gelöst Konfiguration der pfSense mit Starface-PBX (Asterisk)

Mitglied: HanDoku

HanDoku (Level 1) - Jetzt verbinden

01.10.2020 um 17:05 Uhr, 372 Aufrufe, 10 Kommentare, 2 Danke

So langsam werde ich warm mit der pfSense 2.4.5 auf einer IPU672, daher zunächst herzlichen Dank an @aqui für die Anleitung IPsec VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten, mit der die VPN-Anbindung wunderbar geklappt hat.

Jetzt gerade hapert es aber mit der Anbindung unserer Starface-Telefonanlage (ergo Asterisk).

Folgendes Setting: Wir haben von Vodafone ein /28er Subnetz bekommen. Die erste nutzbare IP habe ich der pfSense zugewiesen, die zweite will ich für die Starface-Anlage einsetzen und im weiteren Verlauf über OPT1 einbinden. Jetzt gerade hängt sie aber noch wie alle anderen Geräte auch auf LAN.

Internet läuft, VPN auch.

Die Telefone können sich aber nicht bei der Starface-PBX anmelden - und zwar sowohl aus dem LAN als auch aus dem WAN heraus nicht.

Wenn ich nmap bemühe, zeigt sich, dass die für die Telefonie wesentlichen Ports gefiltert werden:

Die pfSense Firewall-Logs melden allerdings keine geblockten Anfragen für diese IP.

Beim Setup habe ich mich an der Anleitung pfSense port settings for Asterisk FreePBX mit 1:1 NAT orientiert.

Ich habe offensichtlich irgendwas wesentliches übersehen. Was könnte das sein?

0_interface - Klicke auf das Bild, um es zu vergrößern
1_wan - Klicke auf das Bild, um es zu vergrößern
2_interface - Klicke auf das Bild, um es zu vergrößern
3_interface_2 - Klicke auf das Bild, um es zu vergrößern
4_nat1 - Klicke auf das Bild, um es zu vergrößern
5_nat2 - Klicke auf das Bild, um es zu vergrößern
6_nat3 - Klicke auf das Bild, um es zu vergrößern
7_nat_4 - Klicke auf das Bild, um es zu vergrößern
8_firewall - Klicke auf das Bild, um es zu vergrößern
9_lan - Klicke auf das Bild, um es zu vergrößern
Mitglied: aqui
01.10.2020, aktualisiert um 18:37 Uhr
Was etwas unverständlich und verwirrend ist ist dein IP Adress Design für die VoIP Anlage. Warum will man die mit einer öffentlichen IP versehen und VOR die Firewall legen ??
Normal liegt die Anlage mit den Telefonen im internen LAN idealerweise in einem eigenen Voice VLAN. Was ist also deine Intention diese ungeschützt direkt im Internet zu exponieren ?
Oder ist das jetzt so zu verstehen das sie intern liegt aber in z.B. einer DMZ ?
Dann richtest du unter "Firewall" eine Virtual IP ein in der pfSense mit einer der freien /28er IP Adressen und mappst diese IP auf die interne der PBX.
Bitte warten ..
Mitglied: HanDoku
02.10.2020 um 09:01 Uhr
Intention war eigentlich nur, die PBX über eine eigene statische IP über WAN erreichbar zu machen.

Das 1:1 NAT scheint ein gängiges Setup zu sein, das abgesehen von dem bereits zitierten Konfigurationsvorschlag unter anderem auch von netgate unter Configuring NAT for a VoIP PBX vorgeschlagen wird.

Meinem Verständnis nach liegt die öffentliche IP ja nicht wirklich VOR der Firewall, die Firewall-Regeln greifen, wie netgate unter Risks of 1:1 NAT beschreibt. Wobei mich da beim nochmaligen nachlesen gerade der netgate-Hinweis unter 1:1 NAT on the WAN IP, aka “DMZ” on Linksys wieder etwas verunsichert.

Ich könnte jetzt natürlich auf reines Portforwarding auf die IP der pfsense umstellen und sehen, ob es damit klappt. Trotzdem interessiert mich, was beim derzeitigen Setup schief hängt, ich würde das gerne verstehen.

Vielleicht das noch als Hintergrundinfo: Ich habe hier keine tolle Testumgebung. Ich konfiguriere die pfSense lokal/offline und tausche dann den alten Draytek-Router gegen die pfSense. Jeder Test bedeutet für meine HomeOffice-Kollegen einen Ausfall von Telefonie und RDP.
Bitte warten ..
Mitglied: aqui
02.10.2020 um 09:26 Uhr
Intention war eigentlich nur, die PBX über eine eigene statische IP über WAN erreichbar zu machen.
Und genau DAS machst du ja mit der Virtual IP die auf die interne IP der PBX mappt ?! Aber das hast du scheinbar nicht gemacht.
Meinem Verständnis nach liegt die öffentliche IP ja nicht wirklich VOR der Firewall,
Wenn du mit der Virtual IP arbeitest dann nicht, das ist richtig. Die Firewall antwortet zwar auf Zugriffe auf diese IP aber im Hindergrund arbeitet das Regelwerk.
Ich könnte jetzt natürlich auf reines Portforwarding auf die IP der pfsense umstellen
Davon kann man nur dringenst abraten. Ist auch unsinnig wenn man ein öffentliches /28er Netz hat und dafür eine eigene IP verwenden kann (Virtual IP).
Bitte warten ..
Mitglied: HanDoku
02.10.2020 um 12:24 Uhr
Intention war eigentlich nur, die PBX über eine eigene statische IP über WAN erreichbar zu machen.
Und genau DAS machst du ja mit der Virtual IP die auf die interne IP der PBX mappt ?! Aber das hast du scheinbar nicht gemacht.

Genau daran hakt es bei mir gedanklich.

Ich habe offensichtlich irgendwas wesentliches übersehen.

Wo in den Einstellungen, die ich gepostet habe, steckt denn der Fehler?
Bitte warten ..
Mitglied: aqui
02.10.2020, aktualisiert um 12:41 Uhr
Du benutzt keinerlei Virtual IP bzw. hast das gar nicht konfiguriert !!
Du arbeitest lediglich mit Port Weiterleitung was natürlich fatal ist.
https://docs.netgate.com/pfsense/en/latest/firewall/virtual-ip-addresses ...

Zudem hat dein WAN Port Regelwerk ein paar grobe fehler die eine Funktion nach deiner Methode auch verhindern.
Punkt 1 ist das die VPN Destination niemals "Any" sein sollte sondern immer der WAN Port selber ! Dieser ist ja das Ziel von VPN Verbindungen aber niemals any.
Eine Sicherheitsrisiko.

Punkt 2 ist dein VNC Zugang. Als Destination Port hast du oben die 59xx Ports definiert diese aber unten in den WAN Port Rules nicht freigegeben. Folglich wird jeder TCP 59xx Traffic geblockt. Das sollte dir auch so in den Firewall Logs angezeigt werden.

So oder so ist diese Konfig sehr umständlich und eine ziemliche Frickelei und wäre mit einer Virtual IP besser und eleganter gelöst.
Bitte warten ..
Mitglied: HanDoku
02.10.2020 um 13:13 Uhr
Okay, das sehe ich mir alles nochmal an.

Bei der IPsec-Einrichtung hat die pfSense bei mir die WAN Port Regeln übrigens nicht automatisch eingerichtet. Vielleicht ist es sinnvoll, die von Dir geschilderte "Any"-Problematik in Deinem Tutorial Firewall Regeln für IPsec einrichten nochmal explizit zu thematisieren.
Bitte warten ..
Mitglied: HanDoku
14.10.2020 um 13:28 Uhr
Zurück auf Los, ich lasse die VOIP-Clients nun über einen IPsec-Tunnel auf die Starface-Anlage zugreifen.

Der Tunnel ist erfolgreich eingerichtet. Bei einem ersten Telefonie-Test hat es fast geklappt, d.h. die Rufe wurden aufgebaut und es kam eine Verbindung zustande. Allerdings war die Audio-Übertragung einseitig, d.h. wir konnten die Kollegen im HomeOffice zwar hören, sie uns aber leider nicht.

Ich tippe darauf, dass die ausgehenden UDP-Pakete nicht richtig ins VPN geleitet werden. Woran kann das liegen? Muss evt. eine NAT-Outbound-Regel hinzugefügt werden und wie sollte die wohl aussehen? Bislang gibt es dort im wesentlichen nur eine Regel für das Outbound-NAT der Telefonanlage in Richtung WAN.
Bitte warten ..
Mitglied: aqui
14.10.2020 um 15:04 Uhr
wir konnten die Kollegen im HomeOffice zwar hören, sie uns aber leider nicht.
Klassiker wenn irgendwo NAT gemacht wird und die dynamischen RTP Ports einseitig im NAT hängen bleiben.
Auf einer Seite bleiben also die RTP Ports an der NAT Firewall hängen. Verwunderlich, denn in einem transparenten IPsec Tunnel gibt es gar kein NAT. Es sei denn man hat das wissentlich eingeschaltet ?!
Hast du eine any to any Regel im IPsec Interface auf der FW ??
NAT darfst du auf gar keinen Fall benutzen im internen Tunnel. Das wäre ja auch Blödsinn, denn seine eigenen internen IP Netze NATet man natürlich niemals. Wozu sollte das auch gut sein ?!
Bitte warten ..
Mitglied: HanDoku
14.10.2020 um 15:24 Uhr
NAT habe ich für den Tunnel nirgendwo bewusst eingeschaltet und die Firewall-Regel für IPsec steht für alle Protokolle auf any to any ... daher bin ich gerade etwas ratlos.
Bitte warten ..
Mitglied: certifiedit.net
14.10.2020 um 15:29 Uhr
Zitat von HanDoku:

NAT habe ich für den Tunnel nirgendwo bewusst eingeschaltet und die Firewall-Regel für IPsec steht für alle Protokolle auf any to any ... daher bin ich gerade etwas ratlos.

Ist das Ding jetzt durch oder brauchst du noch Support (@Status:Gelöst). Any-Any macht das Problem nicht wirklich obsolet...Wenn du willst, schreib mir gerne ne PN für Support am Problemkind...
Bitte warten ..
Heiß diskutierte Inhalte
Router & Routing
Wireguard VPN (oder andere alternative) - Kompletter Traffic routen
gelöst KodaCHFrageRouter & Routing15 Kommentare

Guten Morgen Ich habe bisher mit OpenVPN und mit Wireguard VPN einige Tests gemacht. OpenVPN (Kostenlose Version): Hier habe ...

Server-Hardware
Konfiguration und Stromverbrauch ML350 Gen10
kosta88FrageServer-Hardware13 Kommentare

Hallo, ich versuche mal zu berechnen was ein ML350 verbrauchen würde. Ich weiß dass es von der Konfiguration und ...

Server
Kein Zugriff auf NAS bei DS Lite
martingerdesFrageServer11 Kommentare

Hallo liebe Gemeinde, dieses Thema kennen wahrscheinlich viele und ich selbst habe schon viele Forenbeiträge zu diesem Thema gelesen. ...

Windows Server
Hyper-V Server vs Datacenter?
holliknolliFrageWindows Server10 Kommentare

Hallo, hat jemand Erfahrung mit dem - kostenlosen - Hyper-V-Server? Ich meine, warum teure Lizenzen für Datacenter zahlen, wenn ...

Grafikkarten & Monitore
Grafikkarte kaputt? Hier muss noch etwas hin, weil der andere Titel schon vergeben ist :)
Sir.classicFrageGrafikkarten & Monitore9 Kommentare

Hallo an alle, ich habe einen selbst gebauten PC und mein Problem ist, dass meine Monitore regelmäßig (alle 3h) ...

LAN, WAN, Wireless
Spanning Tree Probleme
predator66FrageLAN, WAN, Wireless9 Kommentare

Hallo, wir haben hier eigenartige Spanningtree Probleme, die wir zur Zeit nicht gelöst bekommen: New Root Port MAC ist ...

Ähnliche Inhalte
Voice over IP
PBX Qulität
gelöst MegaGigaFrageVoice over IP14 Kommentare

Moinsen :D Heute mal eine kurz und bündige Frage: Bei Telefonie intern (von User zu User) ist die Qualität ...

Router & Routing

Konfiguration OPNSENSE + PBX mit Telekom Anschluß (Magenta S) VOIP

simbeaAnleitungRouter & Routing1 Kommentar

In folgendem Setting: Modem Draytec Vior 165=>OPNSENSE=>Switch=>LAN mit PBX sind für die Magenta Tarife (Einzelrufnummern, KEIN Sip-Trunking) folgende Settings ...

Firewall

PFsens Open VPN Verbindung

OSelbeckFrageFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Linux

Welchen Asterisk?

krodonFrageLinux13 Kommentare

Hallo, ich möchte unsere Starface durch einen Preiswerteren Asterisk ersetzen. Nun stelle ich mir die Frage welche Distribution ich ...

TK-Netze & Geräte

PBX mit Mail2Fax

adminstFrageTK-Netze & Geräte1 Kommentar

Hallo zusammen Ich bin auf der Suche nach einer OpenSource PBX welche Fax2Mail und Mail2Fax beherrscht auf Sip Basis. ...

TK-Netze & Geräte

Asterisk CallCompletionRequest

89371FrageTK-Netze & Geräte

Hallo zusammen, benutzt jemand mit Asterisk das CallCompletionRequest? (Rückruf bei besetzt bzw nicht melden) Ich habe es mir mal ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT