PfSense - 2 WAN VLANs - VoIP auf FritzBox im LAN
Hallo Leute,
ich habe ein kleines Problem: Ich habe als Router/Firewall eine pfSense und dahinter im LAN eine Fritzbox 7590 welche NUR für's VoIP zuständig ist. Das hat bei meinem alten Provider (Telekom) gut funktioniert da hier Daten & VoIP über das selbe WAN Interface an der pfSense liefen; ich musste lediglich div. Firewall- und NAT Regeln erstellen.
Mein neuer Provider (komdsl) ist nun anders aufgebaut: Ich habe am WAN zwei VLANs vom Provider: 1 * Daten und 1 * VoIP.
-> Ich habe auf das WAN die 2 entsprechenden VLANs gelegt und diese bekommen auch jeweils eine IP per DHCP vom Provider.
Das Daten-VLAN ist für mich das Standardgateway > wenn ich vom LAN aus ins Netz will geht der Traffic über das Daten-VLAN.
Die FritzBox ist nun ein normaler Client im LAN - in der FritzBox ist als Netzverbindung angegeben "Anschluss an externes Modem oder Router" & "Vorhandene Internetverbindung mitbenutzen (WLAN Mesh / IP-Client-Modus)". Sie ist per Kabel an einen der LAN Ports angeschlossen und kommt darüber wie ein normaler Client ins Netz.
-> Was bisher klappt ist das Signalisieren der Anrufe (klingeln - von intern nach extern und umgekehrt) sowie das ausgehende Sprachsignal.
Aber leider kommt kein Sprachsignal von extern nach intern durch.
Wie muss ich die pfSense korrekterweise konfigurieren damit der Traffic vom WAN Voice-VLAN (nur) an die Fritzbox geht? Ich vermute mal das hier der incoming Traffic nicht richtig zur Fritzbox geroutet wird was ich mir aber nicht erklären kann.
Und in der Folge anders herum: Die Fritzbox soll natürlich ihren VoIP Traffic nur an das Voice-VLAN vom Provider senden.
Ich habe bereits mich bereits an div. NAT Regeln incl. 1:1 NAT versucht, natürlich auch FireWall-Regeln. Aber ich habe wohl noch nicht die richtige Kombination gefunden oder in meiner Konstellation einen generellen Denkfehler.
Es ist vermutlich kein einfaches SIP-Port-Thema (5060) da ich den (wie früher bei der Telekom) weitergeleitet habe; ohne Erfolg.
Andere Ideen?
Vielen Dank & Servus... Spacey
ich habe ein kleines Problem: Ich habe als Router/Firewall eine pfSense und dahinter im LAN eine Fritzbox 7590 welche NUR für's VoIP zuständig ist. Das hat bei meinem alten Provider (Telekom) gut funktioniert da hier Daten & VoIP über das selbe WAN Interface an der pfSense liefen; ich musste lediglich div. Firewall- und NAT Regeln erstellen.
Mein neuer Provider (komdsl) ist nun anders aufgebaut: Ich habe am WAN zwei VLANs vom Provider: 1 * Daten und 1 * VoIP.
-> Ich habe auf das WAN die 2 entsprechenden VLANs gelegt und diese bekommen auch jeweils eine IP per DHCP vom Provider.
Das Daten-VLAN ist für mich das Standardgateway > wenn ich vom LAN aus ins Netz will geht der Traffic über das Daten-VLAN.
Die FritzBox ist nun ein normaler Client im LAN - in der FritzBox ist als Netzverbindung angegeben "Anschluss an externes Modem oder Router" & "Vorhandene Internetverbindung mitbenutzen (WLAN Mesh / IP-Client-Modus)". Sie ist per Kabel an einen der LAN Ports angeschlossen und kommt darüber wie ein normaler Client ins Netz.
-> Was bisher klappt ist das Signalisieren der Anrufe (klingeln - von intern nach extern und umgekehrt) sowie das ausgehende Sprachsignal.
Aber leider kommt kein Sprachsignal von extern nach intern durch.
Wie muss ich die pfSense korrekterweise konfigurieren damit der Traffic vom WAN Voice-VLAN (nur) an die Fritzbox geht? Ich vermute mal das hier der incoming Traffic nicht richtig zur Fritzbox geroutet wird was ich mir aber nicht erklären kann.
Und in der Folge anders herum: Die Fritzbox soll natürlich ihren VoIP Traffic nur an das Voice-VLAN vom Provider senden.
Ich habe bereits mich bereits an div. NAT Regeln incl. 1:1 NAT versucht, natürlich auch FireWall-Regeln. Aber ich habe wohl noch nicht die richtige Kombination gefunden oder in meiner Konstellation einen generellen Denkfehler.
Es ist vermutlich kein einfaches SIP-Port-Thema (5060) da ich den (wie früher bei der Telekom) weitergeleitet habe; ohne Erfolg.
Andere Ideen?
Vielen Dank & Servus... Spacey
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 657815
Url: https://administrator.de/forum/pfsense-2-wan-vlans-voip-auf-fritzbox-im-lan-657815.html
Ausgedruckt am: 22.12.2024 um 15:12 Uhr
9 Kommentare
Neuester Kommentar
Aber leider kommt kein Sprachsignal von extern nach intern durch.
Das ist ein typischer Fehler der zeigt das RTP Pakete nicht durchkommen. RTP transportiert die reinen Voice Daten und benutzt dynamische Ports, sprich also Ports für die es keinen Session Eintrag im NAT gibt. Der NAT Prozess sagt dann NJET ihr nicht und aus ists mit der Sprache inbound.Ein typisches Fehlerbild bei NAT. HIER findest du eine gute Beschreibung des Zusammenspiels von SIP und RTP bei VoIP.
Was du machen musst ist die RTP Port Range die dein neuer Provider nutzt auf Forwarding zur FB konfigurieren im NAT. Genau das also was du vermutlich schon bei deinem Telekom Anschluss gemacht hast. Jeder Provider nutzt allerdings immer eine andere Portrange. Deshalb kommst du mit der alten Port Range der Telekom natürlich nicht zum Ziel bei deinem neuen Provider.
Besser ist es aber immer mit einem STUN Server zu arbeiten den jeder VoIP Provider auch anbietet. Dann erübrigt sich das gesamte Port Forwarding. Siehe auch hier:
Fritzbox als IP-Client in pfSense Netzwerk - Probleme mit 2er Rufnummer
Details zu dem Thema findest du auch im pfSense_Tutorial in der Rubrik "VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall" unter den weiterführenden Links.
was muss ich dazu in der pfSense machen?
Du machst eine einfache Policy Route indem du den FritzBox Traffic global ins Voice WAN routest. Über das Interface Regelwerk selektierst du diesen Traffic mit einer Regel und weisst im Advanced Setting dann die Forwarding Group zu.https://docs.netgate.com/pfsense/en/latest/multiwan/index.html
Beispiele findest du hier:
https://docs.netgate.com/pfsense/en/latest/multiwan/index.html
https://techexpert.tips/de/pfsense-de/pfsense-mehrfach-wan-link-lastenau ...
oder auch hier:
https://www.heise.de/select/ct/2016/24/1479992026108405
Sorry mit dem Dual WAN. Da hast du natürlich Recht, das brauchst du nicht weil du ja nur einen Provider hast. Dennoch brauchst du aber ein Policy Based Routing das die Voice Daten (SIP und RTP) der FritzBox immer nur auf das Voice VLAN Gateway sendet um sicherzustellen das dieser Traffic immer in das Voice VLAN geht.
Knackpunkt sind aber die Voice Daten die mit RTP übertragen werden. Wie oben gesagt nutzt RTP UDP als Transportprotokoll und dynmaische Ports.
Kommt von aussen ein SIP Call klingelt dein Telefon und wenn du abhebst startet der RTP Stream. Es bestehen aber in der NAT Firewall keinen offenen Sessions und deshalb blockt die Firewall diese eingehenden RTP Frames mit dem Ergebnis das eingehend kein Audio kommt, ausgehend aber schon.
Du kannst dem nur begegnen indem du einen STUN Server konfigurierst in deiner VoIP Anlage (FB) oder in der Firewall die RTP Port Range öffnest mit Forwarding auf die FB IP.
Ähnliche Threads dazu:
PfSense VLAN für VOIP am WAN (Innogy)
https://forum.netgate.com/topic/147790/dual-wan-dhcp-vlan-mit-einer-phys ...
Gibt ne Menge dazu wenn man nach "pfsense provider mit voice vlan" o.ä. sucht.
.... Wieso das?!
Das sind eingehende SIP oder RTP Daten. SIP wird sicher funktionieren weil du ja ein Port Forwarding von TCP/UDP 5060 auf die IP Adresse der fritzBox gemacht hast.Knackpunkt sind aber die Voice Daten die mit RTP übertragen werden. Wie oben gesagt nutzt RTP UDP als Transportprotokoll und dynmaische Ports.
Kommt von aussen ein SIP Call klingelt dein Telefon und wenn du abhebst startet der RTP Stream. Es bestehen aber in der NAT Firewall keinen offenen Sessions und deshalb blockt die Firewall diese eingehenden RTP Frames mit dem Ergebnis das eingehend kein Audio kommt, ausgehend aber schon.
Du kannst dem nur begegnen indem du einen STUN Server konfigurierst in deiner VoIP Anlage (FB) oder in der Firewall die RTP Port Range öffnest mit Forwarding auf die FB IP.
Ähnliche Threads dazu:
PfSense VLAN für VOIP am WAN (Innogy)
https://forum.netgate.com/topic/147790/dual-wan-dhcp-vlan-mit-einer-phys ...
Gibt ne Menge dazu wenn man nach "pfsense provider mit voice vlan" o.ä. sucht.