chrisroo
Goto Top

FritzBox7490 hinter der pfsense für VOIP.

Hallo zusammen und erstmal ein gesundes und erfolgreiches neues Jahr!

Ich bin gerade am verzweifeln. Ich habe mich mit gefährlichem Halbwissen bewaffnet, an die Einrichtung einer Hardware-Firewall (pfsense) gewagt.
Meine Hardware:

Fritzbox5050 (Modembetrieb) -->pfsense (alter Rechner P4 mit 1,2..GB Speicher)-->LAN1 -->Switch+WLAN-AP für diverse Rechner/Tablets/Telefone
-->LAN2 -->FritzBox7490 (soll VOIP ermöglichen)

LAN 1 funktioniert erstmal alles, hab nur noch keine FIREWALL-REGEL definiert

LAN 2 macht mir Bauchschmerzen.
Ich habe die FB so eingestellt, dass sie die Internetverbindung über ihre LAN1-Buchse von der pfsense(LAN 2) holt.

Da nichts funktioniert, bin ich wohl ein bisschen blauäugig face-smile, stimmts?
Wahrscheinlich muss man noch jede Menge in der pfsense konfigurieren, aber ich weiß nicht was.

Kann mir bitte jemand auf die Sprünge helfen? Ich bin nicht der Netzwerk-Profi, aber ich werde es schon kapieren.

Wenn man die Google-Suche bemüht, gibt es immer wieder Lösungsansätze, aber am Ende geht es doch an meinem Problem vorbei.


Viele Grüße
Chris

Content-Key: 258811

Url: https://administrator.de/contentid/258811

Ausgedruckt am: 28.03.2024 um 17:03 Uhr

Mitglied: vossi31
vossi31 02.01.2015 um 12:37:42 Uhr
Goto Top
Moin,

diesen Beitrag und die vielen anderen zum Thema hast Du dir angesehen?
Fritzbox hinter pfsense VOIP Probleme

Henning
Mitglied: aqui
Lösung aqui 02.01.2015 aktualisiert um 12:56:15 Uhr
Goto Top
Soweit ist er ja noch gar nicht...! Er muss ja erstmal die DSL Internetverbindung zum Provider hinbekommen, dann kommt VoIP (was dann aber schon selber funktionieren wird face-wink )
LAN 1 funktioniert erstmal alles, hab nur noch keine FIREWALL-REGEL definiert
Das musst du erstmal auch nicht dort ist ja eine Default Regel (Alles erlaubt) aktiv face-wink
LAN 2 macht mir Bauchschmerzen.
Mmmhhh...wäre hilfreich zu wissen WAS da dran ist ??
  • Ein weiteres LAN Segment wie DMZ usw. ?
  • Der WAN Port ins Internet ?
  • Was anderes ??
Ich habe die FB so eingestellt, dass sie die Internetverbindung über ihre LAN1-Buchse von der pfsense(LAN 2) holt.
Das ist generell so richtig und auch technisch der beste Weg wenn du die PPPoE Verbindung direkt auf der FW terminierst.
Die pfSense muss dann hier auf PPPoE eingestellt sein auf dem WAN Interface und die Provider Zugangsdaten werden auf der pfSense definiert !
Da nichts funktioniert, bin ich wohl ein bisschen blauäugig face-smile, stimmts?
Nein, intuitiv hast du alles richtig gemacht !
Was du vergessen hast ist vermutlich die Provider Zugangsdaten in der pfSense zu definieren !!
Im Default steht das Setting auf DHCP was dir bei einem DSL Provider mit PPPoE natürlich nix nützt !!
Also Setting auf *PPPoE einstellen und Username und Passwort eintragen so wie du es vom Provider bekommen hast...fertisch.
Das sollte dein "Problem" im Handumdrehen lösen !
Grundlagen erklärt dir auch dieses Forumstutorial:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Mitglied: ChrisRoo
ChrisRoo 02.01.2015 um 13:03:49 Uhr
Goto Top
Hallo Aqui,
jetzt hab ich Dösbaddel aus versehen auch noch auf gelöst geklickt. Mann mann...

Danke für die schnelle Hilfe.

@vossi31 Ja, das habe ich schon gelesen. Ich steige da nur nicht so ganz durch, weil es dort zu nichts führt und ich ja auch noch nicht mal eine Internetverbindung habe. Trotzdem danke für den Tipp

Also die pfsense holt schon über PPPoE das Internet. Das funktioniert auch am LAN1
Am LAN 2 der pfsense hängt nur die FB7490, die mir das VOIP zur Verfügung stellen soll und als Switch für WLAN/LAN dienen soll. Nur da tut sich kein mucks.
Mitglied: aqui
aqui 02.01.2015 um 13:27:11 Uhr
Goto Top
jetzt hab ich Dösbaddel aus versehen auch noch auf gelöst geklickt. Mann mann...
Immer ruhig Blut und keine Hektik face-wink
Also die pfsense holt schon über PPPoE das Internet. Das funktioniert auch am LAN1
Das ist mit Verlaub gesagt etwas unsinnig ! Der WAN Port (Internet) kann nur entweder oder angeschlossen werden, also immer nur an einem Port ! LAN 1 ist in der Regel dein lokales Netz.
Unter Diagnostiscs -> Dasboard kannst du das in der Interface Übersicht auch sehen. Das WAN / Internet Inteface sollte dort auf PPPoE Mode stehen und es sollte die öffentliche IP des Providers angezeigt werden.
Nur da tut sich kein mucks.
Wie meinst du das genau mit "kein Mucks" ??
Wenn wir dich jetzt alle richtig verstanden haben kllappt der Internet Zugriff und soweit rennt alles, richtig ?
Das Voice nicht geht ist klar, denn wenn die FB jetzt als reines Modem mit PPPoE Passthrough rennt ist vermutlich die VoIP Gateway Funktion deaktiviert ?!
Wenn dem so ist dann hast du nur die Chance die pfSense als Kaskade mit der FB davor als Router zu betreiben oder es so zu belassen wie es jetzt ist und dir intern für deine Telefonie einen VoIP Adapter wie z.B. einen Cisco SPA 112
http://www.reichelt.de/CISCO-SPA112/3/index.html?&ACTION=3&LA=4 ...
zu beschaffen und da die Telefone anzuschliessen.
Mitglied: ChrisRoo
ChrisRoo 02.01.2015 um 14:43:18 Uhr
Goto Top
Sorry, dass ich erst jetzt antworte, ich habe noch etwas ausprobiert.

Habe eine FB5050 als Modem laufen.
Daran hängt das WAN der pfsense und holt das Internet über PPPoE.
An LAN 1 hängen über einen Switch meine Rechner. Die haben Internet.
An LAN 2 hängt die FB7490 (VOIP) (konfiguriert: Internet über die LAN1 Buchse) Die hat keine Internetverbindung.
Ich habe jetzt mal alles umgesteckt.
FB7490 an LAN 1. Siehe da, es klappt. Jetzt habe ich dort eine Internetverbindung und nun habe ich das gleiche Problem, wie in dem Thread, den Henning mir empfohlen hat. <---Katastrophe! face-big-smile
Ich kann also jemanden von meinem VOIP-Telefon anrufen. Er hört mich, ich ihn aber nicht. Umgekehrt geht gar nichts.

Ganz schön verwirrend aber trotzdem so interessant, dass man den Kopf nicht in den Sand stecken mag. face-smile

Chris
Mitglied: aqui
aqui 02.01.2015 um 15:01:55 Uhr
Goto Top
Er hört mich, ich ihn aber nicht. Umgekehrt geht gar nichts.
Das liegt an den Random Ports bei SIP bzw. RTP. Sieh dir einfach das Firewall Log an was dort in Sachen SIP und RTP beblockt wird und gib das frei. Damit kommt dann VoIP zum Fliegen.
Am sinnvollsten ist es du aktivierst STUN mit deinem SIP provider, dann kann man den ganzen Aufwand der FW customizing umgehen.
Die pfSense Doku hat dort hilfreiche Tips:
https://doc.pfsense.org/index.php/VoIP_Configuration
Mitglied: ChrisRoo
ChrisRoo 02.01.2015 um 15:19:35 Uhr
Goto Top
Also wenn ich das VOIP-Tele anrufe kommt in den Firewall-Logs unter SOURCE eine IP mit dem Port 5060.
Wenn ich mit dem VOIP-Tele jemanden anrufe, wird nichts gelogt.

Sorry wegen meinem Dilettantismus, bin echt nicht auf der Höhe in Sachen Netzwerk.
Mitglied: aqui
aqui 02.01.2015 aktualisiert um 15:30:13 Uhr
Goto Top
Beachte unbedingt die Tips die hier bei Configure pfSense firewall/NAT rules stehen.
https://doc.pfsense.org/index.php/Asterisk_VoIP
Also wenn ich das VOIP-Tele anrufe kommt in den Firewall-Logs unter SOURCE eine IP mit dem Port 5060
Ja das ist klar und auch logisch !!
Dein SIP Provider will ja das VoIP Gateway erreichen (deine FB). Also sendet er einen SIP Request. Der landet jetzt aber an deiner Firewall bzw. deren WAN IP.
Die macht aber das was eine gute Firewall eben macht und sagt Du kommst hier nicht rein....kann ja der kommen.
Fazit: Du musst 2 Regeln erzeugen:
  • 1.) Lasse den SIP Zugang von ANY auf die WAN IP der pfSense zu !
  • 2.) Erzeuge ein Port Forwarding von SIP auf die interne IP Adresse der FB (VoIP Gateway)
Noch eleganter machst du das mit dem sipproxyd der pfSense.
Mitglied: ChrisRoo
ChrisRoo 02.01.2015 um 15:46:23 Uhr
Goto Top
Ich weiß zwar nicht genau wie ich das mache, aber ich versuche es einfach mal.

Ich gehe zu den FW-Regeln und erstell eine Neue.

Action = pass
Interface = WAN
Protocol = UDP
SOURCE = any
Destination port range = from other Port 5060

Ist das richtig so?
Mitglied: ChrisRoo
ChrisRoo 02.01.2015 um 16:08:22 Uhr
Goto Top
face-big-smile ich trage bestimmt zur allgemeinen Belustigung bei, oder?

Naja, ich habe mich jetzt auch an das Portforwarding gemacht:

Interface = WAN
Protocol = UDP
Destination = WAN
Type WAN address
Destination Port Range = hab ich from other und Port 5060 reingesetzt. Nach dem Speichern steht da nur from SIP ohne Port
Redirect target IP = IP der FP (VOIP-Gateway)
Redirect target Port = hab ich wieder mal "other" und Port 5060 eingetragen. Nach dem Speichern steht da nur noch SIP

Funktioniert aber immer noch nicht. Wahrscheinlich habe was falsch gemacht, oder ?
Gelogt wird jedenfalls nichts mehr wenn ich mich auf das VOIP-Tele anrufe. Es klingelt halt nur nicht.
Mitglied: aqui
Lösung aqui 02.01.2015, aktualisiert am 01.02.2015 um 12:05:23 Uhr
Goto Top
ich trage bestimmt zur allgemeinen Belustigung bei, oder?
Nein. Bleib gelassen. Ist ein häufiges Problem bei VoIP mit seinen dynamischen Ports. Hier gibt es weitaus Sinnfreieres zu lesen manchmal face-wink
Protocol UDP ist falsch ! SIP nutzt immer TCP !!
Das kann man aber ergoogeln und steht auch in den o.a. Dokus !
Destination WAN ist ebenso falsch ! Die Destination des incoming SIP Requests vom Provider (Anruf von außen) ist doch immer deine WAN Adress der FW ! Was anderes "sieht" der Provider ja nicht von deinem Netz ! Logisch !
Nach dem Speichern steht da nur from SIP
Ist richtig ! pfSense ist so intelligent bekannte Port Nummern mit der für Menschen lesbaren Bezeichnung zu ersetzen face-wink
Funktioniert aber immer noch nicht.
Kein Wunder, du hast ja auch nur einen Schritt ausgeführt ! Oben stand aber das es 2 erfordert !
Einmal die Firewall Regel zu erlauben das incoming SIP Pakete die WAN IP Adresse erreichen dürfen (Pass) !!
Zum zweiten die Port Forwarding Regel das diese Pakete dann auf die interne IP der FB (VoIP Gateway) weitergeleitet werden (Port Forwarding)
Du musst also zwei Schritte umsetzen !

Schliess im Zweifel einen Wireshark Sniffer an dein internes Netz und checke ob die Firewall diese externen SIP Pakete korrekt an die FB weiterreicht intern.
Dazu kannst du testeweise die FB abklemmen und den Wireshark PC mit der identischen internen IP Adresse der FB anschliessen.
So gaukelst du der pfSense die FB vor kannst aber genau sehen was von außen an SIP und RTP bei der durch den Wireshark gefakten FB ankommt !
Wie gesagt dir fehlt ein Schritt in den Firewall bzw. NAT Regeln !
Mitglied: ChrisRoo
ChrisRoo 02.01.2015 um 19:18:48 Uhr
Goto Top
Du hast echt eine Engelsgeduld! face-smile

Ich glaube, ich muss mir nun erst mal ein wenig Grundlagen-Input aus dem Netz holen, bevor dir der Geduldsfaden reißt. face-big-smile
Ich kann nur die Felder ausfüllen, die Du mir gerade beschrieben hast. Alle anderen Felder, z.B. Source sind Böhmische Dörfer für mich.
Ich schmeiß die ganzen Begriffe wie, Source, Destination usw. immer durcheinander.

Ich weiß jetzt, dass ich eine Firewall-Regel erstellen muss, die SIP erlaubt die Firewall zu passieren.

Diese Regel erstelle ich so:

Firewall Regeln
Action = Pass
Interface = WAN
Protokoll = TCP
Source Weiß ich nicht
Destination = WAN address
Destination port range from + to = SIP

Wenn ich Source wüßte, würde ich speichern und Schritt 1 wäre gemacht. face-smile

NAT/Port Forward
No RDR (NOT) Weiß ich nicht
Interface = WAN
Protokoll = TCP
Source = Weiß ich nicht
Source Port range = Weiß ich nicht
Destination = WAN address
Destination port range from + to = SIP
Redirect target IP = IP von der FB(VOIP-Gateway)
Redirect port = SIP
No XMLRPC Sync = Weiß ich nicht
NAT reflection = Weiß ich nicht
Filter rule association = Weiß ich nicht

Ganz schön viel "Weiß ich nicht" face-sad

Viele Grüße
Chris
Mitglied: aqui
aqui 03.01.2015 aktualisiert um 15:11:17 Uhr
Goto Top
Ich glaube, ich muss mir nun erst mal ein wenig Grundlagen-Input aus dem Netz hole
Wäre nicht das Falscheste face-wink
Alle anderen Felder, z.B. Source sind Böhmische Dörfer für mich.
Mmmhhh. nicht gut für die Festigkeit des Gedultsfadens....
Ich schmeiß die ganzen Begriffe wie, Source, Destination usw. immer durcheinander.
Gar nicht gut für den Gedultsfaden... face-sad
Im Ernst...ein wenig mehr Grundlagen könnte ncht schaden. Du solltest minimalst wissen was eine Source- und Destination IP Adresse ist UND was ein Source- und Destination Port (TCP/UDP) ist. Sonst wirds wirklich hart hier... face-wink
So sollte es aussehen:
Firewall Regeln
Action = Pass
Interface = WAN
Protokoll = TCP
Source Weiß ich nicht
= Hier any eingeben ! Das ist die Provider IP. Die kann sich ändern, du kennst sie nicht, also "any".
Destination = WAN address
Destination port range from + to = SIP

Soweit richtig !
VoIP besteht aber nicht nur aus SIP (Session Intitiation Protocoll) sondern auch aus RTP. RTP transportiert die eigentlichen Sprachdaten. SIP ist nur für den Verbindungsaufbau ! Laienhaft gesprochen: SIP ist deine Wählscheibe oder Tastatur, RTP der Teleonhörer mit Mikrofon und Lautsprecher face-wink
Du solltest obiges also noch identisch für RTP machen.
Forwarding Rule:
NAT/Port Forward
No RDR (NOT) Weiß ich nicht
= kein Haken, leer lassen, ist wenn gesetzt die Negierung (NOT=Englisch=Nein) dieser Regel !
Interface = WAN
Protokoll = TCP
Source = Weiß ich nicht
hier wieder any (Provider IP)
Source Port range = Weiß ich nicht
= Hier auch any, denn der Source Port ist Random
Destination = WAN address
Destination port range from + to = SIP
Redirect target IP = IP von der FB(VOIP-Gateway)
Redirect port = SIP
No XMLRPC Sync = Weiß ich nicht
=default lassen
NAT reflection = Weiß ich nicht
= default lassen
Filter rule association = Weiß ich nicht
= default lassen
Mitglied: wonderli
wonderli 04.01.2015, aktualisiert am 21.02.2016 um 15:33:54 Uhr
Goto Top
Hab auch eine Weile gebraucht eine 7170 zum laufen zu bringen. Ich hab einen screenshot auf https://www.godo.ch/index.php/2014/01/16/isdn-voip-mit-fritzbox-und-pfse ... wo du siehst wie die FW Regeln aussehen sollten. Damit gehen 2 Linien gleichzeitig ohne Problem.
Mitglied: ChrisRoo
ChrisRoo 04.01.2015 um 21:07:07 Uhr
Goto Top
Hallo zusammen,
ich glaube durch meine viele Rumprobiererei habe ich den Provider geweckt.
Als ich gestern MEINE FB 7490 wieder als DSL-Router an den Anschluss gehängt habe, damit wir wieder ein Telefon haben, hat sie etwas vom Provider geladen und sich neu verbunden.
Jedenfalls stand das im Internet-Log.
Als ich heute morgen wieder meinen Versuchsaufbau mit pfsense als DSL-Router an den Anschluß hing, kam keine Verbindung zu Stande.
Hab alles versucht. Also habe ich die Fritzbox wieder als DSL-Router drangehängt und schon war die Verbindung da. Sehr merkwürdig!

Jetzt habe ich mich erstmal gebeugt und habe mein Netzwerk mit Fritzbox7490 vor der pfsense aufgebaut.

Also hat sich das VOIP-Problem erstmal erledigt.
Trotzdem habe ich dank aqui jede Menge dazu gelernt und dafür noch mal vielen Dank!

@wonderli: Deinen Screenshot habe ich mir gleich notiert und ich werde die Einstellung auf jeden Fall testen, sobald ich meinen ursprünglichen Aufbau wieder realisieren kann.
Aufgegeben habe ich das auf jeden Fall noch nicht, weil mir die FB vor der pfsense gar nicht gefällt.


Viele Grüße an Alle und frohes schaffen morgen...
Mitglied: aqui
aqui 05.01.2015 um 09:04:30 Uhr
Goto Top
Oha...."was vom Provider geladen" ??!! Das sollte dir aber schwer zu denken geben wenn ein Gerät an deinem Hausanschluss sowas macht.
Wer weiss was die sonst noch alles an deinem Anschluss machen ??
Das riecht nach TR-069
http://de.wikipedia.org/wiki/TR-069
Das solltest du immer zwingend abschalten im Setup !
Also habe ich die Fritzbox wieder als DSL-Router drangehängt und schon war die Verbindung da. Sehr merkwürdig!
Das ist technisch unmöglich ! Da hast du vermutlich einen Fehler in der Konfig gemacht. Was sagt das pfSense Log ???
Jetzt habe ich mich erstmal gebeugt und habe mein Netzwerk mit Fritzbox7490 vor der pfsense aufgebaut.
Müsste nicht sein wenn man alles richtig macht !
Also hat sich das VOIP-Problem erstmal erledigt.
Traurig...gelöst ist es ja nicht wirklich für dich ?!

Tip: Besorg dir ein einfaches DSL Modem von eBay für ein paar Euro was du unabhängig an die pfSense klemmen kannst so kannst du unabhängig von deiner FB den Providerzugang testen !!
Mitglied: ChrisRoo
ChrisRoo 05.01.2015 um 19:26:40 Uhr
Goto Top
Hi aqui,

danke für den Tipp mit TR069. Ich habe es gerade via telnet gecheckt. Ergebnis: 0
Dann verstehe ich das nicht so ganz. Habe echt einiges versucht die pfsense zum Verbindungsaufbau zu bewegen,
Benutzerdaten habe ich zur Sicherheit auch 3 oder 4 mal neu eingegeben. Die wollte einfach nicht.
Blöder Zufall, wenn man dann die FB einsteckt, dass sich sich gleich verbindet.
Wegen dem DSL-Modem...
Also, ich will nachher oder morgen eh noch mal ein bisschen shoppen. Auf der Einkaufsliste steht :
1 einfaches DSL-Modem
1 MINI-PC-System - Der große Rechner, auf dem die pfsense nun läuft, friss mir zu viel und ist entschieden zu laut. face-smile
1 schneller Switch

Wenn ich das alles habe, dann werde ich die ganze Sache von neuem angehen.
Am Samstag hatte ich die "Sense" schon soweit, dass ich nach draußen ein ganz normales Telefonat führen konnte. Also beide Teilnehmer haben sich gehört.
Eingehende Anrufe kamen nicht durch. Im Log zeigte sich, dass immer noch der Port 5060 geblockt wurde.

Viele Grüße
Chris
Mitglied: vossi31
vossi31 06.01.2015 um 09:19:09 Uhr
Goto Top
Moin,

das mit dem Mini-PC ist ja grundsätzlich ok, aber deine Konfig wird dadurch nicht einfacher. Bringe es doch erstmal grundsätzlich zum Laufen.
Und wenn du sowieso shoppen gehen willst kannst du auch die Lösung mit der Routerkaskade anpeilen, da sie im Prinzip ja schon funktionierte:

DSL --> FB7490 --> pfsense --> Switch --> Accesspoint (der stattdessen auf deine Einkaufsliste kommt)

Die FB wickelt dann VOIP ab und in der pfsense brauchts du nichts weiter bzgl. VOIP berücksichtigen. Klar ist das nicht die optimale Konfig, aber dafür eine einfache.

Und wenn alles läuft ersetzt du den PC gegen ein Alix-Board oder dessen Nachfolger oder auch einen Mini-PC (mit 2 oder 3 LAN-Karten!).

Henning
Mitglied: aqui
Lösung aqui 06.01.2015, aktualisiert am 01.02.2015 um 18:16:26 Uhr
Goto Top
Im Log zeigte sich, dass immer noch der Port 5060 geblockt wurde.
Das ist dann dein Fehler bzw. du hast vergessen eine entsprechende Regel am WAN Port einzurichten face-wink

Damit die Ungewissheit endlich mal gelöst wird hier das Ergebnis eines kurzen Labortests mit der pfSense und einem VoIP_Adapter_Cisco_SPA_112 (lokale IP: 192.168.1.106) zu einem SIPgate Account.
Zuerst richtet man die NAT Forwarding Regel ein die SIP (TCP/UDP 5060) auf die interne IP des VoIP Adapters vom WAN Port kommend forwardet.
Das ist zwingend notwendig damit eingehende Anrufe ankommen.

32c132c6834fb8a5279051d51fabfd8f
Einfache Regel:
Eingehende TCP/UDP Pakete mit SIP Port TCP/UDP 5060 auf die WAN Port IP Adresse der pfSense werden auf die interne IP Adresse 192.168.71.106 (VoIP Adapter) geforwardet.
Die pfSense Firewall erzeugt selbstständig eine dazu entsprechend korrespondierende Firewall Regel für den WAN Port (wenn man das erlaubt, was Default ist) die man im Firewall Ruleset auch überprüfen kann:

ec4050da558419ba8e146988af8120ea

Fertisch !
Das wars ! Firewall Log Einträge sind sauber. Ein Testanruf auf der SIPgate Echo Test Telefonnummer (10005) zeigt das das Telefon mit VoIP wunderbar funktioniert !

Achtung:
Besonderheit im o.a. Aufbau ist hier das VOR der pfSense noch ein NAT Router geschaltet ist und bei der pfSense der Haken am WAN Port "Block RFC 1918 IP Networks" entfernt wurde !!
Betreibt man die pfSense mit einem transparenten Modem direkt am Internet (User Zugangsdaten auf der pfSense) muss man zusätzlich zur o.a. Firewall Regel auch noch die RTP Port Ranges mit einer zusätzlichen Regel eingeben wie es der Kollege @wonderli im obigen Thread (URL) als Screenshot geschickt hat !
Mitglied: ChrisRoo
ChrisRoo 09.01.2015 um 22:29:42 Uhr
Goto Top
Hallo aqui,

vielen Dank für die Aufklärung. Ich werde morgen noch mal alles auseinander pflücken und den Aufbau testen.

