ketanest112
Goto Top

Fritz!Fon über pfsense-VPN: Man hört nichts

Hallöchen zusammen,

folgendes Szenario:
Ich habe als Router/Firewall eine pfSense laufen. Meine Fritz!Box habe ich daher zur TK-Anlage kastriert.
VoIP funktioniert im Heimnetz einwandfrei (DECT als auch Fritz!Fon App).
Wenn ich mich jetzt allerdings per VPN auf die pfSense verbinde, kann ich in der Fritz!Fon App zwar alles sehen und machen (auch Anrufe tätigen), nur hört man mich nicht und ich höre den Gegenüber nicht. Kommt ein Anruf rein, klingelt es auch nicht in der App, so wie es das im Heimnetz (WLAN) tut. Über die interne LAN IP komme ich auch auf die Config Seite der FB.

Zur Infrastruktur:
Kein IP-Netz kommt doppelt vor (bereits geprüft).
Da es eine Kabel FB ist, musste ich den Internetzugang über LAN 1 aktivieren (hier hängt die FB über die DMZ an der pfSense), über LAN 2 hängt sie ganz normal im LAN. Bei den Kabel FBs gibt es den Clientmode wohl nicht werksseitig.
Auf der FB ist außer Telefonie nichts eingeschaltet oder konfiguriert (außer eben die IP Adressen).
Der VPN Server erzwingt eine DNS Auflösung durch die pfSense und leitet auch den gesamten Traffic über die VPN Verbindung (IPv4 und IPv6).
Vom VPN-Netz darf man ins LAN und vom LAN auch ins VPN Netz (alle Protokolle, alle Ports), da gibts also keine Einschränkungen.
Sämtliche Dienste im LAN sind nur via IPv4 verfügbar (auf der Fritte ist IPv6 abgeschaltet). Auf der pfSense ist "Track Interface: WAN" für DMZ und LAN aktiviert. Da die Fritte aber kein IPv6 nutzt, sollte es daran nicht liegen (alles andere geht ja).
Die FB ist in der App mit ihrer IP Adresse eingerichtet.

Alle anderen Dienste im LAN sind auch einwandfrei verfügbar.

Habt ihr eine Ahnung, woran das liegen könnte, dass man beim telefonieren nix hört?

Danke schonmal für eure Hilfe!
Ketanest

Content-ID: 503086

Url: https://administrator.de/forum/fritzfon-ueber-pfsense-vpn-man-hoert-nichts-503086.html

Ausgedruckt am: 22.12.2024 um 06:12 Uhr

Spirit-of-Eli
Spirit-of-Eli 10.10.2019 um 22:55:55 Uhr
Goto Top
Moin,

das ist völlig normal. Beschäftige dich mit dem Sipproxyd bei der Sense. Diesen benötigst du da sonst keine Sprache über tragen werden kann.

Gruß
Spirit
aqui
aqui 11.10.2019 aktualisiert um 10:51:08 Uhr
Goto Top
Oder setze richtige <Regeln auf dem WAN Port. Das Verhalten zeigt das du falsche Regeln für RTP eingestellt hast. RTP transportiert die Voice Daten.
Lies dir dazu das Kapitel: VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall: im hiesigen pfSense_Tutorial genau durch. Dort steht wie man es richtig macht und wie es sauber funktioniert.
ketanest112
ketanest112 11.10.2019 um 13:21:44 Uhr
Goto Top
Zitat von @aqui:

Oder setze richtige <Regeln auf dem WAN Port. Das Verhalten zeigt das du falsche Regeln für RTP eingestellt hast. RTP transportiert die Voice Daten.
Lies dir dazu das Kapitel: VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall: im hiesigen pfSense_Tutorial genau durch. Dort steht wie man es richtig macht und wie es sauber funktioniert.

Der WAN-Port ist nicht das Problem, wie bereits gesagt, Telefonieren an sich geht ja, nur eben nicht via VPN


Zitat von @Spirit-of-Eli:

Moin,

das ist völlig normal. Beschäftige dich mit dem Sipproxyd bei der Sense. Diesen benötigst du da sonst keine Sprache über tragen werden kann.

Gruß
Spirit

Danke, das werd ich mir mal ansehen!
aqui
aqui 12.10.2019 aktualisiert um 13:05:21 Uhr
Goto Top
nur eben nicht via VPN
Dann stimmen dort am VPN Interface deine Firewall Regeln nicht !
Setz doch hier mal "Scheunentor Regeln" Sprich alles any zu any * *. Das sollte in jedem Falle klappen !
Details zur FB Voice VPN Kopplung auch hier
https://www.heise.de/ct/ausgabe/2015-6-Tk-Anlagen-mehrerer-Fritzboxen-mi ...
ketanest112
ketanest112 17.10.2019 aktualisiert um 18:21:08 Uhr
Goto Top
Hallo zusammen,

siproxd hat nichts gebracht im Gegenteil. Mit Siproxd konnte ich mich in der App nicht mal mehr auf die FB verbinden (über VPN).

Die erwähnten Tutorials beziehen sich alle darauf, eine FB hinter einer pfSense zu betreiben. Das an sich funktioniert ja bei mir auch, in sofern leider keine große Hilfe.

@aqui: Ich habe (wie auch bereits geschrieben in meinem ersten Post) schon Scheunentor Regeln face-wink, es gibt je eine Regel LAN -> any -> VPN und VPN -> any -> LAN. any im Sinne von:
IPv4 UND IPv6
Protocol: any
source: LAN/VPN/any, destination: VPN/LAN/any (alle Kombinationen durch, und JA, ich habs auf den richtigen Interfaces eingerichtet).
EDIT: Floating Rules gibt es keine relevanten.

Die Verbindung zur FB an sich klappt ja auch, auch kann ich Anrufe tätigen. Man hört nur nix, wie schon gesagt. Ich hatte auch zuerst auf irgendwelche Protokolle/Ports getippt aber da ich die Scheunentor-Regel eingebaut habe bin ich verwundert, dass es immernoch nicht geht.
Ein weiterer Sachverhalt, der mir aufgefallen ist: Wenn ich das Gespräch (in dem man ja nix hört face-big-smile ) über die App beende, wird der Anruf auch beim externen Teilnehmer beendet. Beende ich das Gespräch aber von extern, zeigt mir die App weiterhin eine Gesprächsverbindung an.

Grüße
Ketanest
aqui
aqui 17.10.2019 aktualisiert um 18:34:03 Uhr
Goto Top
eine FB hinter einer pfSense zu betreiben. Das an sich funktioniert ja bei mir auch, in sofern leider keine große Hilfe.
Wenn du sie VOR der pfSense betreibst also als Router Kaskade mit nachgeordneter pfSense dann brauchst du doch überhaupt keine Regeln.
Wo ist denn dann dein wirkliches Problem ??
In so einer Konstellation muss man nur sämtliche VoIP Funktionen der FB totlegen. Da sie ja selber VoIP Gateway ist würde sie sonst "denken" alle eingehenden VoIP Pakete sind für sie selber und diese dann nicht weiterleiten.
Eine FB als "Durchlauferhitzer" VOR der pfSense ist dann so oder so Unsinn. Ein reines NUR Modem wäre da viel sinnvoller. Das aber nur nebenbei.
Du musst dafür sorgen das die FB alle RTP Pakete weiterreicht. Die Voice Daten selber werden per RTP transportiert. Hört man einseitig nichts dann wird entweder der Sende- oder Empfangs RTP Strom gefiltert.
zeigt mir die App weiterhin eine Gesprächsverbindung an.
Zeigt auch das die SIP Signalisierung nicht richtig funktioniert. SIP ist nur für den Verbindungsaufbau zuständig.
Fazit: Es sieht so aus als ob die FB vor der pfSense weiter denkt sie ist VoIP Gateway und diese SIP und RTP Pakete nicht weiterleitet.
Nimm einen Wireshark Sniffer und sieh dir das mal genau an !
Du kannst das ja auch ganz einfach testen wenn du mal ein Softphone wie den Phoner oder Phoner Light:
http://phoner.de/index.htm
https://lite.phoner.de/index_de.htm
Auf dem Wireshark Laptop installierst. Den hängst du dann ins Koppelnetz zw. FB und pfSense und konfigurierst sie mit deinen SIP Credentials.
Wenn du damit einen Call aufbaust sollte ja das gleiche passieren wenn die FB das nicht richtig weiterreicht.
Wenn du parallel den Kabelhai mitlaufen lässt kannst du genau sehen woran es scheitert.
Knackpunkt ist der überflüssige Voice Router davor.
ketanest112
ketanest112 17.10.2019 aktualisiert um 18:51:26 Uhr
Goto Top
Also meine Konstellation (ich "zeichne" es mal so gut es geht auf), die Fritte steht HINTER der pfSense:

EDIT: Okay, das mit dem Zeichnen funktioniert nicht^^
Hier kurz als Screenshot:

2019-10-17 18_50_28-start

Muss so sein, da es eine Kabel Fritte ist und es somit mit aktueller Firmware nicht wie bei DSL-Boxen die Möglichkeit gibt, sie im Clientmode zu betreiben. Daher muss ich "Internet über LAN1" aktivieren. Mit diesem Interface hängt sie in der DMZ, mit LAN2 (also auch dem "LAN der Fritz!Box") im eigentlichen LAN. Die SIP Verbindung nach draußen läuft also übers DMZ-Netz, die Verbindung "innen", sprich auch das VoIP-GW für die App übers LAN.
Vielleicht ist es jetzt etwas verständlicher geworden.

Und das wirkliche Problem ist, dass man eben beim Anrufen via VPN nix hört, was mich wie gesagt verwundert wegen Scheuentor und so.
Telefonieren, wenn das Handy im WLAN eingebucht ist (sprich im LAN-Netz) funktioniert wunderbar (ein- und ausgehend).
Der VPN Tunnel selbst (OpenVPN) läuft über TCP aber das sollte ja eigentlich nicht das Problem sein oder, weil SIP bzw. RTP ja frühestens auf Layer 4 bzw. Layer 5 arbeiten.

Grüße
Ketanest
aqui
aqui 17.10.2019 um 19:15:52 Uhr
Goto Top
die Fritte steht HINTER der pfSense:
Jetzt mit einmal doch weider dahinter...Verwirrung komplett. Gut, die Zeichnung klärt das nun.
Dann bleibt es beim Regelwerk.
  • Was ist "FC" ?? FC Bayern...
  • Ist das FC Modem wirklich ein reines Modem ? Sprich die Internet IP ist auf der pfSense direkt terminiert ?
Das was du hinter LAN1 und LAN2 angegeben hast sind keine IP Netze sondern Endgeräte Adressen face-sad
Es fehlen auch die Subnetzmasken dazu. Wie sind diese IP Hostadressen zu verstehen ?
Nur mal doof nachgefragt:
Die FB hängt doch wohl hoffentlich nicht als "Backdoor" Router mit dem WAN Port im DMZ Netz und mit dem LAN im lokalen LAN der pfSense ?? Das wäre ja tödlich und ein krankes Laiendesign was nicht Standard konform wäre.
Vom Sicherheit mal gar nicht zu reden.
Dir ist hoffentlich schon klar das man die FB sofern man sie als reine Telefonanlage betreibt auch stinknormal einbeinig anschliessen kann was hier weitaus sinnvoller ist.
So hebelst du ja dein komplettes Firewall Design aus. Sollte die FB wirklich so gruselig verschaltet sein ?!
ketanest112
ketanest112 17.10.2019 um 20:59:51 Uhr
Goto Top
Sorry, mein Fehler.
FC = Fibre Channel, also Glasfaser. Ja ist ein reines Modem, die WAN IP ist auf der pfSense terminiert, die baut auch die PPPoE Verbindung etc. auf.
Richtig, die Adressen bei LAN1 und LAN2 sind keine Netze, das sind die IP Adressen der Fritte (LAN1 und LAN2 sind halt die physischen Ports, daher zum leichteren Verständnis so geschrieben). Alle Netze sind sämtlicherweise 24-bit Netze.
Nein, die Fritte ist kein Backdoor, Router. Sie hängst zwar wie du sagst mit WAN Port (auf LAN1) in der DMZ und mit dem LAN (Ports LAN2-4, bei mir LAN2) im lokalen LAN der pfSense. Ich hab das Routing aber quasi abgeschaltet (unter Internet -> Filter -> Kindersicherung hat standardmäßig kein Gerät Zugriff aufs Internet, das macht ja die pfSense).
Und wie bereits gesagt: Nein, man kann Kabel-Fritz!Boxen eben NICHT einbeinig anschließen. Alle anderen ja (im sogenannten Client-Mode), nur bei Kabel Boxen geht das leider nicht (zumindest nicht ohne Firmware-Crack, daher: ja, sie muss leider so gruselig verschaltet sein aber ich hebel meine Firewall nicht aus, da die Fritte ja nicht als Standard-Gateway fungieren kann (da sie ja nichts weiter Routet).

Gruß
Ketanest
aqui
aqui 18.10.2019 aktualisiert um 11:39:39 Uhr
Goto Top
FC = Fibre Channel, also Glasfaser
Sorry, aber das ist doch technischer Blödsinn, denn Fibre Channel ist ein Storage Protokoll zur Anbindung an SAN Systeme und hat mit Ethernet oder IP nicht das Geringste zu tun:
https://de.wikipedia.org/wiki/Fibre_Channel
Über was reden wir hier also ??
Du beschreibst eine Rakete in Wahrheit redest du aber über einen Tretroller. Verwirrung komplett... face-sad
Sie hängst zwar wie du sagst mit WAN Port (auf LAN1) in der DMZ und mit dem LAN (Ports LAN2-4, bei mir LAN2) im lokalen LAN der pfSense
Bei so einem Gruseldesign müssen wir hier sicher nicht weiterreden. Damit erzeugst du einen Routing Loop. Netzwerk technisch völliger Unsinn die so anzuschliessen....aber egal.
Fibre Channel, 24 Bit Netze...da verliert man langsam komplett den Überblick in welchem Film man eigentlich ist.