dst-port=5222 in-interface=WAN1 protocol=tcp to-addresses=192.168.100.200 to-ports=5222
add action=dst-nat chain=dstnat comment=Telefon dst-port=5061 in-interface=WAN1 protocol=tcp to-addresses=192.168.100.200 to-ports=5061
add action=dst-nat chain=dstnat comment=Telefon dst-port=5060 in-interface=WAN1 protocol=udp to-addresses=192.168.100.200 to-ports=5060
add action=dst-nat chain=dstnat comment="RTP" dst-port=10000-20000 in-interface=WAN1 log=yes log-prefix=RTPNAT protocol=udp to-addresses=192.168.100.200
add action=masquerade chain=srcnat comment="Masquerade Outgoing Traffic on WAN1" out-interface=WAN1
/ip firewall service-port
set sip disabled=yes
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 63283366014
Url: https://administrator.de/contentid/63283366014
Ausgedruckt am: 21.11.2024 um 13:11 Uhr
17 Kommentare
Neuester Kommentar
Moin...
was sagt den dein firewall log?
Frank
Mein größtes Problem ist aktuell das ich keinen Ton bekomme beim Telefonieren. Warum?
aus dem bauch raus, du hast ein problem mit den RTP ports...was sagt den dein firewall log?
Frank
1
Leider nicht soviel.
192.168.178.1 ist meine Fritzbox mit Expost Host
192.168.178.1 ist meine Fritzbox mit Expost Host
15:51:01 firewall,info VOIP_NAT dstnat: in:WAN1 out:(unknown 0), connection-state:new src-mac c8:0e:14:7d:88:b4, proto UDP, 3.124.97.151:32099->192.168.178.1:18251, len 48
15:51:01 firewall,info VOIP_NAT dstnat: in:WAN1 out:(unknown 0), connection-state:new src-mac c8:0e:14:7d:88:b4, proto UDP, 3.124.97.151:32099->192.168.178.1:18251, len 48
15:51:01 firewall,info VOIP_NAT dstnat: in:WAN1 out:(unknown 0), connection-state:new src-mac c8:0e:14:7d:88:b4, proto UDP, 3.124.97.151:32099->192.168.178.1:18251, len 48
15:51:01 firewall,info RTP forward: in:WAN1 out:VLAN_100, connection-state:new,dnat src-mac c8:0e:14:7d:88:b4, proto UDP, 3.124.97.151:32099->192.168.100.200:18251, NAT 3.124.97.151:32099->(192.168.178.1:18251->192.168.100.200:1
8251), len 48
15:51:01 firewall,info RTP forward: in:WAN1 out:VLAN_100, connection-state:new,dnat src-mac c8:0e:14:7d:88:b4, proto UDP, 3.124.97.151:32099->192.168.100.200:18251, NAT 3.124.97.151:32099->(192.168.178.1:18251->192.168.100.200:1
8251), len 48
15:51:01 firewall,info RTP forward: in:WAN1 out:VLAN_100, connection-state:new,dnat src-mac c8:0e:14:7d:88:b4, proto UDP, 3.124.97.151:32099->192.168.100.200:18251, NAT 3.124.97.151:32099->(192.168.178.1:18251->192.168.100.200:1
8251), len 48
15:51:21 firewall,info VOIP_NAT dstnat: in:WAN1 out:(unknown 0), connection-state:new src-mac c8:0e:14:7d:88:b4, proto TCP (SYN), 80.187.65.48:16464->192.168.178.1:5222, len 60
15:51:21 firewall,info VOIP_NAT dstnat: in:WAN1 out:(unknown 0), connection-state:new src-mac c8:0e:14:7d:88:b4, proto TCP (SYN), 80.187.65.48:16464->192.168.178.1:5222, len 60
15:51:21 firewall,info VOIP_NAT dstnat: in:WAN1 out:(unknown 0), connection-state:new src-mac c8:0e:14:7d:88:b4, proto TCP (SYN), 80.187.65.48:16464->192.168.178.1:5222, len 60
15:51:21 firewall,info VOIP forward: in:WAN1 out:VLAN_100, connection-state:new,dnat src-mac c8:0e:14:7d:88:b4, proto TCP (SYN), 80.187.65.48:16464->192.168.100.200:5222, NAT 80.187.65.48:16464->(192.168.178.1:5222->192.168.15
5.5:5222), len 60
15:51:21 firewall,info VOIP forward: in:WAN1 out:VLAN_100, connection-state:new,dnat src-mac c8:0e:14:7d:88:b4, proto TCP (SYN), 80.187.65.48:16464->192.168.100.200:5222, NAT 80.187.65.48:16464->(192.168.178.1:5222->192.168.15
5.5:5222), len 60
15:51:21 firewall,info VOIP forward: in:WAN1 out:VLAN_100, connection-state:new,dnat src-mac c8:0e:14:7d:88:b4, proto TCP (SYN), 80.187.65.48:16464->192.168.100.200:5222, NAT 80.187.65.48:16464->(192.168.178.1:5222->192.168.15
5.5:5222), len 60
moin,
hast du da eine Router kaskade?
beschreibe mal deinen aufbau... so raten wir nur ins blaue.... und die Glaskugeln sind heute alle zur Politur!
Frank
hast du da eine Router kaskade?
beschreibe mal deinen aufbau... so raten wir nur ins blaue.... und die Glaskugeln sind heute alle zur Politur!
Frank
1
habe eine Firtzbox die aber nur als DSL Modem dient, daher expost Host und dann den Mikrotik Router, Switch und dann die Telefonanlage.
Parallel noch ein Server mit Proxmox auf dem eine Opnsense läuft, da läuft aber nur der Port 443 durch.
Parallel noch ein Server mit Proxmox auf dem eine Opnsense läuft, da läuft aber nur der Port 443 durch.
aber nur als DSL Modem dient
Das ist Unsinn, denn das supportet die FRITZ!box schon lange nicht mehr. Die FRITZ!Box supportet lediglich noch PPPoE Passthrough aber wenn du von Exposed Host redest machst du überhaupt keinen „Modem“ Betrieb sondern unnötigerweise doppeltes NAT und doppeltes Firewalling in einer Router Kaskade mit den üblichen möglichen Nachteilen. 
Siehe dazu auch hier und hier!
Besser ist es den MT mit einem wirklichen NUR Modem wie Zyxel VMG3006, Vigor167 usw. direkt am ISP zu betreiben und die Fritte nur als IP Host im internen LAN laufen zu lassen. (Z.B. als reine VoIP Anlage)
Willst du dennoch eine Kaskade weiterbetreiben ist es deutlich sinnvoller das 2te NAT und Firewalling zu deaktivieren auf dem kaskadierten MikroTik wie es das hiesige Mikrotik Tutorial gleich im ersten Kapitel beschreibt!
Dadurch machst du ein sauberes, transparentes Routing und rennst gar nicht erst in die o.a. Problematik.
3
Jumboframes deaktivieren 
Zitat von @aqui:
Siehe dazu auch hier und hier!
Besser ist es den MT mit einem wirklichen NUR Modem wie Zyxel VMG3006, Vigor167 usw. direkt am ISP zu betreiben und die Fritte nur als IP Host im internen LAN laufen zu lassen. (Z.B. als reine VoIP Anlage)
Willst du dennoch eine Kaskade weiterbetreiben ist es deutlich sinnvoller das 2te NAT und Firewalling zu deaktivieren auf dem kaskadierten MikroTik wie es das hiesige Mikrotik Tutorial gleich im ersten Kapitel beschreibt!
Dadurch machst du ein sauberes, transparentes Routing und rennst gar nicht erst in die o.a. Problematik.
aber nur als DSL Modem dient
Das ist Unsinn, denn das supportet die FRITZ!box schon lange nicht mehr. Die FRITZ!Box supportet lediglich noch PPPoE Passthrough aber wenn du von Exposed Host redest machst du überhaupt keinen „Modem“ Betrieb sondern unnötigerweise doppeltes NAT und doppeltes Firewalling in einer Router Kaskade mit den üblichen möglichen Nachteilen. Siehe dazu auch hier und hier!
Besser ist es den MT mit einem wirklichen NUR Modem wie Zyxel VMG3006, Vigor167 usw. direkt am ISP zu betreiben und die Fritte nur als IP Host im internen LAN laufen zu lassen. (Z.B. als reine VoIP Anlage)
Willst du dennoch eine Kaskade weiterbetreiben ist es deutlich sinnvoller das 2te NAT und Firewalling zu deaktivieren auf dem kaskadierten MikroTik wie es das hiesige Mikrotik Tutorial gleich im ersten Kapitel beschreibt!
Dadurch machst du ein sauberes, transparentes Routing und rennst gar nicht erst in die o.a. Problematik.
Das war mir so nicht bewusst. D.h. wenn ich mich im Mikrotik wieder mit PPOE Einwähle, dann habe ich kein doppeltest NAT?
1Das war mir so nicht bewusst
Genau deshalb ist es als kundiger Administrator immer hilfreich das Handbuch und die Firmware Release Notes zu lesen… 
MikroTik wieder mit PPPoE…
Ja, das ist richtig! Siehe dazu auch HIER und auch HIERDie andere Möglichkeit für den Fall das du deine Kaskade so weiterbetreiben willst und doppeltes NAT zu vermeiden wäre, wie oben schon gesagt, das NAT und Firewalling am MT Koppelport zur FRITZ!Box auszuschalten und dort einfach nur transparent zu routen.
Das o.a. Mikrotik Tutorial beschreibt dieses einfache Setup im Detail.
Beide Verfahren führen zum Erfolg!
ich habe nun ein draytek 166 modem dran mit bridge mode und habe das problem leider immer noch.