Bin mal gespannt... face-smile
Ich melde mich, wenn es geklappt hat.

Viele Grüße
Chris
Mitglied: aqui
aqui 10.01.2015 um 11:45:00 Uhr
Goto Top
Wir sind gespannt.... face-smile
Mitglied: ChrisRoo
ChrisRoo 01.02.2015 um 12:02:46 Uhr
Goto Top
Hallo zusammen,

hat ein bisschen gedauert, aber es gibt dafür auch positives zu vermelden.

Habe nach langem Suchen und Probieren meine FB 7490 hinter der pfsense und VOIP funktioniert ohne Probleme.
Hier meine Lösung: (Habe einige Screenshots erstellt. Leider ist es mir auf Anhieb nicht ersichtlich, wie ich die hier rein bekomme)

Unter NAT Port Forward eine Regel für SIP erstellen
Interface: WAN
Protocol: UDP
Source: any
Source Port: any
Destination: WAN address
Destination port range: SIP oder 5060
Redirekt target IP: IP der Fritzbox, die VOIP bereitstellen soll
Redirect target Port: SIP oder 5060

Speichern

Unter NAT Outbound, ganz oben, auf Manual stellen und speichern. Nun sieht man unten eine Auto created rule LAN to WAN.
Diese zum Edieren aufmachen und unter Translation, Static Port einschalten.
Speichern
Dann in die Firewall-Regeln wechseln und auf dem Regelinterface für WAN eine neue Regel einfügen.
Und zwar kommt die über die automatische NAT Regel !
Mit dieser Regel lasst ihr SIP auf die WAN-Schnittstelle
Interface: WAN
Protocol: UDP
Source: any
Source port: any
Destination: WAN address
Destination port range: SIP oder 5060

Speichern und fertig.

Bei mir funktioniert es so einwandfrei.

Gruß
Chris
Mitglied: aqui
aqui 01.02.2015 um 16:18:06 Uhr
Goto Top
Leider ist es mir auf Anhieb nicht ersichtlich, wie ich die hier rein bekomme
Das ist kinderleicht (wenn man mal die FAQs liest face-wink )
  • Unter "Meine Fragen" deinen obigen Originalthread auswählen und auf "Bearbeiten" klicken
  • Über die dort sichtbare "Bilder hochladen" funktion deinen Bilder hochladen
  • Den dann erscheinenden Bilder URL mit einem Rechtsklick und Copy und Paste hier in jeglichen Text bringen. Auch Antworten
  • Dann kommt statt des URLs immer... et voila dein Bild !
Wäre sicher sehr hilfreich für die Allgemeinheit wenn du das hie rnochmal postest !
Mitglied: ChrisRoo
ChrisRoo 01.02.2015 um 17:54:25 Uhr
Goto Top
Hi aqui,

so, jetzt noch mal kurz mit Screenshots:

Also, um mit einer, hinter der pfsense laufenden Fritz!Box, VOIP zum laufen zu bringen, sind nur wenige Schritte nötig.

Zuerst erstellt man eine NAT-Regel (Port Forward), die so ausschaut. (Genaue Einstellungen stehen in meinem letzten Thread )
8077f1c2920e0b0d3938623371bdda31

Dann geht man auf NAT (Outbound)
Dort setzt man oben den Schalter auf Manual und speichert.
Die dann unten sichtbare Regel " Auto created rule LAN to WAN " muss ediert werden.
Einfach den Schalter unter "Translation -- Static port" einschalten und speichern.
Das sieht dann so aus:
2b1b9a24cb620c13bbd7086a4a91a5b7

Dann geht man zu den Firewall Regeln und erstellt über der jetzt von der NAT-Regel automatisch erzeugten Firewall-Regel eine neue Regel, die SIP auf die WAN-Schnittstelle lasst.
Die genaue Einstellung steht wieder oben in meinem anderen Thread:
Das ganze sieht dann wieder so aus:
a649799d3c0489a1d7345623362ae175

Auf dem Bild erkennt man, dass ich im Eifer des Gefechtes beim protocol "TCP" stehen gelassen habe. Hat trotzdem funktioniert. Mittlerweile ist es auf UDP geändert und funktioniert immer noch. face-wink

Ich hoffe, das Setup hält dem strengen Blick der Profis stand. face-wink

Viele Grüße und gutes Gelingen...

Chris
Mitglied: aqui
aqui 02.02.2015 aktualisiert um 11:38:22 Uhr
Goto Top
Besser du änderst das in "TCP/UDP" denn laut Protokoll Definition kann SIP beide Enkapsulierungen nutzen. Manche Provider setzen auch dediziert auf TCP. Üblich ist aber in der Regel UDP.
Danke für das gute Feedback das allemal allen strengen Blicken standhält ! face-smile
Mitglied: ChrisRoo
ChrisRoo 02.02.2015 um 17:52:56 Uhr
Goto Top
Meinst Du, es wäre nicht besser, den Source-Port der Firewall-Regel, die SIP auf die WAN-Schnittstelle lässt, auf SIP zu ändern?
Mitglied: 12ha34
12ha34 12.04.2015 um 20:44:33 Uhr
Goto Top
Hi, ich habe mich da auch durchgekämpft und bin auch ein Stück mit Deiner Anleitung weitergekommen und habe VoIP hinter der pfSense ohne Scheunentor face-wink am laufen.
Ich konnte allerdings einige Dinge weiter eingrenzen und es funktioniert immer noch. Hast Du mal geprüft ob 3. Regel "WAN adress 5060" nötig ist? Geht bei mir ohne diese. Vermute die NAT Regel von WAN 5060 auf 172.1.100.7 wird zuerst ausgeführt und dann greift ja die Regel die die 5060 auf die 172.1.100.7 durchlässt.
Die Outbound Nat Regel für kannst Du meines Erachtens nach auch noch etwas weiter eingrenzen indem du die Adresse der Fritz Box (172.1.100.7) als Source eingibst. Dann beliebt die Verschleierung der anderen Adressen im Subnetz aktiv, zumindest verstehe ich das so. Damit hast Du dann wieder einen kleinen Tick mehr Sicherheit.
Eventuell kann das ja aqui oder eine anderer Pro bestätigen was ich mir so denke.

Tschau und einen guten Abend

12ah34
Mitglied: aqui
aqui 13.04.2015 um 09:14:19 Uhr
Goto Top
Ist generell richtig ! Allerdings ist Outbound NAT immer aktiv (in Default) und kann man nicht granularer einstellen. Geht auch gar nicht, denn alle Geräte die man vom Outbound NAT ausnimmt kommen dann nicht mehr ins Internet.
Am Outbound NAT muss man also nichts schrauben.
Mitglied: 12ha34
12ha34 13.04.2015 um 14:09:50 Uhr
Goto Top
Oh, Sorry, ich hatte mich falsch ausgedrückt, ich meinte die Konfiguration des statischen Ports für das Outbound Nat. Ich dachte wenn man genau für diesen einen Client 172.1.100.7 Outbound Nat auf statisch stellt, kann die pfSense für die anderen Clients des Subnetzes die Ports verändern. Sorry für die falsche Detailaussage.

Grüße
Mitglied: Krissi70
Krissi70 30.12.2019 um 23:24:46 Uhr
Goto Top
Guten Abend

Ich habe bis jetzt immer nur mitgelesen und auch vieles für mich rausziehen können. Ich stehe da aber jetzt vor einem Problem. Ich habe auch die Konfig mit der Fritz hinter einer pfsense und alles so eingestellt wie es hier beschrieben wurde, wenn mich jemand anruft funktioniert es einwandfrei. Wenn ich anrufe hört mich der Gesprächspartner, ich höre aber nichts (Freizeichen ist da). Wäre klasse wenn mir da einer von den Experten weiterhelfen könnte. Was braucht ihr an Input?

Danke und LG Krissi
Mitglied: aqui
aqui 31.12.2019 um 15:36:15 Uhr
Goto Top
Die Tipps und Tricks unter dem Kapitel "VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:" hast du alle gelesen und entsprechend umgesetzt ??
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Mitglied: Krissi70
Krissi70 02.01.2020 um 12:04:37 Uhr
Goto Top
Guten Morgen, ja hab ich schon alles probiert (der erste Link ist leider nicht erreichbar). Das Ganze hängt übrigens an einem Telekom Hybrid.