Fritz!Fon über pfsense-VPN: Man hört nichts
Hallöchen zusammen,
folgendes Szenario:
Ich habe als Router/Firewall eine pfSense laufen. Meine Fritz!Box habe ich daher zur TK-Anlage kastriert.
VoIP funktioniert im Heimnetz einwandfrei (DECT als auch Fritz!Fon App).
Wenn ich mich jetzt allerdings per VPN auf die pfSense verbinde, kann ich in der Fritz!Fon App zwar alles sehen und machen (auch Anrufe tätigen), nur hört man mich nicht und ich höre den Gegenüber nicht. Kommt ein Anruf rein, klingelt es auch nicht in der App, so wie es das im Heimnetz (WLAN) tut. Über die interne LAN IP komme ich auch auf die Config Seite der FB.
Zur Infrastruktur:
Kein IP-Netz kommt doppelt vor (bereits geprüft).
Da es eine Kabel FB ist, musste ich den Internetzugang über LAN 1 aktivieren (hier hängt die FB über die DMZ an der pfSense), über LAN 2 hängt sie ganz normal im LAN. Bei den Kabel FBs gibt es den Clientmode wohl nicht werksseitig.
Auf der FB ist außer Telefonie nichts eingeschaltet oder konfiguriert (außer eben die IP Adressen).
Der VPN Server erzwingt eine DNS Auflösung durch die pfSense und leitet auch den gesamten Traffic über die VPN Verbindung (IPv4 und IPv6).
Vom VPN-Netz darf man ins LAN und vom LAN auch ins VPN Netz (alle Protokolle, alle Ports), da gibts also keine Einschränkungen.
Sämtliche Dienste im LAN sind nur via IPv4 verfügbar (auf der Fritte ist IPv6 abgeschaltet). Auf der pfSense ist "Track Interface: WAN" für DMZ und LAN aktiviert. Da die Fritte aber kein IPv6 nutzt, sollte es daran nicht liegen (alles andere geht ja).
Die FB ist in der App mit ihrer IP Adresse eingerichtet.
Alle anderen Dienste im LAN sind auch einwandfrei verfügbar.
Habt ihr eine Ahnung, woran das liegen könnte, dass man beim telefonieren nix hört?
Danke schonmal für eure Hilfe!
Ketanest
folgendes Szenario:
Ich habe als Router/Firewall eine pfSense laufen. Meine Fritz!Box habe ich daher zur TK-Anlage kastriert.
VoIP funktioniert im Heimnetz einwandfrei (DECT als auch Fritz!Fon App).
Wenn ich mich jetzt allerdings per VPN auf die pfSense verbinde, kann ich in der Fritz!Fon App zwar alles sehen und machen (auch Anrufe tätigen), nur hört man mich nicht und ich höre den Gegenüber nicht. Kommt ein Anruf rein, klingelt es auch nicht in der App, so wie es das im Heimnetz (WLAN) tut. Über die interne LAN IP komme ich auch auf die Config Seite der FB.
Zur Infrastruktur:
Kein IP-Netz kommt doppelt vor (bereits geprüft).
Da es eine Kabel FB ist, musste ich den Internetzugang über LAN 1 aktivieren (hier hängt die FB über die DMZ an der pfSense), über LAN 2 hängt sie ganz normal im LAN. Bei den Kabel FBs gibt es den Clientmode wohl nicht werksseitig.
Auf der FB ist außer Telefonie nichts eingeschaltet oder konfiguriert (außer eben die IP Adressen).
Der VPN Server erzwingt eine DNS Auflösung durch die pfSense und leitet auch den gesamten Traffic über die VPN Verbindung (IPv4 und IPv6).
Vom VPN-Netz darf man ins LAN und vom LAN auch ins VPN Netz (alle Protokolle, alle Ports), da gibts also keine Einschränkungen.
Sämtliche Dienste im LAN sind nur via IPv4 verfügbar (auf der Fritte ist IPv6 abgeschaltet). Auf der pfSense ist "Track Interface: WAN" für DMZ und LAN aktiviert. Da die Fritte aber kein IPv6 nutzt, sollte es daran nicht liegen (alles andere geht ja).
Die FB ist in der App mit ihrer IP Adresse eingerichtet.
Alle anderen Dienste im LAN sind auch einwandfrei verfügbar.
Habt ihr eine Ahnung, woran das liegen könnte, dass man beim telefonieren nix hört?
Danke schonmal für eure Hilfe!
Ketanest
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 503086
Url: https://administrator.de/forum/fritzfon-ueber-pfsense-vpn-man-hoert-nichts-503086.html
Ausgedruckt am: 22.12.2024 um 06:12 Uhr
10 Kommentare
Neuester Kommentar
Oder setze richtige <Regeln auf dem WAN Port. Das Verhalten zeigt das du falsche Regeln für RTP eingestellt hast. RTP transportiert die Voice Daten.
Lies dir dazu das Kapitel: VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall: im hiesigen pfSense_Tutorial genau durch. Dort steht wie man es richtig macht und wie es sauber funktioniert.
Lies dir dazu das Kapitel: VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall: im hiesigen pfSense_Tutorial genau durch. Dort steht wie man es richtig macht und wie es sauber funktioniert.
nur eben nicht via VPN
Dann stimmen dort am VPN Interface deine Firewall Regeln nicht !Setz doch hier mal "Scheunentor Regeln" Sprich alles any zu any * *. Das sollte in jedem Falle klappen !
Details zur FB Voice VPN Kopplung auch hier
https://www.heise.de/ct/ausgabe/2015-6-Tk-Anlagen-mehrerer-Fritzboxen-mi ...
eine FB hinter einer pfSense zu betreiben. Das an sich funktioniert ja bei mir auch, in sofern leider keine große Hilfe.
Wenn du sie VOR der pfSense betreibst also als Router Kaskade mit nachgeordneter pfSense dann brauchst du doch überhaupt keine Regeln.Wo ist denn dann dein wirkliches Problem ??
In so einer Konstellation muss man nur sämtliche VoIP Funktionen der FB totlegen. Da sie ja selber VoIP Gateway ist würde sie sonst "denken" alle eingehenden VoIP Pakete sind für sie selber und diese dann nicht weiterleiten.
Eine FB als "Durchlauferhitzer" VOR der pfSense ist dann so oder so Unsinn. Ein reines NUR Modem wäre da viel sinnvoller. Das aber nur nebenbei.
Du musst dafür sorgen das die FB alle RTP Pakete weiterreicht. Die Voice Daten selber werden per RTP transportiert. Hört man einseitig nichts dann wird entweder der Sende- oder Empfangs RTP Strom gefiltert.
zeigt mir die App weiterhin eine Gesprächsverbindung an.
Zeigt auch das die SIP Signalisierung nicht richtig funktioniert. SIP ist nur für den Verbindungsaufbau zuständig.Fazit: Es sieht so aus als ob die FB vor der pfSense weiter denkt sie ist VoIP Gateway und diese SIP und RTP Pakete nicht weiterleitet.
Nimm einen Wireshark Sniffer und sieh dir das mal genau an !
Du kannst das ja auch ganz einfach testen wenn du mal ein Softphone wie den Phoner oder Phoner Light:
http://phoner.de/index.htm
https://lite.phoner.de/index_de.htm
Auf dem Wireshark Laptop installierst. Den hängst du dann ins Koppelnetz zw. FB und pfSense und konfigurierst sie mit deinen SIP Credentials.
Wenn du damit einen Call aufbaust sollte ja das gleiche passieren wenn die FB das nicht richtig weiterreicht.
Wenn du parallel den Kabelhai mitlaufen lässt kannst du genau sehen woran es scheitert.
Knackpunkt ist der überflüssige Voice Router davor.
die Fritte steht HINTER der pfSense:
Jetzt mit einmal doch weider dahinter...Verwirrung komplett. Gut, die Zeichnung klärt das nun.Dann bleibt es beim Regelwerk.
- Was ist "FC" ?? FC Bayern...
- Ist das FC Modem wirklich ein reines Modem ? Sprich die Internet IP ist auf der pfSense direkt terminiert ?
Es fehlen auch die Subnetzmasken dazu. Wie sind diese IP Hostadressen zu verstehen ?
Nur mal doof nachgefragt:
Die FB hängt doch wohl hoffentlich nicht als "Backdoor" Router mit dem WAN Port im DMZ Netz und mit dem LAN im lokalen LAN der pfSense ?? Das wäre ja tödlich und ein krankes Laiendesign was nicht Standard konform wäre.
Vom Sicherheit mal gar nicht zu reden.
Dir ist hoffentlich schon klar das man die FB sofern man sie als reine Telefonanlage betreibt auch stinknormal einbeinig anschliessen kann was hier weitaus sinnvoller ist.
So hebelst du ja dein komplettes Firewall Design aus. Sollte die FB wirklich so gruselig verschaltet sein ?!
FC = Fibre Channel, also Glasfaser
Sorry, aber das ist doch technischer Blödsinn, denn Fibre Channel ist ein Storage Protokoll zur Anbindung an SAN Systeme und hat mit Ethernet oder IP nicht das Geringste zu tun:https://de.wikipedia.org/wiki/Fibre_Channel
Über was reden wir hier also ??
Du beschreibst eine Rakete in Wahrheit redest du aber über einen Tretroller. Verwirrung komplett...
Sie hängst zwar wie du sagst mit WAN Port (auf LAN1) in der DMZ und mit dem LAN (Ports LAN2-4, bei mir LAN2) im lokalen LAN der pfSense
Bei so einem Gruseldesign müssen wir hier sicher nicht weiterreden. Damit erzeugst du einen Routing Loop. Netzwerk technisch völliger Unsinn die so anzuschliessen....aber egal.Fibre Channel, 24 Bit Netze...da verliert man langsam komplett den Überblick in welchem Film man eigentlich ist.