gubbele
13.10.2019, aktualisiert am 21.04.2022
view5686
view11
0
Goto Top

OPNsense Portrange, VOIP keine Sprache

gelöstFrageSicherheitFirewall
Hallo zusammen,
bin gerade dabei mich in die OPNsense einzuarbeiten.
So weit läuft auch alles ausser die VOIP telefonie.

Der Anschluss ist erreichbar, aber es wir keine Sprache übertragen:

Anlage ist eine Compact 5000 von Auerswald.

Hier ist in der Konfig als RTP Port´s folgendes angegeben:

49152 - 50175

Ich habe jetzt eine Firewallregel auf dem Lan erstellt in folgender From:

screenshot_2019-10-13 lan regeln firewall opnsense localdomain

Den Portrange habe ich als Alias erstellt und in folgender Form eingegeben:

49152:50175

Leider wird der Sprachkanl nicht aufgebaut.

Wenn ich eine Any Regel erstelle und alle Ports auf dem Lan freigeben funktioniert alles.

Hat mir jemand hierzu eine Hilfestellung?

Schöne Grüße
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 504522

Url: https://administrator.de/forum/opnsense-portrange-voip-keine-sprache-504522.html

Ausgedruckt am: 18.04.2025 um 05:04 Uhr

11 Kommentare
Neuester Kommentar
Goto Top
em-pie
em-pie 13.10.2019 um 11:25:44 Uhr
Goto Top
Moin,

Du hast den Port 5060 überdehen... der muss auch ein-/ ausgehend verwendet werden dürfen...

Gruß
em-pie
gubbele
gubbele 13.10.2019 um 11:31:00 Uhr
Goto Top
Den Port 5060 habe ich auf dem WAN auch nochmal freigegeben.
Ach und das Siproxed habe ich natürlich auch noch entsprechende eingerichtet.

Also Port 5060 und die entsprechende Portrange gemäß der Auerswald 5000
Spirit-of-Eli
Spirit-of-Eli 13.10.2019 um 13:44:59 Uhr
Goto Top
Zitat von @gubbele:

Den Port 5060 habe ich auf dem WAN auch nochmal freigegeben.
Ach und das Siproxed habe ich natürlich auch noch entsprechende eingerichtet.

Also Port 5060 und die entsprechende Portrange gemäß der Auerswald 5000

Wenn das siproxed, dann ist die ganze Freigabe unnötige. Das ist der sind von dem tool.
aqui
aqui 13.10.2019 aktualisiert um 13:55:56 Uhr
Goto Top
Ich habe jetzt eine Firewallregel auf dem Lan erstellt in folgender From:
Firewall Regel im lokalen LAN ist ja normalerweise das falsche Ende. Generell erlaubst du da ja alles mit einer any zu any Scheunentorregel. Ist ja DEIN lokales Netz dem du vertraust. Warum also dort Regeln ??
Kann das sein das du da einen Denkfehler machst ?!
Richtung Internet ist das Regelwerk relevant !
Das hiesige Tutorial beschreibt dir in den weiterführenden Links im Kapitel: "
VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall" wie der WAN/Internet Port dazu einzustellen ist.
SIP Protokoll und RTP musst du hier passieren lassen.
gubbele
gubbele 20.10.2019 um 12:55:36 Uhr
Goto Top
Also ich habe jetzt eine Woche lang hin und her probiert.
Ich kriege es einfach nicht hin.

Sobald ich im Lan die foglende Regel entferne geht die Telefonie nicht mehr.

screenshot_2019-10-20 lan regeln firewall opnsense localdomain

Ich habe auf der Lan-Schnitstelle schon die Ports der Auerswald eingerichtet.

Die wären:

SIP 5070
RTP 49152-50175

Folgende Regelen habe ich in den anderen Schnitstellen konfiguriert:

WAN:
screenshot_2019-10-20 wan regeln firewall opnsense localdomain

Ausgehend NAT:
screenshot_2019-10-20 ausgehend nat firewall opnsense localdomain

Portweiterleitung:
screenshot_2019-10-20 portweiterleitung nat firewall opnsense localdomain


Ich kapiere nicht wo das der Fehler liegt.
Spirit-of-Eli
Spirit-of-Eli 20.10.2019 um 12:59:29 Uhr
Goto Top
hast du dir die Logs schon mal angesehen? Dann wird das doch sofort klar..
gubbele
gubbele 20.10.2019 um 15:11:02 Uhr
Goto Top
Ja habe ich, da sehe ich auch das es geblockt wird.
Aber wie stelle ich das blocken ab.

