gelöst Gigaset C430A Go hinter PFSense und Speedport

Mitglied: ephoenix

ephoenix (Level 1) - Jetzt verbinden

24.10.2020 um 18:22 Uhr, 570 Aufrufe, 7 Kommentare

Hallo zusammen,

ich hoffe ihr vergebt mir, falls diese Frage schon ca. 400 Millionen mal gestellt wurde.

Ich habe derzeit ein Problem mit meinem Telefon. Es kommen keine eingehenden Anrufe durch. Ich kann aber problemlos nach draußen telefonieren. Vielleicht ein paar Worte zum Setup:

Das Internet kommt von der Telekom (MagentaZuhause, VDSL100). Ich nutze den Speedport Smart 3 als Modem. Die Einwahl macht eine PFSense (v. 2.4.5_1). Dahinter hängt ein Switch, der das Internet an alle anderen Geräte verteilt unter anderem auch an das Gigaset C430A Go.
Dieses Setup hat so auch ca. 5 Jahre lang problemlos funktioniert. Seit ca. drei Wochen kann ich aber keine eingehenden Anrufe mehr empfangen, ohne etwas an der Konfiguration geändert zu haben. Einen genauen Termin für den Ausfall kann ich nicht nennen, weil ich nicht sooo super häufig auf dem Festnetzanschluss angerufen werde.

Ich habe mir heute den Samstag um die Ohren geschlagen um herauszufinden woran es liegt, leider ohne Erfolg. Ich habe alle Geräte auf die jeweils aktuelle Firmware geupdated, auch alles mal neu gestartet. Ich habe alle Aliase, NAT- und Firewall-Regeln die das Telefon betreffen neu gemacht. Da ich nach draußen telefonieren kann, denke ich es muss irgendwo an der Firewall liegen.

Im Webinterface des C430A Go kann es sich auch problemlos mit den Telekom SIP Servern verbinden.

Ich habe die Konfiguration ein wenig vereinfacht, damit der Post nicht 15 Seiten lang wird. Normalerweise würde ich SIP und RTP Ports trennen um bessere Kontrolle zu haben was durch die Firewall darf und was nicht.

Ich habe zwei Aliase:
Telefon = IP des C430A Go
VoIP_Ports = 5004-5020, 5060-5076 (Wie im Webinterface des C430A Go angegeben 5004-5020 für RTP und 5060-5076 für SIP)

Outbound-NAT in der PFSense steht auf Manual und ich habe als Erstes in der Liste die Regel:
Interface: WAN
Source: Telefon
Source Port: Any/TCP/UDP
Destination: Any
Destination Port: VoIP_Ports
NAT Address: WAN Address
NAT Port: Any
Static: Yes

Dann eine Port-Forwarding Regel:
Interface: WAN
Protocol TCP/UDP
Source Address: Any
Source Ports: Any
Dest. Address: WAN Address
Dest. Ports: VoIP_Ports
NAT IP: Telefon
NAT Ports: VoIP_Ports

Und dementsprechend auch eine Firewall Regel auf dem WAN-Interface:
Protocol: IPv4, TCP/UDP
Source: Any
Port: Any
Destination: Telefon
Port: VoIP_Ports

Wenn ich mit meinem Smartphone den Festnetzanschluss anrufe bekomme ich nichtmal ein Freizeichen, sondern der Anruf wird nach 30 Sek. einfach beendet. Das Festnetztelefon klingelt auch nicht. In den Firewall Logs sehe ich ebenfalls nichts was mit Ports zu tun hätte die mir irgendwas im Zusammenhang mit SIP oder RTP sagen würden.

Nur wenn ich die letzte Firewall Regel deaktiviere bekomme ich pro Sekunde ca. 3-4 geblockte Verbindungen von der IP 156.96.156.246 mit Port 50000~64000/UDP in Richtung der IP des Telefons und Port 5060/UDP. Nach draußen telefonieren kann ich nach wie vor. Ich höre aber nichts mehr, weil die RTP Ports gesperrt sind (da kommen dann selbstverständlich auch entsprechende Einträge im Log).

