4
Pfsense VOIP Gesprächsabbruch
Hallo,
ich habe eine Fritzbox als reine TK Anlage an eine Pfsense Firewall/Router angeschlossen.
Ich habe zuerst den Stun Server aktiviert und static Port in den Outbound Regeln gesetzt.
Telefonieren klappte damit erstmal.
Jetzt hatte ich einen Gesprächsabbruch. Nach Dr. Google wird nach zB 15 min irgendwie vom ISP die Verbindung während des Telefonats getestet. Zeitlich könnte dies passen.
Ich habe daraufhin in der NAT das Portforwarding 5060 SIP und die damit erzeugte Regel für den WAN Port eingestellt. Ich habe mal versucht den Fehler zu reproduzieren, klappte aber nicht. Der Abbruch ist bis jetzt nicht mehr aufgetreten, ich bin nur nicht sicher, ob dies der Grund war und ich das Portforwarding lassen muss oder besser abschalte.
Vielleicht kann mir jemand etwas mehr dazu sagen.
Grüße
Tim
ich habe eine Fritzbox als reine TK Anlage an eine Pfsense Firewall/Router angeschlossen.
Ich habe zuerst den Stun Server aktiviert und static Port in den Outbound Regeln gesetzt.
Telefonieren klappte damit erstmal.
Jetzt hatte ich einen Gesprächsabbruch. Nach Dr. Google wird nach zB 15 min irgendwie vom ISP die Verbindung während des Telefonats getestet. Zeitlich könnte dies passen.
Ich habe daraufhin in der NAT das Portforwarding 5060 SIP und die damit erzeugte Regel für den WAN Port eingestellt. Ich habe mal versucht den Fehler zu reproduzieren, klappte aber nicht. Der Abbruch ist bis jetzt nicht mehr aufgetreten, ich bin nur nicht sicher, ob dies der Grund war und ich das Portforwarding lassen muss oder besser abschalte.
Vielleicht kann mir jemand etwas mehr dazu sagen.
Grüße
Tim
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 324655
Url: https://administrator.de/forum/pfsense-voip-gespraechsabbruch-324655.html
Ausgedruckt am: 12.03.2025 um 07:03 Uhr
4 Kommentare
Neuester Kommentar
Das was du beschreibst passt zu "Session-Timers". Dies verursacht manchmal dieses Verhalten, was sich entweder durch öffnen des Ports an der Firewall als auch durch Deaktivierung der Session-Timers an deiner Telefonanlage abstellen lässt.
Falls letzteres nicht geht könnte man notfalls versuchen an der Firewall zu konfigurieren, dass Pakete auf dem SIP-Port deiner Telefonanlage den Connection-Tracker deutlich länger offenhalten - z.B. 20 Minuten lang. Damit wäre gewährleistet dass von dir getriggerte Verbindungen 20 Minuten lang Rückantworten zulassen, aber keine ungewollten Pakete (Bruteforce...) durchgelassen werden.
Deine Telefonanlage müsste dann nur auf einen niedrigeren Registrierungsintervall (z.B. 3800 Sekunden) und eine niedrigere Session-Time (z.B. 120 Sekunden) konfiguriert werden - dann brichst du damit normalerweise problemlos durch die Firewall durch.
Falls dein Anbieter es unterstützt könntest du auch versuchen SIP über TCP zu verbinden - das bekommen die Connection-Tracker der Firewall in der Regel besser gebacken.
Denke bitte daran, dass ein Forwarding von Port 5060 an deine Telefonanlage ein enormes Sicherheitsrisiko, in erster Linie für deine Brieftasche, darstellt!
Falls letzteres nicht geht könnte man notfalls versuchen an der Firewall zu konfigurieren, dass Pakete auf dem SIP-Port deiner Telefonanlage den Connection-Tracker deutlich länger offenhalten - z.B. 20 Minuten lang. Damit wäre gewährleistet dass von dir getriggerte Verbindungen 20 Minuten lang Rückantworten zulassen, aber keine ungewollten Pakete (Bruteforce...) durchgelassen werden.
Deine Telefonanlage müsste dann nur auf einen niedrigeren Registrierungsintervall (z.B. 3800 Sekunden) und eine niedrigere Session-Time (z.B. 120 Sekunden) konfiguriert werden - dann brichst du damit normalerweise problemlos durch die Firewall durch.