screenshot_2019-10-20 liveansicht protokolldateien firewall opnsense localdomain

screenshot_2019-10-20 liveansicht protokolldateien firewall opnsense localdomain(1)
aqui
aqui 20.10.2019 um 15:34:30 Uhr
Goto Top
Aber wie stelle ich das blocken ab.
Indem du den UDP Traffic von 192.168.0.240 auf 217.0.5.180 erlaubst in den Regeln !
Ist aber so oder so verwunderlich das das eingeschränkt ist, denn normal gibt man ja im eigenen lokalen LAN (hier wohl 192.168.0.0 /24) den Traffic aufs Internet generell frei. Insofern ist es schon komisch das dieser Traffic geblockt ist.
Wenn du es dennoch dediziert machen willst dann:
PASS, Protocoll: UDP, Source: IP 192.168.0.240, Port:any, Destination: IP 217.0.5.180, Port: any
Fertisch...
Dazu müsste man aber mal dein gesamtes Regelwerk an diesem 192.168.0.0er Port kennen...?!
gubbele
gubbele 20.10.2019 um 17:36:23 Uhr
Goto Top
Macht es keinen Sinn den Verkehr von Lan nach Wan zu reglementieren?

So sieht meine Lan Schnittstelle aktuell aus.

screenshot_2019-10-20 lan regeln firewall opnsense localdomain
aqui
aqui 21.10.2019 um 10:15:28 Uhr
Goto Top
Macht es keinen Sinn den Verkehr von Lan nach Wan zu reglementieren?
Normal nicht. Das ist ja dein eigenes internes LAN und da willst du ja eigentlich erstmal keinerlei Einschränkungen.
Macht dann nur Sinn wenn die Kinder Rechner nur auf bestimmte Ziele dürfen oder man andere Geräte hat denen man den Zugriff einschränken will.
Letztlich hängt das immer von der eigenen Security Policy ab, deshalb kann man sowas logischerweise niemals pauschal beurteilen.
Deine obigen Regeln sind aber auch unsinnig....
Die ersten beschränken den Zugang noch auf einige Ziele, dann hast du aber weiterhin die klassische Scheunentor Regel drin die alles mit allem erlaubt.
Danach dann nochmal vollig sinnfreie SIP und RTP Regeln die gar nicht mehr ausgeführt werden wegen der Scheunentor Regel davor.
Beim Regelwerk gilt immer "First match wins !". Das hast du wohl scheinbar vergessen. Der erste Positive Hit im Regelwerk bedingt das die nachfolgenden Regeln gar nicht mehr ausgeführt werden.
Alle Regeln nach der "Scheunentorregel" sind somit eh überflüssig. Wenn man schon restriktiv ist dann müsste man diese Regel löschen oder zumindest auf inaktiv setzen.
Damit zählt auch die Rehenfolge der Regeln. Auch die ist etwas wirr und unlogisch bei dir.
Du kannst die Voice Funktion ja ganz einfach testen indem du NUR mal die Scheunentor Regel "PASS, LAN_network any any" aktiv lässt.
Dann darf ja jeder alles und dann sollte dein Voice auch sauber funktionieren.
Indiz das dann dein altes Regelwerk falsch oder fehlerhaft ist face-wink
RTP ist übrigens wegen seiner dynamischen Ports auch nicht ganz trivial zu behandeln in einer Firewall.
gubbele
gubbele 21.10.2019 um 20:31:03 Uhr
Goto Top
So habe mal alle Regeln rausgeworfen.

Jetzt steht nur noch folgende drinnen.

screenshot_2019-10-21 lan regeln firewall opnsense localdomain

Das ist ja jetzt wohl nur die "Scheunentorregel".

Wodurch ersetze ich die am besten?
gelöstFrageSicherheitFirewall
Mehr von gubbelegubbelePfsense Einsatz im Unternehmen kostenlos?gubbele - 6 KommentaregubbeleTAPI Server Dienst wird nicht gestartetgubbele - 9 KommentaregubbeleWin 2016 Essential Installationgubbele - 15 Kommentare
Heiß diskutiert
HappyHannesPing Spikes im HeimnetzHappyHannes - 32 KommentaremirdochegalServer 2025 DC - verliert nach reboot Domänenfirewallprofil - nicht als DC erreichbarmirdochegal - 31 KommentareYan2021NUC als NAS verwenden?Yan2021 - 25 KommentareAndi-75Zugriff auf NAS-Ordner von VM nicht möglichAndi-75 - 25 KommentareMysticFoxDEWindows 11 - Unerträgliche RessourcenverschwendungMysticFoxDE - 22 Kommentaremorpheus82Lancom Router DHCP Zuweisungenmorpheus82 - 21 KommentarekpunktSuche kabelloses HID-Zeugs (Mäuse und Tastaturen)kpunkt - 20 KommentareStefanKittelCVE am Ende?StefanKittel - 20 KommentareStefanKittelIdeen für ein zukünftiges IT-Setup für mich sammelnStefanKittel - 14 KommentareNeurothikerMikrotik - wie ändere ich ein Interface von slave auf master?Neurothiker - 14 KommentarejoehuabaAccessPoint Outdoor Kastenjoehuaba - 13 Kommentarem.sterRAM Guidem.ster - 13 Kommentarelinuxer1Firmware für N7100E gesuchtlinuxer1 - 12 Kommentare