26
Problem mit Telefonie über Fritzbox hinter OPNsense
Hallo Zusammen,
ich habe ein Problem mit der Telefonie in einem Friseursalon.
Ausgangslage:
Internet und Telefonie läuft über Telekom. Der Router ist eine OPNsense.
Bis vor kurzer Zeit war die Telefonanlage eine Auerswald. Durch einen Softwarewechsel (Kassensystem, Kalendersystem) musste die Auerswald durch eine Fritzbox (7530 AX) ersetzt werden.
Seitdem können wir in der Regel nicht nach draußen telefonieren. Es klingelt, sobald einer abnimmt bleibt das Telefonat stumm. Eingehende Telefonate sind davon nicht betroffen.
Mit der Auerswald Anlage hatte ich vor Jahren auch einiges Testen müssen bis es fehlerfrei lief. Zum Erfolg hat eine Outbound Regel geführt (siehe Anhang).
Die Einstellungen der Fritzbox sind "Original" von der integrierten Telekom-Vorlage. Screenshots ebenfalls siehe Anhang.
Ein Problem habe ich bisher mit der Fehlersuche. Immer wenn ich vor Ort habe ich etwas anderes versucht und nach mehreren Testtelefonaten für gut empfunden. Nach einigen Tagen erhalte ich dann das Feedback das es wieder nicht läuft.
Wo kann noch etwas anderes einzustellen sein?
Danke für Eure Hilfe!
ich habe ein Problem mit der Telefonie in einem Friseursalon.
Ausgangslage:
Internet und Telefonie läuft über Telekom. Der Router ist eine OPNsense.
Bis vor kurzer Zeit war die Telefonanlage eine Auerswald. Durch einen Softwarewechsel (Kassensystem, Kalendersystem) musste die Auerswald durch eine Fritzbox (7530 AX) ersetzt werden.
Seitdem können wir in der Regel nicht nach draußen telefonieren. Es klingelt, sobald einer abnimmt bleibt das Telefonat stumm. Eingehende Telefonate sind davon nicht betroffen.
Mit der Auerswald Anlage hatte ich vor Jahren auch einiges Testen müssen bis es fehlerfrei lief. Zum Erfolg hat eine Outbound Regel geführt (siehe Anhang).
Die Einstellungen der Fritzbox sind "Original" von der integrierten Telekom-Vorlage. Screenshots ebenfalls siehe Anhang.
Ein Problem habe ich bisher mit der Fehlersuche. Immer wenn ich vor Ort habe ich etwas anderes versucht und nach mehreren Testtelefonaten für gut empfunden. Nach einigen Tagen erhalte ich dann das Feedback das es wieder nicht läuft.
Wo kann noch etwas anderes einzustellen sein?
Danke für Eure Hilfe!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671038
Url: https://administrator.de/forum/problem-mit-telefonie-ueber-fritzbox-hinter-opnsense-671038.html
Ausgedruckt am: 18.02.2025 um 13:02 Uhr
26 Kommentare
Neuester Kommentar
Zitat von @ThiemoSt:
Seitdem können wir in der Regel nicht nach draußen telefonieren. Es klingelt, sobald einer abnimmt bleibt das Telefonat stumm. Eingehende Telefonate sind davon nicht betroffen.
Das deutet auf ein Problem bei der Kommunikation über RTP hin.
Entscheidend wäre noch zu wissen WIE die Fritte an der OPNsense Firewall betrieben wird??
Als Router Kaskade oder, wie es sinnvoll wäre, im IP Host Mode als reine VoIP Telefonanlage im lokalen LAN der OPNsense.
Als Router Kaskade oder, wie es sinnvoll wäre, im IP Host Mode als reine VoIP Telefonanlage im lokalen LAN der OPNsense.
Die Fritzbox ist im Netzwerk der OPNsense als IP-Client. Hängt also hinter dem Router, keine Router Kaskade.
Hi,
was ist denn Deine Firewall-Regel für die Telefonie bzgl. RDP-Ports?
Bei der Telekom hatte ich das Problem, dass deren RTP Ports random waren und ich für eine sichere Kommunikation die Ports 1-65535 nach außen durchlassen musste (und die sich nicht an den eigenen Standard gehalten hatten).
Info der Telekom hierzu:
https://www.telekom.de/hilfe/internet-telefonie/telefonie/einstellungen- ...
Gruß
Looser
was ist denn Deine Firewall-Regel für die Telefonie bzgl. RDP-Ports?