Falls dein Anbieter es unterstützt könntest du auch versuchen SIP über TCP zu verbinden - das bekommen die Connection-Tracker der Firewall in der Regel besser gebacken.
Denke bitte daran, dass ein Forwarding von Port 5060 an deine Telefonanlage ein enormes Sicherheitsrisiko, in erster Linie für deine Brieftasche, darstellt!
Hallo,
warum nicht die AVM FB vor die Firewall setzen? Dann muss da auch kein Port offen sein.
Gruß
Dobby
warum nicht die AVM FB vor die Firewall setzen? Dann muss da auch kein Port offen sein.
Gruß
Dobby
Da ich neulich auch vor einem ähnlichen Problem stand wollte ich meine Situation hier auch mal schildern...
Ich nutze einen "normalen" / privaten Telekom Anschluss mit VOIP.
Als Router wird ein Lancom Gerät eingesetzt und als TK-Anlage ein aktueller Asterisk Server.
Bei mir sind auch alle ausgehenden Gespräche nach exakt 15 Min abgebrochen !!
Dies lag nach wirklich sehr langer debugging Aktionen und Analyse an der Telekom, da diese einfach nicht NAT tollerant ist.
Also war auch bei mir die Lösung die Ports für SIP 5080 und die RTP Ports zu öffnen und an die TK-Analge, sprich den Asterisk Server zu forwarden.
Anders machen es die Fritzboxen oder Speedports, die direkt am Anschluss hängen auch nicht.
Wenn du Port 5080 geöffnet hast bist du jetzt allerdings von außer auch (theoretisch) angreifbar, ich würde also deinem PF-Sense oder deiner Firewall sagen, dass er auf Port 5080 auch nur von deinem SIP-Provider Pakete annehmen soll, dann bist du (eigentlich) sehr sicher unterwegs & hast meiner Meinung nach keine Nachteile dadurch.
Ich nutze einen "normalen" / privaten Telekom Anschluss mit VOIP.
Als Router wird ein Lancom Gerät eingesetzt und als TK-Anlage ein aktueller Asterisk Server.
Bei mir sind auch alle ausgehenden Gespräche nach exakt 15 Min abgebrochen !!
Dies lag nach wirklich sehr langer debugging Aktionen und Analyse an der Telekom, da diese einfach nicht NAT tollerant ist.
Also war auch bei mir die Lösung die Ports für SIP 5080 und die RTP Ports zu öffnen und an die TK-Analge, sprich den Asterisk Server zu forwarden.
Anders machen es die Fritzboxen oder Speedports, die direkt am Anschluss hängen auch nicht.
Wenn du Port 5080 geöffnet hast bist du jetzt allerdings von außer auch (theoretisch) angreifbar, ich würde also deinem PF-Sense oder deiner Firewall sagen, dass er auf Port 5080 auch nur von deinem SIP-Provider Pakete annehmen soll, dann bist du (eigentlich) sehr sicher unterwegs & hast meiner Meinung nach keine Nachteile dadurch.
Danke für die Tipps.
Ich habe in der FB mal die Portweiterleitung aktiv halten alle 30 sek gesetzt. Viel mehr kann man in der FB ja auch nicht einstellen.
Das Portforwarding für SIP habe ich wieder abgeschaltet. Ich habe dann mal ein Gespräch 30 min laufen lassen. Der Fehler ist nicht wieder aufgetreten.
Da ich die Pfsense neu aufgesetzt habe und noch nicht alle Einstellungen gemacht haben, stellt sich die Frage, ob es daran lag. Ich habe nun auch mal die Priorisierung für VOIP eingestellt.
Warten wir es mal ab.
Ich habe in der FB mal die Portweiterleitung aktiv halten alle 30 sek gesetzt. Viel mehr kann man in der FB ja auch nicht einstellen.
Das Portforwarding für SIP habe ich wieder abgeschaltet. Ich habe dann mal ein Gespräch 30 min laufen lassen. Der Fehler ist nicht wieder aufgetreten.
Da ich die Pfsense neu aufgesetzt habe und noch nicht alle Einstellungen gemacht haben, stellt sich die Frage, ob es daran lag. Ich habe nun auch mal die Priorisierung für VOIP eingestellt.
Warten wir es mal ab.
