09.02.2025

1331

O2 VoIP mit Fritzbox als Client hinter OPNsense

Irgendwie will das Setup nicht so recht laufen...
Ich kriege zwar eine registrierte Rufnummer und kann auch anrufen, aber es wird keine Sprache übertragen.

Settings auf der Fritz 7490
DNS Server von o2, die zur Auflösung von sip.alice-voip.de (Alias SIP Servers) benötigt werden.
Welcher Eintrag auch immer "mächtiger" ist in der Fritzbox... Wenn ich hier keinen DNS eintrage, dann kriege ich keine registriert Rufnummer ("Grüne Lampe" Bild 3)
Bild 1:

Bild 2

Bild 3

Portweiterleitung aktiv halter: Alle 30s

Jetzt zur OPNsense
Zweites PPPoe Device mit eigenen o2 Einwahldaten ist dem Interface WAN_voip zugewiesen (Bild 4)

FW Aliases: (Bild 6)

NAT Settings (Bild 5)

Und jetzt der Teil, an dem es vermutlich scheitert: Firewall Regeln, ich weiß nicht so recht wo ich was tun muss.
Ein paar Anleitungen haben irgendwie irgendwas vorgeschlagen, keine Ahnung....

Firwall Regeln des Interfaces, an dem die Fritzbox hängt (Bild 7)

Und Regeln vom WAN_voip Interface (Bild8), die sind aber deaktiviert, weil sie glaube ich nicht stimmen?!

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 671237

Url: https://administrator.de/forum/o2-voip-mit-fritzbox-als-client-hinter-opnsense-671237.html

Ausgedruckt am: 12.03.2025 um 20:03 Uhr

40 Kommentare

Neuester Kommentar

aber es wird keine Sprache übertragen.

Das leidige Drama hatten wir hier erst kürzlich! Die Suchfunktion lässt grüßen...

Problem mit Telefonie über Fritzbox hinter OPNsense
Statische RTP Ports...
Eine Fritzbox als interner VoIP Server (IP Client Mode) funktioniert ohne das man spezielle Regel, Port Forwarding oder NAT Frickeleien machen muss mit den Default Settings der OPNsense out of the box!!
Deine Einstellungen oben sind also vollkommen überflüssig und eher kontraproduktiv.

Das sind sie so oder so weil die Fritte seit langem nur noch TCP als SIP Protokollbasis verwendet satt UDP wie bei dir. SIP ist wie DNS immer für TCP und UDP definiert. Siehe dazu u.a. auch hier:
Cisco Telefone für All IP Anschluss, FritzBox und andere VoIP Anlagen fit machen
Ebenso die Verwendung fremder DNS Server was bei VoIP Providern dazu führt das die SIP Server nicht aufgelöst werden können. Hier sollte also immer die Firewall verwendet werden die die providereigenen DNS Server automatisch per PPPoE übermittelt bekommt. Folglich ist es sinnvoller eine interne Fritte ihre interne IP, Gateway und DNS per DHCP beziehen zu lassen.
Hilfreich ist aus dem gleichen Segment die VoIP Funktion zuerst mit einem Softphone wie Phoner oder Phoner Lite
https://lite.phoner.de/index_de.htm
https://phoner.de/index.htm
zu testen. Beide haben eine detailierte Logging Funktion die bei Problemen zielführende Infos liefert woran es liegt. Zusätzlich kann man auf einem PC mit dem Softphone die SIP und RTP Connection auch detailiert mit dem Wireshark Sniffer betrachten um noch detailierte Infos für die Gründe einer Fehlfunktion zu finden!
Alternativ wählt man die Packet Capture Funktion unter "Interface - Diagnostics" auf der Firewall selber um diese Sniffer Daten zu ziehen.
Wie gesagt: Mit den Default Settings der OPNsense sind keine extra Anpassungen erforderlich.
Ein Praxisbeispiel mit einer 7390 die intern nur als VoIP Anlage rennt kannst du HIER sehen!

Auch lesenswert zu der (RTP) Thematik:
VoIP-Telefonie über SIP-Client "Zoiper" (FritzBox 7560 als Router)
VOIP hinter pfsense ohne(!) Portfreigaben (und auch ohne STUN und SIP-ALG)
Pfsense mit easybell VoIP Cloud Anlage

Moment, d.h. ich verpass dem WAN_Voip eine Allow Any Regel und schalte alles andere aus?!

Oder die Einwahl in der Fritzbox machen und das ganze WAN_VoIP Zeug auch raushauen?

Eine Besonderheit bei o2 scheint ja zu sein, dass es eine zweite PPPoE Verbindung mit eigenen Zugangsdaten gibt und on top braucht diese auch noch eigene DNS Server, damit sip.alice-voip.de korrekt aufgelöst wird

ich verpass dem WAN_Voip eine Allow Any Regel und schalte alles andere aus?!

Nein, du frickelst generell NICHTS am Regelwerk rum in Bezug auf VoIP.

Eine Besonderheit bei o2 scheint ja zu sein

Scheint??! Raten ist nie gut in der IT.
Checke ob du auf dieser "zweiten PPPoE" Verbindung überhaupt eine Interface IP Adresse bekommst! Es müssten bei dir in der globalen Interface Übersicht ja dann zwei PPPoE Interfaces mit IP Adressierung existieren.

braucht diese auch noch eigene DNS Server

Das wurde ja oben schon gesagt aber das ist kein spezieller DNS Server sondern der globale von O2. Das kannst du auch über die nslookup Funktion der FW selber oder eines Clients wasserdicht checken wie z.B. dem PC mit dem Softphone!