Bin ich gerade zu dumm und sehe den Wald vor lauter Bäumen nicht, oder war es Zufall, dass diese Konfiguration 5 Jahre lang funktioniert hat?

Ich würde mich sehr über eure Hilfe freuen. Bei Bedarf kann ich gerne auch Screenshots der Konfiguration hochladen.
Mitglied: aqui
LÖSUNG 24.10.2020, aktualisiert um 19:37 Uhr
Ich nutze den Speedport Smart 3 als Modem.
Ist das wirklich ein reines NUR Modem wiez.B. ein Vigor 165 oder ist das ein Router. Sprich du nutzt es als Router Kaskade mit doppeltem NAT und doppelter Firewall wie es in diesem Thread genau beschrieben ist:
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
Das kannst du daran sehen ob die pfSense am WAN Port eine private RFC 1918 IP Adresse hat, (PPPoE Zugangsdaten auf dem davor kaskadierten Router) dann ist es eine Kaskade.
Oder wenn sie eine öffentliche IP hat und der WAN Port im PPPoE Mode arbeitet (PPPoE Zugangsdaten auf der pfSense selber) dann betreibst du keine Kaskade.
Bei einer Kaskade musst du dafür soregen das eingehende SIP Pakete den WAN Port der pfSense erreichen, sprich also Port Forwarding von TCP/UDP 5060 im Speedport auf die WAN IP der pfSense und dort auf die interne lokale IP des Telefons.
Einfacher ist es wenn du im Setup des Telefons einen STUN Server konfigurierst. Bei der Telekom ist das stun.t-online.de. Das erspart dir dann alle Frickelei !
bekomme ich nichtmal ein Freizeichen, sondern der Anruf wird nach 30 Sek. einfach beendet.
Kein großes Wunder, denn ohne ein SIP Forwarding könne eingehende SIP Connections des Providers niemals dein Telefon erreichen ! Deshalb eben Port Forwarding für SIP.
Outbound-NAT in der PFSense steht auf Manual
Dort muss (und sollte) man NICHTS konfigurieren und die Default NAT Einstellung belassen !
Ansonsten in den weiterführenden Links des hiesigen Tutorials nachlesen im Kapitel "VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:" dort sind diverse Lösungen angegeben. Bzw. auch dieser Thread:
https://administrator.de/forum/voip-pfsense-ohne-portfreigaben-und-stun- ...
Wie gesagt, das einfachste ist STUN zu aktivieren am Telefon.
Bitte warten ..
Mitglied: altmetaller
LÖSUNG 25.10.2020 um 22:25 Uhr
Hallo,

denkbar ist, dass das Telefon UPnP macht. Das funktioniert bei der aktuellen pfSense nicht.

Du kannst aber das Binary von einer älteren pfSense Version nehmen. Oder den Port statisch einrichten - mit allen Einschränkungen und Risiken.

Gruß,
Jörg
Bitte warten ..
Mitglied: aqui
26.10.2020 um 10:57 Uhr
dass das Telefon UPnP macht.
Wäre auch tödlich. Gerade auf Internet Routern und Firewall ist es extrem kontraproduktiv UPnP zu aktivieren da damit dann völlig unkontrolliert die Firewall außer Kraft gesetzt werden kann. Die meisten der Malwares und Trojaner nutzen sowas primär. Keine gute Idee also und definitiv ein NoGo.
STUN ist hier die einfache Lösung oder SIP forwarden.
Bitte warten ..
Mitglied: altmetaller
LÖSUNG 26.10.2020 um 11:04 Uhr
Hallo,

nö. Die pfSense hat zusätzlich zu den Firewallregeln ein Regelwerk, wer unter welchen Bedingungen welche Ports anfordern kann *rtfm*

Da die Freigaben nur bei Bedarf geöffnet werden ist das definitiv sicherer als eine dauerhafte Freigabe.