Bei der Telekom hatte ich das Problem, dass deren RTP Ports random waren und ich für eine sichere Kommunikation die Ports 1-65535 nach außen durchlassen musste (und die sich nicht an den eigenen Standard gehalten hatten).
Info der Telekom hierzu:
https://www.telekom.de/hilfe/internet-telefonie/telefonie/einstellungen- ...
Gruß
Looser
was ist denn Deine Firewall-Regel für die Telefonie bzgl. RDP-Ports?
Aktuell habe ich dazu keine Regel. Da es vorher mit einer anderen Telefonanlage fehlerfrei funktionierte vermute ich jetzt eher eine andere Arbeitsweise der Fritzbox, bin da aber leider zu unwissend.
Da wirst du einige Ports weiterleiten müssen.
Evtl. interessant: die Fritzbox als exposed Host vor die OPNSense hängen.
Evtl. interessant: die Fritzbox als exposed Host vor die OPNSense hängen.
Ohne, dass Du Ports von innen nach außen öffnest, wird es nicht funktionieren, da im Standard alles dicht ist.
Du wirst also irgendwo eine Regel haben
Neee.....Die Fritte in ein separates VLAN ohne Kontakt zum restlichen Netzwerk. Dann die Regeln angepasst und fertig.
Dauert keine 15min.
Du wirst also irgendwo eine Regel haben
Evtl. interessant: die Fritzbox als exposed Host vor die OPNSense hängen.
Neee.....Die Fritte in ein separates VLAN ohne Kontakt zum restlichen Netzwerk. Dann die Regeln angepasst und fertig.
Dauert keine 15min.
Du wirst also irgendwo eine Regel haben
Achso, klar. Zum Test ist eine * * Regel erstellt. Sowohl beim WAN als auch beim LAN.
Wahrscheinlich ändert die Sense die Quellports ausgehend, was dann zu Problemen mit eingehendem RTP führt.
Die Fritzbox schreibt in die SDP-Informationen den Port, auf dem sie eingehendes RTP erwartet, weiß aber natürlich nicht, dass die Sense die von ihr gesendeten RTP-Pakete ausgehend auf einen zufälligen Port ändert. Die Telekom schickt das RTP an im SDP genannten Port, die Sense kann aber, da der Traffic bei ihr ja auf einem anderen Quellport raus geht, diese eingehenden Pakete nicht zuordnen und verwirft es dann.
In den NAT-Regeln für Outbound gibt es ein Häkchen "Static-Port", das sollte gesetzt sein.
Hier könntest du, wenn das die Lösung ist, eine spezifischere Regel nur für den Traffic der Fritzbox erstellen, die dieses Häkchen hat.
Die Fritzbox schreibt in die SDP-Informationen den Port, auf dem sie eingehendes RTP erwartet, weiß aber natürlich nicht, dass die Sense die von ihr gesendeten RTP-Pakete ausgehend auf einen zufälligen Port ändert. Die Telekom schickt das RTP an im SDP genannten Port, die Sense kann aber, da der Traffic bei ihr ja auf einem anderen Quellport raus geht, diese eingehenden Pakete nicht zuordnen und verwirft es dann.
In den NAT-Regeln für Outbound gibt es ein Häkchen "Static-Port", das sollte gesetzt sein.
Hier könntest du, wenn das die Lösung ist, eine spezifischere Regel nur für den Traffic der Fritzbox erstellen, die dieses Häkchen hat.
1In den NAT-Regeln für Outbound gibt es ein Häkchen "Static-Port", das sollte gesetzt sein.
Der Haken für den Static-Port ist gesetzt.Ist es denn korrekt dort auch nur tcp/udp mit Port * anzugeben wenn als Source die IP der Fritzbox angegeben ist?
Hier nochmal der Screenshot aus dem Originalpost bezüglich der Outbound-Regel. Der Alias der Fritzbox ist korrekt.
Hier könntest du, wenn das die Lösung ist, eine spezifischere Regel nur für den Traffic der Fritzbox erstellen, die dieses Häkchen hat.
Was meinst du mit einer spezifischeren Regel? Aktuell ist die doch schon durch "Source=Fritzbox" sehr spezifisch, oder nicht?
Generell braucht es keine spezifischen Regeln für VoIP nur die Aktivierung der "Static Ports" an der Default NAT Regel am WAN Port. (RTP Ports für die Voice Daten. Siehe dazu auch hier und hier)
Hier arbeitet eine 7490 (Fw. 7.60, SIPgate Account) übrigens auch ganz ohne diese Settings mit einer stinknormalen "out of the Box" Default Konfig der OPNsense Firewall.
