Pfsense mit easybell VoIP Cloud Anlage

Mitglied: WalterRT

WalterRT (Level 1) - Jetzt verbinden

02.04.2021 um 09:31 Uhr, 874 Aufrufe, 20 Kommentare

Hallo Forum,

ich werde in ein paar Monaten von der Telekom nach Easybell Buisiness wechseln. In meinem Paket ist auch die Easybell Cloud Telefonanlage.

Zur Zeit nutzen wir eine lokale 3CX Anlage. Hier ist die Einrichtung in unserer pfsense einfach. Unter Firewall-NAT haben wir die erforderlichen Ports freigegeben und alles ist ok.

Nach dem Wechsel zu Easybell dreht sich das Szenario aber um. Unsere Telkefone verbleiben im LAN und die neue Cloud Anlage ist im Internet. Die Frage ist nun wie ich hier evtl. die Ports freigeben kann damit alle Telefone (die alle eine eigene feste IP haben) für SIP und RTP die Cloud Anlage erreichen. Aus und Eingehend wobei Ausgehend ja eh frei ist.
Ich kann ja nicht für jedes VOIP Telefon einen eigenen NAT Port Forwarding frei machen für SIP und RTP.

Die Frage ist nun wie ich unsere pfsense (Version 2.5.0) hier richtig Konfiguriere. Easybell sagt auf Ihren Hilfeseiten man soll die Ports nur Freigeben aber nicht Weiterleiten. Ist das nicht dasselbe bei pfsense ?

Bin jetzt gerade etwas verwirrt wo ich hier den Lösungsansatz finden muss.

Gruss
Walter
Mitglied: tikayevent
LÖSUNG 02.04.2021 um 10:35 Uhr
Die Technik von Easybell kommt super mit NAT klar. Im Gegensatz zu anderen Anbietern haben die kein Problem mit NAT und passen sich super an.

Du musst nur dafür sorgen, dass die Telefone ausgehend durch die Firewall durchkommen, eingehend ist nicht notwendig, kein Portforwarding, keine Firewallöffnung, kein SIP-ALG oder -Proxy.
Bitte warten ..
Mitglied: WalterRT
02.04.2021 um 10:40 Uhr
Hallo,

danke für Deine schnelle Antwort. Also kann ich quasi die Port Weiterleitungen der 3CX alle löschen und nicht weiter neu anlegen ? Ausgehend ist ja sowieso alles frei. Das wäre ja zu einfach um wahr zu sein. :-) face-smile

Gruss
WALTER
Bitte warten ..
Mitglied: LordGurke
LÖSUNG 02.04.2021, aktualisiert um 14:37 Uhr
Wichtig ist lediglich (sonst funktioniert es auch mit easybell nicht), dass die Telefone wissen, dass sie hinter einem NAT sitzen und - das ist am wichtigsten - symmetrisches RTP machen. Mit symmetrischem RTP steht und fällt es ;-) face-wink

Manche Telefone senden ihren RTP-Stream auf Port X, empfangen ihn aber auf Port Y. In dieser Konstellation kommt dann die Sprache der Gegenstelle nicht durch das NAT.
Bei Symmetrischem RTP wird nur ein Port verwendet, auf dem gleichzeitig gesendet und empfangen wird. Dadurch, dass der Port in beide Richtungen genutzt wird, kommt dann auch der Traffic automatisch immer durch das NAT.

Das gilt aber nicht nur für easybell sondern für jeden VoIP-Anbieter. Dass Leute irgendwelche Port-Forwardings einstellen ist, wenn man diese beiden Einstellungen setzt, für Telefone und Telefonanlagen vollkommen unnötig ;-) face-wink
Bitte warten ..
Mitglied: tikayevent
LÖSUNG 02.04.2021 um 20:27 Uhr
Dass Leute irgendwelche Port-Forwardings einstellen ist, wenn man diese beiden Einstellungen setzt, für Telefone und Telefonanlagen vollkommen unnötig
Steht auch mehrfach auf den Hilfeseiten von easybell.

https://www.easybell.de/hilfe/fragen/fragen-zum-telefonanschluss/antwort ...

Hinweise
Auf keinen Fall eine Port-Weiterleitung aktivieren!

Bitte warten ..
Mitglied: commodity
LÖSUNG 02.04.2021, aktualisiert um 23:43 Uhr
Zitat von @WalterRT:
ich werde in ein paar Monaten von der Telekom nach Easybell Buisiness wechseln.

Gute Entscheidung. Easybell ist ein solider Anbieter mit vorzüglichem Support. Derzeit mit etwas langsamem Webinterface... Habe mehrere zufriedene Kunden dort.

