theoberlin
Goto Top

Fritzbox hinter pfsense VOIP Probleme

Aloha an alle,

ich habe seit 2 Tagen das ganze Internet nach einem Lösungsweg abgesucht, aber nichts hat bisher gefruchtet.

Meine Situation:

Bisher hatte ich einfach (privat) eine Fritzbox 7270 am 1und1 Anschluss hängen.
Jetzt möchte ich eine PFSense FireWall dazwischen hängen.

Internet etc. funktioniert wunderbar. Ich kann auch vom Telefongerät nach außen wählen.

Was nicht möglich ist:
Den Gesprächspartner hören und von außen angerufen werden.

Also für mich ist das an sich ein klares Problem mit NAT und FireWall.

Aber selbst wenn ich (testweise) alle UDP Ports an die Fritzbox weiterleite ändern sich die Symptome nicht.

Bisher habe ich auch die klassischen schon ausprobiert (5060,7077-7097, 30000-30019, etc…)

Kennt jemand diese Situation oder weiß Abhilfe?

lg
Theo

Content-ID: 231636

Url: https://administrator.de/forum/fritzbox-hinter-pfsense-voip-probleme-231636.html

Ausgedruckt am: 22.12.2024 um 13:12 Uhr

MrNetman
MrNetman 04.03.2014 um 22:04:46 Uhr
Goto Top
Muss die Firewall denn NAT machen?
Reicht es nicht, dass sie sich auf ihre Kernaufgaben konzentriert und die Fritzbox sich ums Routen und Telefon kümmert?

Gruß
Netman
the-buccaneer
the-buccaneer 04.03.2014 um 23:41:35 Uhr
Goto Top
Moin moin!

Vorneweg: Ich meide VOIP wo es nur geht und ignoriere das, solange es noch ISDN mit halbwegs sinnvollen Bandbreiten gibt, von daher ist meine Expertise begrenzt, aber PfSense ist immer ein spannendes Thema...

Das Dokument https://doc.pfsense.org/index.php/VoIP_Configuration hast Du gelesen?

Evtl. kannst Du auch das https://forum.pfsense.org/index.php?topic=68182.0 auf 1&1 anpassen?

Nur ins Blaue, ich befürchte, dass mir das Thema bald selbst begegnet...

Der Buc
aqui
aqui 05.03.2014 um 10:13:34 Uhr
Goto Top
Es ist vermutlich eine fehlende Port Forwarding Regel !
WIE ist die FB und die FW zusammengeschaltet ??
Erst FB dann pfSense dann lokales LAN oder andersrum ? Wenn andersrum was benutzt du als Modem am WAN Port der pfSense ? Ist das ggf. auch ein Router wo das Port Forwarding für VoIP fehlt oder ist das ein reines NUR Modem ?
theoberlin
theoberlin 05.03.2014 um 11:25:48 Uhr
Goto Top
Hallo an alle:

@Buccaneer

Profesisonell verwende ich ebenfalls ISDN wo es geht aber zu hause liegt eben der einfach 1und1 Anschluss.
Die Links kannte ich noch nicht. das werde ich heute Abend mal genauer Testen.

@aqui

Am DSL Anschluss hängt ein DSL Modem (Eine kleine Fritzbox die als REINES Modem arbeitet). Daran die PFSense die sich via PPPoE anmeldet.
In einem extra DMZ Port an "LAN1" der Fritzbox die Fritzbox.

