Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Konfiguration VOIP: Grundsätzliche Fragen

Mitglied: scriptorius

scriptorius (Level 1) - Jetzt verbinden

23.05.2020, aktualisiert 16:21 Uhr, 550 Aufrufe, 21 Kommentare

Hallo,

Ziel: IP-Telefon (Gigaset C430A Go) hinter einer pfsense als "Festnetztelefon" betreiben

Mein Router/Firewall ist ein Apu2, darauf pfsense installiert.
Mein Switch ist ein Cisco SG350-28

Ich habe mehrere VLANs konfiguriert, natürlich auf den Switch und dem Router.
Diese sind verbunden über einen "tagged Trunk Port"
Als Firewallregel habe ich in allen VLANs das "Scheunentor" geöffnet, um jene als Fehlerquelle auszuschließen.

Die Basisstation des IP-Telefons liegt im VLAN30 (DMZ)
Mein Internetanbieter ist: Deutsche Glasfaser

In den Anleitungen im Internet (leider ist mein Anwendungsfall nirgendwo konkret beschrieben), sind vier Werte von Bedeutung:

IP des Telefons: 192.168.30.155 (als statische IP eingerichtet)
SIP-Port: 5060
RTP-Ports: 7078:7109 (diese wurden in der fritzbox verwendet)
Registrar: de.voip.dg-w.de (nslookup sagt: 185.22.44.186)

Durch Firewall Regeln müssen diese so konfiguriert werden, dass ein Verbindung zustande kommt.
Hier ist mein Problem. Ich verstehe das Prinzip dahinter nicht.

In einer Anleitung >hier< (weiter unten) wird ein ähnlicher Anwendungsfall beschrieben.
Der Verfasser setzt folgende Schritte um:

(1) Der Datenverkehr vom Gigaset zum SIP-Port und den RTP-Ports muss über das VLAN-Gatenway erfolgen
(2) Der Datenverkehr über das VLAN zum Gigaset SIP- und RTP-Port wird geregelt
(3) Ausgehende NAT-Regeln werden konfiguriert
(4) Eingehende NAT-Regeln: Zum Schluss leiten wir noch die SIP und RTP-Ports eingehend an das Gigaset-Telefon weiter

Diese Angaben sind für mich sehr abstrakt.
Ich wäre sehr dankbar, wenn mir jemand für meinen Anwendungsfall nützliche Tipps zu Vorgehensweise geben könnte ...
Mitglied: tikayevent
23.05.2020 um 16:21 Uhr
Tut mir leid, aber selbst beim vierten durchlesen finde ich keine Frage.

Funktioniert es nicht, bekommst du es nicht eingerichtet oder was?
Bitte warten ..
Mitglied: scriptorius
23.05.2020, aktualisiert um 16:27 Uhr
Ja, richtig, entschuldige, die konkrete Frage dahinter ist:
Wie richte die Firewall-Regeln so ein, dass eine Verbindung zustande kommt?

Ich kann nirgendwo ansetzen, weil ich das Prinzip dahinter nicht verstehe.
Ansonsten könnte ich mir vielleicht die Anwendungsschritte "zusammen googlen".
Bitte warten ..
Mitglied: tikayevent
23.05.2020 um 16:30 Uhr
Funktioniert denn die Telefonie, wenn du alles von dem LAN, in dem das Telefon steht, ins WAN erlaubst? Heutzutage ist meist nicht mehr notwendig, da die Telefoniesysteme der Provider mit NAT umgehen können und im Gegensatz zu meiner Anfangszeit mit VoIP (vor etwa 15 Jahren) keine Portweiterleitungen mehr benötigen.
Bitte warten ..
Mitglied: aqui
LÖSUNG 23.05.2020 um 16:43 Uhr
Knackpunkt ist der STUN Server. Wenn möglich sollte der immer konfiguriert werden im Telefon.
Die Einrichtung wird hier sehr gut erklärt:
https://bergs.biz/blog/2017/02/18/deutsche-glasfaser-sip-account-manuell ...

Der STUN Server bewirkt das es an der Firewall keinen Stress mit den dynmaischen RTP Ports gibt. Kann man kein STUN definieren müssen die RTP Ports freigegeben werden.
Die entsprechenden Einstellungen findet man im [ pfSense_Tutorial] in den weiterführenden Links unter "VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:"
An den Standard Default NAT Regeln muss man nicht rumfummeln !

Heisser Tip:
Nimm zum Testen immer ein Softphone wie z.B. Phoner:
http://phoner.de/index.htm
oder Phoner Lite:
https://lite.phoner.de/index_de.htm
Phoner bevorzugt da bessere Logging Optionen. Den Phoner konfigurierst du mit deinen SIP Credentials und STUN und los gehts wie beim Gigaset.
Damit kannst du auf einem Test PC im Test VLAN 30 dann erstmal üben.
Phoner hat sehr gite Logging Optionen die dir genau sagen wo es kneift und was du anpassen musst.
Klappt das alles überträgst du schlicht und einfach nur die Daten aufs Gigaset und gut iss...
Eigentlich kein Hexenwerk !
Bitte warten ..
Mitglied: tikayevent
23.05.2020, aktualisiert um 16:52 Uhr
@aqui: Pass mit der Aussage auf, bei Unitymedia sollte man es nicht machen, weil die IPv4-Adressen der Telefonie selbst private IP-Adressen sind, auch wenn man einen IPv4 oder einen echten Dual-Stack-Anschluss hat. Hier ist man z.B. gezwungen, die Telefonie auf dem Router laufen zu lassen, weil mit STUN geht es nicht, ohne auch nicht und ein SIP-ALG im Router machts kaputt.

Ein ordentlicher Telefonieanbieter bietet entsprechende Möglichkeiten, also STUN oder die Technik selbst ist NAT-fähig (easybell benötigt z.B. kein STUN oder SIP-ALG, sondern die passen die SIP-Payload anhand des IP-Headers an., QSC verbietet strikt SIP-ALGs und können mit NAT umgehen). Die Provider, insbesondere die Zwangsrouterbefürworter wie Telefonica, Vodafone (inkl. Unitymedia) und DG, haben kein Interesse daran. Deren Router sind IADs, also die Telefonie liegt direkt am WAN-Interface und benötigt kein NAT, daher gibt es hier keine Transitionstechniken und wenn es nicht funktioniert, ist es ja eh Problem des Kunden, weil Eigenrouter nicht unterstützt werden.

@scriptorius: Betreibst du ein eigenes ONT statt dem DG-Router am Anschluss? Weil dieses ist ja Pflichtprogramm, um die SIP-Zugangsdaten zu erhalten.
Bitte warten ..
Mitglied: aqui
23.05.2020 um 16:57 Uhr
Wird ja immer gruseliger bei Unitymedia und diesen pestigen DS-Lite Anschlüssen. Danke fürs Feedback. Wieder was gelernt und wieder mal froh KEIN Kunde dieses Providers zu sein !
Bitte warten ..
Mitglied: scriptorius
23.05.2020 um 16:59 Uhr
Vielen Dank für die Hilfsbereitschaft

Ja, ich habe damals bei der Anmeldung gesagt, dass ich einen eigenen Router habe.
Die pfsense hängt auch gleich am ONT ohne weiteren Router dazwischen.

Bei der Standard-Erstkonfiguration mit Assistent kann ich meine Daten eingeben, es kommt allerdings: Anmeldung bei Provider nicht erfolgreich.
Bitte warten ..
Mitglied: tikayevent
23.05.2020 um 17:01 Uhr
Bleibt das stehen? Die Gigasets sind scheiße langsam und man muss die Seite nach ein paar Sekunden neu laden. Direkt nach dem Speichern steht da immer "Anmeldung beim Provider nicht erfolgreich".
Bitte warten ..
Mitglied: tikayevent
23.05.2020 um 17:05 Uhr
Das hat mit DS-Lite nix zu tun. Ich hab hier einen richtigen DS-Anschluss und das gleiche Problem. Gibt aber einen Trick, wenn das Netz und die Endgeräte IPv6-tauglich sind (Gigasets gehören da nicht zu). Wenn man den Registrar von Unitymedia bekommt, steht bei den Zugangsdaten irgendwo was nach dem Schema ssl91-v4.telefon.unitymedia.de oder ssl91.telefon.unitymedia.de (die Zahl hinter ssl ändert sich). Wenn man hinter das sslXX ein -v6 macht, kann man eine IPv6-Registrierung erzwingen.