Ich schließe mich den Kollegen @tikayevent und @LordGurke an. Die Anbindung der Telefone sollte bei aktivem NAT ohne weiteres laufen.

Ergänzen möchte ich, dass auch bei der 3CX, wie bei Asterisk generell, grundsätzlich keinerlei Portforwardings erforderlich sind, Da geistert im Netz leider so manche Fehlinformation herum. Nötig ist einzig ein keepalive bzw. qualify, um das connection-timeout zu verhindern. Portforwardings braucht man nur, wenn Apparate oder weitere Anlagen von außen angebunden werden sollen oder providerfreie Telefonie möglich sein soll.
Bitte warten ..
Mitglied: WalterRT
04.04.2021 um 09:25 Uhr
Vielen Dank für die Hilfe. Dann muss ich mir mal meine Yealink Telefone vornehmen um dort das zu konfigurieren.

Hat jemand ne Idee WO ich das am besten einstelle bevor ich lange suche ?

Leider hat Easybell das ACS für meine Yealinks abgeschafft weil die End of Life sind. Also muss ich mein 48G und 46G manuell einstellen.

Gruß und frohe Ostern

Walter
Bitte warten ..
Mitglied: commodity
LÖSUNG 08.04.2021 um 20:19 Uhr
Hab mein Yealink gerade ausgemustert. Findest Du aber sicher: symmetric rtp

z.B. hier
Bitte warten ..
Mitglied: WalterRT
09.04.2021 um 10:34 Uhr
Hallo,

danke aber das Thema hat sich eigentlich erledigt. Aufgrund des mangelhaften Supports von Easybell habe ich den Widerruf erklärt. Ich bleibe bei meinem jetzigen Provider und auch bei 3CX. So bleibt alles im LAN und ich muss nix nach draussen senden.

Gruss
WALTER
Bitte warten ..
Mitglied: commodity
09.04.2021 um 17:44 Uhr
Ok, danke für die Info. Ich arbeite mit Kundensystemen bei Easybell seit fast 10 Jahren und habe nie zuvor eine solche Zufriedenheit von Menschen mit ihrem Anbieter erlebt. Easybell ist da etwas ganz Besonderes. Entweder also Du hast Pech gehabt oder falsche Erwartungen. Dein eigenes Voip-Telefon richten sie Dir natürlich nicht ein.

Aber wenn das alte System rennt, muss man ja auch nicht wechseln.

Erwäge vielleicht noch, die offenen Ports für die 3CX abzuschalten ;-) face-wink

Gruss
Bitte warten ..
Mitglied: WalterRT
09.04.2021 um 17:54 Uhr
Keine Ahnung aber zum Easybell Support war ich auch besseres gewohnt. Wäre ja nicht das erste Mal das ich da Kunde geworden bin. Aber Schwamm drüber jetzt ist eh zu spät. Habe einen Deal mit meinem jetzigen Provider gemacht.

Was die 3CX angeht so bin ich sehr zufrieden. Aber 3CX selber sagt ja das man bestimmte Ports freigeben muss und bis jetzt hat mir noch keiner sagen können wie die Anlage ohne Port Forwarding funktionieren soll und wie ich evtl. Die PFsense dahingehend einstellen soll. Das klingt auch für mich nicht logisch soll aber nicht heißen das es so sein muss.

Gruß
Walter
Bitte warten ..
Mitglied: commodity
09.04.2021 um 19:13 Uhr
Du meinst die Anleitungen hier und hier, nehme ich an?

Gruselig, dass selbst von solcher Seite solche Infos kommen. Ich denke, man macht es sich hier auf Kosten des Kunden einfach, denn man spart die Supportanrufe, weil das Timeout (qualify) nicht korrekt berücksichtigt wurde (oder nicht alle Provider das zulassen). Z.B. @LordGurke weiß hier sicherlich mehr.

In "Asterisk, The Future Of Telephony" lässt sich von den Asterisk-Machern sehr schön nachlesen, dass Asterisk keinerlei Portfreigaben braucht "... not at all", wenn nicht Geräte von Außen angeschlossen werden sollen. Und das betreibe ich seit vielen Jahren in verschiedenen Szenarien für gewerbliche Kunden und mich selbst so. Mit offenen Ports für Asterisk könnte ich nicht ruhig schlafen. Das kann bekanntlich richtig teuer werden (nicht bei Easybell übrigens, die haben eine Kostenobergrenze bei Hacks von ich glaube 10 EUR). ;-) face-wink

Was auch sollte einen offenen Port technisch brauchen: Der Provider meldet sich nicht bei Dir an, sondern Du Dich bei ihm. Die Anrufe inbound kommen über die (ständig) zum Provider gehaltene Verbindung, haben also schon einen Paketweg. Die Anrufe outbound bauen sich von intern auf. Alles das braucht nur den Weg von innen nach Außen, also simples NAT, keinerlei Portforwarding. Einzig darf die Verbindung zum Provider nicht abreißen. Wenn das aber passiert, hilft wahrscheinlich ein offener Port auch nicht.

