FreePBX hinter PFSense
Hallo Zusammen
Habe ein kleines Problem. Aber zuerst möchte ich euch einen Groben überblick über mein Netzwerk verschaffen.
Kabelmodem <-> PFSense <-> Switch <-> FreePBX (192.168.179.45)
^-> Alle anderen Rechner
Nun mein Problem
Ich habe auf der Firewall folgende Ports auf die FreePBX Freigegeben.
UDP 5060 - 5062
UDP 5004 - 5004
UDP 10000 - 20000
Trotzdem können sich externe Nebenstellen die über die Feste WAN IP Adresse Anmelden möchten dies nicht tun. Die PBX ist ein Raspberry PI mit FreePBX drauf. Auf dem SNOM 360 Telefon bekomme ich in den Logs folgendes zu sehen.
(Die xxx.xxx.xxx.xxx entspricht meine IP Adresse)
10/1/2014 14:42:23 [ERROR ] PHN: SIP: transport error: 1000792 -> udp:xxx.xxx.xxx.xxx:5060
10/1/2014 14:42:23 [NOTICE] PHN: SIP: Add dirty host: udp:xxx.xxx.xxx.xxx:5060 (0 sec)
10/1/2014 14:42:23 [NOTICE] PHN: SIP: final transport error: 1000792 -> udp:xxx.xxx.xxx.xxx:5060
10/1/2014 14:42:23 [ERROR ] PHN: SIP: transport error 1000792: generating fake 599
10/1/2014 14:42:23 [ERROR ] PHN: SIP: Registrar 23@xxx.xxx.xxx.xxx timed out
10/1/2014 14:47:11 [ERROR ] PHN: SIP: transaction_timeout udp: 1000794 (32000)
10/1/2014 14:47:11 [ERROR ] PHN: SIP: transport error: 1000794 -> udp:xxx.xxx.xxx.xxx:5060
10/1/2014 14:47:11 [NOTICE] PHN: SIP: Add dirty host: udp:xxx.xxx.xxx.xxx:5060 (0 sec)
10/1/2014 14:47:11 [NOTICE] PHN: SIP: final transport error: 1000794 -> udp:xxx.xxx.xxx.xxx:5060
10/1/2014 14:47:11 [ERROR ] PHN: SIP: transport error 1000794: generating fake 599
10/1/2014 14:47:11 [ERROR ] PHN: SIP: Registrar 23@xxx.xxx.xxx.xxx timed out
10/1/2014 14:51:45 [ERROR ] PHN: SIP: transaction_timeout udp: 1000796 (32000)
10/1/2014 14:51:45 [ERROR ] PHN: SIP: transport error: 1000796 -> udp:xxx.xxx.xxx.xxx:5060
10/1/2014 14:51:45 [NOTICE] PHN: SIP: Add dirty host: udp:xxx.xxx.xxx.xxx:5060 (0 sec)
10/1/2014 14:51:45 [NOTICE] PHN: SIP: final transport error: 1000796 -> udp:xxx.xxx.xxx.xxx:5060
10/1/2014 14:51:45 [ERROR ] PHN: SIP: transport error 1000796: generating fake 599
10/1/2014 14:51:45 [ERROR ] PHN: SIP: Registrar 23@xxx.xxx.xxx.xxx timed out
10/1/2014 14:56:48 [ERROR ] PHN: SIP: transaction_timeout udp: 1000798 (32000)
10/1/2014 14:56:48 [ERROR ] PHN: SIP: transport error: 1000798 -> udp:xxx.xxx.xxx.xxx:5060
10/1/2014 14:56:48 [NOTICE] PHN: SIP: Add dirty host: udp:xxx.xxx.xxx.xxx:5060 (0 sec)
10/1/2014 14:56:48 [NOTICE] PHN: SIP: final transport error: 1000798 -> udp:xxx.xxx.xxx.xxx:5060
10/1/2014 14:56:48 [ERROR ] PHN: SIP: transport error 1000798: generating fake 599
10/1/2014 14:56:48 [ERROR ] PHN: SIP: Registrar 23@xxx.xxx.xxx.xxx timed out
Auf der PBX keine Aktivität
Bin für jede Hilfe dankbar.
Grüsse aus der Schweiz
Habe ein kleines Problem. Aber zuerst möchte ich euch einen Groben überblick über mein Netzwerk verschaffen.
Kabelmodem <-> PFSense <-> Switch <-> FreePBX (192.168.179.45)
^-> Alle anderen Rechner
Nun mein Problem
Ich habe auf der Firewall folgende Ports auf die FreePBX Freigegeben.
UDP 5060 - 5062
UDP 5004 - 5004
UDP 10000 - 20000
Trotzdem können sich externe Nebenstellen die über die Feste WAN IP Adresse Anmelden möchten dies nicht tun. Die PBX ist ein Raspberry PI mit FreePBX drauf. Auf dem SNOM 360 Telefon bekomme ich in den Logs folgendes zu sehen.
(Die xxx.xxx.xxx.xxx entspricht meine IP Adresse)
10/1/2014 14:42:23 [ERROR ] PHN: SIP: transport error: 1000792 -> udp:xxx.xxx.xxx.xxx:5060
10/1/2014 14:42:23 [NOTICE] PHN: SIP: Add dirty host: udp:xxx.xxx.xxx.xxx:5060 (0 sec)
10/1/2014 14:42:23 [NOTICE] PHN: SIP: final transport error: 1000792 -> udp:xxx.xxx.xxx.xxx:5060
10/1/2014 14:42:23 [ERROR ] PHN: SIP: transport error 1000792: generating fake 599
10/1/2014 14:42:23 [ERROR ] PHN: SIP: Registrar 23@xxx.xxx.xxx.xxx timed out
10/1/2014 14:47:11 [ERROR ] PHN: SIP: transaction_timeout udp: 1000794 (32000)
10/1/2014 14:47:11 [ERROR ] PHN: SIP: transport error: 1000794 -> udp:xxx.xxx.xxx.xxx:5060
10/1/2014 14:47:11 [NOTICE] PHN: SIP: Add dirty host: udp:xxx.xxx.xxx.xxx:5060 (0 sec)
10/1/2014 14:47:11 [NOTICE] PHN: SIP: final transport error: 1000794 -> udp:xxx.xxx.xxx.xxx:5060
10/1/2014 14:47:11 [ERROR ] PHN: SIP: transport error 1000794: generating fake 599
10/1/2014 14:47:11 [ERROR ] PHN: SIP: Registrar 23@xxx.xxx.xxx.xxx timed out
10/1/2014 14:51:45 [ERROR ] PHN: SIP: transaction_timeout udp: 1000796 (32000)
10/1/2014 14:51:45 [ERROR ] PHN: SIP: transport error: 1000796 -> udp:xxx.xxx.xxx.xxx:5060
10/1/2014 14:51:45 [NOTICE] PHN: SIP: Add dirty host: udp:xxx.xxx.xxx.xxx:5060 (0 sec)
10/1/2014 14:51:45 [NOTICE] PHN: SIP: final transport error: 1000796 -> udp:xxx.xxx.xxx.xxx:5060
10/1/2014 14:51:45 [ERROR ] PHN: SIP: transport error 1000796: generating fake 599
10/1/2014 14:51:45 [ERROR ] PHN: SIP: Registrar 23@xxx.xxx.xxx.xxx timed out
10/1/2014 14:56:48 [ERROR ] PHN: SIP: transaction_timeout udp: 1000798 (32000)
10/1/2014 14:56:48 [ERROR ] PHN: SIP: transport error: 1000798 -> udp:xxx.xxx.xxx.xxx:5060
10/1/2014 14:56:48 [NOTICE] PHN: SIP: Add dirty host: udp:xxx.xxx.xxx.xxx:5060 (0 sec)
10/1/2014 14:56:48 [NOTICE] PHN: SIP: final transport error: 1000798 -> udp:xxx.xxx.xxx.xxx:5060
10/1/2014 14:56:48 [ERROR ] PHN: SIP: transport error 1000798: generating fake 599
10/1/2014 14:56:48 [ERROR ] PHN: SIP: Registrar 23@xxx.xxx.xxx.xxx timed out
Auf der PBX keine Aktivität
Bin für jede Hilfe dankbar.
Grüsse aus der Schweiz
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 226330
Url: https://administrator.de/forum/freepbx-hinter-pfsense-226330.html
Ausgedruckt am: 19.12.2024 um 18:12 Uhr
19 Kommentare
Neuester Kommentar
SIP kann UDP 5060 bis 5064 benutzen das solltest du also ggf. etwas erweitern !
Vermutlich liegt es aber gar nicht an dir sondern an den "Nebenstellen". Arbeiten diese hinter einer NAT Firewall sprich einen simplen NAT Router ?
Der muss nämlich auch entsprechend angepasst werden damit die Clients eine SIP Connection aufbauen können auf deine PBX !
Bezeichnend ist nämlich die Meldung "[ERROR ] PHN: SIP: transaction_timeout udp: 1000794 (32000)" die besagt das die SIP Session austimed.
Das ist immer ein sicheres Indiz das SIP irgendwo gar nicht ankommt !
Installier dir mal mit apt-get install tcpdump tcpdump auf dem RasPi und checke mal ob die SIP Session der "Nebenstellen" dort überhaupt ankommt !!
Irgendwo bleibt das stecken.
Das "Kabelmodem" ist auch wirklich ein Kabelmodem und KEIN Router ?? D.h. die öffentliche Provider IP die du ansprichst ist de facto am WAN Port der pfSense ??
Vermutlich liegt es aber gar nicht an dir sondern an den "Nebenstellen". Arbeiten diese hinter einer NAT Firewall sprich einen simplen NAT Router ?
Der muss nämlich auch entsprechend angepasst werden damit die Clients eine SIP Connection aufbauen können auf deine PBX !
Bezeichnend ist nämlich die Meldung "[ERROR ] PHN: SIP: transaction_timeout udp: 1000794 (32000)" die besagt das die SIP Session austimed.
Das ist immer ein sicheres Indiz das SIP irgendwo gar nicht ankommt !
Installier dir mal mit apt-get install tcpdump tcpdump auf dem RasPi und checke mal ob die SIP Session der "Nebenstellen" dort überhaupt ankommt !!
Irgendwo bleibt das stecken.
Das "Kabelmodem" ist auch wirklich ein Kabelmodem und KEIN Router ?? D.h. die öffentliche Provider IP die du ansprichst ist de facto am WAN Port der pfSense ??
Wir wollen hier NICHT die mitgesnifferte SSH Session deines Rechners sehen !! Das ist wenig zielführend. Bitte exclude in tcpdump deine src und dst IP Adresse des SSH PCs !!!
Dann können und wollen wir auch deinen tcpdump Trace ansehen !
tcpdump not src <eigene_IP> and not dst <eigene_IP>
Blendet deinen eigenen PC Traffic aus !!
Soviel vorweg: Du kannst oben schon sehen das dort keinerlei SIP Traffic ankommt.
Dann können und wollen wir auch deinen tcpdump Trace ansehen !
tcpdump not src <eigene_IP> and not dst <eigene_IP>
Blendet deinen eigenen PC Traffic aus !!
Soviel vorweg: Du kannst oben schon sehen das dort keinerlei SIP Traffic ankommt.
Ja, da kommt gar kein SIP an...das siehst du ja selber. Bischen Multicast und Samba rennt noch bei dir.
Du kannst mit "and dst port 5060" am tcpdump Kommando noch ganz dediziert nur auf SIP Packets die an UDP 5060 gehen suchen, damit blendest du den ganzen anderen Mist auch noch aus der nicht VoIP related ist !
tcpdump not src <eigene_IP> and not dst <eigene_IP> and dst port 5060
oder
tcpdump not src <eigene_IP> and not dst <eigene_IP> and portrange 5060-5064
was alle SIP Ports inkludiert. Relevant ist aber erstmal nur 5060 da das der Standard Port ist.
Das Funktionieren des o.a. tcpdump Kommandos so erstmal querchecken indem du mit einem funktionierenden Telefon mal die PBX kontaktierst, also irgendwo anrufst, um SIP Traffic im tcpdump zu erzeugen.
Da müsste dann jede Menge SIP Daten reinkommen im tcpdump Trace. Der Schalter -v oder -vv macht den Output dann noch detailierter.
Aber erstmal muss überhaupt dort SIP Daten ankommen von extern. Das passiert de facto nicht.
Zuerst also mal in die pfSense Firewall Log sehen, da ist alles gelistet was geblockt ist oder wird.
Irgendwas funktioniert also mit der Port Weiterleitung nicht und hast du falsch konfiguriert. Unter
https://doc.pfsense.org/index.php/Asterisk_VoIP
findets du einen Tip wie die Firewall NAT Regeln einzustellen sind für SIP und VoIP.
Du kannst mit "and dst port 5060" am tcpdump Kommando noch ganz dediziert nur auf SIP Packets die an UDP 5060 gehen suchen, damit blendest du den ganzen anderen Mist auch noch aus der nicht VoIP related ist !
tcpdump not src <eigene_IP> and not dst <eigene_IP> and dst port 5060
oder
tcpdump not src <eigene_IP> and not dst <eigene_IP> and portrange 5060-5064
was alle SIP Ports inkludiert. Relevant ist aber erstmal nur 5060 da das der Standard Port ist.
Das Funktionieren des o.a. tcpdump Kommandos so erstmal querchecken indem du mit einem funktionierenden Telefon mal die PBX kontaktierst, also irgendwo anrufst, um SIP Traffic im tcpdump zu erzeugen.
Da müsste dann jede Menge SIP Daten reinkommen im tcpdump Trace. Der Schalter -v oder -vv macht den Output dann noch detailierter.
Aber erstmal muss überhaupt dort SIP Daten ankommen von extern. Das passiert de facto nicht.
Zuerst also mal in die pfSense Firewall Log sehen, da ist alles gelistet was geblockt ist oder wird.
Irgendwas funktioniert also mit der Port Weiterleitung nicht und hast du falsch konfiguriert. Unter
https://doc.pfsense.org/index.php/Asterisk_VoIP
findets du einen Tip wie die Firewall NAT Regeln einzustellen sind für SIP und VoIP.
Hallo,
ich schließe mich @aqui an, zu 80% ist das berühmte Kabelmodem ein echter Router der ebenso
wie die pfSense auch NAT & SPI macht und somit hat man dann eine Routerkaskade aufgesetzt die
dann das Vorhaben erst einmal scheitern lässt.
Bei PBX und VOIP Appliances wie auch Asterisk eine ist, empfiehlt es sich, eben diese in einer DMZ
Laufen zu lassen und nur zu dieser DMZ die Ports zu öffnen und das LAN gesondert davon zu betreiben.
Zum einen ist der öffentliche Zugang zum Router respektive dem Netzwerk von restlichen Netzwerk (LAN)
so getrennt und man muss nicht mit einem STUN Server arbeiten!
Hier im Forum hat der Bnutzer @aqui auch eine Anleitung dazu geschrieben wie man auf der pfSense
schnell eine DMZ einrichtet, die muss man dann nur noch abtippen und gegebenenfalls abändern.
Gruß
Dobby
ich schließe mich @aqui an, zu 80% ist das berühmte Kabelmodem ein echter Router der ebenso
wie die pfSense auch NAT & SPI macht und somit hat man dann eine Routerkaskade aufgesetzt die
dann das Vorhaben erst einmal scheitern lässt.
Bei PBX und VOIP Appliances wie auch Asterisk eine ist, empfiehlt es sich, eben diese in einer DMZ
Laufen zu lassen und nur zu dieser DMZ die Ports zu öffnen und das LAN gesondert davon zu betreiben.
Zum einen ist der öffentliche Zugang zum Router respektive dem Netzwerk von restlichen Netzwerk (LAN)
so getrennt und man muss nicht mit einem STUN Server arbeiten!
Hier im Forum hat der Bnutzer @aqui auch eine Anleitung dazu geschrieben wie man auf der pfSense
schnell eine DMZ einrichtet, die muss man dann nur noch abtippen und gegebenenfalls abändern.
Gruß
Dobby
Hallo nochmal,
anderen nun auch nichts durchlässt und Du ja augenscheinlich einen Fehler hast war das nur noch einmal
um Dich dazu zu bewegen, dass Du noch einmal schnell drauf guckst auf das Modem.
Denn der Umkehrschluss wäre, dass wir hier raten können was wir wollen und Du an Ports öffnen kannst
was Du willst und es wird einfach nicht funktionieren.
Gruß
Dobby
Hmm. Werde die Anleitung mal durchgehen.
Klick auf seinen Namen und dann auf den Karteireiter "Wissen" dort solltest Du fündig werden!Das Modem ist ein nur ein Modem. Ich Vertreibe diese Dinger für unseren Kabelnetzbetreiber (werde wohl wissen
was ich da Vertreibe).
Das war nicht böse oder gegen Dich gemeint, aber die Tatsache das eine doppelte NAT Einstellung zumwas ich da Vertreibe).
anderen nun auch nichts durchlässt und Du ja augenscheinlich einen Fehler hast war das nur noch einmal
um Dich dazu zu bewegen, dass Du noch einmal schnell drauf guckst auf das Modem.
Denn der Umkehrschluss wäre, dass wir hier raten können was wir wollen und Du an Ports öffnen kannst
was Du willst und es wird einfach nicht funktionieren.
Gruß
Dobby
Hallo,
Jenes hier http://www.arrisi.com/product_catalog/_docs/_specsheet/TM902_PF_16DEC10 ... ? oder meinst du tatsächlich ein anderes?
Das hat doch schon deine Telefone drin.
Gruß,
Peter
Jenes hier http://www.arrisi.com/product_catalog/_docs/_specsheet/TM902_PF_16DEC10 ... ? oder meinst du tatsächlich ein anderes?
Das hat doch schon deine Telefone drin.
Gruß,
Peter
Hallo nochmal,
ich habe mir das Modem einmal angesehen und die Telefonie ist ja nun vor der Firewall
(pfSense) sowie die Telefone eigentlich auch also von da her sollte es schon funktionieren.
Aber nur über die beiden Buchsen dort am Modem so wie ich das sehe
So und nun können wir uns weiter heran pirschen:
Internet - Modem - pfSense - FreePBX - SNOM 360 Telefon
Wie schon gesagt das Telefon gehört meiner Meinung nach direkt an das Modem dran.
Die FreePBX Appliance hinter der pfSense wird durch NAT blockiert und man kann nicht
angerufen werden, es sei denn man hat die PBX in der DMZ stehen und hat dort ein paar
Ports geöffnet damit das dann alles richtig funktioniert oder Du nutzt einen STUN Server
wenn Du keine DMZ einrichten möchtest.
Gruß
Dobby
ich habe mir das Modem einmal angesehen und die Telefonie ist ja nun vor der Firewall
(pfSense) sowie die Telefone eigentlich auch also von da her sollte es schon funktionieren.
Aber nur über die beiden Buchsen dort am Modem so wie ich das sehe
So und nun können wir uns weiter heran pirschen:
Internet - Modem - pfSense - FreePBX - SNOM 360 Telefon
Wie schon gesagt das Telefon gehört meiner Meinung nach direkt an das Modem dran.
Die FreePBX Appliance hinter der pfSense wird durch NAT blockiert und man kann nicht
angerufen werden, es sei denn man hat die PBX in der DMZ stehen und hat dort ein paar
Ports geöffnet damit das dann alles richtig funktioniert oder Du nutzt einen STUN Server
wenn Du keine DMZ einrichten möchtest.
Gruß
Dobby
Hallo,
Entschuldige bitte, aber du hast weder eine Ahnung noch weisst du was du Vertreibst.
Ich Zittiere:
Du hast ein Telephony Modem TM902 nach DOCSIS/EuroDOCSIS 3.0 mit 2 Analoge Anschlüße und High Speed Data mit einem GBit Ethernet Anschluß.
Kopfschüttel
Gruß,
Peter
Entschuldige bitte, aber du hast weder eine Ahnung noch weisst du was du Vertreibst.
Ich Zittiere:
Das Modem ist ein nur ein Modem. Ich Vertreibe diese Dinger für unseren Kabelnetzbetreiber (werde wohl wissen was ich da Vertreibe)
Jedoch habe ich nur Internet darüber laufen. Telefon haben wir in der Familie seit ca 2 Jahren nicht mehr, haben ja alle Handy Abos. :D
Und was meinst du denn wie das Dingens was du da hast dort Telefonie macht? Hast du das bei dir alles Deaktiviert bzw ausgeschaltet (geht das überhaupt bei deinem CPE/Router)Habe mittlerweile die Vermutung das der Netzbetreiber am anderen Ende die VOIP Telefonie blockt und ich daher keine Verbindung bekomme
Ja, klar, immer diese pösen Netzbetreiber . . . (Du Arbeitest für die!)Du hast ein Telephony Modem TM902 nach DOCSIS/EuroDOCSIS 3.0 mit 2 Analoge Anschlüße und High Speed Data mit einem GBit Ethernet Anschluß.
The TM902 provides SIP or NCS telephony combined with ultra-high speed data communication through advanced RF channel bonding and Giga Ethernet user data port
Kopfschüttel
Gruß,
Peter
Ein "TM092" gibt es nicht bei Arris !! Beim TM902 ist nicht ganz klar ob es ein Router oder ein NUR Modem ist. Die Aussage "IPv4 und IPv6 fähig" lässt aber den Schluss zu das es ggf. doch ein Router ist ?!
DAS rauszubekommen ist kinderleicht aber leider hat der TO es bis dato nicht geschafft einmal die IP Adresse des pfSense WAN Ports hier zu posten oder mal nachzusehen !!
Wenn das eine private_IP ist kann man wohl davon ausgehen das es ein Router ist.
Ist es eine öffentliche IP ist es vermutlich dann doch ein nur Modem.
Das sollte der TO also hier nochmal posten zur Klärung !!
Die SIP Traces oben zeigen das SIP mit tcpdump richtig ankommt an der PBX.
Relevant ist aber NUR ein Trace des remoten Telefons !! Dort musst du einen Call initiieren und checken ob von dort bzw. mit der dortigen WAN IP des Routers (kann man sehen wenn man dort mal auf http://www.wieistmeineip.de// surft !!) bei der PBX eingeht.
Erst DAS würde zeigen das die SIP Packete vom remoten Satelliten bei der PBX ankommen.
Siehst du keine SIP Packete von dort funktioniert dein Port Forwarding nicht an der pfSense !!
Oder....das Kabelmodem ist kein nur Modem sondern ein Router und dann muss dort logischerweise auch noch ein Port Forwarding der SIP und RTP Ports auf die WAN IP der pfSense gemacht werden !
Also warten wir mal auf die Antwort der 2 Fragen:
@Pjordorf
Das stimmt das der 2 analoge Telefonieports hat das nützt ihm aber nichts mit einer externen VoIP Anlage die er betreibt Dieses SIP Gateway ist ja quasi ein dummes Mini PBX im Arris.
Andersherum schürt das aber den obigen Verdacht das es doch ein Router ist mit einem SIP Analog Gateway. Und genau DAS würde dann erklären warum das "Modem" dann SIP Pakete nicht weiterleitet, denn es "denkt" die sind für ihn"
Ist das also ein Router MUSS dort zwingend Port Forwarding für SIP rein und wenn möglich sollte man den Telefonie Part deaktivieren im Setup !
DAS rauszubekommen ist kinderleicht aber leider hat der TO es bis dato nicht geschafft einmal die IP Adresse des pfSense WAN Ports hier zu posten oder mal nachzusehen !!
Wenn das eine private_IP ist kann man wohl davon ausgehen das es ein Router ist.
Ist es eine öffentliche IP ist es vermutlich dann doch ein nur Modem.
Das sollte der TO also hier nochmal posten zur Klärung !!
Die SIP Traces oben zeigen das SIP mit tcpdump richtig ankommt an der PBX.
Relevant ist aber NUR ein Trace des remoten Telefons !! Dort musst du einen Call initiieren und checken ob von dort bzw. mit der dortigen WAN IP des Routers (kann man sehen wenn man dort mal auf http://www.wieistmeineip.de// surft !!) bei der PBX eingeht.
Erst DAS würde zeigen das die SIP Packete vom remoten Satelliten bei der PBX ankommen.
Siehst du keine SIP Packete von dort funktioniert dein Port Forwarding nicht an der pfSense !!
Oder....das Kabelmodem ist kein nur Modem sondern ein Router und dann muss dort logischerweise auch noch ein Port Forwarding der SIP und RTP Ports auf die WAN IP der pfSense gemacht werden !
Also warten wir mal auf die Antwort der 2 Fragen:
- IP Adresse am WAN Port pfSense
- SIP Trace vom remoten Telefon
@Pjordorf
Das stimmt das der 2 analoge Telefonieports hat das nützt ihm aber nichts mit einer externen VoIP Anlage die er betreibt Dieses SIP Gateway ist ja quasi ein dummes Mini PBX im Arris.
Andersherum schürt das aber den obigen Verdacht das es doch ein Router ist mit einem SIP Analog Gateway. Und genau DAS würde dann erklären warum das "Modem" dann SIP Pakete nicht weiterleitet, denn es "denkt" die sind für ihn"
Ist das also ein Router MUSS dort zwingend Port Forwarding für SIP rein und wenn möglich sollte man den Telefonie Part deaktivieren im Setup !
Hallo,
OK.
Gruß,
Peter
OK.
