liquidbase
Goto Top

Fritzbox hinter OPNsense - Kein Ton bei Anrufe

Mahlzeit alle zusammen!

Aktuell habe ich hier ein Problem wo ich so nicht mehr weiterkomme.
Das Grundlegende zuerst. Es gibt hier einen Telekom VDSL-Anschluß mit Telefonnummer, welcher bis vor kurzem noch lief und nun irgendwie den Dienst eingestellt hat. Vom Aufbau her gibt es einen Zyxel-Router der als Modem konfiguriert ist und die Einwahl bei der Telekom macht. Dahinter sitzt eine OPNsense an welcher die FritzBox 7590 als VoIP-Server angeschlossen ist und das restliche Netzwerk. Die FritzBox selbst registriert sich korrekt bei der Telekom als VoIP-Server und zieht auch die Telefonnummer, was in der Oberfläche der FritzBox ersichtlich ist und auch bei Anrufen die man tätigt soweit funktioniert. Als DECT-gerät ist ein FritzFon C6 angebunden. Alle Geräte haben die aktuellste Soft- / Firmware installiert.

So nun zu dem Problem.
Ruft man von der geschalteten Telefonnummer einen anderen Teilnehmer an, wird das Gespräch normal vermittelt. Wird das Gespräch angenommen hört man allerdings nichts und die angerufene Stelle beendet das "Gespräch". Selbige Problem tritt auf wenn man die geschaltete Rufnummer von außen anruft. Das Telefon klingelt, man hebt ab und hört nichts, woraufhin das Gespräch ebenfalls wieder beendet wird. Das gleiche Problem tritt auf wenn man es anstatt des C6 mit einem anderen DECT-Telefon oder per S0-Bus angeschlossenen Telefon versucht.

In der OPNsense selbst werden per Alias die VoIP-Ports entsprechend durchgereicht. Das wären hier die Ports 5060 (SIP) und die Portrange 7070-7109. Letztere werden von der Telekom so genutzt. In der Firewall gibt es unter NAT ein Port Forward für den SIP-Port auf die FritzBox. Weiterhin gibt es eine Outbound-Regel die den Datenverkehr der FritzBox nach aussen regelt. Es gibt dann noch unter dem Punkt Rules für WAN und LAN jeweils Regeln die den Datenverkehr für SIP und die Portrange entsprechend regeln.

Das soweit alles funktioniert merke ich ja an sich daran das man generell telefonieren und angerufen werden kann, aber so keine Sprache über die Leitung geht. Bei Tests heute nachdem ich die Konfiguration an der OPNsense geprüft habe, haben auch kurzzeitig funktioniert wenn man als Anrufer einen Mobilfunkvertrag genutzt hatte. Ging aber auch nur kurze Zeit. Kurios ist dabei auch das wenn ich die FritzFon-App unter Android benutze, funktioniert das sofort wie man das auch auf dem C6 erwarten würde.

Leider haben mir diesmal die Infos aus @aqui Postings (welche auch Grundlage der Konfiguration sind) nicht weiterhelfen können.

Vielleicht hat jemand von euch eine Idee was das sein könnte.

Danke fürs lesen und Input face-smile

p.s.: Sollte noch was an Infos fehlen, einfach fragen.

Content-ID: 1100030422

Url: https://administrator.de/forum/fritzbox-hinter-opnsense-kein-ton-bei-anrufe-1100030422.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

aqui
aqui 29.07.2021 um 14:42:24 Uhr
Goto Top
liquidbase
liquidbase 29.07.2021 um 14:59:01 Uhr
Goto Top
Jips über den bin ich auch schon gestolpert und die Outbound-Rule habe ich gesetzt da ich bereits über den Hinweis im Netz gestolpert bin als ich dort nach einer Lösung für das Problem gesucht habe. Danach hat es auch genau zwei Anrufe funktioniert was der über Mobilfunk war. Nach diesen zwei Anrufen war dann wieder Schicht im Schacht.
Allerdings muss man dazu sagen das man derzeit bei Anrufen aus dem Mobilfunknetz (egal welche Anbieter) auf die Nummer direkt Störgeräusche bekommt.
Lochkartenstanzer
Lochkartenstanzer 29.07.2021 aktualisiert um 15:25:34 Uhr
Goto Top
Zitat von @liquidbase:

Jips über den bin ich auch schon gestolpert und die Outbound-Rule habe ich gesetzt da ich bereits über den Hinweis im Netz gestolpert bin als ich dort nach einer Lösung für das Problem gesucht habe. Danach hat es auch genau zwei Anrufe funktioniert was der über Mobilfunk war. Nach diesen zwei Anrufen war dann wieder Schicht im Schacht.
Allerdings muss man dazu sagen das man derzeit bei Anrufen aus dem Mobilfunknetz (egal welche Anbieter) auf die Nummer direkt Störgeräusche bekommt.

Mal vor und hinter die opnsense einen sniffer wie wireshark o.ä. gesetzt und geschaut, ob und was da über die Leitung geht, nachdem die Verbindung aufgebaut sein sollte?

Edit: Ich meine Du solltest prüfen, ob die RTP-Verbindung funktioniert, nachdem die Signalisierung und das "abheben" durch ist.

lks

PS. Bei 3cx steht z.B., was Ursachen für "fehlende Sprache" sein können: https://www.3cx.de/voip-sip/probleme-mit-voip/
liquidbase
liquidbase 29.07.2021 um 16:11:14 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @liquidbase:

Jips über den bin ich auch schon gestolpert und die Outbound-Rule habe ich gesetzt da ich bereits über den Hinweis im Netz gestolpert bin als ich dort nach einer Lösung für das Problem gesucht habe. Danach hat es auch genau zwei Anrufe funktioniert was der über Mobilfunk war. Nach diesen zwei Anrufen war dann wieder Schicht im Schacht.
Allerdings muss man dazu sagen das man derzeit bei Anrufen aus dem Mobilfunknetz (egal welche Anbieter) auf die Nummer direkt Störgeräusche bekommt.

Mal vor und hinter die opnsense einen sniffer wie wireshark o.ä. gesetzt und geschaut, ob und was da über die Leitung geht, nachdem die Verbindung aufgebaut sein sollte?

Edit: Ich meine Du solltest prüfen, ob die RTP-Verbindung funktioniert, nachdem die Signalisierung und das "abheben" durch ist.

lks

PS. Bei 3cx steht z.B., was Ursachen für "fehlende Sprache" sein können: https://www.3cx.de/voip-sip/probleme-mit-voip/

Schon klar was du meintest. Dafür habe ich ja Firewall => Rules => LAN die Regel das die Ports entsprechend durchgereicht werden. Aufgebaut ist das ganze so:
Interface: LAN
Protokoll: TCP/UDP
Source: FritzBox
Source Port Range: VOIP_ports (Alias für Port 5060 - SIP und Range 7070-7109 - RTP)
Destination: ANY
Destination port range: ANY

Wireshark hinter der OPNsense zeigt auf das SIP und RTP zur FritzBox geleitet werden. Vor die OPNsense bringt nichts, da dort nur noch das Modem ist.
Lochkartenstanzer
Lochkartenstanzer 29.07.2021 aktualisiert um 16:40:30 Uhr
Goto Top
Zitat von @liquidbase:

Schon klar was du meintest. Dafür habe ich ja Firewall => Rules => LAN die Regel das die Ports entsprechend durchgereicht werden. Aufgebaut ist das ganze so:
Interface: LAN
> Protokoll: TCP/UDP
> Source: FritzBox
> Source Port Range: VOIP_ports (Alias für Port 5060 - SIP und Range 7070-7109 - RTP)
> Destination: ANY
> Destination port range: ANY

Wireshark hinter der OPNsense zeigt auf das SIP und RTP zur FritzBox geleitet werden. Vor die OPNsense bringt nichts, da dort nur noch das Modem ist.

Mag sein, aber hast Du mit Wireshark/Snoop/tcpdump mal geschaut, ob die Firewall und die Fritte das machen, was sie sollen? Oft fällt was anderes raus, als sich der Admin gedacht hat. face-smile


Und auch vor der opnsense kann man schauen, weil man da die pppoe-Pakete und deren Inhalt sieht und damit auch, ob da passende RTP-Pakete raus und reingehen.

lks

PS: hast auch mal geschaut, ob der codec paßt?
liquidbase
liquidbase 29.07.2021 um 16:40:40 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Mag sein, aber hast Du mit Wireshark/Snoop/tcpdump mal geschaut, ob die Firewall und die Dritte das machen, was sie sollen? Oft fällt was anderes raus, als sich der Admin gedacht hat. face-smile

Da würde mir aktuell nicht mal etwas einfallen was das sein könnte.
In dem gesamten Netzwerk steht halt nur die OPNsense, Fritzbox, ein Rechner, Gematik-Lesegerät und das DSL-Modem.

Aber nuja, dann geht es nochmal an das kontrollieren der gesamten Konfiguration und abklopfen des Datenverkehrs (Klappe die 6te).
aqui
aqui 29.07.2021 um 19:31:52 Uhr
Goto Top
Das Symtom besagt aber klar das irgendwas mit den RTP Ports nicht stimmt. Ich meine auch nicht das die Port Range von dir oben stimmt, denn das sind Ports im festen IANA Bereich was RTP Ports in der Recgel NICHT sind.
Aber das müsste ggf. Kollege @LordGurke mal kommentieren welche RTP Range die Telekom nutzt...?!
Die Rubrik "VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:" in den Thread Links zum pfSense_Tutorial kennst du ja vermutlich ?!
liquidbase
liquidbase 29.07.2021 um 19:59:27 Uhr
Goto Top
Zitat von @aqui:
Die Rubrik "VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:" in den Thread Links zum pfSense_Tutorial kennst du ja vermutlich ?!

Jips die sind bekannt.
Die FritzBox selbst hat ja mittlerweile auch eine Möglichkeit bekommen das zu monitoren ob überhaupt Datenpakete empfangen oder gesendet werden und wertet hier gleich den Codec aus. Wenn man RTP auf der OPNsense blockiert dann taucht da auch nichts in der Auswertung auf für die jeweilige Richtung.
Auch Wireshark selbst zeigt an das RTP in beide Richtungen läuft. Also von OPNsense zur FritzBox und wieder zurück, auch zwischen OPNsense und Modem fließen die korrekt ohne blockiert zu werden.

Wenn ich morgen wieder an den Arbeitsplatz komme werde ich die Regel für RTP mal auf any umstellen, da es dann wirklich an der Portrange liegen dürfte. Zeigt aber wieder mal das selbst der Support der Telekom keine Ahnung hat wie die Einstellung auf ihren Anschlüssen ist, da hab ich die nämlich her.
aqui
aqui 30.07.2021 aktualisiert um 08:58:53 Uhr
Goto Top
Checke auch mal WIE die FritzBox angeschlossen ist. Normal, wenn die rein nur als lokale VoIP Telefonanlage so läuft im internen LAN, dann konfiguriert man sie normalerweise als "IP Client" im Setup.
Die OPNsense hat ja genau wie die pfSense eine Packet Capture Funktion. Darüber kann man dann ja auch sehen ob RTP Pakete Richtung Provider gehen.
Das einseitige Hören ist aber eine typische RTP/NAT Problematik. RTP nutzt dynamische UDP Ports die normal dann nicht über das NAT gehen wenn man kein Application Layer Gateway oder Port Forwarding oder auch STUN aktiviert hat.
Deshalb auch die Zweifel das deine o.a. Port Range richtig ist. Normal nutzt RTP 5stellige Port Ranges außerhalb des reservierten IANA Bereiches.
liquidbase
liquidbase 30.07.2021 um 09:34:05 Uhr
Goto Top
Zitat von @aqui:
dann konfiguriert man sie normalerweise als "IP Client" im Setup.
War das erste was konfiguriert wurde, da die Fritzbox selbst keine Telefonnummer konfiguriert wenn sie als normaler konfiguriert ist

Deshalb auch die Zweifel das deine o.a. Port Range richtig ist. Normal nutzt RTP 5stellige Port Ranges außerhalb des reservierten IANA Bereiches.
Portrange von Telekom-Service bekommen, da ich die vorher nicht hatte und nicht mit einer Any-Regel arbeiten wollte.

An sich würde ich ja einen STUN-Server bevorzugen weil der hier die Konfiguration angenehmer gestaltet, wird aber nicht zur Verfügung gestellt.
Egal was solls. Ich bin nachher nochmal in dem Office und werde die RTP-Rule entsprechend auf Any umschalten und dann nochmal schauen inwieweit das ganze funktioniert. Und bevor die Frage nach einem Remote-Zugriff kommt, nein der ist nicht vorhanden.