Gruß,
Jörg
Bitte warten ..
Mitglied: ephoenix
26.10.2020 um 18:05 Uhr
Hallo, erstmal vielen Dank für die Antworten. Leider habe ich in den nächsten Tagen wohl keine Zeit die Lösungen auszuprobieren. Ich werde mich aber wieder melden, wenn ich dazugekommen bin.

Ist das wirklich ein reines NUR Modem
Der Speedport Smart 3 ist natürlich ein Router, aber ich habe ihn in den Modem-Modus geschaltet. Somit reicht er die Verbindung nur durch. Die Einwahl macht wie oben schon geschrieben die PFSense. Die PPPoE-Zugangsdaten liegen dort und die PFSense bekommt am WAN-Interface auch eine öffentliche IP. Ich habe die ersten drei Jahre den Vigor 130 im Modem-Modus verwendet, hatte aber öfter Probleme mit dem DSL-Sync. Das ist seitdem ich den Speedport verwende nicht mehr so. Die Bandbreite ist auch ein klein wenig höher (112/36 Mbit gegenüber 105/32 Mbit).

Kein großes Wunder, denn ohne ein SIP Forwarding könne eingehende SIP Connections des Providers niemals dein Telefon erreichen !
Aber ich habe doch ein Forwarding von 5060-5076/TCP/UDP auf die IP des Telefons eingerichtet.

Dort muss (und sollte) man NICHTS konfigurieren und die Default NAT Einstellung belassen !
In der Tat, wenn ich die Regel deaktiviere ändert das nichts an meiner Fähigkeit nach draußen zu telefonieren. Anrufen kann mich trotzdem niemand. Und auch wenn es womöglich überflüssig ist für die Telefonie Outbound-NAT zu konfigurieren, so steht es dennoch in der offiziellen PFSense Doku.

denkbar ist, dass das Telefon UPnP macht.
Ich würde fest davon ausgehen, dass das Telefon UPnP macht. Weil dem normalen Heimuser kannst du es nicht abverlangen Firewall-Regeln oder Port-Forwarding-Regeln zu schreiben. Über die Tödlichkeit von UPnP würde ich mir hier weniger Sorgen machen. Es geht hier nicht um irgendein Hochverfügbarkeits-Rechenzentrum mit unheimlich wichtigen Daten, sondern um einen Heimanschluss, hinter dem ein Telefon, ein Gaming-PC und ein Plex-Media-Server hängen... Lass die Kirche mal im Dorf
Bitte warten ..
Mitglied: altmetaller
26.10.2020 um 18:25 Uhr
Hallo,

Zitat von ephoenix:

Ich würde fest davon ausgehen, dass das Telefon UPnP macht.

Wie gesagt - das funktioniert bei der aktuellen pfSense nicht.

Entweder, Du holst Dir das Binary von einer älteren pfSense oder Du stellst das Telefon fest auf einen Port ein und leitest den dann "von Hand" weiter.

Gruß,
Jörg
Bitte warten ..
Mitglied: ephoenix
05.11.2020 um 09:09 Uhr
Hallo zusammen,

tut mir leid, dass es so lange gedauert hat. Hatte nebenher noch einiges zu tun und wollte das Setup auch ein wenig testen (Ich trau' dem Braten nicht, wenn ich nur mit meinem Smartphone erfolgreich anrufen kann).

Das Telefon geht jetzt wieder. Ganz ohne Port-Forwarding und Stun wie in dem von @aqui verlinkten Forenpost funktioniert es aber nicht. Vielleicht macht diese Gigaset Go-Box etwas anders als der Asterisk.