Ich habe sogar schon alle UDP Ports an die Fritzbox weitergeleitet was ebenfalls nichts gebracht hat.
aqui
aqui 05.03.2014 aktualisiert um 17:22:34 Uhr
Goto Top
Nein, falsch !
An der Fritzbox musst du gar nichts forwarden !! Mach das also schnell wieder rückgängig !!
Da die FB bei dir nur als reines Modem arbeitet "versteht" diese doch gar kein IP (und damit auch logischerweise kein VoIP) sondern ist nur noch ein reiner dummer Pegelwandler !
Im Kapitel "Die Internet Anbindung und Betrieb" hier im Tutorial:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
ist ein Sreenshot einer zum Modem konfigurierten FritzBox abgebildet !!
Das kannst du auch daran sehen wenn du in der pfSense auf die Interface übersicht gehst das dort die öffentliche IP deines providers steht.
Zudem hast du ja auch den WAN Port auf PPPoE gestellt und deine Providerdaten am WAN Port der pfSense konfiguriert !
DAS ist also dein Dreh und Angelpunkt !
Hier musst du das VoIP Port Forwarding machen wenn dein VoIP Endgerät im lokalen Netzwerk befindet. Was das ist hast du uns ja noch nicht mitgeteilt face-sad
the-buccaneer
the-buccaneer 05.03.2014 um 16:56:35 Uhr
Goto Top
In einem extra DMZ Port an "LAN1" der Fritzbox die Fritzbox.

Der Satz ist etwas kryptisch. Eine Fritzbox zu Fritzbox Verbindung macht hier doch keinen Sinn, wie aqui schon schreibt.

Also hast Du: Modem --> (WAN) PfSense (LAN1) --> Fritzbox 7270 --> VOIP ?

Dann müsstest Du unter NAT für das WAN Interface der PfSense alle VOIP Ports an die IP der Fritzbox forwarden. Und die assoziierte Firewallregel am Ende nicht vergessen. face-wink

Wenns dann nicht geht, mal in die geposteten Dokumente schauen. Da stand etwas von Problemen mit einseitiger Verbindung bei der PfSense.

Gruß
Buck
theoberlin
theoberlin 05.03.2014 aktualisiert um 17:29:44 Uhr
Goto Top
@aqui Also ich habe mich vielleicht etwas blöd ausgedrückt, nochmal:

WAN ---> Eine kleine Fritzbox im MODEM Betrieb mehr nicht --> WAN Port der PF Sense welche sich per PPPoE anmeldet

PFsense ----> DMZ Port geht auf "LAN1" Port der eigentlichen Fritzbox welche als VOIP Gateway dient.

Die PFsense hat noch einen LAN Port der hier aber keine Rolle Spielt.
Das das "Modem" keinerlei Aufgabe bezogen auf NAT oder ähnliches hat ist klar.

Was funktioniert: Internet, ausgehende Anrufe, der angerufene wird nicht gehört.

Der Dreh und Angelpunkt ist als das NAT an der PFSense in die DMZ bzw. andersrum.
Ich werde mir heute Abend mal die beiden Dokumente von Buck angucken.

@buck
Ja genau das ist mein Szenario. Bis auf das die VOIP Fritzbox am DMZ Port der PFSense hängt.