Hier arbeitet eine 7490 (Fw. 7.60, SIPgate Account) übrigens auch ganz ohne diese Settings mit einer stinknormalen "out of the Box" Default Konfig der OPNsense Firewall.
Ich bin echt am verzweifeln. Sitze seit 3 Stunden hier und teste alle möglichen Varianten.
Anruf nach draußen bleibt immer beidseitig stumm. Eingehend klappt alles.
Anbei ein Foto vom Live Log mit aktivierten Outbound NAT beim absetzen eines Anrufs. Das zeigt mir ja das die Regel greift. Jedoch mit/ohne Outbound Regel gibt es keinen Ton beim Telefonat.
Gibt es noch weitere Stellen wo ich gucken kann? Vor allem weil es mit einer anderen Telefonanlage geklappt hat und nun mit der Fritz!Box nicht mehr.
Anruf nach draußen bleibt immer beidseitig stumm. Eingehend klappt alles.
Anbei ein Foto vom Live Log mit aktivierten Outbound NAT beim absetzen eines Anrufs. Das zeigt mir ja das die Regel greift. Jedoch mit/ohne Outbound Regel gibt es keinen Ton beim Telefonat.
Gibt es noch weitere Stellen wo ich gucken kann? Vor allem weil es mit einer anderen Telefonanlage geklappt hat und nun mit der Fritz!Box nicht mehr.
Ohne dein genaues Regelwerk zu kennen und was du da gefummelt hast ist eine zielführende Hilfe nicht einfach.
Normal muss man, wie bereits gesagt, am Default Regelwerk nix machen. Eine Fritte im IP Client Mode kann man direkt ans interne LAN anschliessen und es klappt fehlerlos.
Normal muss man, wie bereits gesagt, am Default Regelwerk nix machen. Eine Fritte im IP Client Mode kann man direkt ans interne LAN anschliessen und es klappt fehlerlos.
Das Regelwerk nochmal zusammengefasst:
Es gibt eine Allow Any Regel zum Test und die besagte Outbound Regel wie im Screenshot des Ursprungsbeitrages.
Laut Firewall Log wird auch nichts geblockt.
Es gibt eine Allow Any Regel zum Test und die besagte Outbound Regel wie im Screenshot des Ursprungsbeitrages.
Laut Firewall Log wird auch nichts geblockt.
Eine Outbound Regel ist nicht erforderlich.
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt schliessen!
Leider hat bisher kein Tipp zum Erfolg geführt.
Ich werde nochmal außerhalb der Öffnungszeiten vor Ort sein und die alte Telefonanlage wieder für die Telefonie nutzen und die Fritzbox nur für die Anruferkennung der Kasse-/Kalendersoftware. Ist aktuell meine einzige Idee um es wieder ans laufen zu bekommen da es ja vorher auch geklappt hat.
Wie bereits gesagt: Dein NAT extra Regelwerk ist NICHT nötig und auch noch kontraproduktiv, denn es berüksichtigst nur UDP. Die Fritzbox nutzt aber für die Call Signalisierung (SIP Protokoll) ausschliesslich nur noch TCP. Siehe dazu u.a. auch hier. Folglich greift diese Regel dafür auch gar nicht.
Der IP Client Betrieb der Fritte für VoIP benötigt keine Sonderlocke im Regelwerk. Aktivieren und Fritte per LAN-1 als DHCP Client ins LAN hängen. Er kann mit den Default NAT Settings die die OPNsense out of the box mitbringt problemlos betrieben werden.
Wie kann ich einen Beitrag als gelöst markieren?
Der IP Client Betrieb der Fritte für VoIP benötigt keine Sonderlocke im Regelwerk. Aktivieren und Fritte per LAN-1 als DHCP Client ins LAN hängen. Er kann mit den Default NAT Settings die die OPNsense out of the box mitbringt problemlos betrieben werden.
Wie kann ich einen Beitrag als gelöst markieren?
Wie bereits gesagt: Dein NAT extra Regelwerk ist NICHT nötig und auch noch kontraproduktiv, denn es berüksichtigst nur UDP.
Selbstverständlich habe ich es auch bereits ohne NAT Regel versucht. Keine Änderung.Aktivieren und Fritte per LAN-1 als DHCP Client ins LAN hängen.
