Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Fritz!Fon über pfsense-VPN: Man hört nichts

Mitglied: ketanest112

ketanest112 (Level 1) - Jetzt verbinden

10.10.2019, aktualisiert 16:39 Uhr, 910 Aufrufe, 10 Kommentare

Hallöchen zusammen,

folgendes Szenario:
Ich habe als Router/Firewall eine pfSense laufen. Meine Fritz!Box habe ich daher zur TK-Anlage kastriert.
VoIP funktioniert im Heimnetz einwandfrei (DECT als auch Fritz!Fon App).
Wenn ich mich jetzt allerdings per VPN auf die pfSense verbinde, kann ich in der Fritz!Fon App zwar alles sehen und machen (auch Anrufe tätigen), nur hört man mich nicht und ich höre den Gegenüber nicht. Kommt ein Anruf rein, klingelt es auch nicht in der App, so wie es das im Heimnetz (WLAN) tut. Über die interne LAN IP komme ich auch auf die Config Seite der FB.

Zur Infrastruktur:
Kein IP-Netz kommt doppelt vor (bereits geprüft).
Da es eine Kabel FB ist, musste ich den Internetzugang über LAN 1 aktivieren (hier hängt die FB über die DMZ an der pfSense), über LAN 2 hängt sie ganz normal im LAN. Bei den Kabel FBs gibt es den Clientmode wohl nicht werksseitig.
Auf der FB ist außer Telefonie nichts eingeschaltet oder konfiguriert (außer eben die IP Adressen).
Der VPN Server erzwingt eine DNS Auflösung durch die pfSense und leitet auch den gesamten Traffic über die VPN Verbindung (IPv4 und IPv6).
Vom VPN-Netz darf man ins LAN und vom LAN auch ins VPN Netz (alle Protokolle, alle Ports), da gibts also keine Einschränkungen.
Sämtliche Dienste im LAN sind nur via IPv4 verfügbar (auf der Fritte ist IPv6 abgeschaltet). Auf der pfSense ist "Track Interface: WAN" für DMZ und LAN aktiviert. Da die Fritte aber kein IPv6 nutzt, sollte es daran nicht liegen (alles andere geht ja).
Die FB ist in der App mit ihrer IP Adresse eingerichtet.

Alle anderen Dienste im LAN sind auch einwandfrei verfügbar.

Habt ihr eine Ahnung, woran das liegen könnte, dass man beim telefonieren nix hört?

Danke schonmal für eure Hilfe!
Ketanest
Mitglied: Spirit-of-Eli
10.10.2019 um 22:55 Uhr
Moin,

das ist völlig normal. Beschäftige dich mit dem Sipproxyd bei der Sense. Diesen benötigst du da sonst keine Sprache über tragen werden kann.

Gruß
Spirit
Bitte warten ..
Mitglied: aqui
11.10.2019, aktualisiert um 10:51 Uhr
Oder setze richtige <Regeln auf dem WAN Port. Das Verhalten zeigt das du falsche Regeln für RTP eingestellt hast. RTP transportiert die Voice Daten.
Lies dir dazu das Kapitel: VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall: im hiesigen pfSense_Tutorial genau durch. Dort steht wie man es richtig macht und wie es sauber funktioniert.
Bitte warten ..
Mitglied: ketanest112
11.10.2019 um 13:21 Uhr
Zitat von aqui:

Oder setze richtige <Regeln auf dem WAN Port. Das Verhalten zeigt das du falsche Regeln für RTP eingestellt hast. RTP transportiert die Voice Daten.
Lies dir dazu das Kapitel: VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall: im hiesigen pfSense_Tutorial genau durch. Dort steht wie man es richtig macht und wie es sauber funktioniert.

Der WAN-Port ist nicht das Problem, wie bereits gesagt, Telefonieren an sich geht ja, nur eben nicht via VPN


Zitat von Spirit-of-Eli:

Moin,

das ist völlig normal. Beschäftige dich mit dem Sipproxyd bei der Sense. Diesen benötigst du da sonst keine Sprache über tragen werden kann.