lg
Theo
orcape
orcape 05.03.2014 um 17:46:37 Uhr
Goto Top
Hi theoberlin,
mach doch auf dem DMZ-Interface der pfSense mal eine any-to-any Rule bei den Firewall-Rules.
Wenn NAT auf auto steht, sollte die pfSense dazu eigentlich selbst eine Regel erstellen.
Kannst Du ja dann später anpassen.
Gruß orcape
aqui
aqui 05.03.2014 aktualisiert um 17:51:18 Uhr
Goto Top
OK nur nochmal zur Sicherheit nachgefragt:
das ist eine 2te Fritzbox die mit dem LAN 1 Port im lokalen LAN hängt, richtig `?
Hier soll VoIP terminiert werden ?
Wenn du den angerufenen nicht hörst, denn funktioniert SIP einwandfrei denn das macht die Wahl aber Voice selber wird mit RTP oder RTSP übertragen.
Deine Firewall in der pfSense blockt das also noch.
Das müsstest du aber auch im Firewall Log sehen können ! Also das mal löschen, dann einen Anruf tätigen und mal ins Log sehen, da sollte das dann drinstehen wa sgeblockt ist.
Bedenke das die pfSense bzw. deren IP ja die IP ist die der VoIP Server des Providers "sieht" und Pakete an diese sendet.
Du musst auch imemr 2 Schritte ausführen deshalb:
1.) Einmal generell diese Ports erlauben in den Regeln auf die WAN IP Adresse
2.) dann in den NAT Regeln diese Ports auf die lokale LAN 1 IP der FB forwarden !
Eine Sipgate Doku beschreibt die Grundlagen:
http://www.sipgate.de/static/sipgate.de/media/Hilfe-Routerkonfiguration ...
Wenn du nach NAT oder Firewall und VoIP Ports bei Dr. Google suchst findest du zig Dokus dazu:
http://www.voipmechanic.com/port-forwarding-voip.htm
http://www.voip-info.org/wiki/view/NAT+and+VOIP
usw.
Ansonsten den "Schrotschuss" Ansatz vom Kollegen orcape oben. Erstmal alles aufmachen, checekn obs klappt und dann langsam wieder "zusperren".
theoberlin
theoberlin 05.03.2014 um 18:05:58 Uhr
Goto Top
Ichbhsbe ja bereits einmal alle Ports an die FB geforwarded. Wenn ich eine NAT bei der Pfsense erstelle wird auch automatisch eine entsprechende Firewallregel gesetzt.

Da ich bereits einmal alle udp Ports schon weitergeleitet habe kann es eigentlich nurnoch die "Source port writing" Geschichte sein die in dem ersten Link dargestellt wird. Der auftretende Fehler ist auch Genau das.
Der angerufene ist nicht hörbar.

Warum das Telefon bei erfolgreicher SIP Registrierung von außen nicht erreichbar ist (es kommt einfach kein Rufzeichen) muss ich im zweiten Schritt klären.

@aqui
Das "Regel hinzufügen nachdem ein Block im Firewall log zu sehen ist " habe ich gestern schon gemacht. Es kamen keine Blocks mehr im Log.
Erreichbarkeit bzw. Duplex Kommunikation war trotzdem nicht möglich.
theoberlin
theoberlin 05.03.2014 um 20:56:55 Uhr
Goto Top
Ich habe jetzt 2 Outbound NAT Regeln für Port 5060 und Port 3487 mit Static Port und Source der VOIP Fritzbox hinzugefügt.
Eine Duplexkommunikation ist jetzt möglich.

Leider ist immer noch kein Anruf von außen möglich.

Im Firewall Log taucht auch kein Block auf. Vielleicht muss man in der Fritzbox die VOIP Nummer anders einrichten wenn die Fritzbox nicht direkt am DSL hängt…

Jemand eine Idee?

lg
Theo
LordGurke
LordGurke 05.03.2014 um 20:58:32 Uhr
Goto Top
Mal eine dumme Frage in den Raum geworfen:
Ist am VoIP-Client ein STUN-Server eingetragen?
Ich kenne die Infrastruktur von 1&1 nicht, aber da dein VoIP-Client im lokalen Netz hängt, kann er ohne STUN-Server seine externe IP nicht kennen.
Dies ist jedoch zwingend notwendig, da er diese in den SDP der SIP-INVITES hineinschreiben muss.

Prüfe daher also, ob im VoIP-Client der richtige STUN-Server hinterlegt ist face-wink
Danach sollte ein Portforwarding auf 5060/UDP reichen (wobei vermutlich nichtmal das)...
theoberlin
theoberlin 05.03.2014 um 21:36:02 Uhr
Goto Top
Hallo Lord Gurke.

Ich habe vorhin eine 1und1 Telefonnummer (3 sind registriert) gelöscht und habe über "anderer Anbieter" diese wieder hinzugefügt. Dort kann man dann auch einen SIP und STUN Server eintragen aber das hat leider auch nicht viel gebracht.

Bei der Default "1und1" Einstellung vermute ich mal ist der STUN Server Standardmäßig hinterlegt da man diese dann überhaupt nicht eintragen kann.

lg
Theo
theoberlin
theoberlin 05.03.2014 um 22:19:21 Uhr
Goto Top
SO….jetzt ist ohne Veränderungen leider wieder nur einseitige Kommunikation möglich.

Im FireWall log sehe ich das für die Kommunikation auf die VOIP Fritzbox andauernd verschiedene Ports verwendet werden sollen. Von 13459 bis 41563 waren schon 20 verschiedene Dabei.
Mit ist nicht ganz klar was die Fritzbox zusammen mit 1und1 da treibt.

Ich werde mich wahrscheinlich leider doch für das Modell DSL --->Fritzbox mit VOIP ---> Lanport-->PFsense---->Lan entschieden…

außer jemandem fällt nochwas ein.
lg
Theo
LordGurke
LordGurke 05.03.2014 um 22:27:09 Uhr
Goto Top
Das sind die RTP-Ports, die werden jedes Mal mehr oder weniger zufällig ausgehandelt. Bei der FritzBox hast du vermutlich wenig Einfluss darauf, welcher Portrange benutzt werden soll.
Allerdings sollte der RTP-Datenstrom auch ohne Portforwarding seinen Weg durch das NAT finden - denn immerhin sendet die FritzBox ja auch selbst UDP-Pakete an die 1&1-Server, so dass das eine ganz normale Bidirektionale Datenverbindung wird (sonst würde DNS ja auch nicht funktionieren).

Unterstützt deine PFSense "SIP ALG"? Das ist das, was du aktivieren möchtest. Dann arbeitet die PFSense als transparenter SIP- und Mediaproxy...
orcape
orcape 06.03.2014 um 05:37:48 Uhr
Goto Top
Hi theoberlin,
installiere auf der pfSense mal das Packet "Siproxd" und probiere das ganze noch mal in der bisherigen Konfiguration.
https://doc.pfsense.org/index.php/Siproxd_package
Gruß orcape
theoberlin
theoberlin 06.03.2014 aktualisiert um 21:01:53 Uhr
Goto Top
Sooo…
Leider steckt in meiner PFSense nur eine 500MB CF Karte. Ich hab ein HAVP Antivirus Package installiert und das war wohl zuviel.
Egal welches Paket ich installiere es taucht nichtmehr unter Services auf. Updates klappen auch nichtmehr.

Ich lege mir jetzt erstmal eine 4GB CF Karte zu und installiere dann die PFSense nochmal neu…
Dann geht's weiter…

lg
Theo
theoberlin
theoberlin 09.03.2014 um 17:34:17 Uhr
Goto Top
Aloha,

heute nochmal verschiedenes ausprobiert..

Zu allererst das 1und1 Branding der Fritzbox entfernt.
Dann noch mal alle konfigurationen ohne sipproxid Paket auf der PFSense.

Maßnahmen:
- Alle UDP Ports NAT auf die Fritzbox
- Sipproxid aufgespielt. Damit verschiedene Konfigurationen durchgespielt.
- Outbound NAT probiert
- FireWall solange aufgeweicht bis keine DENY Einträge mehr aufgetaucht sind.

Leider hat keine der Maßnahmen funktioniert. Registrierung der SIP Phons ist problemlos möglich sowie Telefonie ausgehend.
Der angerufene wird quasi nie gehört und eingehende Anrufe sind ebenfalls nicht möglich.

Ich hänge jetzt die Fritzbox direkt ans DSL und an einen LAN Port die PFSense wo ich dann noch mal zwischen DMZ und LAN unterscheide.

Letztendlich kann ich mich damit abfinden. Die Fritzbox macht eben ausschließlich VOIP und einige NATS auf die PFsense.

Meine DMZ und LAN wird ja trotzdem von der PFSense gebildet. Und noch ne "Fritzbox-FireWall" vor der eigentlichen FireWall kann ja nicht schaden..

Falls irgendjemand noch einen Lösungsansatz hat würde ich ich freuen. Ich muss mich jetzt mit diesem Workaround arrangieren.

lg
Theo
aqui
aqui 29.03.2014 aktualisiert um 11:44:57 Uhr
Goto Top
Ein lokaler Labortest brachte folgendes Ergebnis:
Zur Verfügung stand ein VoIP Softclient "Phoner lite" auf einem Windows 7 Laptop und eine VoIP Telefonanlage von Auerswald Compact 3000 VoIP.
Beide wurden an einem Sipgate Basic VoIP Anschluss getestet mit Standard Einstellungen.
Als pfSense Plattform kamen einmal eine Watchguard X-Core 500 Plattform und ein klassisches ALIX 2D13 zum Einsatz jeweils mit der aktuellsten 2.1er Firmware nur um sicherzustellen das es keine HW spezifischen Unterschiede gibt.

Der Testaufbau sah so aus:

(Internet)==DSL==(Cisco NAT Router)----LAN---(WAN-pfSense-LAN)---Labornetz---(Laptop, oder Anlage)

Die besondere Herausforderung bei diesem Aufbau war also das doppelte NAT durch den Cisco und auch die pfSense. Vorab wurde aber wasserdicht die beiden VoIP Endgeräte auch im LAN getestet um sicherzustellen das der Cisco Router SIP und RTP sauber durchreicht, was der Fall war.

Gestartet wurde mit einer Standardkonfig also pfSense Ver. 2.1 einfach hochgefahren mit den Factory Defaults. Den WAN Port ins LAN gesteckt (Cisco vergibt IPs mit DHCP) und am LAN Port den Laptop bzw. die Anlage aufgesteckt.
Keinerlei NAT Forwarding oder spezielle Firewall Rules konfiguriert, nur Default Konfig.

Ergebnis: Sowohl die Anlage als auch der Softclient konnten sofort eine SIP und RTP Verbindung zum Registrar aufbauen und sich registrieren bei SIPgate.
Ein Testanruf auf deren Testnummer 10005 spielte auch die testweise aufgenommene Sprache vom Endgerät problemlos zurück was schon mal vielversprechend war.
Ein folgender Testanruf aus dem externen ISDN Netz und auch einer vom GSM Mobilfunk Netz auf jeweils die Anlage und auch den Softclient wurden sauber durchgereicht und beide Endgeräte klingelten.
Bei Annahme des Anrufs war problemloser beidseitiger Telefonieverkehr möglich.
Der Austausch der pfSense Plattform war dann nur noch reine Formsache. Mit beiden Hardwaren funktionierte es fehlerfrei ! Ein mitgeschnittener Wireshark Trace vom Registrieren (SIP) und auch dem darauf folgenden Anruf (RTP) belegt das eindeutig !

Fazit: Es ist keinerlei zusätzliche oder spezielle VoIP Konfiguration oder Anpassung der Firewall Regeln erforderlich bei der pfSense für die VoIP Telefonie im lokalen LAN !
VoIP Telefonie Zugriffe aus dem lokalen LAN über die pfSense funktionieren also problemlos "out of the Box" ohne spezielle Konfiguration !
War eigentlich auch vorauszusehen, denn das können heutige Consumer Billigstrouter auch und von einer professionellen Firewall sollte man das allemal erwarten können.
theoberlin
theoberlin 29.03.2014 um 18:45:15 Uhr
Goto Top
Hi aqui,

ich denke das Problem hier ist nicht unbedingt die pfsense.
Ich denke das Problem liegt vielmehr an der Fritzbox.

Eigentlich sind ja auch bei der Fritzbox die VOIP Ports angegeben, 5060 SIP und 7079-7087 oder so RTP.

Und dank der IP Verbindungen sollten ja auch keine speziellen Einstellungen im NAT nötig sein da ja die Fritzbox die SIP und RTP Verbindungen initiiert.