Einzige Unterschied bei mir ist das die Fritte eine feste IP hat.Was noch zu erwähnen ist: Es hat mal geklappt mit dem raus telefonieren. Als ich dann dachte das wars hab ich vor Abfahrt nochmal getestet und es blieb wieder stumm.
Es ist aber nicht immer so das es zB nach einem Neustart der Geräte zwangsläufig wieder kurzzeitig geht.
Einzige Unterschied bei mir ist das die Fritte eine feste IP hat.
Über den DHCP Server der OPNsense oder wie? Anders wäre das ein Indiz das die Fritte ggf. falsch konfiguriert wurde als Client?!Es ist aber nicht immer so das es zB nach einem Neustart der Geräte zwangsläufig wieder kurzzeitig geht.
Hier können Keepalive Zeiten usw. relevant sein. Da man dein Fritten Client Setup leider nicht kennt kann man hier aber nur wild kristallkugeln...Hier ein Beispiel mit einer uralten 7390er die intern als interne VoIP Telefon Anlage mit Cisco Telefonen und einer Analogmöhre ihr VoIP Anlagen Dasein fristet.
- OPNsense Default Konfig
- Scheunentor Regel am LAN Port
- Keine extra NAT Regeln oder NAT Frickeleien wie Port Forwarding
- Fritzbox als IP Client mit DHCP und fester Adresszuweisung via DHCP Server in der OPNsense
- SIP Keepalive 5 Minuten
Gugg mal in den Einstellungen der Telefonanlage (nicht bei der Fritte) nach den STUN Einstellungen.
Sind die aktiv?
Sind die aktiv?
Gugg mal in den Einstellungen der Telefonanlage (nicht bei der Fritte) nach den STUN Einstellungen.
Ja, dort ist der STUN Server für SIP aktiviert. Wobei in der Statusübersicht bei STUN Abfrage keine grüne Lampe ist. Aktuell ist aber auch die Auerswald & Fritzbox online, ob sich das beißt weiß ich nicht.Ebenfalls ist mir aufgefallen das dort für SIP UDP ausgewählt ist. Im Verlauf habe ich von Aqui gelesen das die Fritzbox nur TCP nutzt.
Da man dein Fritten Client Setup leider nicht kennt kann man hier aber nur wild kristallkugeln...
Habe gerade nochmal nachgeschaut.Die IP erhält die Fritte doch über DHCP und static IP in der OPNsense.
- "Scheunentor Regel" am LAN Port ist vorhanden.
- NAT ist deaktiviert
- Keepalive war auf 30 Sekunden. Habe ich auf 5 Min gestellt.
Ich werde berichten.
NAT ist deaktiviert
Erste Rückmeldung: Bei eingehenden Telefonaten gleicher Effekt wie bei ausgehenden. Kein Ton zu hören.Nachdem NAT wieder aktiviert ist klappte es wieder.
ähm....
Warum ist RTP bei Dir nicht eingeschaltet?
Warum steht der Outbound-Proxy auf "auto"?
Warum ist RTP bei Dir nicht eingeschaltet?
Warum steht der Outbound-Proxy auf "auto"?
Gute Frage, nächste Frage.
Das sind die Standardeinstellungen, welche Auerswald für die Telekom mitgibt (Profil: Telekom C&S IP). Damit hat es auf Anhieb geklappt.
Das sind die Standardeinstellungen, welche Auerswald für die Telekom mitgibt (Profil: Telekom C&S IP). Damit hat es auf Anhieb geklappt.
Sieht hier mit den OPNsense Default Settings (NAT aktiviert) so aus:
⚠️ Wichtig ist hier der Keepalive. Setzt man den zu niedrig schmeisst einen die Telekom wegen vermeintlichem DDoS in Abständen runter vom SIP Server und es kommt zu Ausfällen.
Nix gefrickelt, keine extra Regeln alles OPNsense Default und rennt fehlerlos.
Ggf. hilft auch noch ein aktueller, separater Threat der das Fritzbox Client Setup und VoIP etwas mehr im Detail betrachtet.
⚠️ Wichtig ist hier der Keepalive. Setzt man den zu niedrig schmeisst einen die Telekom wegen vermeintlichem DDoS in Abständen runter vom SIP Server und es kommt zu Ausfällen.
Ggf. hilft auch noch ein aktueller, separater Threat der das Fritzbox Client Setup und VoIP etwas mehr im Detail betrachtet.