Ah okay, also was dann tun?
Alles an Regeln/NAT whatever deaktivieren und schauen was dann ist?

Alles an Regeln/NAT whatever deaktivieren und schauen was dann ist?

Richtig! Default WAN Regeln belassen. Ggf. statische RTP Ports aktivieren. (Haken setzen) Erstmal Scheuntor Regeln lokales LAN. Fertisch... Siehe obiges Beispiel mit der 7390!

... und erst einmal Dein DNS-Chaos in den Griff kriegen, offenbar hast Du mehr Nameserver im Netz, als sonst etwas (OPNsense DNS "halb tot" - Keine Auflösung nach längerer Zeit)

Zitat von @DivideByZero:

... und erst einmal Dein DNS-Chaos in den Griff kriegen, offenbar hast Du mehr Nameserver im Netz, als sonst etwas (OPNsense DNS "halb tot" - Keine Auflösung nach längerer Zeit)

Ich glaube nicht, dass ich ein DNS Chaos habe, Unbound arbeitet offensichtlich gar nicht, AdGuard kann ich deaktivieren und im System hab ich keine eingetragen bzw trage dann beim Testen bewusst Google oder sonstwen ein....

Scheint??! Raten ist nie gut in der IT.
Checke ob du auf dieser "zweiten PPPoE" Verbindung überhaupt eine Interface IP Adresse bekommst! Es müssten bei dir in der globalen Interface Übersicht ja dann zwei PPPoE Interfaces mit IP Adressierung existieren.

Da kriege ich keine...
Aber ich kann ja Anrufe starten, von daher verstehe ich nicht so ganz, wie das überhaupt funktionieren kann.

Zitat von @aqui:

Alles an Regeln/NAT whatever deaktivieren und schauen was dann ist?

Richtig! Default WAN Regeln belassen. Ggf. statische RTP Ports aktivieren. (Haken setzen) Erstmal Scheuntor Regeln lokales LAN. Fertisch...

Dann ist es alles so, LAN und mein LAG-Port haben Nur die Allow Any Regel, meine IoT und Guest VLANs mit Einschränkung DNS über Port 53 und ansonsten AllowAny !Private Networks, die DNS Regel steht oben.
Und die Outbound NAT Regel brauche ich ja woh, oder?

Wo soll ich die statischen Ports einstellen? Port Forwarding WAN_voip <-> Fritzbox oder was meinst du?
Oder über das WAN (nicht WAN_voip) ein Outbound NAT für die Frizbox mit static Port?

Und mein WAN hat keinerlei FW Regeln, das habe ich nach der Installation nie angefasst.

@aqui

Checke ob du auf dieser "zweiten PPPoE" Verbindung überhaupt eine Interface IP Adresse bekommst! Es müssten bei dir in der globalen Interface Übersicht ja dann zwei PPPoE Interfaces mit IP Adressierung existieren.

Zwei Gedanken noch...

Könnte es evlt daran liegen, dass das WAN_voip Interface eine andere MAC Adresse hat und o2 keinen Verbindungsaufbau von zwei verschiedenen akzeptiert?

Könnte es helfen, wenn ich das WAN FW-seitig ins VLAN7 schmeiße und das Tagging Modem-seitig deaktiviere?

Peinlich....

Natürlich ist das mit der zweiten pppoe Einwahl alter Unfug und irgendwelche wilden Foren-Experimente zusammen gemixt

Aufs normale WAN Interface umgestellt und es funktioniert.
Danke nochmal fürs Augen-Öffnen

Ich habe jetzt diesen Outbound NAT Eintrag:

Ohne den funktioniert es nicht.

Keine Firewall Regeln...

Ich habe jetzt diesen Outbound NAT Eintrag:

Wie oben schon mehrfach gesagt: Völlig sinnfrei weil die Firewall so oder so schon ALLES NATet am WAN Port.
Außer natürlich man routet über externe Router fremde IP Netze auf die FW! Siehe dazu hier:
Routing Problem OPNsense

So ein Setup ist bei dir aber gar nicht vorhanden da du ausschliesslich nur lokale IP Netze an der FW selber nutzt!
Es sei denn du hast die Fritte als internen IP Client falsch oder fehlerhaft konfiguriert.
De facto ist auf der OPNsense keine extra NAT Regel oder andere Frickelei für VoIP erforderlich! Schon gar nicht so eine wie oben die global gleich alles was UDP ist NATet und dabei vergisst das die Fritte für SIP (VoIP Signalisierung) nur noch TCP verwendet!
Zuerst alles verfrickeln und dann Fehler suchen ist eben wenig effizient!

Keine Ahnung was ich hier großartig verstellen soll ehrlich gesagt...

ALLES andere auf der FW ist deaktiviert, alle Interfaces sind offen bis auf die Gast Netzwerke.
Keine Gateways, keine Routen, Kein NAT (bis auf der Modem Zugriff)

Verbindung wird aufgebaut und auch gehalten, aber Sprache geht nicht durch.
Der um 14:27 ging mit NAT durch

Vielleicht beschaffst du dir eine olle 7390 wie oben?! Damit klappt es ganz ohne (NAT) Frickelei mit den stinknormalen Default Settings.

Falls du mir helfen kannst wie ich hier alle relevanten Ports rauskitzeln kann, dann lernen wir ja vielleicht noch was über die 7490 😁

Mit einer 7490 funktioniert es (getestet) mit gleichem Setup ebenso wie mit der 7390.

ich raffs nicht was da falsch läuft

Wenn Du doch eine Lösung hast, die für Dich läuft, dann lass es doch dabei. Denn offenbar hast Du recht viel individuell konfiguriert und hintereinander geschaltet, was im Zusammenspiel zu Problemen führt. Ohne vollständige Durchsicht aller Deiner Konfigurationen auf allen Deinen Geräten werden wir nicht helfen können(und das wäre ein wenig viel verlangt für ein Forum der Freiwilligen).