Allerdings passieren da halt für mich nicht nachvollziehbare Sachen denn obwohl in der Voip.conf der Fritzbox die besagten Ports stehen baut die Fritzbox halt bei einem Anruf Verbindungen über völlig andere und zufällige Ports auf.

Für mich also weiterhin nicht möglich.

Aber danke dir trotzdem.

lg
Theo
aqui
aqui 30.03.2014, aktualisiert am 31.03.2014 um 10:04:22 Uhr
Goto Top
Das müsste man dann mal wirklich genau mit einem Wireshark Trace untersuchen.
Der hiesige zeigt auch ein paar Interessante Dinge beim Phoner Lite Softclient die der nicht negotiaten konnte aber dennoch problemlos funktionierte.
Gut die benutzte Version ist 3 Jahre alt face-smile
Appropos...
Ziemlich erschreckend war, das die RTP Voice Daten weder vom Softclient noch von der Anlage verschlüsselt übertragen wurden mit SRTP zu Sipgate.
Klickt man beim Wireshark Trace auf das erste RTP Packet des Telefonats hat der einen Player onboard der dann fröhlich die gesamte Telefon Kommunikation über den Laptop Lautsprecher abspielt.
Da bekommt man schon gehörig Bauchschmerzen und überlegt sich wahrlich ob man auf einen VoIP Vollanschluss wechseln sollte ?!!
theoberlin
theoberlin 30.03.2014 um 15:52:18 Uhr
Goto Top
Mein Problem ist, dass ich mich nicht zwischen Modem und VOIP Gateway der Fritzbox hängen kann um per Wireshark die Pakete mitzulesen.

Häng ich das DSL nicht direkt an die Fritzbox bekomme ich ja keine stabile Verbindung hin um das Szenario "Erfolgreiches VOIP Gespräch" im Wireshark mitzulesen.

Hänge ich was dazwischen was mir den Port der Fritzbox an einem Mirror Port zur Verfügung stellt, sehe ich wie oben geschrieben die wildesten Portverwendungen im VOIP Szenario ohne erfolgreichen Anruf.

Wenn ich etwas Ruhe habe kann ich das Thema ja nochmal angehen aber da ich zuhause keine Testumgebung habe ist dann halt immer das Telefon nicht nutzbar…

Und das die VOIP Daten völlig ungeschützt übertragen werden ist ja wirklich Wahnsinn…Wie gesagt im professionellen Umfeld wird bei VOIP noch eine Menge passieren müssen ehe die guten alten ISDN Telefonanlagenanschlüsse etc. ausgedient haben..

lg
Theo
MrNetman
MrNetman 30.03.2014 um 22:00:01 Uhr
Goto Top
HI Theo,

bei manchen Providern geht es aber nur mit der mitgelieferten Fritzbox.
Ist zwar nicht sehr logisch, aber man wird auch darauf hin gewiesen.

Gruß
Netman
theoberlin
theoberlin 31.03.2014 um 11:31:45 Uhr
Goto Top
Hi Netman,

ich habe die Fritzbox schon entbrandet. Also technisch gesehen ist es gar nicht mehr die Fritzbox die 1und1 geliefert hat.
Wobei mir gerade einfällt, dass das eine völlig andere ist die ich wegen dem ISDN Anschluss damals extra gekauft habe.

lg
Theo
aqui
aqui 04.01.2015 um 13:37:22 Uhr
Goto Top
the-buccaneer
the-buccaneer 06.11.2015 um 23:33:23 Uhr
Goto Top
Der Beitrag ist leider nicht mehr vorhanden.
aqui
aqui 12.08.2016 um 16:33:34 Uhr
Goto Top
Bei Godo wohl nun unter Open Source Projekte gelandet...
https://www.godo.ch/index.php/2014/01/16/isdn-voip-mit-fritzbox-und-pfse ...