Wenn Du es versuchen willst (pfsense speichert ja Deine Konfig): Nimm einfach die NAT-Portforwardings für die Anlage raus, setze (wenn nichts anderes bei Dir dagegen spricht) bei Firewall/NAT/Outbound "Automatic Outbound NAT" und schau, was passiert. Kannst Du telefonieren (und angerufen werden) geht es. Kommen nach kurzer Zeit keine Anrufe mehr durch, fehlt Dir das "qualify" zum Provider (bei den SIP-Einstellungen für den Trunk zum Provider), das kürzer als das UDP-Timeout der pfsense sein muss (das ist, glaube ich bei pfsense Standard 30 Sekunden).
Falls Du andere Regeln für NAT hast, also nicht "Automatic Outbound" nehmen kannst, geht es auch mit "Hybrid Outbound NAT" und Regeln für das Port-NAT. Die wirken dann ohne Portfreigabe.
Viel Erfolg!
Bitte warten ..
Mitglied: WalterRT
09.04.2021 um 19:43 Uhr
Danke ich teste das mal in den nächsten Tagen

Gruß
Walter
Bitte warten ..
Mitglied: WalterRT
12.04.2021, aktualisiert um 09:26 Uhr
Hallo,

Mal eine kleine Rückmeldung. Habe heute morgen mal die Ports 5060 und die RTP Ports gesperrt. (bzw die Forwarding Rule disabled). Bis jetzt funktioniert die Telefonie einwandfrei.

Im Gegensatz zu Astericks Anlagen oder die die darauf aufsetzen finde ich bei 3CX jedoch keine Einstellung um die Länge des Qualify zu ändern oder diesen ein und auszuschalten. Auch im Internet habe ich dazu nichts gefunden. In der PFsense ist der UDP First aktuell auf 300 eingetragen.

Bis jetzt läuft es. Mir ist es unverständlich warum 3CX Ihre Kunden dazu gängelt die Ports zu öffnen wenn es eigentlich nicht notwendig ist.

Ich bin eigentlich mit der 3CX zufrieden habe aber schon oft versucht auf andere Lösungen zu setzen. ( Eben weil bei 3CX auch nicht alles Gold ist was glänzt). Mit im Boot waren Ansitel oder FreePBX. Welche Anlagen sind noch zu empfehlen ? Ansitel war ganz angenehm aber nach dem Update auf 4.0 ging bei mir nicht mehr viel und der Support hat eingeräumt das die Version noch nicht ganz astrein ist. Bin deshalb davon weg. FreePBX finde ich etwas sehr überladen. Auch Yeastar hatte ich im Betrieb aber das ist in der Anschaffung ein Klotz am Bein.

Gruss
Walter
Bitte warten ..
Mitglied: tikayevent
12.04.2021 um 12:19 Uhr
Ich kenn mich mit 3CX nicht ansatzweise aus, hab es nur letztens Mal zum Erfahrung sammeln installiert. Wenn ich es richtig sehe, sind diese Freigaben für die Meeting-Bridge und die Anbindung an deren Cloud (kann 3CX eine Hybrid-Installation wie ein Exchange?).

Vielleicht wäre COMtrexx von Auerswald was für dich. Ist auch nicht für lau, gibt es aber auch als reine Softwarelösung.
Bitte warten ..
Mitglied: commodity
13.04.2021 um 21:15 Uhr
Danke für die Rückmeldung!
Wie ich schon sagte: Mit offenen Ports gibt's weniger Supportanfragen ;-) face-wink

Wo Du das qualify in 3CX definierst, kann Dir sicher jemand in deren Forum beantworten, falls das überhaupt geht.

Hier (wo es genau um diesen Aspekt geht) wurde es offenbar einfach mit der Anpassung des Timeouts im Router gelöst, das geht in der pfsense natürlich auch. Ich würde es aber immer vorziehen, das individuell in der Anlage anzupassen.