Als Alternative, wie Dir mehrfach geraten: alles, wirklich alles, auf default config und dann va die Tipps von aqui beherzigen

Ich hab wirklich nichts mehr individuell, hier ist überhaupt nicht spezielles mehr eingestellt.
Was soll ich auch hier verstellen, dass plötzlich die Fritzbox, die wohl nur über TCP laufen sollte, hier auf einmal einen Outbound NAT für die die UDP ports braucht?!

Halt mal sinnvoll durchtesten, also Fritz!Box direkt an Modem und schauen, ob es läuft. Wenn dann hinter der Firewall, dann diese ggf. einmal auf Auslieferungszustand und schauen, ob es läuft.
Und sonst halt mit Deiner Outbound NAT Regel leben.

hier auf einmal einen Outbound NAT für die die UDP ports braucht?!

Von welchen Ports redest du denn konkret?? Hier mal mitgesniffert am WAN und man sieht das alle Client Sessions sowohl mit Protokoll und auch Ports ohne jegliche Veränderung übers NAT laufen. Das ist ja auch zu erwarten, ansonsten würde die gesamte IP Connectivity ad absurdum geführt und scheitert.
Das TCP von Geisterhand in der FW in UDP gewandelt wird ist technisch unmöglich und gehört sicher ins Reich der IT Märchen.

wir haben halt bei mir immer noch das riesen Problem, dass ich nicht weiß was ich tue...

hilft sowas weiter?
aktuell kriege ich eh keine Verbindung, egal ob NAT an oder aus

Halt mal sinnvoll durchtesten, also Fritz!Box direkt an Modem und schauen, ob es läuft. Wenn dann hinter der Firewall, dann diese ggf. einmal auf Auslieferungszustand und schauen, ob es läuft.

Das mit direkt am Modem musst du mir nochmal sagen wie genau das funktionieren soll.
Das Modem ist ja im Bridge Modus und die Fritzbox kann die Einwahl nicht fernsteuern, sondern nur selbst übernehmen.

Meinst du ich soll das Modem im Router Modus betreiben und die Fritz als Client mit gleichem Subnet und Modem=Gateway einstellen?

Wenn sie selbst wählt, dann geht alles ohne Probleme, wie früher auch...

Gibt das Dokument Aufschluss über irgendwas?
https://www.telefonica.de/file/public/1158/SIP-Interfaces-v2-1.pdf?attac ...

Wenn sie selbst wählt, dann geht alles ohne Probleme, wie früher auch...

Wenn das gesichert ist, dann liegt es an Deiner Firewall. Ich blicke durch Deine Konfigurationen in den verschiedenen Threads nicht mehr durch. Wo ist die Opnsense denn überhaupt installiert?
Ich empfehle, die Config zu sichern und dann die Opnsense einmal neu zu installieren und ohne Änderung die Fritz!Box dahinter und Telefon testen. Kein VLAN, nichts.

Gibt das Dokument Aufschluss über irgendwas?
https://www.telefonica.de/file/public/1158/SIP-Interfaces-v2-1.pdf?attac ...

Ja, aber nichts, was hier hilft 😉

OPNsense auf einem Protectli V1410 mit coreboot installiert, keine VM oder sonst was.

Das Ding hat 4 NICs, einer davon ist WAN, LAN, LAG und ein freier.

VLAN nur auf dem LAG, hier hängt auch die Fritzbox am Switch im VLAN1

Clients hängen auch alle an dem Switch

Aber wie gesagt, ich habe sämtliche Experimente immer deaktiviert und habe nichts, was nicht auch schon bei der Neuinstallation da gewesen wäre... Adguard aus, leere DNS Einträge, keine fancy Regeln, kein NAT (bis auf das, was bei der Verbindung aufs Modem nicht läuft)

Ja ich kann die OPNsense nochmal neu installieren... Oder gibts sowas wie "auf Werkseinstellungen zurücksetzen"?

Das Ding hat 4 NICs, einer davon ist WAN, LAN, LAG und ein freier.

Da stimmt dann etwas nicht. WAN, LAN, LAG (Annahme 2 aggregierte Ports) plus "ein freier" wären nach Adam Riese "5" NICs?! 🤔

Vielleicht zum Freitag 🐟 nochmal etwas "Silbertablet" um dir zu zeigen das es eigentlich nur an einem verfummelten OPNsense Setup liegen kann und du übers Wochenende alles in Ruhe fixen kannst.

Inhaltsverzeichnis

Netzwerk Setup

Fritzbox "IP Client" Setup, Firewall WAN Capture

Capture LAN und WAN

Netzwerk Setup

Nebenbei:
Die ist nur ein Auszug aus der OPNsense Konfig. 2 weitere FW Interfaces sind, analog wie bei dir, als LACP LAG auf einen L2 VLAN Switch konfiguriert. Wurde der Übersicht halber hier weggelassen.
Das gesamte VoIP Setup (FB und Telefone) wurde auch in ein VLAN am L2 Switch gesteckt um auch die VoIP Funktion in einem der VLANs über den LAG zu verifizieren.
Erwartungsgemäß rennt das gesamte Setup dort auch fehlerlos.