Wundert mich, dass das der alte Nortel CS2000 schon kann.

Bei mir ging es nicht und die OpenScape Business kann kein IPv6, also registriert sich jetzt mein Router als SBC und gibt es an die Telefonanlage weiter.
Bitte warten ..
Mitglied: scriptorius
23.05.2020, aktualisiert um 18:51 Uhr
So, in der Zwischenzeit habe ich alles mögliche versucht.
Immer das gleiche Ergebnis: Anmeldung bei Provider nicht erfolgreich.
Keine Ahnung, woran es liegt.
Das bleibt auch da stehen.
Bitte warten ..
Mitglied: tikayevent
LÖSUNG 23.05.2020 um 18:56 Uhr
Ist die Firewall von dem LAN, in dem das Telefon steht in Richtung WAN komplett offen? Hast du eventuell auf der WAN-Verbindung die RFC1918-Netze verboten? Passiert überhaupt irgendwas, wenn du in Wireshark nachschaust? Wie hast du das Telefon konfiguriert?
Bitte warten ..
Mitglied: scriptorius
23.05.2020 um 20:13 Uhr
O, man ...

Hast du eventuell auf der WAN-Verbindung die RFC1918-Netze verboten?

Das war es.
Hatte den Zusammenhang nicht auf dem Schirm.
Ich danke Dir.
Bitte warten ..
Mitglied: scriptorius
24.05.2020 um 12:46 Uhr
Hallo,

der "Leidensweg" ist leider doch noch nicht vorbei.
Nachdem ich die Anmeldung beim Provider gestern kurzzeitig klappte, sieht es heute wieder anders aus.

WAN und LAN30 Regeln sind so:
voip_wan - Klicke auf das Bild, um es zu vergrößern
voip_vlan30 - Klicke auf das Bild, um es zu vergrößern

Die Basisstation habe ich mit Assistenten eingerichtet.

Der Weg ist ja in dem Beispiel von aqui oben beschrieben.

Wo könnte denn das Problem noch liegen?
Bitte warten ..
Mitglied: aqui
24.05.2020 um 13:22 Uhr
Hatte den Zusammenhang nicht auf dem Schirm.
Und das obwohl es in riesigen Lettern im pfSense Tutorial hier steht !!! Tzzz...
WAN und LAN30 Regeln sind so:
Sind richtig. Ist ja mehr oder minder Standard.

Nur nochmal doof nachgefragt: Arbeitest du in einer Router Kaskade, sprich ist ggf. VOR der Firewall noch ein Router ? Im schlimmsten Fall ein VoIP Router mit einem eigenen VoIP Gateway ?
Wenn ja "denkt" der vermitlich das alle Voice relevanten Frames für ihn sind und macht dann kein Forwarding dieser Pakete so das die an der pfSense bzw. dem VLAN 30 gar nicht mehr ankommen.

Nochmals: Mache einen Test mit einem Softphone und sieh dir da das Log an. Noch besser wäre dann auf dem Softphone Rechner den SIP Verbindungsaufbau mit dem Wireshark oder tcpdump zu protokollieren.
Dann weiss man ohne wild zu raten und zu spekulieren sofort WO der Fehler ist. So stocherst du doch nur weiter im Dunkeln und probierst sinnfrei im freien Fall alles aus ohne wirklich die Ursache zu kennen.
Stell dir mal vor dein Hausarzt ginge so vor...?!
Bitte warten ..
Mitglied: scriptorius
24.05.2020 um 13:33 Uhr
Sorry für dieses ewige hin und her.
Aber nach weiteren Versuchen habe ich es jetzt hinbekommen.

Ich habe den Anschluss manuell konfiguriert
Mit diesen Einstellungen (s.u.) und den VLAN und WAN Einstellungen (s.o.) verbindet sich jetzt das Gigaset c430a mit dem Anschluss der Deutschen Glasfaser:

Anmeldename ist der SIP_USERNAME
Anmeldepasswort SIP_PASSWORT
Benutzername = Telefonnummer mit Vorwahl
Angezeigter Name = Telefonnummer mit Vorwahl

gigaset_conf - Klicke auf das Bild, um es zu vergrößern

Die IP Adressen habe ich aufgelöst mit nslookup ( also: dg.voip.dg-w.de)
Bitte warten ..
Mitglied: scriptorius
24.05.2020 um 13:44 Uhr
Nur nochmal doof nachgefragt: Arbeitest du in einer Router Kaskade, sprich ist ggf. VOR der Firewall noch ein Router ? Im schlimmsten Fall ein VoIP Router mit einem eigenen VoIP Gateway ?
Nein, die Firewall hängt direkt am Internetanschluss ohne Router davor

Nochmals: Mache einen Test mit einem Softphone und sieh dir da das Log an. Noch besser wäre dann auf dem Softphone Rechner den SIP Verbindungsaufbau mit dem Wireshark oder tcpdump zu protokollieren.
Danke für den Tipp.
Hätte ich auch als nächstes gemacht, aber ich wusste ja, dass gestern eine Einstellung die richtige war.

Stell dir mal vor dein Hausarzt ginge so vor...?!

Ja, dann musst Du nur einmal zum Arzt, dann fällt der Deckel zu

Vielen Dank aber trotzdem, VOIP läuft jetzt.
Das heißt, ich kann mit diesen Einstellungen erstmal das Netzwerk hier so betreiben, ohne ständig zwischen frotz.bix und pfsense hin und her zu stöpseln.

Das nächste wird sein, meine kleinen Wireguard- und Nextcloud-Server ins Netzwerk einzubinden.
Dann wäre ich erstmal grundlegend durch.

Klar, die Firewall-Regeln muss ich dann nach und nach enger ziehen ...
Bitte warten ..
Mitglied: aqui
24.05.2020, aktualisiert um 13:50 Uhr
Vielen Dank aber trotzdem, VOIP läuft jetzt.
Bingo !! 👍
Und das dann auch ganz ohne STUN, oder ??
Wenn du oben den Haken bei DNS Lookup auf "Ja" setzt sollte er auch den Hostnamen dg.voip.dg-w.de statt der 185.22er IP Adressen auflösen können.
Gut wenn's nun rennt wie es soll. !
Das nächste wird sein, meine kleinen Wireguard- und Nextcloud-Server ins Netzwerk einzubinden.
Na ja Wirequard wäre ja Blödsinn bei einer pfSense. Siehe dazu:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...

Beim Nextcloud Server freuen wir uns dann auf den nächsten Thread...!
Bitte warten ..
Mitglied: scriptorius
24.05.2020 um 13:57 Uhr
Und das dann auch ganz ohne STUN, oder ??
Ja, ist so

Wenn du oben den Haken bei DNS Lookup auf "Ja" setzt sollte er auch den Hostnamen dg.voip.dg-w.de statt der 185.22er IP Adressen auflösen können.
Für solche Tipps bin ich immer dankbar.
Ich habe es gleich auch mal getestet, aber da kam wieder: Anmeldung fehlgeschlagen.
Kannst Du Dir erklären warum?

Na ja Wirequard wäre ja Blödsinn bei einer pfSense. Siehe dazu:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-opnsen ...
Das will ich dann mal testen.

Beim Nextcloud Server freuen wir uns dann auf den nächsten Thread...!
Ja, der kommt bestimmt
Bitte warten ..
Mitglied: aqui
24.05.2020 um 14:09 Uhr
Kannst Du Dir erklären warum?
Kann dann nur sein wenn das Telefon keine oder eine falsche DNS Server IP bekommen hat. Wenn du DHCP dort nutzt sollte das immer die pfSense IP sein.
Aber egal, wenns mit der IP geht alles so lassen. Never touch a running System
Bitte warten ..
Mitglied: scriptorius
24.05.2020 um 14:22 Uhr
Kannst Du Dir erklären warum?
Kann dann nur sein wenn das Telefon keine oder eine falsche DNS Server IP bekommen hat. Wenn du DHCP dort nutzt sollte das immer die pfSense IP sein.
Da habe ich keine Einstellung vorgenommen.

Aber egal, wenns mit der IP geht alles so lassen. Never touch a running System
Ich hoffe nur, die ändern die IP nicht ..
Bitte warten ..
Mitglied: scriptorius
26.05.2020 um 07:53 Uhr
kleiner NACHTRAG:

wenn: > Services > DNS Resolver > General Settings > DNS Query Forwarding
markiert wird, dann muss oben die IP (185.22.44.186) nicht eingetragen werden.
Wenn zusätzlich oben der Haken bei DNS Lookup auf "Ja" gesetzt ist, wird die DNS dg.voip.dg-w.de aufgelöst.
Bitte warten ..
Ähnliche Inhalte
Voice over IP

PFSense - OPNSense - Unterschiede in der VOIP Konfiguration

Erfahrungsbericht von Looser27Voice over IP2 Kommentare

Moin, nachdem bei einem Stromausfall die Software von meiner pfsense hinüber war, habe ich nochmal OPNSense ausprobiert. Also fröhlich ...

Router & Routing

Konfiguration OPNSENSE + PBX mit Telekom Anschluß (Magenta S) VOIP

Anleitung von simbeaRouter & Routing1 Kommentar

In folgendem Setting: Modem Draytec Vior 165=>OPNSENSE=>Switch=>LAN mit PBX sind für die Magenta Tarife (Einzelrufnummern, KEIN Sip-Trunking) folgende Settings ...

Voice over IP

ALL-IP Anschluss Telekom VoiP MikroTik mit VLAN Konfiguration

gelöst Frage von rogatecVoice over IP11 Kommentare

Hallo zusammen, ich bin momentan etwas ratlos meine 2 Telefone zum Laufen zu bekommen. Mein MikroTik Routerboard verbindet sich ...

Voice over IP

VoIP Telefonanlage

Frage von hscheipVoice over IP7 Kommentare

Hallo zusammen, langsam aber sicher werden die ISDN Anschlüsse abgeschaltet und die Zukunft hält Einzug. Ich bin jetzt auf ...

Neue Wissensbeiträge
Datenschutz
Datenschutzproblem?
Information von Penny.Cilin vor 3 StundenDatenschutz1 Kommentar

Hallo, gerade im Heise Newsticker gefunden: Frage: Warum wurden die Akten nicht ordnungsgemäß gesichert bzw. aufbewahrt? Patientenakten sind 30 ...

Windows Netzwerk

SCOM ( System Center Operations Manager ) um eine E-Mailschnittstelle erweitern

Anleitung von Juanito vor 1 TagWindows Netzwerk

Einleitung System Center Operations Manager (SCOM) ist Microsoft's Lösung zum Überwachen von Servern. Dazu zählt die generelle Erreichbarkeit, Festplattenspeicher, ...

Humor (lol)
BioShield gegen 5G
Information von magicteddy vor 2 TagenHumor (lol)3 Kommentare

Moin wer sich gegen die hochgefährlichen 5G schützen möchte wird hier fündig: 5GBioShield "gegen 5G-Strahlung" Ich glaube, ich sollte ...

Windows Server

ScheduledTasks mit einem Group-Managed-Service-Account (GMSA) ausführen

Anleitung von ToniHo vor 2 TagenWindows Server

Hallo zusammen, wer schonmal versucht hat ein Group-Managed-Service-Account (GMSA) auf einem bestehenden ScheduledTask einzutragen, ist an der GUI vermutlich ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Wie Festplatte von altem Notebook sicher löschen
gelöst Frage von NilsholgerssonFestplatten, SSD, Raid12 Kommentare

Hallo, habe ein altes P3 Celeron 800 Notebook, dessen Festplatte ich sicher löschen möchte. Habe von der Ultimate Boot ...

Microsoft
USB-Ports sperren mit Software
Frage von trabajadorMicrosoft10 Kommentare

Hallo, gesucht wird eine Software, welche alle USB-Ports sperrt bis auf für Maus, Tastatur und einem Admin-USB-Stick. Verwendet wird ...

Router & Routing
VPN Router hinter Glasfaser Router des ISP
gelöst Frage von TenerifeITRouter & Routing10 Kommentare

Hallo zusammen, ich habe bisher noch keine VPN Router eingerichtet und nun von einem Kunden 2 TP-Link TL-R600VPN Router ...

Windows 10
Virtualbox neueste Version W10pro 1909 nach Update auf 2004 Oberfläche hinüber bis fast ohne Funktion
Frage von UweGriWindows 109 Kommentare

Liebe profi Admins, zu Testzwecken hatte ich in einer VirtualBox neuste Ausführung ein W10 pro 1909 ohne Kummer laufen. ...