Was andere "Fertig"-Anlagen angeht, finde ich, dass meist irgend etwas fehlt. Es ist und bleibt ein Kompromiss. Wenn 3CX im großen und ganzen läuft, würde ich es dabei belassen. Ich selbst bin vor vielen Jahren mit Spaß in Asterisk eingestiegen und programmiere kleinere Anlagen heute einfach selbst. Das ist - rückblickend betrachtet, recht Easy, aber die Lernkurve ist nicht ganz ohne und es ist ein ewiger Prozess. Und letztlich auch ein Kompromiss:
Man kann zwar nahezu alle Features einbauen, die man mag. So finde ich es zB hübsch, Rechner in der Ferne über das Telefon starten zu können. Oder die Kaffeemaschine...
Nachteil: Man hat kein GUI, es sei denn, man mag das auch noch programmieren. Gerade für kleine Unternehmen ist das aber unnötig bis kontraproduktiv. Die drei Features, die die brauchen, gehen auch über Tastencodes und so fummelt dann auch nicht irgendwer anders in der Installation herum. Das schöne am Asterisk: Er läuft und läuft und läuft.
Bitte warten ..
Mitglied: WalterRT
14.04.2021 um 14:34 Uhr
Hallo,

Ja ich habe seit heute endlich die PFSENSE auf der richtigen Hardware laufen. War das ein Krampf. Nicht wegen PFSENSE sondern wegen der Hardware die nicht so wollte wie ich. Aber ich hab gewonnen.

Nun ja die 3CX läuft zwar und ich konnte die SIP und RTP Ports sperren aber bestimmte Ports muss ich offen lassen weil wir noch 2 Handys haben die als externe Nebenstelle agieren.
Aus diesem Grund habe ich mich nun doch dazu entschieden für die Zukunft auf eine Yeastar S20 zu setzen. Basiert auf Asterisk, Mann muss keine Ports öffnen (auch für externe Nebenstellen nicht) und wie bei Asterisk kann man alles selber konfigurieren. Dann hat der Spuk auch ein Ende.

Ich habe vor Jahren auch mal angefangen mit Asterisk mich zu beschäftigen. Bin auch relativ weit gekommen aber aus Zeitmangel habe ich es dann wieder gelassen. Heutzutage eine PBX einzurichten mit einer GUI ist ja nicht mehr so das Problem.

Gruß
Walter
Bitte warten ..
Mitglied: commodity
14.04.2021, aktualisiert um 18:51 Uhr
Mach, was Du nicht lassen kannst ;-) face-wink Ich würde eher einen Bogen um China-Voip-Produkte machen. Yealink jedenfalls. Gute Hardware, durchaus, aber buggy Software und schlechte update-policy, so war bislang mein Eindruck. Vielleicht ist das ja bei Yeastar anders.
Davon abgesehen, das glaub ich nicht:

Zitat von @WalterRT:
Mann muss keine Ports öffnen (auch für externe Nebenstellen nicht)

Außer natürlich die nutzen einen Webdienst o.ä. zum Connect. Das wäre für mich aber noch gruseliger.

Dennoch Good Luck! Und lass gern von Deinen Erfahrungen hören.

Gruß
Bitte warten ..
Mitglied: WalterRT
14.04.2021 um 19:26 Uhr
Hi,

Nun Yeastar hat nix mit Yealink zu tun. Aus meinen Erfahrungen raus baut Yeastar feine Anlagen und ich habe auch noch nichts schlechtes gehört. Support ist auch gut und der kommt aus den USA.

Das mit den keine Ports öffnen stimmt aber. Dazu betreiben die ein Rechenzentrum in Frankfurt. Linkus heißt das. Letztendlich ist es so, dass deine Anlage sich mit dem Rechenzentrum verbindet und deine externe Nebenstelle auch. Aber es geht auch ohne deren Rechenzentrum aber dann nur im LAN oder mit Ports offen.

Gruß

Walter
Bitte warten ..
Mitglied: commodity
14.04.2021 um 22:52 Uhr
Zitat von @WalterRT:
Nun Yeastar hat nix mit Yealink zu tun.
Hab ich nicht behauptet. Ich sprach von China-Voip generell.
Aber: Sicher ein Schelm, wer da einen Zusammenhang sieht: Beide Unternehmen sitzen 12 Autominuten voneinander entfernt ;-) face-wink
Aus meinen Erfahrungen raus baut Yeastar feine Anlagen und ich habe auch noch nichts schlechtes gehört.
Da weißt Du dann mehr als ich. Ich drücke die Daumen. Berichte dann einfach gelegentlich.
Support ist auch gut und der kommt aus den USA.
Sieht für mich nach China aus:
Support
Tel: +86-592-5503301, 972-914-4899 (USA)Fax: +86-592-5503307
Aber das Addison/TX-Office macht offenbar auch Support - für Amerika
Das mit den keine Ports öffnen stimmt aber. Dazu betreiben die ein Rechenzentrum in Frankfurt.
Das hingegen schrieb ich ja. Mit nem Dienst geht das natürlich. Noch ein Schelm, wer da gleich an MITM denkt.