Fritzbox "IP Client" Setup, Firewall WAN Capture

Feste DHCP IP Adresse für die Fritzbox im OPNsense DHCP Server
Fritzbox (7390) als simpler "IP Client" konfiguriert mit DHCP Adresse.

Capture LAN und WAN

Hier sieht man den fehlerfreien SIP Negotiation Prozess der Fritzbox mit dem SIP Provider (Sipgate) sowohl inbound am LAN Interface als auch parallel outbound am WAN Interface.
Ebenso den Source NAT Prozess der Firewall (WAN IP: 10.11.1.99) die die lokale IP der Fritzbox (192.168.111.252) auf ihre WAN IP als Absender umsetzt.

Beide Telefone, sowohl das lokale Cisco 7962 VoIP Telefon als auch das Analoge am Fritzbox Telefonport 1, funktionieren mit diesem klassischen, Standard Default Setup erwartungsgemäß fehlerlos.
Es sind keine extra Regeln an NAT, Interface usw. erforderlich. Static RTP Ports an der Firewall wurden ebenfalls nicht aktiviert. Alles out of the box OPNsense Default. Es liegt also de facto NICHT an der OPNsense selber sondern kann nur hausgemacht (Konfig) sein.

Fazit:
Works as designed 👍

Danke, ich setze gleich alles einmal zurück und teste das als aller erstes!
Adguard lass ich natürlich erst mal raus...

Da stimmt dann etwas nicht. WAN, LAN, LAG (Annahme 2 aggregierte Ports) plus "ein freier" wären nach Adam Riese "5" NICs?! 🤔

sorry, der freie ist natürlich der zweite vom LAG, hatte ich aber nicht zugeordnet, damit ich noch einen freien zum testen hatte.

?? LAG ohne Zuordnung, mit nur einem Port?
Also ehrlich, das ein oder andere Problem ist wirklich Deine Konfiguration.
Daher beim Zurücksetzen:

lass alle Spielereien weg
alle meint alle
keine VLANs
keine halbe oder ganze LAG
keine sonstigen DNS- oder DHCP-Server oder was auch immer
nur Modem, Firewall, Fritz!Box

Das LAG hat ja funktioniert, wäre auch seltsam wenn nicht, oder?

Egal, ich hab jetzt reseted.

LAGG mit zwei Interfaces

VLANs hab ich auch gemacht, sonst komm ich hier nicht mit den Clients hin, die unbedingt funktionieren müssen...

Ich habe nichts anderes eingstellt als static IPv4 und entsprechen DHCP auf den beiden aktiviert

Nichts an DNS gespielt, heißt Unbound auf Default Einstellungen inkl. Port 53 ist aktiv

Fritz hängt am VLAN 1 am LAG (und nein, ich habe kein VLAN 1 Interface angelegt)

hier die Regeln des Interfaces

Es wird von der FW kein Traffic geblockt:

Die Fritz hat eine statische IP in DHCPv4 Services bekommen
Ich habe in der Fritte die DNS Server reingeschrieben oder wo kann ich die in der FW definieren, dass alles von der Fritte über die zwei Server läuft? (Mit dem Plan, Adguard wieder zu verwenden)
edit: DNS hab ich testweise natürlich auch rausgenommen jetzt

Rufnummer ist nicht registriert!

Meldet DNS Fehler

Traffic:

edit: oh jetzt fängt der interessante Traffic an

Bringt aber nix...

Firewall Aktivität mit dst/src IP Adresse der Fritz:
Mehr gibts da nicht...

Ich habe in der Fritte die DNS Server reingeschrieben

Fehler!

Nichts Statisches auf der Fritte! Lasse die Fritte im DHCP Mode wie oben mehrfach beschrieben. So bekommt sie automatisch die Provider DNS IPs die die Firewall vom Provider gelernt hat. Für VoIP ist das lebenswichtig!

wo kann ich die in der FW definieren, dass alles von der Fritte über die zwei Server läuft?

Das lasse für den ersten Funktionstest erstmal alles weg!!
Später definierst du ausschliesslich nur im DHCP Server der Firewall den Adguard als DNS Server für die Clients. Weder der DNS Traffic noch der der Firewall sollten zentral über den Adguard laufen.
Der Grund ist das für VoIP zwingend der O2 DNS verwendet werden muss. 2ter Grund ist das du dir damit die DNS Filterstatistiken auf den Clients killst und damit sehr wichtige DNS Informationen der Clients in deinem Netz.
Mache alle grundsätzlichen Funktionstests erst einmal gänzlich OHNE weitere DNS Frickeleien und eröffne da nicht schon wieder eine zusätzliche Baustelle.

Das kommt alles später.

Bringt aber nix...

Ja, kein Wunder!! Die Fritte fragt den DNS ob er den Hostnamen sip.alice-voip.de auflösen kann. Vermutlich der SIP Server des Providers?! Vom DNS kommt aber auch nach 4facher Nachfrage der Fritte keinerlei Antwort wie man unschwer sieht. Folglich kann die Fritte den Hostnamen nicht auflösen und die SIP Registrierung scheitert.

Da stellen sich dann folgende Fragen die du leider nicht beantwortest.

Welchen DNS Server lernt die Fritte bzw. verwendet sie? Das muss einer von O2 sein
WO ist das gesniffert? LAN oder WAN Port? WAN Port wäre natürlich zielführender um zu sehen ob der DNS Request auch ins Internet an den O2 DNS Server rausgeht? Sinnvoll wäre hier den PCAP Capture File downzuloaden und wie im obigen Beispiel im Wireshark zu betrachten.
Bist du dir sicher das sip.alice-voip.de die korrekte SIP Server Adresse ist? Kannst du sie überhaupt auf einem Test PC mit nslookup sip.alice-voip.de in eine gültige O2 IP auflösen? Wenn nicht kann das natürlich auch die Firewall nicht.

Das sind doch aber alles grundlegende Dinge die man auch ohne immer wiederkehrendes Nachfragen von vorn herein austestet um Gewissheit zu haben.

Fehler!
Nichts Statisches auf der Fritte! Lasse die Fritte im DHCP Mode wie oben mehrfach beschrieben. So bekommt sie automatisch die Provider DNS IPs die die Firewall vom Provider gelernt hat. Für VoIP ist das lebenswichtig!

Stopp, ich hab es ja rausgenommen und die Fritte IST im DHCP Mode.

Ich hab nix drin, keine Angst, ich wollte das nur in Hinblick auf das spätere Setup fragen, damit ich jetzt nicht irgendwas teste was später keine Anwendung hat.

Der Grund ist das für VoIP zwingend der O2 DNS verwendet werden muss. 2ter Grund ist das du dir damit die DNS Filterstatistiken auf den Clients killst und damit sehr wichtige DNS Informationen der Clients in deinem Netz.

Logisch und der zweite Grund ist auch praktisch, ja.

Welchen DNS Server lernt die Fritte bzw. verwendet sie? Das muss einer von O2 sein

Da ich an keiner Stelle irgenwas mit dem DNS Server angestellt habe und in der Default Liste keiner steht denke ich es ist der von o2?!

WO ist das gesniffert? LAN oder WAN Port?

Ah sorry, das war LAN seitig, ich check das nochmal WAN seitig. Ja ich lads auch mal runter

Bist du dir sicher das sip.alice-voip.de die korrekte SIP Server Adresse ist? Kannst du sie überhaupt auf einem Test PC mit nslookup sip.alice-voip.de in eine gültige O2 IP auflösen? Wenn nicht kann das natürlich auch die Firewall nicht.

Ich hab die Adresse ja nirgends selbst eingetragen, die wird vermutlich von der o2 gebrandeten Fritzbox automatisch runtergeladen. Deckt sich aber auch mit dem, was ich in meinen Zugangsdaten finde, die ich von o2 habe.

Und jetzt wirds interessant, ich kann ihn nicht auflösen, das heißt er nimmt nicht den richtigen DNS Server.

nslookup sip.alice-voip.de
Server:  UnKnown
Address:  10.10.100.1

Name:    sip.alice-voip.de

nslookup sip.alice-voip.de 62.109.121.1
Server:  dns3.telefonica.de
Address:  62.109.121.1

Nicht autorisierende Antwort:
Name:    sip.alice-voip.de
Address:  62.53.223.131

nslookup sip.alice-voip.de 62.109.121.2
Server:  dns4.telefonica.de
Address:  62.109.121.2

Nicht autorisierende Antwort:
Name:    sip.alice-voip.de
Address:  62.53.223.131

Deaktiviere ich Unbound hab ich keine DNS Auflösung mehr.
Häääh?

Und noch mal in aller Klarheit: Unbound ist default aktiv gewesen und ich habe nichts dran eingestellt!

Puh, das ist wirklich etwas schwierig mit Dir. Du siehst doch, dass Deine Basteleien das Problem sind.

Mit Verlaub, wenn Du keine Ahnung hast, dann halte Dich wenigstens an die Empfehlungen.
Bedeutet: eben alles weglassen, was zusätzlich zu konfigurieren ist. VLANs eben weg. Du brauchst keinen besonderen Client, wenn Du nur die Fritz!Box testen willst. Da per WLAN ran und gut oder per Kabel und gut. Und auch den ganzen anderen Krempel weg.

aqui hat ja schon die wesentlichen Probleme eingekreist. Es ist aber mühsam, wenn Du einfach wieder neue Baustellen aufreist. Lass das doch einfach mal sein.

Erst ein ganz schmales Setup zum Laufen bringen, und dann erst den Rest Stück für Stück dazu und testen.

LAGG mit zwei Interfaces

warum?

VLANs hab ich auch gemacht, sonst komm ich hier nicht mit den Clients hin, die unbedingt funktionieren müssen...

wozu?

Ich habe nichts anderes eingstellt als static IPv4 und entsprechen DHCP auf den beiden aktiviert

wo überall aktiviert?

Nichts an DNS gespielt, heißt Unbound auf Default Einstellungen inkl. Port 53 ist aktiv

warum unbound?

Fritz hängt am VLAN 1 am LAG (und nein, ich habe kein VLAN 1 Interface angelegt)

also weg damit.

Die Fritz hat eine statische IP in DHCPv4 Services bekommen

Sie hat was? Du meinst, eine Reservierung?

Ich habe in der Fritte die DNS Server reingeschrieben oder wo kann ich die in der FW definieren, dass alles von der Fritte über die zwei Server läuft? (Mit dem Plan, Adguard wieder zu verwenden)

Nix Adguard, nix Plan. Und hier ist eben auch dann gleich ein Fehler entstanden, weil Du viel zu viel auf einmal setzt.

Rufnummer ist nicht registriert!
Meldet DNS Fehler

Tja, wie soll das dann klappen?
Nimm die Firewall weg, setze nur die Fritz!Box direkt ans Modem, richte alles ein (Standard, nicht wieder rumfummeln, nur DHCP, nix festes), schau, ob es funktioniert. Dann setze einen Client hinter die Fritz!Box und schau Dir an, welche Nameserver übermittelt werden und was die Fritz!Box für einen SIP-Server anfragt.
Dann weißt Du schon mal, was das Ziel sein muss.
Dann wieder die Firewall dazwischen, Default Config, nix mit Deiner Fummelei, und schauen, ob Du dasselbe Ergebnis erzielst.

Bringt aber nix...

Tja, aber auch nix, wenn Du auf keine Empfehlung hörst. 😌

Versuch ggf. mal das, was hier dargestellt ist. Die Fritz!Box geht im Übrigen möglicherweise schlicht über IPv6. Deaktiviere das mal und teste nur IPv4.

Erst ein ganz schmales Setup zum Laufen bringen, und dann erst den Rest Stück für Stück dazu und testen.

Ja muss ich dann morgen machen, ich kann hier gerade nicht die Infrastruktur für alle einreißen

LAGG mit zwei Interfaces
warum?
VLANs hab ich auch gemacht, sonst komm ich hier nicht mit den Clients hin, die unbedingt funktionieren müssen...
wozu?

Weil ich damit sagen wollte, dass ich es jetzt so aufgebaut habe wie ursprünglich empfohlen

Ich habe nichts anderes eingstellt als static IPv4 und entsprechen DHCP auf den beiden aktiviert
wo überall aktiviert?

Im LAN LAG und VLAN Interfaces
Nicht im WAN Interface

Nichts an DNS gespielt, heißt Unbound auf Default Einstellungen inkl. Port 53 ist aktiv
warum unbound?

weil das die standard einstellung ist? Ich dachte ich soll nix ändern?!

Die Fritz hat eine statische IP in DHCPv4 Services bekommen
Sie hat was? Du meinst, eine Reservierung?

ja und sie kriegt offensichtlich auch diese reservierte Adresse

ich habe jetzt unbound deaktiviert und kriege damit gar keine DNS Auflösung mehr.
Ich dachte dann kriege ich bei leerer Systems-Settings-General DNS Liste den DNS vom Provider...
Nicht der Fall. Ich hab jetzt die zwei Server von o2 per Hand angetragen. Mein Client am selben VLAN kriegt die Server und ich kann vom Client die Adressen auflösen

nslookup sip.alice-voip.de
Server:  dns3.telefonica.de
Address:  62.109.121.1

Nicht autorisierende Antwort:
Name:    sip.alice-voip.de
Address:  62.53.223.131

Die Fritzbox kriegt diese DNS Server scheinbar nicht zugewiesen:

Ich frage mich zwar, woher die Fritz die IPv6 kriegen sollte

aber ich kann es ja mal deaktivieren (im WAN Interface IPv6 Configuration Type auf none setzen nehme ich an?)

Ja ich kann das alles testen, aber dann sind wir wieder beim basteln....

Update: die Fritz hat noch nen weiteren Neustart für die DNS Server gebraucht:

Jetzt hab ich wieder eine registrierte Rufnummer und kann Anrufe starten, aber kriege keine Sprachübertragung

Ich will gar nicht bestreiten, dass das DNS Problem irgendwie hausgemacht ist, aber ich bin gerade mit einer frischen Installation unterwegs, Unbound ist von sich aus an, ich habe bei deaktiviertem Unbound kein Fallback auf die Provider DNS und selbst wenn ich die kriege, dann habe ich immer noch keine Sprache (die aber wohl eher ein Firewall Regel Problem ist, wenn ich das richtig verstehe?)

edit:
wenn ich jetzt einen Anruf starte, dann gibts Traffic auf dem LAG Interface, pppoe ist leer

die firewall auf WAN rastet aus, sobald ein anruf läuft. Bei LAG rührt sich nichts, heißt keine neuen Einträge, ausgelöst durch nen Anruf

denke ich es ist der von o2?!

"Denken" ist bekanntlich kein guter Berater in der IT! Nachdenken und richtig handeln wäre deutlich besser! 🙄

Wenn du im gleichen VLAN Segment der Fritte einen Test PC anschliesst der sich auch seine IP Adressen via DHCP zieht WAS steht dann dort als DNS Server unter ipconfig -all???
Sollte die Firewall IP in dem Segment sein und deren Upstream DNS Server IP Adressen sollten die vom Provider (O2) per PPPoE gelernten sein.
Ein DNS Lookup im Diagnostics Menü der Firewall sollte dann Serveradressen wie www.heise.de oder www.administrator.de und ganz besonders sip.alice-voip.de auflösen können.
Dto. natürlich auch alle diese Adressen an dem Test PC (nslookup) im gleichen IP Segment in der die Fritte als Client werkelt.

Einfaches strategische Troubleshooting mit dem gesunden IT Verstand...

ich kann ihn nicht auflösen, das heißt er nimmt nicht den richtigen DNS Server.

Und dann wundert es dich das VoIP scheitert?!?

Deaktiviere ich Unbound hab ich keine DNS Auflösung mehr.

Ja logisch, denn damit tötest du den gesamten DNS Prozess auf der Firewall. Das würde dann erzwingen das du auf ALLEN Endgeräten bzw. im DHCP Server immer den direkten DNS Server des Providers angeben musst damit diese dann überhaupt noch DNS Namen auflösen können wenn du die DNS Funktion auf der FW so abgewürgt hast. So fragen alle Clients direkt den Provider DNS und umgehen die FW als DNS. Geht natürlich auch...
Vermutlich hast du hier nicht zwischen DNS Resolver und Forwarder unterschieden, kann das sein??
Firewall Forwarder oder Resolver
Kollege @DivideByZero hat es schon gesagt... Fragt sich nur was du da immer frickelst?? Alles klappt fehlerlos out of the box mit den OPNsense Default Settings....wenn man es richtig macht.

Die Fritzbox kriegt diese DNS Server scheinbar nicht zugewiesen:

Scheinbar und viele Konjunktive und ne Menge Raterei statt zielgerichtetes Troubleshooting auf deiner Seite....

Doch bekommnt sie! Sieh dir in der DNS Konfig die per PPPoE gelernten DNS Server IPs an!!!
Die OPNsense arbeitet nur als Caching DNS Server im Forwarding. Sprich für die Endgeräte in den lokalen Netze ist SIE DNS Server, gibt aber alles an die gelernten Upstream DNS Server weiter was man auch sehen kann wenn man am WAN Port nach 53 captured!

ich kann hier gerade nicht die Infrastruktur für alle einreißen

Fragt sich warum du dann nicht zuerst die FW am WAN Port via DHCP Client im bestehenden Netz parallel laufen lässt OHNE alle zu stören?
In dem Setup kannst du entspannt und in Ruhe alles sauber einrichten, du testest das wasserdicht und konfigurierst dann zum Umstellen einfach nur den WAN Port von DHCP Client auf PPPoE, klemmst das nur Modem dran fertisch.
So würde es ein pfiffiger Admin machen.

wenn ich jetzt einen Anruf starte, dann gibts Traffic auf dem LAG Interface, pppoe ist leer

Ein wenig aussagekräftiger Trace aus mehreren Gründen! 🙄

Filtering auf Port 5060 fehlt. Dadurch sieht man auch den völlig uninteressanten und nicht relevanten Rest
Capturing am LAN Port zeigt nur das was lokal passiert. Ebenso relevant wäre der WAN Port um zu sehen ob all diese Frames auch ins Internet Richtung Provider gehen.

Allerdings siehst du ja oben das deine SIP Registrierung fehlerfrei durchgelaufen ist und die Fritte SIP registriert ist, denn ansonsten würdest du keine "Trying" und "Ringing" (Klingeln) Statusmeldungen bekommen. Der RTP Traffic zeigt dann das auch Sprachdaten übertragen werden!

Dazu 2 Fragen:

Hattest du das HIER entsprechend umgesetzt??
Hast du mit dem Phoner oder Phoner Lite parallel zur Fritte einmal ein Softphone im gleichen Netz wie die Fritte aufgesetzt und es mit den gleichen SIP Credentials konfiguriert wie die Fritte? Wenn ja WAS ist dabei rausgekommen und WAS steht in deren Logs?

die firewall auf WAN rastet aus, sobald ein anruf läuft.

Spricht ja auch für sich!! Default DENY state sagt doch schon alles!!! Dort wir der gesamte UDP Return Traffic blockiert.

Fazit: Irgendwas mit deinem Regelwerk stimmt dort nicht!! Um was für ein Protokoll handelt es sich bei dem blockierten UDP Traffic?? Ist das RTP??
Könnte das o.a. Häkchen "Static-Port" sein was gesetzt sein sollte. Hier klappt es mit SIPgate aber auch ohne!

Wenn du im gleichen VLAN Segment der Fritte einen Test PC anschliesst der sich auch seine IP Adressen via DHCP zieht WAS steht dann dort als DNS Server unter ipconfig -all???

Ja das selbe wie in der Fritte, natürlich mach ich das alles aus dem gleichen Netz, damit ich ne Vergleichbarkeit habe.

Daher bin ich ja überhaupt drauf gekommen, dass die Hosts nicht aufgelöst werden.

Sollte die Firewall IP in dem Segment sein und deren Upstream DNS Server IP Adressen sollten die vom Provider (O2) per PPPoE gelernten sein.

Und genau das sind sie nicht gewesen. Ich weiß nicht warum nicht die Provider DNS Server benutzt wurden. Ich betone noch einmal: Frische FW und Unbound ist default an. Mit Unbound an läuft es aber natürlich nicht das VoIP, woher auch, wenn die DNS Server für sip.alice-voip.de fehlen.

Und dann wundert es dich das VoIP scheitert?!?

Natürlich wundert es mich nicht, das war ne Feststellung

So fragen alle Clients direkt den Provider DNS und umgehen die FW als DNS. Geht natürlich auch...
Vermutlich hast du hier nicht zwischen DNS Resolver und Forwarder unterschieden, kann das sein??
Firewall Forwarder oder Resolver
Kollege @DivideByZero hat es schon gesagt... Fragt sich nur was du da immer frickelst?? Alles klappt fehlerlos out of the box mit den OPNsense Default Settings....wenn man es richtig macht.

Sorry, versteh ich nicht. Ich habe nach der frischen Installation nichts gefrickelt, warum werft ihr mir das immer vor?

Das einzige was ich testweise getan habe war es Unbound zu deaktivieren. Dabei habe ich genau das Verhalten erwartet was du oben beschreibst. Habe dann sogar extra einmal das WAN Interface reseted, damit der ne Chance hat die DNS Server davon zu übernehmen. Hat er aber nicht getan. Daher hab ich die zwei, wie auch ausdrücklich beschrieben, in den System Settings eingetragen.

Da muss ich auch nicht zwischen Resolver, Forwarder und was auch immer unterscheiden wenn ihr sagt, dass es out of the box funktioniert, oder?

Scheinbar und viele Konjunktive und ne Menge Raterei statt zielgerichtetes Troubleshooting auf deiner Seite....
Doch bekommnt sie! Sieh dir in der DNS Konfig die per PPPoE gelernten DNS Server IPs an!!!
Die OPNsense arbeitet nur als Caching DNS Server im Forwarding. Sprich für die Endgeräte in den lokalen Netze ist SIE DNS Server, gibt aber alles an die gelernten Upstream DNS Server weiter was man auch sehen kann wenn man am WAN Port nach 53 captured!

Ja, habe ich ja jetzt beschrieben, statt dem Provider DNS stand bei der Frizbox immer noch das FW Interface drin.
Wenn ichs in den System Settings eintrage, dann kriegt die Fritzbox auch diese mitgeteilt, funktioniert ja wunderbar.
Ich werde jetzt auch die Einträge aus den System Settings wieder rausnehmen und restarten inkl Modem, vielleicht kommen dann ja automatisch die vom Provider.
edit: wenn ich sie rausnehme kriege ich nur v6 DNS Server mit denen ein Resolving nicht funktioniert

   DNS-Server  . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1

Und jetzt sag bitte nicht, was ich da mit v6 frickle, ich habe nichts angefasst. ich kriege out of the box v6 Adressen. Ich kann es gerne abstellen wenn du mir sagst an welcher Stelle genau

Ganz einfach weil ich dachte, dass es ja grob läuft und die zwei Probleme die ich da habe Feintuning sind.
Jetzt hatte ich eben schon alles an Wifi auf den neuen AP ausgerichtet und war schon mit Adguard zufrieden etc.
Kann ja keiner ahnen, dass die Fritzbox solche Sorgen bereitet.> Filtering auf Port 5060 fehlt. Dadurch sieht man auch den völlig uninteressanten und nicht relevanten Rest

Versteh ich nicht, seh ich nicht alles wenn ich nicht filtere? aber ja, kann ich nochmal neu machen

Capturing am LAN Port zeigt nur das was lokal passiert. Ebenso relevant wäre der WAN Port um zu sehen ob all diese Frames auch ins Internet Richtung Provider gehen.

Hab ich doch geschrieben, das log ist komplett leer

Dazu 2 Fragen:
Hattest du das HIER entsprechend umgesetzt??

Ne hatte ich nicht, ich dachte out of the box muss es laufen oder war der NAT Eintrag jetzt doch nötig?

Hast du mit dem Phoner oder Phoner Lite parallel zur Fritte einmal ein Softphone im gleichen Netz wie die Fritte aufgesetzt und es mit den gleichen SIP Credentials konfiguriert wie die Fritte? Wenn ja WAS ist dabei rausgekommen und WAS steht in deren Logs?

Hab ich nicht, kann ich gerne mal testen
edit:
es wird fleißig gesendet aber nichts empfangen

19:46:21,512: T: 62.53.223.131:5060 (UDP)
ACK sip:017622@sip.alice-voip.de SIP/2.0
Via: SIP/2.0/UDP 80.171.xx.xxx:59064;branch=z9hG4bK00304bea03ebef11a16a9a6f7b5fea89;rport
From: "PhonerLite" <sip:02304xxxxx@sip.alice-voip.de>;tag=1597966885  
To: <sip:017622@sip.alice-voip.de>;tag=mavodi-__v~turvywsuysv__0-80-6c-a-ffffffff-1b5f-0-0-0-1739731551-_000000000000-9efb-14340700-28af9-67b2325f-a7015
Call-ID: 00304BEA-03EB-EF11-A169-9A6F7B5FEA89@80.171.60.248
CSeq: 1 ACK
Content-Length: 0


19:46:24,553: Disconnect B3 Indication: 0E 00 01 00 84 82 9D 00 01 01 01 00 00 00 
19:46:24,553: Disconnect B3 Indication
19:46:24,553: Disconnect B3 Response: 0C 00 01 00 84 83 9D 00 01 01 01 00 
19:46:24,553: Disconnect B3 Response
19:46:24,553: Disconnect Request: 12 00 01 00 04 80 10 00 01 01 00 00 05 00 00 00 00 00 
19:46:24,553: Disconnect Request
19:46:24,553: Disconnect Indication: 0E 00 01 00 04 82 9E 00 01 01 00 00 00 34 
19:46:24,553: Disconnect Indication: 
19:46:24,557: Disconnect Response: 0C 00 01 00 04 83 9E 00 01 01 00 00 
19:46:24,557: Disconnect Response
-------------------------------------------
19:46:24,554: R: close UDP port (RTP): 5062

-------------------------------------------
19:46:24,554: R: close UDP port (RTCP): 5063

Ich versuch das noch herauzufinden, ich muss das mit dem Tracing gerade erst mal lernen, wie ich da das sehe, was ich will...Ansonsten, falls natürlich der eine NAT Eintrag gebraucht wird, dann ists es ja kein Wunder...

@aqui
@DivideByZero

moah, ich melde mal vorsichtig vorläufig Vollzug....

Die Fritzbox hatte riesen Probleme damit, dass Phoner sich die SIP Registrierung "ausgeliehen" hat.

Mit nur dem NAT läuft es jetzt

Also kein Port Forwarding, keine separate PPPoE, nichts fancy, so wie ihr gesagt habt.

Ich küsse eure Augen oder wie sagt man heutzutage 🤣

Ich würde den anderen Thread nochmal weiterführen, das ist dann nach wie vor zumindest ein dickes DNS Verständnisproblem bei mir...

Mit nur dem NAT läuft es jetzt

Alter Schwede....war ja eine schwere Geburt mit dir! 👏

Ich würde den anderen Thread nochmal weiterführen

Wenn es das denn nun war bitte nicht vergessen deinen Thread hier dann auch als erledigt zu schliessen!!
Wie kann ich einen Beitrag als gelöst markieren?