32
FritzBox7490 hinter der pfsense für VOIP.
Hallo zusammen und erstmal ein gesundes und erfolgreiches neues Jahr!
Ich bin gerade am verzweifeln. Ich habe mich mit gefährlichem Halbwissen bewaffnet, an die Einrichtung einer Hardware-Firewall (pfsense) gewagt.
Meine Hardware:
Fritzbox5050 (Modembetrieb) -->pfsense (alter Rechner P4 mit 1,2..GB Speicher)-->LAN1 -->Switch+WLAN-AP für diverse Rechner/Tablets/Telefone
-->LAN2 -->FritzBox7490 (soll VOIP ermöglichen)
LAN 1 funktioniert erstmal alles, hab nur noch keine FIREWALL-REGEL definiert
LAN 2 macht mir Bauchschmerzen.
Ich habe die FB so eingestellt, dass sie die Internetverbindung über ihre LAN1-Buchse von der pfsense(LAN 2) holt.
Da nichts funktioniert, bin ich wohl ein bisschen blauäugig
, stimmts?
Wahrscheinlich muss man noch jede Menge in der pfsense konfigurieren, aber ich weiß nicht was.
Kann mir bitte jemand auf die Sprünge helfen? Ich bin nicht der Netzwerk-Profi, aber ich werde es schon kapieren.
Wenn man die Google-Suche bemüht, gibt es immer wieder Lösungsansätze, aber am Ende geht es doch an meinem Problem vorbei.
Viele Grüße
Chris
Ich bin gerade am verzweifeln. Ich habe mich mit gefährlichem Halbwissen bewaffnet, an die Einrichtung einer Hardware-Firewall (pfsense) gewagt.
Meine Hardware:
Fritzbox5050 (Modembetrieb) -->pfsense (alter Rechner P4 mit 1,2..GB Speicher)-->LAN1 -->Switch+WLAN-AP für diverse Rechner/Tablets/Telefone
-->LAN2 -->FritzBox7490 (soll VOIP ermöglichen)
LAN 1 funktioniert erstmal alles, hab nur noch keine FIREWALL-REGEL definiert
LAN 2 macht mir Bauchschmerzen.
Ich habe die FB so eingestellt, dass sie die Internetverbindung über ihre LAN1-Buchse von der pfsense(LAN 2) holt.
Da nichts funktioniert, bin ich wohl ein bisschen blauäugig
, stimmts?Wahrscheinlich muss man noch jede Menge in der pfsense konfigurieren, aber ich weiß nicht was.
Kann mir bitte jemand auf die Sprünge helfen? Ich bin nicht der Netzwerk-Profi, aber ich werde es schon kapieren.
Wenn man die Google-Suche bemüht, gibt es immer wieder Lösungsansätze, aber am Ende geht es doch an meinem Problem vorbei.
Viele Grüße
Chris
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 258811
Url: https://administrator.de/contentid/258811
Ausgedruckt am: 05.11.2024 um 07:11 Uhr
32 Kommentare
Neuester Kommentar
Moin,
diesen Beitrag und die vielen anderen zum Thema hast Du dir angesehen?
Fritzbox hinter pfsense VOIP Probleme
Henning
diesen Beitrag und die vielen anderen zum Thema hast Du dir angesehen?
Fritzbox hinter pfsense VOIP Probleme
Henning
Soweit ist er ja noch gar nicht...! Er muss ja erstmal die DSL Internetverbindung zum Provider hinbekommen, dann kommt VoIP (was dann aber schon selber funktionieren wird 
)
Die pfSense muss dann hier auf PPPoE eingestellt sein auf dem WAN Interface und die Provider Zugangsdaten werden auf der pfSense definiert !
Was du vergessen hast ist vermutlich die Provider Zugangsdaten in der pfSense zu definieren !!
Im Default steht das Setting auf DHCP was dir bei einem DSL Provider mit PPPoE natürlich nix nützt !!
Also Setting auf *PPPoE einstellen und Username und Passwort eintragen so wie du es vom Provider bekommen hast...fertisch.
Das sollte dein "Problem" im Handumdrehen lösen !
Grundlagen erklärt dir auch dieses Forumstutorial:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
)LAN 1 funktioniert erstmal alles, hab nur noch keine FIREWALL-REGEL definiert
Das musst du erstmal auch nicht dort ist ja eine Default Regel (Alles erlaubt) aktiv LAN 2 macht mir Bauchschmerzen.
Mmmhhh...wäre hilfreich zu wissen WAS da dran ist ??- Ein weiteres LAN Segment wie DMZ usw. ?
- Der WAN Port ins Internet ?
- Was anderes ??
Ich habe die FB so eingestellt, dass sie die Internetverbindung über ihre LAN1-Buchse von der pfsense(LAN 2) holt.
Das ist generell so richtig und auch technisch der beste Weg wenn du die PPPoE Verbindung direkt auf der FW terminierst.Die pfSense muss dann hier auf PPPoE eingestellt sein auf dem WAN Interface und die Provider Zugangsdaten werden auf der pfSense definiert !
Da nichts funktioniert, bin ich wohl ein bisschen blauäugig face-smile, stimmts?
Nein, intuitiv hast du alles richtig gemacht !Was du vergessen hast ist vermutlich die Provider Zugangsdaten in der pfSense zu definieren !!
Im Default steht das Setting auf DHCP was dir bei einem DSL Provider mit PPPoE natürlich nix nützt !!
Also Setting auf *PPPoE einstellen und Username und Passwort eintragen so wie du es vom Provider bekommen hast...fertisch.
Das sollte dein "Problem" im Handumdrehen lösen !
Grundlagen erklärt dir auch dieses Forumstutorial:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Hallo Aqui,
jetzt hab ich Dösbaddel aus versehen auch noch auf gelöst geklickt. Mann mann...
Danke für die schnelle Hilfe.
@vossi31 Ja, das habe ich schon gelesen. Ich steige da nur nicht so ganz durch, weil es dort zu nichts führt und ich ja auch noch nicht mal eine Internetverbindung habe. Trotzdem danke für den Tipp
Also die pfsense holt schon über PPPoE das Internet. Das funktioniert auch am LAN1
Am LAN 2 der pfsense hängt nur die FB7490, die mir das VOIP zur Verfügung stellen soll und als Switch für WLAN/LAN dienen soll. Nur da tut sich kein mucks.
jetzt hab ich Dösbaddel aus versehen auch noch auf gelöst geklickt. Mann mann...
Danke für die schnelle Hilfe.
@vossi31 Ja, das habe ich schon gelesen. Ich steige da nur nicht so ganz durch, weil es dort zu nichts führt und ich ja auch noch nicht mal eine Internetverbindung habe. Trotzdem danke für den Tipp
Also die pfsense holt schon über PPPoE das Internet. Das funktioniert auch am LAN1
Am LAN 2 der pfsense hängt nur die FB7490, die mir das VOIP zur Verfügung stellen soll und als Switch für WLAN/LAN dienen soll. Nur da tut sich kein mucks.
jetzt hab ich Dösbaddel aus versehen auch noch auf gelöst geklickt. Mann mann...
Immer ruhig Blut und keine Hektik Also die pfsense holt schon über PPPoE das Internet. Das funktioniert auch am LAN1
Das ist mit Verlaub gesagt etwas unsinnig ! Der WAN Port (Internet) kann nur entweder oder angeschlossen werden, also immer nur an einem Port ! LAN 1 ist in der Regel dein lokales Netz.Unter Diagnostiscs -> Dasboard kannst du das in der Interface Übersicht auch sehen. Das WAN / Internet Inteface sollte dort auf PPPoE Mode stehen und es sollte die öffentliche IP des Providers angezeigt werden.
Nur da tut sich kein mucks.
Wie meinst du das genau mit "kein Mucks" ??Wenn wir dich jetzt alle richtig verstanden haben kllappt der Internet Zugriff und soweit rennt alles, richtig ?
Das Voice nicht geht ist klar, denn wenn die FB jetzt als reines Modem mit PPPoE Passthrough rennt ist vermutlich die VoIP Gateway Funktion deaktiviert ?!
Wenn dem so ist dann hast du nur die Chance die pfSense als Kaskade mit der FB davor als Router zu betreiben oder es so zu belassen wie es jetzt ist und dir intern für deine Telefonie einen VoIP Adapter wie z.B. einen Cisco SPA 112
http://www.reichelt.de/CISCO-SPA112/3/index.html?&ACTION=3&LA=4 ...
zu beschaffen und da die Telefone anzuschliessen.
Sorry, dass ich erst jetzt antworte, ich habe noch etwas ausprobiert.
Habe eine FB5050 als Modem laufen.
Daran hängt das WAN der pfsense und holt das Internet über PPPoE.
An LAN 1 hängen über einen Switch meine Rechner. Die haben Internet.
An LAN 2 hängt die FB7490 (VOIP) (konfiguriert: Internet über die LAN1 Buchse) Die hat keine Internetverbindung.
Ich habe jetzt mal alles umgesteckt.
FB7490 an LAN 1. Siehe da, es klappt. Jetzt habe ich dort eine Internetverbindung und nun habe ich das gleiche Problem, wie in dem Thread, den Henning mir empfohlen hat. <---Katastrophe!
Ich kann also jemanden von meinem VOIP-Telefon anrufen. Er hört mich, ich ihn aber nicht. Umgekehrt geht gar nichts.
Ganz schön verwirrend aber trotzdem so interessant, dass man den Kopf nicht in den Sand stecken mag.
Chris
Habe eine FB5050 als Modem laufen.
Daran hängt das WAN der pfsense und holt das Internet über PPPoE.
An LAN 1 hängen über einen Switch meine Rechner. Die haben Internet.
An LAN 2 hängt die FB7490 (VOIP) (konfiguriert: Internet über die LAN1 Buchse) Die hat keine Internetverbindung.
Ich habe jetzt mal alles umgesteckt.
FB7490 an LAN 1. Siehe da, es klappt. Jetzt habe ich dort eine Internetverbindung und nun habe ich das gleiche Problem, wie in dem Thread, den Henning mir empfohlen hat. <---Katastrophe!
Ich kann also jemanden von meinem VOIP-Telefon anrufen. Er hört mich, ich ihn aber nicht. Umgekehrt geht gar nichts.
Ganz schön verwirrend aber trotzdem so interessant, dass man den Kopf nicht in den Sand stecken mag.
Chris
Er hört mich, ich ihn aber nicht. Umgekehrt geht gar nichts.
Das liegt an den Random Ports bei SIP bzw. RTP. Sieh dir einfach das Firewall Log an was dort in Sachen SIP und RTP beblockt wird und gib das frei. Damit kommt dann VoIP zum Fliegen.Am sinnvollsten ist es du aktivierst STUN mit deinem SIP provider, dann kann man den ganzen Aufwand der FW customizing umgehen.
Die pfSense Doku hat dort hilfreiche Tips:
https://doc.pfsense.org/index.php/VoIP_Configuration
Also wenn ich das VOIP-Tele anrufe kommt in den Firewall-Logs unter SOURCE eine IP mit dem Port 5060.
Wenn ich mit dem VOIP-Tele jemanden anrufe, wird nichts gelogt.
Sorry wegen meinem Dilettantismus, bin echt nicht auf der Höhe in Sachen Netzwerk.
Wenn ich mit dem VOIP-Tele jemanden anrufe, wird nichts gelogt.
Sorry wegen meinem Dilettantismus, bin echt nicht auf der Höhe in Sachen Netzwerk.
Beachte unbedingt die Tips die hier bei Configure pfSense firewall/NAT rules stehen.
https://doc.pfsense.org/index.php/Asterisk_VoIP
Dein SIP Provider will ja das VoIP Gateway erreichen (deine FB). Also sendet er einen SIP Request. Der landet jetzt aber an deiner Firewall bzw. deren WAN IP.
Die macht aber das was eine gute Firewall eben macht und sagt Du kommst hier nicht rein....kann ja der kommen.
Fazit: Du musst 2 Regeln erzeugen:
https://doc.pfsense.org/index.php/Asterisk_VoIP
Also wenn ich das VOIP-Tele anrufe kommt in den Firewall-Logs unter SOURCE eine IP mit dem Port 5060
Ja das ist klar und auch logisch !!Dein SIP Provider will ja das VoIP Gateway erreichen (deine FB). Also sendet er einen SIP Request. Der landet jetzt aber an deiner Firewall bzw. deren WAN IP.
Die macht aber das was eine gute Firewall eben macht und sagt Du kommst hier nicht rein....kann ja der kommen.
Fazit: Du musst 2 Regeln erzeugen:
- 1.) Lasse den SIP Zugang von ANY auf die WAN IP der pfSense zu !
- 2.) Erzeuge ein Port Forwarding von SIP auf die interne IP Adresse der FB (VoIP Gateway)
Ich weiß zwar nicht genau wie ich das mache, aber ich versuche es einfach mal.
Ich gehe zu den FW-Regeln und erstell eine Neue.
Action = pass
Interface = WAN
Protocol = UDP
SOURCE = any
Destination port range = from other Port 5060
Ist das richtig so?
Ich gehe zu den FW-Regeln und erstell eine Neue.
Action = pass
Interface = WAN
Protocol = UDP
SOURCE = any
Destination port range = from other Port 5060
Ist das richtig so?
ich trage bestimmt zur allgemeinen Belustigung bei, oder?Naja, ich habe mich jetzt auch an das Portforwarding gemacht:
Interface = WAN
Protocol = UDP
Destination = WAN
Type WAN address
Destination Port Range = hab ich from other und Port 5060 reingesetzt. Nach dem Speichern steht da nur from SIP ohne Port
Redirect target IP = IP der FP (VOIP-Gateway)
Redirect target Port = hab ich wieder mal "other" und Port 5060 eingetragen. Nach dem Speichern steht da nur noch SIP
Funktioniert aber immer noch nicht. Wahrscheinlich habe was falsch gemacht, oder ?
Gelogt wird jedenfalls nichts mehr wenn ich mich auf das VOIP-Tele anrufe. Es klingelt halt nur nicht.
ich trage bestimmt zur allgemeinen Belustigung bei, oder?
Nein. Bleib gelassen. Ist ein häufiges Problem bei VoIP mit seinen dynamischen Ports. Hier gibt es weitaus Sinnfreieres zu lesen manchmal Protocol UDP ist falsch ! SIP nutzt immer TCP !!
Das kann man aber ergoogeln und steht auch in den o.a. Dokus !
Destination WAN ist ebenso falsch ! Die Destination des incoming SIP Requests vom Provider (Anruf von außen) ist doch immer deine WAN Adress der FW ! Was anderes "sieht" der Provider ja nicht von deinem Netz ! Logisch !
Nach dem Speichern steht da nur from SIP
Ist richtig ! pfSense ist so intelligent bekannte Port Nummern mit der für Menschen lesbaren Bezeichnung zu ersetzen Funktioniert aber immer noch nicht.
Kein Wunder, du hast ja auch nur einen Schritt ausgeführt ! Oben stand aber das es 2 erfordert !Einmal die Firewall Regel zu erlauben das incoming SIP Pakete die WAN IP Adresse erreichen dürfen (Pass) !!
Zum zweiten die Port Forwarding Regel das diese Pakete dann auf die interne IP der FB (VoIP Gateway) weitergeleitet werden (Port Forwarding)
Du musst also zwei Schritte umsetzen !
Schliess im Zweifel einen Wireshark Sniffer an dein internes Netz und checke ob die Firewall diese externen SIP Pakete korrekt an die FB weiterreicht intern.
Dazu kannst du testeweise die FB abklemmen und den Wireshark PC mit der identischen internen IP Adresse der FB anschliessen.
So gaukelst du der pfSense die FB vor kannst aber genau sehen was von außen an SIP und RTP bei der durch den Wireshark gefakten FB ankommt !
Wie gesagt dir fehlt ein Schritt in den Firewall bzw. NAT Regeln !
Du hast echt eine Engelsgeduld!
Ich glaube, ich muss mir nun erst mal ein wenig Grundlagen-Input aus dem Netz holen, bevor dir der Geduldsfaden reißt.
