ephoenix
Goto Top

Gigaset C430A Go hinter PFSense und Speedport

Hallo zusammen,

ich hoffe ihr vergebt mir, falls diese Frage schon ca. 400 Millionen mal gestellt wurde.

Ich habe derzeit ein Problem mit meinem Telefon. Es kommen keine eingehenden Anrufe durch. Ich kann aber problemlos nach draußen telefonieren. Vielleicht ein paar Worte zum Setup:

Das Internet kommt von der Telekom (MagentaZuhause, VDSL100). Ich nutze den Speedport Smart 3 als Modem. Die Einwahl macht eine PFSense (v. 2.4.5_1). Dahinter hängt ein Switch, der das Internet an alle anderen Geräte verteilt unter anderem auch an das Gigaset C430A Go.
Dieses Setup hat so auch ca. 5 Jahre lang problemlos funktioniert. Seit ca. drei Wochen kann ich aber keine eingehenden Anrufe mehr empfangen, ohne etwas an der Konfiguration geändert zu haben. Einen genauen Termin für den Ausfall kann ich nicht nennen, weil ich nicht sooo super häufig auf dem Festnetzanschluss angerufen werde.

Ich habe mir heute den Samstag um die Ohren geschlagen um herauszufinden woran es liegt, leider ohne Erfolg. Ich habe alle Geräte auf die jeweils aktuelle Firmware geupdated, auch alles mal neu gestartet. Ich habe alle Aliase, NAT- und Firewall-Regeln die das Telefon betreffen neu gemacht. Da ich nach draußen telefonieren kann, denke ich es muss irgendwo an der Firewall liegen.

Im Webinterface des C430A Go kann es sich auch problemlos mit den Telekom SIP Servern verbinden.

Ich habe die Konfiguration ein wenig vereinfacht, damit der Post nicht 15 Seiten lang wird. Normalerweise würde ich SIP und RTP Ports trennen um bessere Kontrolle zu haben was durch die Firewall darf und was nicht.

Ich habe zwei Aliase:
Telefon = IP des C430A Go
VoIP_Ports = 5004-5020, 5060-5076 (Wie im Webinterface des C430A Go angegeben 5004-5020 für RTP und 5060-5076 für SIP)

Outbound-NAT in der PFSense steht auf Manual und ich habe als Erstes in der Liste die Regel:
Interface: WAN
Source: Telefon
Source Port: Any/TCP/UDP
Destination: Any
Destination Port: VoIP_Ports
NAT Address: WAN Address
NAT Port: Any
Static: Yes

Dann eine Port-Forwarding Regel:
Interface: WAN
Protocol TCP/UDP
Source Address: Any
Source Ports: Any
Dest. Address: WAN Address
Dest. Ports: VoIP_Ports
NAT IP: Telefon
NAT Ports: VoIP_Ports

Und dementsprechend auch eine Firewall Regel auf dem WAN-Interface:
Protocol: IPv4, TCP/UDP
Source: Any
Port: Any
Destination: Telefon
Port: VoIP_Ports

Wenn ich mit meinem Smartphone den Festnetzanschluss anrufe bekomme ich nichtmal ein Freizeichen, sondern der Anruf wird nach 30 Sek. einfach beendet. Das Festnetztelefon klingelt auch nicht. In den Firewall Logs sehe ich ebenfalls nichts was mit Ports zu tun hätte die mir irgendwas im Zusammenhang mit SIP oder RTP sagen würden.

Nur wenn ich die letzte Firewall Regel deaktiviere bekomme ich pro Sekunde ca. 3-4 geblockte Verbindungen von der IP 156.96.156.246 mit Port 50000~64000/UDP in Richtung der IP des Telefons und Port 5060/UDP. Nach draußen telefonieren kann ich nach wie vor. Ich höre aber nichts mehr, weil die RTP Ports gesperrt sind (da kommen dann selbstverständlich auch entsprechende Einträge im Log).

Bin ich gerade zu dumm und sehe den Wald vor lauter Bäumen nicht, oder war es Zufall, dass diese Konfiguration 5 Jahre lang funktioniert hat?