Gruß
Spirit

Danke, das werd ich mir mal ansehen!
Bitte warten ..
Mitglied: aqui
12.10.2019, aktualisiert um 13:05 Uhr
nur eben nicht via VPN
Dann stimmen dort am VPN Interface deine Firewall Regeln nicht !
Setz doch hier mal "Scheunentor Regeln" Sprich alles any zu any * *. Das sollte in jedem Falle klappen !
Details zur FB Voice VPN Kopplung auch hier
https://www.heise.de/ct/ausgabe/2015-6-Tk-Anlagen-mehrerer-Fritzboxen-mi ...
Bitte warten ..
Mitglied: ketanest112
17.10.2019, aktualisiert um 18:21 Uhr
Hallo zusammen,

siproxd hat nichts gebracht im Gegenteil. Mit Siproxd konnte ich mich in der App nicht mal mehr auf die FB verbinden (über VPN).

Die erwähnten Tutorials beziehen sich alle darauf, eine FB hinter einer pfSense zu betreiben. Das an sich funktioniert ja bei mir auch, in sofern leider keine große Hilfe.

@aqui: Ich habe (wie auch bereits geschrieben in meinem ersten Post) schon Scheunentor Regeln , es gibt je eine Regel LAN -> any -> VPN und VPN -> any -> LAN. any im Sinne von:
IPv4 UND IPv6
Protocol: any
source: LAN/VPN/any, destination: VPN/LAN/any (alle Kombinationen durch, und JA, ich habs auf den richtigen Interfaces eingerichtet).
EDIT: Floating Rules gibt es keine relevanten.

Die Verbindung zur FB an sich klappt ja auch, auch kann ich Anrufe tätigen. Man hört nur nix, wie schon gesagt. Ich hatte auch zuerst auf irgendwelche Protokolle/Ports getippt aber da ich die Scheunentor-Regel eingebaut habe bin ich verwundert, dass es immernoch nicht geht.
Ein weiterer Sachverhalt, der mir aufgefallen ist: Wenn ich das Gespräch (in dem man ja nix hört ) über die App beende, wird der Anruf auch beim externen Teilnehmer beendet. Beende ich das Gespräch aber von extern, zeigt mir die App weiterhin eine Gesprächsverbindung an.

Grüße
Ketanest
Bitte warten ..
Mitglied: aqui
17.10.2019, aktualisiert um 18:34 Uhr
eine FB hinter einer pfSense zu betreiben. Das an sich funktioniert ja bei mir auch, in sofern leider keine große Hilfe.
Wenn du sie VOR der pfSense betreibst also als Router Kaskade mit nachgeordneter pfSense dann brauchst du doch überhaupt keine Regeln.
Wo ist denn dann dein wirkliches Problem ??
In so einer Konstellation muss man nur sämtliche VoIP Funktionen der FB totlegen. Da sie ja selber VoIP Gateway ist würde sie sonst "denken" alle eingehenden VoIP Pakete sind für sie selber und diese dann nicht weiterleiten.
Eine FB als "Durchlauferhitzer" VOR der pfSense ist dann so oder so Unsinn. Ein reines NUR Modem wäre da viel sinnvoller. Das aber nur nebenbei.
Du musst dafür sorgen das die FB alle RTP Pakete weiterreicht. Die Voice Daten selber werden per RTP transportiert. Hört man einseitig nichts dann wird entweder der Sende- oder Empfangs RTP Strom gefiltert.
zeigt mir die App weiterhin eine Gesprächsverbindung an.
Zeigt auch das die SIP Signalisierung nicht richtig funktioniert. SIP ist nur für den Verbindungsaufbau zuständig.
Fazit: Es sieht so aus als ob die FB vor der pfSense weiter denkt sie ist VoIP Gateway und diese SIP und RTP Pakete nicht weiterleitet.
Nimm einen Wireshark Sniffer und sieh dir das mal genau an !
Du kannst das ja auch ganz einfach testen wenn du mal ein Softphone wie den Phoner oder Phoner Light:
http://phoner.de/index.htm
https://lite.phoner.de/index_de.htm
Auf dem Wireshark Laptop installierst. Den hängst du dann ins Koppelnetz zw. FB und pfSense und konfigurierst sie mit deinen SIP Credentials.
Wenn du damit einen Call aufbaust sollte ja das gleiche passieren wenn die FB das nicht richtig weiterreicht.
Wenn du parallel den Kabelhai mitlaufen lässt kannst du genau sehen woran es scheitert.
Knackpunkt ist der überflüssige Voice Router davor.
Bitte warten ..
Mitglied: ketanest112
17.10.2019, aktualisiert um 18:51 Uhr
Also meine Konstellation (ich "zeichne" es mal so gut es geht auf), die Fritte steht HINTER der pfSense:

EDIT: Okay, das mit dem Zeichnen funktioniert nicht^^
Hier kurz als Screenshot:

2019-10-17 18_50_28-start - Klicke auf das Bild, um es zu vergrößern

Muss so sein, da es eine Kabel Fritte ist und es somit mit aktueller Firmware nicht wie bei DSL-Boxen die Möglichkeit gibt, sie im Clientmode zu betreiben. Daher muss ich "Internet über LAN1" aktivieren. Mit diesem Interface hängt sie in der DMZ, mit LAN2 (also auch dem "LAN der Fritz!Box") im eigentlichen LAN. Die SIP Verbindung nach draußen läuft also übers DMZ-Netz, die Verbindung "innen", sprich auch das VoIP-GW für die App übers LAN.
Vielleicht ist es jetzt etwas verständlicher geworden.

Und das wirkliche Problem ist, dass man eben beim Anrufen via VPN nix hört, was mich wie gesagt verwundert wegen Scheuentor und so.
Telefonieren, wenn das Handy im WLAN eingebucht ist (sprich im LAN-Netz) funktioniert wunderbar (ein- und ausgehend).
Der VPN Tunnel selbst (OpenVPN) läuft über TCP aber das sollte ja eigentlich nicht das Problem sein oder, weil SIP bzw. RTP ja frühestens auf Layer 4 bzw. Layer 5 arbeiten.

Grüße
Ketanest
Bitte warten ..
Mitglied: aqui
17.10.2019 um 19:15 Uhr
die Fritte steht HINTER der pfSense:
Jetzt mit einmal doch weider dahinter...Verwirrung komplett. Gut, die Zeichnung klärt das nun.
Dann bleibt es beim Regelwerk.
  • Was ist "FC" ?? FC Bayern...
  • Ist das FC Modem wirklich ein reines Modem ? Sprich die Internet IP ist auf der pfSense direkt terminiert ?
Das was du hinter LAN1 und LAN2 angegeben hast sind keine IP Netze sondern Endgeräte Adressen
Es fehlen auch die Subnetzmasken dazu. Wie sind diese IP Hostadressen zu verstehen ?
Nur mal doof nachgefragt:
Die FB hängt doch wohl hoffentlich nicht als "Backdoor" Router mit dem WAN Port im DMZ Netz und mit dem LAN im lokalen LAN der pfSense ?? Das wäre ja tödlich und ein krankes Laiendesign was nicht Standard konform wäre.
Vom Sicherheit mal gar nicht zu reden.
Dir ist hoffentlich schon klar das man die FB sofern man sie als reine Telefonanlage betreibt auch stinknormal einbeinig anschliessen kann was hier weitaus sinnvoller ist.
So hebelst du ja dein komplettes Firewall Design aus. Sollte die FB wirklich so gruselig verschaltet sein ?!
Bitte warten ..
Mitglied: ketanest112
17.10.2019 um 20:59 Uhr
Sorry, mein Fehler.
FC = Fibre Channel, also Glasfaser. Ja ist ein reines Modem, die WAN IP ist auf der pfSense terminiert, die baut auch die PPPoE Verbindung etc. auf.
Richtig, die Adressen bei LAN1 und LAN2 sind keine Netze, das sind die IP Adressen der Fritte (LAN1 und LAN2 sind halt die physischen Ports, daher zum leichteren Verständnis so geschrieben). Alle Netze sind sämtlicherweise 24-bit Netze.
Nein, die Fritte ist kein Backdoor, Router. Sie hängst zwar wie du sagst mit WAN Port (auf LAN1) in der DMZ und mit dem LAN (Ports LAN2-4, bei mir LAN2) im lokalen LAN der pfSense. Ich hab das Routing aber quasi abgeschaltet (unter Internet -> Filter -> Kindersicherung hat standardmäßig kein Gerät Zugriff aufs Internet, das macht ja die pfSense).
Und wie bereits gesagt: Nein, man kann Kabel-Fritz!Boxen eben NICHT einbeinig anschließen. Alle anderen ja (im sogenannten Client-Mode), nur bei Kabel Boxen geht das leider nicht (zumindest nicht ohne Firmware-Crack, daher: ja, sie muss leider so gruselig verschaltet sein aber ich hebel meine Firewall nicht aus, da die Fritte ja nicht als Standard-Gateway fungieren kann (da sie ja nichts weiter Routet).