Ich kann nur die Felder ausfüllen, die Du mir gerade beschrieben hast. Alle anderen Felder, z.B. Source sind Böhmische Dörfer für mich.
Ich schmeiß die ganzen Begriffe wie, Source, Destination usw. immer durcheinander.
Ich weiß jetzt, dass ich eine Firewall-Regel erstellen muss, die SIP erlaubt die Firewall zu passieren.
Diese Regel erstelle ich so:
Firewall Regeln
Action = Pass
Interface = WAN
Protokoll = TCP
Source Weiß ich nicht
Destination = WAN address
Destination port range from + to = SIP
Wenn ich Source wüßte, würde ich speichern und Schritt 1 wäre gemacht.
NAT/Port Forward
No RDR (NOT) Weiß ich nicht
Interface = WAN
Protokoll = TCP
Source = Weiß ich nicht
Source Port range = Weiß ich nicht
Destination = WAN address
Destination port range from + to = SIP
Redirect target IP = IP von der FB(VOIP-Gateway)
Redirect port = SIP
No XMLRPC Sync = Weiß ich nicht
NAT reflection = Weiß ich nicht
Filter rule association = Weiß ich nicht
Ganz schön viel "Weiß ich nicht"
Viele Grüße
Chris
Ich glaube, ich muss mir nun erst mal ein wenig Grundlagen-Input aus dem Netz holen, bevor dir der Geduldsfaden reißt.
Ich kann nur die Felder ausfüllen, die Du mir gerade beschrieben hast. Alle anderen Felder, z.B. Source sind Böhmische Dörfer für mich.
Ich schmeiß die ganzen Begriffe wie, Source, Destination usw. immer durcheinander.
Ich weiß jetzt, dass ich eine Firewall-Regel erstellen muss, die SIP erlaubt die Firewall zu passieren.
Diese Regel erstelle ich so:
Firewall Regeln
Action = Pass
Interface = WAN
Protokoll = TCP
Source Weiß ich nicht
Destination = WAN address
Destination port range from + to = SIP
Wenn ich Source wüßte, würde ich speichern und Schritt 1 wäre gemacht.
NAT/Port Forward
No RDR (NOT) Weiß ich nicht
Interface = WAN
Protokoll = TCP
Source = Weiß ich nicht
Source Port range = Weiß ich nicht
Destination = WAN address
Destination port range from + to = SIP
Redirect target IP = IP von der FB(VOIP-Gateway)
Redirect port = SIP
No XMLRPC Sync = Weiß ich nicht
NAT reflection = Weiß ich nicht
Filter rule association = Weiß ich nicht
Ganz schön viel "Weiß ich nicht"
Viele Grüße
Chris
Ich glaube, ich muss mir nun erst mal ein wenig Grundlagen-Input aus dem Netz hole
Wäre nicht das Falscheste Alle anderen Felder, z.B. Source sind Böhmische Dörfer für mich.
Mmmhhh. nicht gut für die Festigkeit des Gedultsfadens....Ich schmeiß die ganzen Begriffe wie, Source, Destination usw. immer durcheinander.
Gar nicht gut für den Gedultsfaden... Im Ernst...ein wenig mehr Grundlagen könnte ncht schaden. Du solltest minimalst wissen was eine Source- und Destination IP Adresse ist UND was ein Source- und Destination Port (TCP/UDP) ist. Sonst wirds wirklich hart hier...
So sollte es aussehen:
Firewall Regeln
Action = Pass
Interface = WAN
Protokoll = TCP
Source Weiß ich nicht = Hier any eingeben ! Das ist die Provider IP. Die kann sich ändern, du kennst sie nicht, also "any".
Destination = WAN address
Destination port range from + to = SIP
Soweit richtig !
VoIP besteht aber nicht nur aus SIP (Session Intitiation Protocoll) sondern auch aus RTP. RTP transportiert die eigentlichen Sprachdaten. SIP ist nur für den Verbindungsaufbau ! Laienhaft gesprochen: SIP ist deine Wählscheibe oder Tastatur, RTP der Teleonhörer mit Mikrofon und Lautsprecher
Du solltest obiges also noch identisch für RTP machen.
Forwarding Rule:
NAT/Port Forward
No RDR (NOT) Weiß ich nicht = kein Haken, leer lassen, ist wenn gesetzt die Negierung (NOT=Englisch=Nein) dieser Regel !
Interface = WAN
Protokoll = TCP
Source = Weiß ich nichthier wieder any (Provider IP)
Source Port range = Weiß ich nicht = Hier auch any, denn der Source Port ist Random
Destination = WAN address
Destination port range from + to = SIP
Redirect target IP = IP von der FB(VOIP-Gateway)
Redirect port = SIP
No XMLRPC Sync = Weiß ich nicht =default lassen
NAT reflection = Weiß ich nicht= default lassen
Filter rule association = Weiß ich nicht= default lassen
Hab auch eine Weile gebraucht eine 7170 zum laufen zu bringen. Ich hab einen screenshot auf https://www.godo.ch/index.php/2014/01/16/isdn-voip-mit-fritzbox-und-pfse ... wo du siehst wie die FW Regeln aussehen sollten. Damit gehen 2 Linien gleichzeitig ohne Problem.
Hallo zusammen,
ich glaube durch meine viele Rumprobiererei habe ich den Provider geweckt.
Als ich gestern MEINE FB 7490 wieder als DSL-Router an den Anschluss gehängt habe, damit wir wieder ein Telefon haben, hat sie etwas vom Provider geladen und sich neu verbunden.
Jedenfalls stand das im Internet-Log.
Als ich heute morgen wieder meinen Versuchsaufbau mit pfsense als DSL-Router an den Anschluß hing, kam keine Verbindung zu Stande.
Hab alles versucht. Also habe ich die Fritzbox wieder als DSL-Router drangehängt und schon war die Verbindung da. Sehr merkwürdig!
Jetzt habe ich mich erstmal gebeugt und habe mein Netzwerk mit Fritzbox7490 vor der pfsense aufgebaut.
Also hat sich das VOIP-Problem erstmal erledigt.
Trotzdem habe ich dank aqui jede Menge dazu gelernt und dafür noch mal vielen Dank!
@wonderli: Deinen Screenshot habe ich mir gleich notiert und ich werde die Einstellung auf jeden Fall testen, sobald ich meinen ursprünglichen Aufbau wieder realisieren kann.
Aufgegeben habe ich das auf jeden Fall noch nicht, weil mir die FB vor der pfsense gar nicht gefällt.
Viele Grüße an Alle und frohes schaffen morgen...
ich glaube durch meine viele Rumprobiererei habe ich den Provider geweckt.
Als ich gestern MEINE FB 7490 wieder als DSL-Router an den Anschluss gehängt habe, damit wir wieder ein Telefon haben, hat sie etwas vom Provider geladen und sich neu verbunden.
Jedenfalls stand das im Internet-Log.
Als ich heute morgen wieder meinen Versuchsaufbau mit pfsense als DSL-Router an den Anschluß hing, kam keine Verbindung zu Stande.
Hab alles versucht. Also habe ich die Fritzbox wieder als DSL-Router drangehängt und schon war die Verbindung da. Sehr merkwürdig!
Jetzt habe ich mich erstmal gebeugt und habe mein Netzwerk mit Fritzbox7490 vor der pfsense aufgebaut.
Also hat sich das VOIP-Problem erstmal erledigt.
Trotzdem habe ich dank aqui jede Menge dazu gelernt und dafür noch mal vielen Dank!
@wonderli: Deinen Screenshot habe ich mir gleich notiert und ich werde die Einstellung auf jeden Fall testen, sobald ich meinen ursprünglichen Aufbau wieder realisieren kann.
Aufgegeben habe ich das auf jeden Fall noch nicht, weil mir die FB vor der pfsense gar nicht gefällt.
Viele Grüße an Alle und frohes schaffen morgen...
Oha...."was vom Provider geladen" ??!! Das sollte dir aber schwer zu denken geben wenn ein Gerät an deinem Hausanschluss sowas macht.
Wer weiss was die sonst noch alles an deinem Anschluss machen ??
Das riecht nach TR-069
http://de.wikipedia.org/wiki/TR-069
Das solltest du immer zwingend abschalten im Setup !
Tip: Besorg dir ein einfaches DSL Modem von eBay für ein paar Euro was du unabhängig an die pfSense klemmen kannst so kannst du unabhängig von deiner FB den Providerzugang testen !!
Wer weiss was die sonst noch alles an deinem Anschluss machen ??
Das riecht nach TR-069
http://de.wikipedia.org/wiki/TR-069
Das solltest du immer zwingend abschalten im Setup !
Also habe ich die Fritzbox wieder als DSL-Router drangehängt und schon war die Verbindung da. Sehr merkwürdig!
Das ist technisch unmöglich ! Da hast du vermutlich einen Fehler in der Konfig gemacht. Was sagt das pfSense Log ???Jetzt habe ich mich erstmal gebeugt und habe mein Netzwerk mit Fritzbox7490 vor der pfsense aufgebaut.
Müsste nicht sein wenn man alles richtig macht !Also hat sich das VOIP-Problem erstmal erledigt.
Traurig...gelöst ist es ja nicht wirklich für dich ?!Tip: Besorg dir ein einfaches DSL Modem von eBay für ein paar Euro was du unabhängig an die pfSense klemmen kannst so kannst du unabhängig von deiner FB den Providerzugang testen !!
Hi aqui,
danke für den Tipp mit TR069. Ich habe es gerade via telnet gecheckt. Ergebnis: 0
Dann verstehe ich das nicht so ganz. Habe echt einiges versucht die pfsense zum Verbindungsaufbau zu bewegen,
Benutzerdaten habe ich zur Sicherheit auch 3 oder 4 mal neu eingegeben. Die wollte einfach nicht.
Blöder Zufall, wenn man dann die FB einsteckt, dass sich sich gleich verbindet.
Wegen dem DSL-Modem...
Also, ich will nachher oder morgen eh noch mal ein bisschen shoppen. Auf der Einkaufsliste steht :
1 einfaches DSL-Modem
1 MINI-PC-System - Der große Rechner, auf dem die pfsense nun läuft, friss mir zu viel und ist entschieden zu laut.
1 schneller Switch
Wenn ich das alles habe, dann werde ich die ganze Sache von neuem angehen.
Am Samstag hatte ich die "Sense" schon soweit, dass ich nach draußen ein ganz normales Telefonat führen konnte. Also beide Teilnehmer haben sich gehört.
Eingehende Anrufe kamen nicht durch. Im Log zeigte sich, dass immer noch der Port 5060 geblockt wurde.
Viele Grüße
Chris
danke für den Tipp mit TR069. Ich habe es gerade via telnet gecheckt. Ergebnis: 0
Dann verstehe ich das nicht so ganz. Habe echt einiges versucht die pfsense zum Verbindungsaufbau zu bewegen,
Benutzerdaten habe ich zur Sicherheit auch 3 oder 4 mal neu eingegeben. Die wollte einfach nicht.
Blöder Zufall, wenn man dann die FB einsteckt, dass sich sich gleich verbindet.
Wegen dem DSL-Modem...
Also, ich will nachher oder morgen eh noch mal ein bisschen shoppen. Auf der Einkaufsliste steht :
1 einfaches DSL-Modem
1 MINI-PC-System - Der große Rechner, auf dem die pfsense nun läuft, friss mir zu viel und ist entschieden zu laut.
1 schneller Switch
Wenn ich das alles habe, dann werde ich die ganze Sache von neuem angehen.
Am Samstag hatte ich die "Sense" schon soweit, dass ich nach draußen ein ganz normales Telefonat führen konnte. Also beide Teilnehmer haben sich gehört.
Eingehende Anrufe kamen nicht durch. Im Log zeigte sich, dass immer noch der Port 5060 geblockt wurde.
Viele Grüße
Chris
Moin,
das mit dem Mini-PC ist ja grundsätzlich ok, aber deine Konfig wird dadurch nicht einfacher. Bringe es doch erstmal grundsätzlich zum Laufen.
Und wenn du sowieso shoppen gehen willst kannst du auch die Lösung mit der Routerkaskade anpeilen, da sie im Prinzip ja schon funktionierte:
DSL --> FB7490 --> pfsense --> Switch --> Accesspoint (der stattdessen auf deine Einkaufsliste kommt)
Die FB wickelt dann VOIP ab und in der pfsense brauchts du nichts weiter bzgl. VOIP berücksichtigen. Klar ist das nicht die optimale Konfig, aber dafür eine einfache.
Und wenn alles läuft ersetzt du den PC gegen ein Alix-Board oder dessen Nachfolger oder auch einen Mini-PC (mit 2 oder 3 LAN-Karten!).
Henning
das mit dem Mini-PC ist ja grundsätzlich ok, aber deine Konfig wird dadurch nicht einfacher. Bringe es doch erstmal grundsätzlich zum Laufen.
Und wenn du sowieso shoppen gehen willst kannst du auch die Lösung mit der Routerkaskade anpeilen, da sie im Prinzip ja schon funktionierte:
DSL --> FB7490 --> pfsense --> Switch --> Accesspoint (der stattdessen auf deine Einkaufsliste kommt)
Die FB wickelt dann VOIP ab und in der pfsense brauchts du nichts weiter bzgl. VOIP berücksichtigen. Klar ist das nicht die optimale Konfig, aber dafür eine einfache.
Und wenn alles läuft ersetzt du den PC gegen ein Alix-Board oder dessen Nachfolger oder auch einen Mini-PC (mit 2 oder 3 LAN-Karten!).
Henning
Im Log zeigte sich, dass immer noch der Port 5060 geblockt wurde.
Das ist dann dein Fehler bzw. du hast vergessen eine entsprechende Regel am WAN Port einzurichten Damit die Ungewissheit endlich mal gelöst wird hier das Ergebnis eines kurzen Labortests mit der pfSense und einem VoIP_Adapter_Cisco_SPA_112 (lokale IP: 192.168.1.106) zu einem SIPgate Account.
Zuerst richtet man die NAT Forwarding Regel ein die SIP (TCP/UDP 5060) auf die interne IP des VoIP Adapters vom WAN Port kommend forwardet.
Das ist zwingend notwendig damit eingehende Anrufe ankommen.
Eingehende TCP/UDP Pakete mit SIP Port TCP/UDP 5060 auf die WAN Port IP Adresse der pfSense werden auf die interne IP Adresse 192.168.71.106 (VoIP Adapter) geforwardet.
Die pfSense Firewall erzeugt selbstständig eine dazu entsprechend korrespondierende Firewall Regel für den WAN Port (wenn man das erlaubt, was Default ist) die man im Firewall Ruleset auch überprüfen kann:
Fertisch !
Das wars ! Firewall Log Einträge sind sauber. Ein Testanruf auf der SIPgate Echo Test Telefonnummer (10005) zeigt das das Telefon mit VoIP wunderbar funktioniert !
Achtung:
Besonderheit im o.a. Aufbau ist hier das VOR der pfSense noch ein NAT Router geschaltet ist und bei der pfSense der Haken am WAN Port "Block RFC 1918 IP Networks" entfernt wurde !!
Betreibt man die pfSense mit einem transparenten Modem direkt am Internet (User Zugangsdaten auf der pfSense) muss man zusätzlich zur o.a. Firewall Regel auch noch die RTP Port Ranges mit einer zusätzlichen Regel eingeben wie es der Kollege @wonderli im obigen Thread (URL) als Screenshot geschickt hat !
Hallo aqui,
vielen Dank für die Aufklärung. Ich werde morgen noch mal alles auseinander pflücken und den Aufbau testen.
Bin mal gespannt...
Ich melde mich, wenn es geklappt hat.
Viele Grüße
Chris
vielen Dank für die Aufklärung. Ich werde morgen noch mal alles auseinander pflücken und den Aufbau testen.
Bin mal gespannt...
Ich melde mich, wenn es geklappt hat.
Viele Grüße
Chris
Wir sind gespannt....
Hallo zusammen,
hat ein bisschen gedauert, aber es gibt dafür auch positives zu vermelden.
Habe nach langem Suchen und Probieren meine FB 7490 hinter der pfsense und VOIP funktioniert ohne Probleme.
Hier meine Lösung: (Habe einige Screenshots erstellt. Leider ist es mir auf Anhieb nicht ersichtlich, wie ich die hier rein bekomme)
Unter NAT Port Forward eine Regel für SIP erstellen
Interface: WAN
Protocol: UDP
Source: any
Source Port: any
Destination: WAN address
Destination port range: SIP oder 5060
Redirekt target IP: IP der Fritzbox, die VOIP bereitstellen soll
Redirect target Port: SIP oder 5060
Speichern
Unter NAT Outbound, ganz oben, auf Manual stellen und speichern. Nun sieht man unten eine Auto created rule LAN to WAN.
Diese zum Edieren aufmachen und unter Translation, Static Port einschalten.
Speichern
Dann in die Firewall-Regeln wechseln und auf dem Regelinterface für WAN eine neue Regel einfügen.
Und zwar kommt die über die automatische NAT Regel !
Mit dieser Regel lasst ihr SIP auf die WAN-Schnittstelle
Interface: WAN
Protocol: UDP
Source: any
Source port: any
Destination: WAN address
Destination port range: SIP oder 5060
Speichern und fertig.
Bei mir funktioniert es so einwandfrei.
Gruß
Chris
hat ein bisschen gedauert, aber es gibt dafür auch positives zu vermelden.
Habe nach langem Suchen und Probieren meine FB 7490 hinter der pfsense und VOIP funktioniert ohne Probleme.
Hier meine Lösung: (Habe einige Screenshots erstellt. Leider ist es mir auf Anhieb nicht ersichtlich, wie ich die hier rein bekomme)
Unter NAT Port Forward eine Regel für SIP erstellen
Interface: WAN
Protocol: UDP
Source: any
Source Port: any
Destination: WAN address
Destination port range: SIP oder 5060
Redirekt target IP: IP der Fritzbox, die VOIP bereitstellen soll
Redirect target Port: SIP oder 5060
Speichern
Unter NAT Outbound, ganz oben, auf Manual stellen und speichern. Nun sieht man unten eine Auto created rule LAN to WAN.
Diese zum Edieren aufmachen und unter Translation, Static Port einschalten.
Speichern
Dann in die Firewall-Regeln wechseln und auf dem Regelinterface für WAN eine neue Regel einfügen.
Und zwar kommt die über die automatische NAT Regel !
Mit dieser Regel lasst ihr SIP auf die WAN-Schnittstelle
Interface: WAN
Protocol: UDP
Source: any
Source port: any
Destination: WAN address
Destination port range: SIP oder 5060
Speichern und fertig.
Bei mir funktioniert es so einwandfrei.
Gruß
Chris
Leider ist es mir auf Anhieb nicht ersichtlich, wie ich die hier rein bekomme
Das ist kinderleicht (wenn man mal die FAQs liest )- Unter "Meine Fragen" deinen obigen Originalthread auswählen und auf "Bearbeiten" klicken
- Über die dort sichtbare "Bilder hochladen" funktion deinen Bilder hochladen
- Den dann erscheinenden Bilder URL mit einem Rechtsklick und Copy und Paste hier in jeglichen Text bringen. Auch Antworten
- Dann kommt statt des URLs immer... et voila dein Bild !
Hi aqui,
so, jetzt noch mal kurz mit Screenshots:
Also, um mit einer, hinter der pfsense laufenden Fritz!Box, VOIP zum laufen zu bringen, sind nur wenige Schritte nötig.
Zuerst erstellt man eine NAT-Regel (Port Forward), die so ausschaut. (Genaue Einstellungen stehen in meinem letzten Thread )
Dann geht man auf NAT (Outbound)
Dort setzt man oben den Schalter auf Manual und speichert.
Die dann unten sichtbare Regel " Auto created rule LAN to WAN " muss ediert werden.
Einfach den Schalter unter "Translation -- Static port" einschalten und speichern.
Das sieht dann so aus:
Dann geht man zu den Firewall Regeln und erstellt über der jetzt von der NAT-Regel automatisch erzeugten Firewall-Regel eine neue Regel, die SIP auf die WAN-Schnittstelle lasst.
Die genaue Einstellung steht wieder oben in meinem anderen Thread:
Das ganze sieht dann wieder so aus:
Auf dem Bild erkennt man, dass ich im Eifer des Gefechtes beim protocol "TCP" stehen gelassen habe. Hat trotzdem funktioniert. Mittlerweile ist es auf UDP geändert und funktioniert immer noch.
Ich hoffe, das Setup hält dem strengen Blick der Profis stand.
Viele Grüße und gutes Gelingen...
Chris
so, jetzt noch mal kurz mit Screenshots:
Also, um mit einer, hinter der pfsense laufenden Fritz!Box, VOIP zum laufen zu bringen, sind nur wenige Schritte nötig.
Zuerst erstellt man eine NAT-Regel (Port Forward), die so ausschaut. (Genaue Einstellungen stehen in meinem letzten Thread )
Dann geht man auf NAT (Outbound)
Dort setzt man oben den Schalter auf Manual und speichert.
Die dann unten sichtbare Regel " Auto created rule LAN to WAN " muss ediert werden.
Einfach den Schalter unter "Translation -- Static port" einschalten und speichern.
Das sieht dann so aus:
Dann geht man zu den Firewall Regeln und erstellt über der jetzt von der NAT-Regel automatisch erzeugten Firewall-Regel eine neue Regel, die SIP auf die WAN-Schnittstelle lasst.
Die genaue Einstellung steht wieder oben in meinem anderen Thread:
Das ganze sieht dann wieder so aus:
Auf dem Bild erkennt man, dass ich im Eifer des Gefechtes beim protocol "TCP" stehen gelassen habe. Hat trotzdem funktioniert. Mittlerweile ist es auf UDP geändert und funktioniert immer noch.
Ich hoffe, das Setup hält dem strengen Blick der Profis stand.
Viele Grüße und gutes Gelingen...
Chris
Besser du änderst das in "TCP/UDP" denn laut Protokoll Definition kann SIP beide Enkapsulierungen nutzen. Manche Provider setzen auch dediziert auf TCP. Üblich ist aber in der Regel UDP.
Danke für das gute Feedback das allemal allen strengen Blicken standhält !
Danke für das gute Feedback das allemal allen strengen Blicken standhält !
Meinst Du, es wäre nicht besser, den Source-Port der Firewall-Regel, die SIP auf die WAN-Schnittstelle lässt, auf SIP zu ändern?
Hi, ich habe mich da auch durchgekämpft und bin auch ein Stück mit Deiner Anleitung weitergekommen und habe VoIP hinter der pfSense ohne Scheunentor am laufen.
Ich konnte allerdings einige Dinge weiter eingrenzen und es funktioniert immer noch. Hast Du mal geprüft ob 3. Regel "WAN adress 5060" nötig ist? Geht bei mir ohne diese. Vermute die NAT Regel von WAN 5060 auf 172.1.100.7 wird zuerst ausgeführt und dann greift ja die Regel die die 5060 auf die 172.1.100.7 durchlässt.
Die Outbound Nat Regel für kannst Du meines Erachtens nach auch noch etwas weiter eingrenzen indem du die Adresse der Fritz Box (172.1.100.7) als Source eingibst. Dann beliebt die Verschleierung der anderen Adressen im Subnetz aktiv, zumindest verstehe ich das so. Damit hast Du dann wieder einen kleinen Tick mehr Sicherheit.
Eventuell kann das ja aqui oder eine anderer Pro bestätigen was ich mir so denke.
Tschau und einen guten Abend
12ah34
am laufen.Ich konnte allerdings einige Dinge weiter eingrenzen und es funktioniert immer noch. Hast Du mal geprüft ob 3. Regel "WAN adress 5060" nötig ist? Geht bei mir ohne diese. Vermute die NAT Regel von WAN 5060 auf 172.1.100.7 wird zuerst ausgeführt und dann greift ja die Regel die die 5060 auf die 172.1.100.7 durchlässt.
Die Outbound Nat Regel für kannst Du meines Erachtens nach auch noch etwas weiter eingrenzen indem du die Adresse der Fritz Box (172.1.100.7) als Source eingibst. Dann beliebt die Verschleierung der anderen Adressen im Subnetz aktiv, zumindest verstehe ich das so. Damit hast Du dann wieder einen kleinen Tick mehr Sicherheit.
Eventuell kann das ja aqui oder eine anderer Pro bestätigen was ich mir so denke.
Tschau und einen guten Abend
12ah34
Ist generell richtig ! Allerdings ist Outbound NAT immer aktiv (in Default) und kann man nicht granularer einstellen. Geht auch gar nicht, denn alle Geräte die man vom Outbound NAT ausnimmt kommen dann nicht mehr ins Internet.
Am Outbound NAT muss man also nichts schrauben.
Am Outbound NAT muss man also nichts schrauben.
Oh, Sorry, ich hatte mich falsch ausgedrückt, ich meinte die Konfiguration des statischen Ports für das Outbound Nat. Ich dachte wenn man genau für diesen einen Client 172.1.100.7 Outbound Nat auf statisch stellt, kann die pfSense für die anderen Clients des Subnetzes die Ports verändern. Sorry für die falsche Detailaussage.
Grüße
Grüße
Guten Abend
Ich habe bis jetzt immer nur mitgelesen und auch vieles für mich rausziehen können. Ich stehe da aber jetzt vor einem Problem. Ich habe auch die Konfig mit der Fritz hinter einer pfsense und alles so eingestellt wie es hier beschrieben wurde, wenn mich jemand anruft funktioniert es einwandfrei. Wenn ich anrufe hört mich der Gesprächspartner, ich höre aber nichts (Freizeichen ist da). Wäre klasse wenn mir da einer von den Experten weiterhelfen könnte. Was braucht ihr an Input?
Danke und LG Krissi
Ich habe bis jetzt immer nur mitgelesen und auch vieles für mich rausziehen können. Ich stehe da aber jetzt vor einem Problem. Ich habe auch die Konfig mit der Fritz hinter einer pfsense und alles so eingestellt wie es hier beschrieben wurde, wenn mich jemand anruft funktioniert es einwandfrei. Wenn ich anrufe hört mich der Gesprächspartner, ich höre aber nichts (Freizeichen ist da). Wäre klasse wenn mir da einer von den Experten weiterhelfen könnte. Was braucht ihr an Input?
Danke und LG Krissi
Die Tipps und Tricks unter dem Kapitel "VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:" hast du alle gelesen und entsprechend umgesetzt ??
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Guten Morgen, ja hab ich schon alles probiert (der erste Link ist leider nicht erreichbar). Das Ganze hängt übrigens an einem Telekom Hybrid.