Das Telefon macht in der Tat UPnP, aber man kann es auf einen TCP-Port eingrenzen und UPnP (für SIP) somit effektiv ausschalten. Ich habe auch den Stun-Server der Telekom eingetragen. Somit konnte ich mir das Forwarding des SIP-Ports sparen. Outbound-NAT/Deaktivieren des Source-Port Rewriting ist in der Tat auch nicht nötig (Danke fürs Augen-Öffnen @aqui).
Ich muss aber die RTP-Ports zur IP vom Telefon forwarden und dementsprechend auch in der Firewall öffnen, sonst gibt's keinen Ton.

Danke für eure Hilfe!
Bitte warten ..
Heiß diskutierte Inhalte
LAN, WAN, Wireless
Externes Ziel nicht erreichbar vom internen Netzwerk
Stibe88FrageLAN, WAN, Wireless16 Kommentare

Hallo Community Ich habe bei mir Homematic IP installiert. Nun kann ich seit 4 Tagen mich nicht mehr in ...

Hardware
Genauigkeit DCF77
Der-PhilFrageHardware12 Kommentare

Hallo! Es geht hier eher um eine akademische Frage, denn um eine Notwendigkeit für die IT, aber vielleicht interessiert ...

Windows Server
Fehler beim Starten Gruppenrichlinien
gelöst OSelbeckFrageWindows Server11 Kommentare

Hi, seid kurzen habe ich (Ich glaube nach einem Update bzw. Erweiterung der GPO Dateien) folgende Meldung Was köönet ...

Datenbanken
SQL Datum Uhrzeit 2 Spalten
Florian86FrageDatenbanken11 Kommentare

Hallo Zusammen, ich möchte aus einer SAP Datenbank über Datum und Zeit Daten abfragen. Datum und Zeit sind aber ...

Hardware
Neue Hard- und Software für kleine Kanzlei mit RA-Micro
SchrumpfiFrageHardware10 Kommentare

Hallo zusammen, ich lese schon länger im Forum mit und konnte so einige Probleme durch eure Hilfe lösen, dafür ...

Batch & Shell
Zeichen suchen und in die nächste Zeile was kopieren
Klaus20FrageBatch & Shell10 Kommentare

Hallo Forum, hätte mal wieder eine Frage an die Batch Profis. Habe mir mehrere Playlisten erstellt und die immer ...

Ähnliche Inhalte
Firewall
PFsens Open VPN Verbindung
OSelbeckFrageFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Voice over IP

Telekom Deutschland LAN IP-Anschluss mit Rufnummernblock für Gigaset C430 Go machbar?

gelöst coltseaversFrageVoice over IP2 Kommentare

Hallo zusammen, ich habe hier einen Telekom Deutschland LAN IP-Anschluss mit einem Rufnummernblock (10 Stück). Benötigt werden aus dem ...

Multimedia & Zubehör

USB-Stick für Windows to Go

gelöst andi303FrageMultimedia & Zubehör13 Kommentare

Hallo zusammen, ich bin auf der Suche nach einem preiswerten Stick, der sich für WinToGo eignet - klingt nur ...

Sonstige Systeme

Bitlocker To Go geht nicht mehr

Rene61FrageSonstige Systeme2 Kommentare

Ich habe mein Wechseldatenträger mit Bitkocker To Go verschlüsselt. Obwohl ich das richtige Passwort eingegeben habe entschlüsselt das Programm ...

Voice over IP

Gigaset N720 DM Einrichtung Starface

Huibuh2010FrageVoice over IP3 Kommentare

Hey Leute, bei uns war der N720 Dect Manager defekt. Nun habe ich ein neuen installiert und die selbe ...

Verschlüsselung & Zertifikate

Bitlocker to go auf älteren OS nutzen

DerWoWussteTippVerschlüsselung & Zertifikate

Kurzer Tipp: Wer darauf vorbereitet sein möchte, seine Bitlocker-verschlüsselten Sticks ggf. auf unsupporteten Windows (xp/Vista) lesen zu können, muss ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud