rudi20
Goto Top

Firewall - Check

Hallo Leute,

könnt ihr mal meine Firewall Checken? Oder was könnte man optimieren und verbessern?

Mein größtes Problem ist aktuell das ich keinen Ton bekomme beim Telefonieren. Warum?

/ip firewall connection tracking
set enabled=yes udp-timeout=10s
/ip firewall filter
add action=accept chain=input comment="Allow established and related connections" connection-state=established,related  
add action=accept chain=forward comment="Allow established and related connections" connection-state=established,related  
add action=accept chain=input comment="Allow Ping from local networks" protocol=icmp src-address-list=local  
add action=accept chain=input comment="Allow DNS only from local networks" dst-port=53 protocol=udp src-address-list=local  
add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout=5m chain=input comment="SSH First attempt" connection-state=new dst-port=43131 protocol=tcp  
add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout=15m chain=input comment="SSH Second attempt" connection-state=new dst-port=43131 protocol=tcp  
add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout=1h chain=input comment="SSH Third attempt" connection-state=new dst-port=43131 protocol=tcp  
add action=accept chain=input comment="Allow SSH from non-blacklisted sources and only from local networks" dst-port=43131 protocol=tcp src-address-list=local  
add action=add-src-to-address-list address-list=winbox_stage1 address-list-timeout=5m chain=input comment="Winbox First attempt" connection-state=new dst-port=8291 protocol=tcp  
add action=add-src-to-address-list address-list=winbox_stage2 address-list-timeout=15m chain=input comment="Winbox Second attempt" connection-state=new dst-port=8291 protocol=tcp  
add action=add-src-to-address-list address-list=winbox_stage3 address-list-timeout=1h chain=input comment="Winbox Third attempt" connection-state=new dst-port=8291 protocol=tcp  
add action=accept chain=input comment="Allow Winbox from non-blacklisted sources and only from local networks" dst-port=8291 protocol=tcp src-address-list=local  
add action=accept chain=input comment="Allow HTTPS_ROUTER_Intern" dst-port=444 protocol=tcp src-address-list=local  
add action=accept chain=input comment="Allow SNMP" dst-port=161 protocol=udp src-address-list=local  
add action=accept chain=input comment="Allow Wireguard" dst-port=55003 in-interface-list=WAN protocol=udp  
add action=accept chain=forward comment="Allow Wireguard to VLAN100" dst-address=!10.10.150.0/24 in-interface=wg0 out-interface=VLAN100  
add action=accept chain=forward comment="Allow VLAN100 to Wireguard" dst-address=!10.10.150.0/24 in-interface=VLAN100 out-interface=wg0  
add action=drop chain=input comment="Drop invalid packets" connection-state=invalid  
add action=drop chain=input comment="Drop all other input traffic"  
add action=accept chain=forward comment="Allow RTP (VoIP) traffic" connection-nat-state="" dst-address=192.168.100.200 dst-port=10000-20000 protocol=udp  
add action=accept chain=forward comment=Phone connection-nat-state="" dst-address=192.168.100.200 dst-port=5060 log=yes log-prefix=5060 protocol=tcp  
add action=accept chain=forward comment=Phone connection-nat-state="" dst-address=192.168.100.200 dst-port=5060 log=yes log-prefix=5060 protocol=udp  
add action=accept chain=forward comment=Phone connection-nat-state="" dst-address=192.168.100.200 dst-port=5061 log=yes log-prefix=5061 protocol=tcp  
add action=accept chain=forward comment=Phone connection-nat-state="" dst-address=192.168.100.200 dst-port=5222 log=yes log-prefix=5061 protocol=tcp  
add action=accept chain=forward comment="Accept other dst-nat connections" connection-nat-state=dstnat  
add action=drop chain=forward comment="Drop invalid packets" connection-state=invalid disabled=yes  
add action=drop chain=forward comment="Drop all other forward traffic" disabled=yes  
/ip firewall nat
add action=dst-nat chain=dstnat comment=Opensense dst-port=443 in-interface=WAN1 protocol=tcp to-addresses=192.168.200.250 to-ports=443
add action=dst-nat chain=dstnat comment=Telefon dst-port=5222 in-interface=WAN1 protocol=tcp to-addresses=192.168.100.200 to-ports=5222
add action=dst-nat chain=dstnat comment=Telefon dst-port=5061 in-interface=WAN1 protocol=tcp to-addresses=192.168.100.200 to-ports=5061
add action=dst-nat chain=dstnat comment=Telefon dst-port=5060 in-interface=WAN1 protocol=udp to-addresses=192.168.100.200 to-ports=5060
add action=dst-nat chain=dstnat comment="RTP" dst-port=10000-20000 in-interface=WAN1 log=yes log-prefix=RTPNAT protocol=udp to-addresses=192.168.100.200  
add action=masquerade chain=srcnat comment="Masquerade Outgoing Traffic on WAN1" out-interface=WAN1  
/ip firewall service-port
set sip disabled=yes