Was könnte man dann noch tun?
Was könnte man dann noch tun?
Zitat von @aqui:
steht das irgendwo bei AVM das es nicht mehr supportet wird?aber nur als DSL Modem dient
Das ist Unsinn, denn das supportet die FRITZ!box schon lange nicht mehr. Die FRITZ!Box supportet lediglich noch PPPoE Passthrough aber wenn du von Exposed Host redest machst du überhaupt keinen „Modem“ Betrieb sondern unnötigerweise doppeltes NAT und doppeltes Firewalling in einer Router Kaskade mit den üblichen möglichen
Moin...
Frank
Zitat von @RuDI20:
ich habe nun ein draytek 166 modem dran mit bridge mode und habe das problem leider immer noch.
wo hast du das dran?ich habe nun ein draytek 166 modem dran mit bridge mode und habe das problem leider immer noch.
Was könnte man dann noch tun?
hm... nen Kuchen Backen, deine Frau zum Essen einladen, oder uns einfach mal aufzeigen wie du etwas angeschlossen hast!Frank
Zitat von @Vision2015:
Moin...
Moin...
Zitat von @RuDI20:
ich habe nun ein draytek 166 modem dran mit bridge mode und habe das problem leider immer noch.
wo hast du das dran?ich habe nun ein draytek 166 modem dran mit bridge mode und habe das problem leider immer noch.
Mikrotik Routerboard 3011 mit PPPOE Einwahl. Dahinter ein Mikrotik CRS326 Switch und dann die Telefonanlage.
Was könnte man dann noch tun?
hm... nen Kuchen Backen, deine Frau zum Essen einladen, oder uns einfach mal aufzeigen wie du etwas angeschlossen hast!ich habe nun ein draytek 166 modem dran mit bridge mode
Wirklich korrekt eingestellt und das Modem auch das Provider Tagging machen lassen? Nicht das du wieder doppeltes NAT im Router Mode machst?! https://idomix.de/supervectoring-draytek-vigor-165-als-modem-einrichten
Du kannst das auch sehr einfach checken. Gehe auf http://myexternalip.com und vergleiche dort die dir angezeigte IP Adresse mit dem deines MikroTik WAN Ports! Die IPs müssen identisch sein. Ist das der Fall arbeitet dein Vigor wirklich als NUR Modem.
Wenn das so umgesetzt wurde und du entsprechende Internet Verbindung zum Provider hast nutze als VoIP Endgerät einmal ein einfaches Softphone wie Phoner oder Phoner Lite
https://phoner.de/index.htm
https://lite.phoner.de/index_de.htm
Dort konfigurierst du deine SIP Credentials und testest einmal die Voice Verbindung. Sollte es wider Erwarten dort auch scheitern sieh in die Logs. Dort ist meistens der Grund mitgelockt warum die Verbindung dann scheitert.
Wenn alle Stricke reißen installierst du auf dem Softphone Rechner parallel den [ Wireshark Sniffer] und siehst dir die Voice Verbindung einmal genau an wenn du einen Ruf startest und auch wenn ein Ruf eingeht. Auch dort wird explizit ein Grund angezeigt warum es scheitert.
Wenn es das denn nun war bitte nicht vergessen deinen Thread dann auch als erledigt zu schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
Moin,
bin mir grad nicht sicher aber war es bei den Fritten nicht so das die die SIP Ports nicht nicht Weiterleiten weil die keine andere Telefonanlage ausser Ihre eigene erlauben
Beste Grüße
Jürgen
bin mir grad nicht sicher aber war es bei den Fritten nicht so das die die SIP Ports nicht nicht Weiterleiten weil die keine andere Telefonanlage ausser Ihre eigene erlauben
Beste Grüße
Jürgen
Das stimmt, aber es ist NICHT Fritzbox spezifisch und bei allen Router/Firewalls so.
Ist auch logisch, denn wenn der Dienst selber auf dem Gerät ist WIE sollte es dann entscheiden welcher von diesem Traffic dann für sich selber ist und welchen es weiterleiten soll. Das ist technisch nicht möglich und folglich interpretiert die Fritte als eigenen Traffic um es an den lokalen VoIP Dient zu forwarden und eben NICHT an externe PFW Adressen.
Wäre der VoIP Dienst auf der Fritte abschaltbar, würde das PFW wieder klappen. Gleiches Verhalten wie bei VPN.
Ist auch logisch, denn wenn der Dienst selber auf dem Gerät ist WIE sollte es dann entscheiden welcher von diesem Traffic dann für sich selber ist und welchen es weiterleiten soll. Das ist technisch nicht möglich und folglich interpretiert die Fritte als eigenen Traffic um es an den lokalen VoIP Dient zu forwarden und eben NICHT an externe PFW Adressen.
Wäre der VoIP Dienst auf der Fritte abschaltbar, würde das PFW wieder klappen. Gleiches Verhalten wie bei VPN.
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt markieren!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