Ist nur meine Meinung. Ich gönn Dir Deine von Herzen :-) face-smile Jeder hat andere Prioritäten.
Gruß
Bitte warten ..
Mitglied: WalterRT
16.04.2021, aktualisiert um 11:14 Uhr
Hallo

So ich gebe mal eine kurze Rückmeldung falls es von Interesse ist.

Die Yeastar ist in Betrieb und funktioniert wie eine eins. Alle Telefone wurden über Auto Provision erkannt und eingerichtet. 3CX ist Geschichte. Das Ding erkennt sogar meine SIP Türstation.

Ich habe die ganze Kommunikation in ein getrenntes LAN gepackt was nur Telefonie macht. Über die PFsense habe ich dann die Anlage mit meinem normalen LAN verbunden damit ich die Konfigurieren kann. Nachdem gestern meine PFsense nach dem Update auf 2.5.1 ins Nirwana geschossen wurde musste ich diese gestern neu Installieren. Aber nun läuft alles.

Anbei auch ein paar Bilder. Den Kabelsalat bitte ich zu entschuldigen. Der wird demnächst neu gemacht.

Gruß
image2. - Klicke auf das Bild, um es zu vergrößernimage1. - Klicke auf das Bild, um es zu vergrößernimage0. - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Heiß diskutierte Inhalte
Netzwerkgrundlagen
Frage der anderen Art
NeuerleVor 1 TagFrageNetzwerkgrundlagen16 Kommentare

Hi an alle, Ich bin InformatikStudi. Habe Ende des Monats Klausur im Fach Netzwerke zu schreiben und komme gar nicht klar. Entweder ich bin ...

Ubuntu
Cups-Server mit SMB lehnt Verbindungen ab (smb.conf)?
ErikHeinemannVor 1 TagFrageUbuntu17 Kommentare

Guten Morgen, ich habe einen Ubuntu 20.04 Server mit Cups als Printspooler. Nun Soll noch Samba hinzugefügt werden für eine einfache Verwendung unter Windows. ...

Exchange Server
Kaspersky for Exchange Meldungen
gelöst wieoderwasVor 1 TagFrageExchange Server11 Kommentare

Guten Morgen, wir haben bei uns einen Exchange 2013 mit Kaspersky for Exchange und Sophos auf Dateiebene. Heute Morgen habe ich einige von diesen ...

Groupware
Lokale Mini-Groupware für Mail, Adressbuch und Kalender gesucht
AndreasKasselVor 1 TagFrageGroupware10 Kommentare

Hallo zusammen, ich habe insgesamt 2 PCs, 1 Notebook, 1 Android-Tablet und ein Android-Smartphone. Weiterhin habe ich 2 Mail-Adressen bei 1&1 mit einer eigenen ...

Grafikkarten & Monitore
Unerklärliche Aussetzer Bildschirm und Maus
nixwissenderVor 1 TagFrageGrafikkarten & Monitore11 Kommentare

hallo! wir haben aktuell das unerklärliche phänomen, dass sich am arbeitsplatz vom mitarbeiter eines der beiden bildschirme kurzzeitig ausschaltet (und zwar der, der per ...

CPU, RAM, Mainboards
CPU Lüfter ausbauen
gelöst ben1300Vor 1 TagFrageCPU, RAM, Mainboards9 Kommentare

Hallo zusammen, ich habe mir damals einen Fertig PC gekauft. Ich würde gerne den Arbeitsspeichern austauschen, allerdings muss ich dafür - so wie es ...

Backup
Backup Datei
gelöst KanrishaVor 1 TagFrageBackup5 Kommentare

Hallo Zusammen, ich habe eine Frage ich will eine Backup bat Datei schreiben habe jedoch ein kleines Problem. Ich möchte ein Laufwerk in das ...

DNS
Android 10 und mein DNS Server
gelöst CyborgWeaselVor 1 TagFrageDNS7 Kommentare

Hallo allesamt, ich spiele gerade etwas mit einer Synology herum, habe unter Anderem einen eigenen DNS jetzt aufgesetzt. Die lokale Domäne ist HomeDomain.local und ...