Ich würde mich sehr über eure Hilfe freuen. Bei Bedarf kann ich gerne auch Screenshots der Konfiguration hochladen.

Content-Key: 616039

Url: https://administrator.de/contentid/616039

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: aqui
Lösung aqui 24.10.2020 aktualisiert um 19:37:21 Uhr
Goto Top
Ich nutze den Speedport Smart 3 als Modem.
Ist das wirklich ein reines NUR Modem wiez.B. ein Vigor 165 oder ist das ein Router. Sprich du nutzt es als Router Kaskade mit doppeltem NAT und doppelter Firewall wie es in diesem Thread genau beschrieben ist:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Das kannst du daran sehen ob die pfSense am WAN Port eine private RFC 1918 IP Adresse hat, (PPPoE Zugangsdaten auf dem davor kaskadierten Router) dann ist es eine Kaskade.
Oder wenn sie eine öffentliche IP hat und der WAN Port im PPPoE Mode arbeitet (PPPoE Zugangsdaten auf der pfSense selber) dann betreibst du keine Kaskade.
Bei einer Kaskade musst du dafür soregen das eingehende SIP Pakete den WAN Port der pfSense erreichen, sprich also Port Forwarding von TCP/UDP 5060 im Speedport auf die WAN IP der pfSense und dort auf die interne lokale IP des Telefons.
Einfacher ist es wenn du im Setup des Telefons einen STUN Server konfigurierst. Bei der Telekom ist das stun.t-online.de. Das erspart dir dann alle Frickelei !
bekomme ich nichtmal ein Freizeichen, sondern der Anruf wird nach 30 Sek. einfach beendet.
Kein großes Wunder, denn ohne ein SIP Forwarding könne eingehende SIP Connections des Providers niemals dein Telefon erreichen ! Deshalb eben Port Forwarding für SIP.
Outbound-NAT in der PFSense steht auf Manual
Dort muss (und sollte) man NICHTS konfigurieren und die Default NAT Einstellung belassen !
Ansonsten in den weiterführenden Links des hiesigen Tutorials nachlesen im Kapitel "VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:" dort sind diverse Lösungen angegeben. Bzw. auch dieser Thread:
VOIP hinter pfsense ohne(!) Portfreigaben (und auch ohne STUN und SIP-ALG)
Wie gesagt, das einfachste ist STUN zu aktivieren am Telefon.
Mitglied: 117471
Lösung 117471 25.10.2020 um 22:25:27 Uhr
Goto Top
Hallo,

denkbar ist, dass das Telefon UPnP macht. Das funktioniert bei der aktuellen pfSense nicht.

Du kannst aber das Binary von einer älteren pfSense Version nehmen. Oder den Port statisch einrichten - mit allen Einschränkungen und Risiken.

Gruß,
Jörg
Mitglied: aqui
aqui 26.10.2020 um 10:57:31 Uhr
Goto Top
dass das Telefon UPnP macht.
Wäre auch tödlich. Gerade auf Internet Routern und Firewall ist es extrem kontraproduktiv UPnP zu aktivieren da damit dann völlig unkontrolliert die Firewall außer Kraft gesetzt werden kann. Die meisten der Malwares und Trojaner nutzen sowas primär. Keine gute Idee also und definitiv ein NoGo.
STUN ist hier die einfache Lösung oder SIP forwarden.
Mitglied: 117471
Lösung 117471 26.10.2020 um 11:04:23 Uhr
Goto Top
Hallo,

nö. Die pfSense hat zusätzlich zu den Firewallregeln ein Regelwerk, wer unter welchen Bedingungen welche Ports anfordern kann *rtfm*

Da die Freigaben nur bei Bedarf geöffnet werden ist das definitiv sicherer als eine dauerhafte Freigabe.

Gruß,
Jörg
Mitglied: ephoenix
ephoenix 26.10.2020 um 18:05:48 Uhr
Goto Top
Hallo, erstmal vielen Dank für die Antworten. Leider habe ich in den nächsten Tagen wohl keine Zeit die Lösungen auszuprobieren. Ich werde mich aber wieder melden, wenn ich dazugekommen bin.

Ist das wirklich ein reines NUR Modem
Der Speedport Smart 3 ist natürlich ein Router, aber ich habe ihn in den Modem-Modus geschaltet. Somit reicht er die Verbindung nur durch. Die Einwahl macht wie oben schon geschrieben die PFSense. Die PPPoE-Zugangsdaten liegen dort und die PFSense bekommt am WAN-Interface auch eine öffentliche IP. Ich habe die ersten drei Jahre den Vigor 130 im Modem-Modus verwendet, hatte aber öfter Probleme mit dem DSL-Sync. Das ist seitdem ich den Speedport verwende nicht mehr so. Die Bandbreite ist auch ein klein wenig höher (112/36 Mbit gegenüber 105/32 Mbit).

Kein großes Wunder, denn ohne ein SIP Forwarding könne eingehende SIP Connections des Providers niemals dein Telefon erreichen !
Aber ich habe doch ein Forwarding von 5060-5076/TCP/UDP auf die IP des Telefons eingerichtet.

Dort muss (und sollte) man NICHTS konfigurieren und die Default NAT Einstellung belassen !
In der Tat, wenn ich die Regel deaktiviere ändert das nichts an meiner Fähigkeit nach draußen zu telefonieren. Anrufen kann mich trotzdem niemand. Und auch wenn es womöglich überflüssig ist für die Telefonie Outbound-NAT zu konfigurieren, so steht es dennoch in der offiziellen PFSense Doku.

denkbar ist, dass das Telefon UPnP macht.
Ich würde fest davon ausgehen, dass das Telefon UPnP macht. Weil dem normalen Heimuser kannst du es nicht abverlangen Firewall-Regeln oder Port-Forwarding-Regeln zu schreiben. Über die Tödlichkeit von UPnP würde ich mir hier weniger Sorgen machen. Es geht hier nicht um irgendein Hochverfügbarkeits-Rechenzentrum mit unheimlich wichtigen Daten, sondern um einen Heimanschluss, hinter dem ein Telefon, ein Gaming-PC und ein Plex-Media-Server hängen... Lass die Kirche mal im Dorf face-wink
Mitglied: 117471
117471 26.10.2020 um 18:25:53 Uhr
Goto Top
Hallo,

Zitat von @ephoenix:

Ich würde fest davon ausgehen, dass das Telefon UPnP macht.

Wie gesagt - das funktioniert bei der aktuellen pfSense nicht.

Entweder, Du holst Dir das Binary von einer älteren pfSense oder Du stellst das Telefon fest auf einen Port ein und leitest den dann "von Hand" weiter.

Gruß,
Jörg
Mitglied: ephoenix
ephoenix 05.11.2020 um 09:09:35 Uhr
Goto Top
Hallo zusammen,

tut mir leid, dass es so lange gedauert hat. Hatte nebenher noch einiges zu tun und wollte das Setup auch ein wenig testen (Ich trau' dem Braten nicht, wenn ich nur mit meinem Smartphone erfolgreich anrufen kann).

Das Telefon geht jetzt wieder. Ganz ohne Port-Forwarding und Stun wie in dem von @aqui verlinkten Forenpost funktioniert es aber nicht. Vielleicht macht diese Gigaset Go-Box etwas anders als der Asterisk.

Das Telefon macht in der Tat UPnP, aber man kann es auf einen TCP-Port eingrenzen und UPnP (für SIP) somit effektiv ausschalten. Ich habe auch den Stun-Server der Telekom eingetragen. Somit konnte ich mir das Forwarding des SIP-Ports sparen. Outbound-NAT/Deaktivieren des Source-Port Rewriting ist in der Tat auch nicht nötig (Danke fürs Augen-Öffnen @aqui).
Ich muss aber die RTP-Ports zur IP vom Telefon forwarden und dementsprechend auch in der Firewall öffnen, sonst gibt's keinen Ton.

Danke für eure Hilfe!