Gruß
Ketanest
Bitte warten ..
Mitglied: aqui
18.10.2019, aktualisiert um 11:39 Uhr
FC = Fibre Channel, also Glasfaser
Sorry, aber das ist doch technischer Blödsinn, denn Fibre Channel ist ein Storage Protokoll zur Anbindung an SAN Systeme und hat mit Ethernet oder IP nicht das Geringste zu tun:
https://de.wikipedia.org/wiki/Fibre_Channel
Über was reden wir hier also ??
Du beschreibst eine Rakete in Wahrheit redest du aber über einen Tretroller. Verwirrung komplett...
Sie hängst zwar wie du sagst mit WAN Port (auf LAN1) in der DMZ und mit dem LAN (Ports LAN2-4, bei mir LAN2) im lokalen LAN der pfSense
Bei so einem Gruseldesign müssen wir hier sicher nicht weiterreden. Damit erzeugst du einen Routing Loop. Netzwerk technisch völliger Unsinn die so anzuschliessen....aber egal.
Fibre Channel, 24 Bit Netze...da verliert man langsam komplett den Überblick in welchem Film man eigentlich ist.
Bitte warten ..
Ähnliche Inhalte
Firewall
PFsens Open VPN Verbindung
Frage von OSelbeckFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

ISDN & Analoganschlüsse
FRITZ!fon: Protokollfehler Ebene 1
gelöst Frage von honeybeeISDN & Analoganschlüsse23 Kommentare

Hallo, beim Versuch, in FRITZ!fon eine Nummer zu wählen, kommt immer die Meldung Protokollfehler Ebene 1 (z. B. ISDN-Anschlusskabel ...

TK-Netze & Geräte

Fritz!App Fon auf schnurgebundenem Telephon

Frage von SarekHLTK-Netze & Geräte15 Kommentare

Hallo zusammen, AVM hat ja leider kein einziges schnurgebundenes Telephon im Sortiment - aber es gibt ja auf der ...

Netzwerkmanagement

Fritz VPN oder QNAP VPN?

Frage von AturdentNetzwerkmanagement5 Kommentare

Hallo, ich benötige Hilfe beim Setup einer VPN-Verbindung. Ich habe 2 Standorte in unterschiedliche Städten. Einer hat eine feste ...

Neue Wissensbeiträge
Microsoft
The Premier Field Engineering Blog is MOVING!
Information von Dani vor 6 StundenMicrosoft

Hello to all of our AWESOME readers that have helped us build the Premier Field Engineering TechCommunity blog up ...

Sicherheit
Alexa un Co. TU-Darmstadt entwickelt Anti-Spy Tool
Information von the-buccaneer vor 1 TagSicherheit3 Kommentare

Moinsen! HR-Info hatte heute ein Feature in dem das "LeakyPick" der TH-Darmstadt vorgestellt wurde. Das Tool existiert bisher nur ...

Linux Tools
Rsync datenvolumen reduzieren mit -fuzzy
Anleitung von NetzwerkDude vor 3 TagenLinux Tools

Moin, aus der Kategorie "Häufig übersehene Parameter": Meistens benutzt kaum jemand den fuzzy Parameter von rsync, und er taucht ...

Sicherheit

Citrix ADC, Gateway u. SD-Wan: Schwachstellen patchen

Information von kgborn vor 5 TagenSicherheit

Keine Ahnung, wie viele Admins von Citrix-Applicances hier unterwegs sind und ob die Versorgung mit Advisories klappt. Aber im ...

Heiß diskutierte Inhalte
Windows Server
Anmelden via RDP bringt "Passwort fehlerhaft" - lokale Anmeldung möglich
Frage von it-froschWindows Server21 Kommentare

Hallo Kollegen, Windows Server 2012 Wir haben einen Server, an dem wir uns mit einem lokalen Account anmelden. Die ...

Festplatten, SSD, Raid
Backup einer an die FRITZBox angeschlossenen Festplatte
Frage von DJ-KeyFestplatten, SSD, Raid19 Kommentare

Habe eine Frstplatte, die mehrere Partitionen beherbergt. Die Festplatte die an der FRITZ!Box als NAS dient ist schon älter ...

Exchange Server
Exchange CAL Lizenzen?
gelöst Frage von KleinProfiExchange Server16 Kommentare

Hallo Jungs, wir sind in der Firma 10 Mann, haben aber auf dem Exchange 15 Postfächer bzw. 15 User ...

Mac OS X
Komische Namen und Dateiendungen
gelöst Frage von Michael71Mac OS X14 Kommentare

Moin zusammen, wir haben in unserer Firma nur Mac Rechner und Speichern unsere Daten in einer Senology Nas worauf ...