Vom Externen Telefon kommt nichts an
Aber du kannst schon am Ethernetport deines Modems (oder wie sollen wir dein Teil nennen?) den Traffic erkennen (Wireshark oder ähnliches?). Oder ist hier der Traffic deines SIP Telefons gemeint?Wir bekommen von unserem Netzbetreiber keine Nummer zugewiesen weil wir die nicht Aktiviert haben
Aha. Und du hälst es für absolut unwichtig wenn du hier um Hilfe fragst uns diese Information auch Mitzuteilen. Wir hier wissen nicht was du machst, oder tust, oder hast, oder was der geier noch was. Uns ist ebenso unbekannt wie du als Mitarbeiter eines ISP dir irgendwelche Teile anklemmen kannst und dir irgendwie mit irgendwelchen Protokollen ans laufen bekommst. Wir können nur versuchen deine uns Falsch genannten Produkte im Öffentlich zugänglichen Internet nach zu lesen. Das bei dir bestimmte Sachen sind oder eben nicht sind - WIR KÖNNEN ES NICHT WISSEN. Sei also nicht eingeschnappt wenn wir dir Unfähigkeit vorwerfen. Wir kennen weder deinen ISP, deinen Vertrag noch was bei dir aus der Wand kommt. Hilf uns mit (korrekten) Information, dann können wir dir vermutlich auch Helfen.Habe mittlerweile die Vermutung das der Netzbetreiber am anderen Ende die VOIP Telefonie blockt und ich daher keine Verbindung bekomme
Häng mal ein anderes Modem an deine Leitung um auszuschließen das dein Modem doch mehr tut als du annimmst. Nicht das dein TM902 doch die benötigten Pakete für sich behält.Stafag hat sogar die IP gewechselt als sie rausbekommen hat dass dort ein Server betrieben wurde
Vermutlich ist dein Anschluss wie fast alle andere auch an der MAC Adresse gekoppelt, und beim Wechsel der MAC am Anschluss (Aus- und wieder Einschalten) wird dir dann einfach eine neue IP verbraten. Etwas anderes als DSL Zwangstrennung um den Serverbetrieb zu erschweren. Deine IP kann wechseln, muss aber nicht. Bei vielen ISP die Ethernet anbieten der Fall das eben nicht nach jeder Trennung eine neue IP verpasst wird.Werde es daher wohl oder Übel über einen IPSec Tunnel lösen müssen.
Das bleibt dir unbenommen.Gruß,
Peter
OK wenigstens das Thema Router oder Modem ist damit sicher geklärt.
Du hast also einen Fehler in der pfSense NAT und Firewall Konfig gemacht !!
Vermutlich hast du nur einzig die NAT Konfig am WAN Port gemacht aber vergessen auch die Firewall Regel anzupassen !!?
Bedenke das die Firewall am WAN Port ALLES blockt per Default.
SIP und RTP im NAT auf die PBX zu forwarden ist also nur die halbe Miete. Die Firewall am WAN Port musst du fūr diese Ports logischerweise auch öffnen damit überhaupt etwas zum Port Weterleiten dort ankommt !
Sicherheitshalber solltest du mit einem Wireshark oder tcpdump auch nochmal checken im 85.xx Segment das SIP auch durchs Modem kommt.
Da das Modem auch Voice Fähigkeiten hat solltest du das wasserdicht messen das da auch nix hängen bleibt und die SIP Pakete des remoten Telefons wenigstens bis da sprich WAN Port pfSense kommen. (Kann man mit den internen Sniffer Funktionen der pfSense auch sehen)
Der Rest sind dann nur noch ein paar richtige Klicks im pfSense Setup.
Vom Externen Telefon kommt nichts an. Also kann ich auch nichts Schreiben. Nur der Normale SIP Traffic von mir Lokal. von Extern nix!! Die Ports sind offen, kann von meinem Kollegen bei einem anderen Netzbetreiber Problemlos Registrieren.
DAS sagt allerdings (fast) alles.Du hast also einen Fehler in der pfSense NAT und Firewall Konfig gemacht !!
Vermutlich hast du nur einzig die NAT Konfig am WAN Port gemacht aber vergessen auch die Firewall Regel anzupassen !!?
Bedenke das die Firewall am WAN Port ALLES blockt per Default.
SIP und RTP im NAT auf die PBX zu forwarden ist also nur die halbe Miete. Die Firewall am WAN Port musst du fūr diese Ports logischerweise auch öffnen damit überhaupt etwas zum Port Weterleiten dort ankommt !
Sicherheitshalber solltest du mit einem Wireshark oder tcpdump auch nochmal checken im 85.xx Segment das SIP auch durchs Modem kommt.
Da das Modem auch Voice Fähigkeiten hat solltest du das wasserdicht messen das da auch nix hängen bleibt und die SIP Pakete des remoten Telefons wenigstens bis da sprich WAN Port pfSense kommen. (Kann man mit den internen Sniffer Funktionen der pfSense auch sehen)
Der Rest sind dann nur noch ein paar richtige Klicks im pfSense Setup.