Content-ID: 63283366014

Url: https://administrator.de/forum/firewall-check-63283366014.html

Ausgedruckt am: 21.12.2024 um 17:12 Uhr

Vision2015
Vision2015 11.08.2024 um 14:39:54 Uhr
Goto Top
Moin...
Mein größtes Problem ist aktuell das ich keinen Ton bekomme beim Telefonieren. Warum?
aus dem bauch raus, du hast ein problem mit den RTP ports...
was sagt den dein firewall log?
Frank
RuDI20
RuDI20 11.08.2024 um 15:53:52 Uhr
Goto Top
Leider nicht soviel.

192.168.178.1 ist meine Fritzbox mit Expost Host

15:51:01 firewall,info VOIP_NAT dstnat: in:WAN1 out:(unknown 0), connection-state:new src-mac c8:0e:14:7d:88:b4, proto UDP, 3.124.97.151:32099->192.168.178.1:18251, len 48 
15:51:01 firewall,info VOIP_NAT dstnat: in:WAN1 out:(unknown 0), connection-state:new src-mac c8:0e:14:7d:88:b4, proto UDP, 3.124.97.151:32099->192.168.178.1:18251, len 48 
15:51:01 firewall,info VOIP_NAT dstnat: in:WAN1 out:(unknown 0), connection-state:new src-mac c8:0e:14:7d:88:b4, proto UDP, 3.124.97.151:32099->192.168.178.1:18251, len 48 
15:51:01 firewall,info RTP forward: in:WAN1 out:VLAN_100, connection-state:new,dnat src-mac c8:0e:14:7d:88:b4, proto UDP, 3.124.97.151:32099->192.168.100.200:18251, NAT 3.124.97.151:32099->(192.168.178.1:18251->192.168.100.200:1
8251), len 48 
15:51:01 firewall,info RTP forward: in:WAN1 out:VLAN_100, connection-state:new,dnat src-mac c8:0e:14:7d:88:b4, proto UDP, 3.124.97.151:32099->192.168.100.200:18251, NAT 3.124.97.151:32099->(192.168.178.1:18251->192.168.100.200:1
8251), len 48 
15:51:01 firewall,info RTP forward: in:WAN1 out:VLAN_100, connection-state:new,dnat src-mac c8:0e:14:7d:88:b4, proto UDP, 3.124.97.151:32099->192.168.100.200:18251, NAT 3.124.97.151:32099->(192.168.178.1:18251->192.168.100.200:1
8251), len 48 
15:51:21 firewall,info VOIP_NAT dstnat: in:WAN1 out:(unknown 0), connection-state:new src-mac c8:0e:14:7d:88:b4, proto TCP (SYN), 80.187.65.48:16464->192.168.178.1:5222, len 60 
15:51:21 firewall,info VOIP_NAT dstnat: in:WAN1 out:(unknown 0), connection-state:new src-mac c8:0e:14:7d:88:b4, proto TCP (SYN), 80.187.65.48:16464->192.168.178.1:5222, len 60 
15:51:21 firewall,info VOIP_NAT dstnat: in:WAN1 out:(unknown 0), connection-state:new src-mac c8:0e:14:7d:88:b4, proto TCP (SYN), 80.187.65.48:16464->192.168.178.1:5222, len 60 
15:51:21 firewall,info VOIP forward: in:WAN1 out:VLAN_100, connection-state:new,dnat src-mac c8:0e:14:7d:88:b4, proto TCP (SYN), 80.187.65.48:16464->192.168.100.200:5222, NAT 80.187.65.48:16464->(192.168.178.1:5222->192.168.15
5.5:5222), len 60 
15:51:21 firewall,info VOIP forward: in:WAN1 out:VLAN_100, connection-state:new,dnat src-mac c8:0e:14:7d:88:b4, proto TCP (SYN), 80.187.65.48:16464->192.168.100.200:5222, NAT 80.187.65.48:16464->(192.168.178.1:5222->192.168.15
5.5:5222), len 60 
15:51:21 firewall,info VOIP forward: in:WAN1 out:VLAN_100, connection-state:new,dnat src-mac c8:0e:14:7d:88:b4, proto TCP (SYN), 80.187.65.48:16464->192.168.100.200:5222, NAT 80.187.65.48:16464->(192.168.178.1:5222->192.168.15
5.5:5222), len 60 
Vision2015
Vision2015 11.08.2024 um 15:58:37 Uhr
Goto Top
moin,

hast du da eine Router kaskade?
beschreibe mal deinen aufbau... so raten wir nur ins blaue.... und die Glaskugeln sind heute alle zur Politur!

Frank
RuDI20
RuDI20 11.08.2024 um 16:11:25 Uhr
Goto Top
habe eine Firtzbox die aber nur als DSL Modem dient, daher expost Host und dann den Mikrotik Router, Switch und dann die Telefonanlage.
Parallel noch ein Server mit Proxmox auf dem eine Opnsense läuft, da läuft aber nur der Port 443 durch.
aqui
aqui 11.08.2024 aktualisiert um 16:46:01 Uhr
Goto Top
aber nur als DSL Modem dient
Das ist Unsinn, denn das supportet die FRITZ!box schon lange nicht mehr. Die FRITZ!Box supportet lediglich noch PPPoE Passthrough aber wenn du von Exposed Host redest machst du überhaupt keinen „Modem“ Betrieb sondern unnötigerweise doppeltes NAT und doppeltes Firewalling in einer Router Kaskade mit den üblichen möglichen Nachteilen. face-sad
Siehe dazu auch hier und hier!

Besser ist es den MT mit einem wirklichen NUR Modem wie Zyxel VMG3006, Vigor167 usw. direkt am ISP zu betreiben und die Fritte nur als IP Host im internen LAN laufen zu lassen. (Z.B. als reine VoIP Anlage)
Willst du dennoch eine Kaskade weiterbetreiben ist es deutlich sinnvoller das 2te NAT und Firewalling zu deaktivieren auf dem kaskadierten MikroTik wie es das hiesige Mikrotik Tutorial gleich im ersten Kapitel beschreibt!
Dadurch machst du ein sauberes, transparentes Routing und rennst gar nicht erst in die o.a. Problematik.
user217
user217 12.08.2024 um 07:54:40 Uhr
Goto Top
Jumboframes deaktivieren face-smile
RuDI20
RuDI20 12.08.2024 um 09:23:57 Uhr
Goto Top
Zitat von @aqui:

aber nur als DSL Modem dient
Das ist Unsinn, denn das supportet die FRITZ!box schon lange nicht mehr. Die FRITZ!Box supportet lediglich noch PPPoE Passthrough aber wenn du von Exposed Host redest machst du überhaupt keinen „Modem“ Betrieb sondern unnötigerweise doppeltes NAT und doppeltes Firewalling in einer Router Kaskade mit den üblichen möglichen Nachteilen. face-sad
Siehe dazu auch hier und hier!

Besser ist es den MT mit einem wirklichen NUR Modem wie Zyxel VMG3006, Vigor167 usw. direkt am ISP zu betreiben und die Fritte nur als IP Host im internen LAN laufen zu lassen. (Z.B. als reine VoIP Anlage)
Willst du dennoch eine Kaskade weiterbetreiben ist es deutlich sinnvoller das 2te NAT und Firewalling zu deaktivieren auf dem kaskadierten MikroTik wie es das hiesige Mikrotik Tutorial gleich im ersten Kapitel beschreibt!
Dadurch machst du ein sauberes, transparentes Routing und rennst gar nicht erst in die o.a. Problematik.

Das war mir so nicht bewusst. D.h. wenn ich mich im Mikrotik wieder mit PPOE Einwähle, dann habe ich kein doppeltest NAT?
aqui
aqui 12.08.2024 aktualisiert um 12:14:09 Uhr
Goto Top
Das war mir so nicht bewusst
Genau deshalb ist es als kundiger Administrator immer hilfreich das Handbuch und die Firmware Release Notes zu lesen… face-wink
MikroTik wieder mit PPPoE…
Ja, das ist richtig! Siehe dazu auch HIER und auch HIER

Die andere Möglichkeit für den Fall das du deine Kaskade so weiterbetreiben willst und doppeltes NAT zu vermeiden wäre, wie oben schon gesagt, das NAT und Firewalling am MT Koppelport zur FRITZ!Box auszuschalten und dort einfach nur transparent zu routen.
Das o.a. Mikrotik Tutorial beschreibt dieses einfache Setup im Detail.

Beide Verfahren führen zum Erfolg!
RuDI20
RuDI20 13.08.2024 um 19:42:23 Uhr
Goto Top
ich habe nun ein draytek 166 modem dran mit bridge mode und habe das problem leider immer noch.
Was könnte man dann noch tun?
RuDI20
RuDI20 13.08.2024 um 19:43:38 Uhr
Goto Top
Zitat von @aqui:

aber nur als DSL Modem dient
Das ist Unsinn, denn das supportet die FRITZ!box schon lange nicht mehr. Die FRITZ!Box supportet lediglich noch PPPoE Passthrough aber wenn du von Exposed Host redest machst du überhaupt keinen „Modem“ Betrieb sondern unnötigerweise doppeltes NAT und doppeltes Firewalling in einer Router Kaskade mit den üblichen möglichen
steht das irgendwo bei AVM das es nicht mehr supportet wird?
Vision2015
Vision2015 13.08.2024 um 19:58:31 Uhr
Goto Top
Moin...
Zitat von @RuDI20:

ich habe nun ein draytek 166 modem dran mit bridge mode und habe das problem leider immer noch.
wo hast du das dran?
Was könnte man dann noch tun?
hm... nen Kuchen Backen, deine Frau zum Essen einladen, oder uns einfach mal aufzeigen wie du etwas angeschlossen hast!

Frank
RuDI20
RuDI20 13.08.2024 um 20:47:05 Uhr
Goto Top
Zitat von @Vision2015:

Moin...
Zitat von @RuDI20:

ich habe nun ein draytek 166 modem dran mit bridge mode und habe das problem leider immer noch.
wo hast du das dran?

Mikrotik Routerboard 3011 mit PPPOE Einwahl. Dahinter ein Mikrotik CRS326 Switch und dann die Telefonanlage.

Was könnte man dann noch tun?
hm... nen Kuchen Backen, deine Frau zum Essen einladen, oder uns einfach mal aufzeigen wie du etwas angeschlossen hast!
Genau face-smile
aqui
aqui 14.08.2024 aktualisiert um 13:51:48 Uhr
Goto Top
ich habe nun ein draytek 166 modem dran mit bridge mode
Wirklich korrekt eingestellt und das Modem auch das Provider Tagging machen lassen? Nicht das du wieder doppeltes NAT im Router Mode machst?! face-sad
https://idomix.de/supervectoring-draytek-vigor-165-als-modem-einrichten
Du kannst das auch sehr einfach checken. Gehe auf http://myexternalip.com und vergleiche dort die dir angezeigte IP Adresse mit dem deines MikroTik WAN Ports! Die IPs müssen identisch sein. Ist das der Fall arbeitet dein Vigor wirklich als NUR Modem.

Wenn das so umgesetzt wurde und du entsprechende Internet Verbindung zum Provider hast nutze als VoIP Endgerät einmal ein einfaches Softphone wie Phoner oder Phoner Lite
https://phoner.de/index.htm
https://lite.phoner.de/index_de.htm
Dort konfigurierst du deine SIP Credentials und testest einmal die Voice Verbindung. Sollte es wider Erwarten dort auch scheitern sieh in die Logs. Dort ist meistens der Grund mitgelockt warum die Verbindung dann scheitert.
Wenn alle Stricke reißen installierst du auf dem Softphone Rechner parallel den [ Wireshark Sniffer] und siehst dir die Voice Verbindung einmal genau an wenn du einen Ruf startest und auch wenn ein Ruf eingeht. Auch dort wird explizit ein Grund angezeigt warum es scheitert.
aqui
aqui 20.08.2024 um 14:39:14 Uhr
Goto Top
Wenn es das denn nun war bitte nicht vergessen deinen Thread dann auch als erledigt zu schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
jmueller
jmueller 23.09.2024 um 06:49:38 Uhr
Goto Top
Moin,

bin mir grad nicht sicher aber war es bei den Fritten nicht so das die die SIP Ports nicht nicht Weiterleiten weil die keine andere Telefonanlage ausser Ihre eigene erlauben face-smile

Beste Grüße
Jürgen
aqui
aqui 23.09.2024 um 08:52:22 Uhr
Goto Top
Das stimmt, aber es ist NICHT Fritzbox spezifisch und bei allen Router/Firewalls so.
Ist auch logisch, denn wenn der Dienst selber auf dem Gerät ist WIE sollte es dann entscheiden welcher von diesem Traffic dann für sich selber ist und welchen es weiterleiten soll. Das ist technisch nicht möglich und folglich interpretiert die Fritte als eigenen Traffic um es an den lokalen VoIP Dient zu forwarden und eben NICHT an externe PFW Adressen.
Wäre der VoIP Dienst auf der Fritte abschaltbar, würde das PFW wieder klappen. Gleiches Verhalten wie bei VPN. face-wink
aqui
aqui 20.10.2024 um 11:19:51 Uhr
Goto Top
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt markieren!
Wie kann ich einen Beitrag als gelöst markieren?