maginos
Goto Top

VOIP auf Fritzbox hinter OPNSense

Hallo zusammen,

ich würde gerne wissen, ob ihr mir bei folgender Sache helfen könnt:

Es geht darum, dass ich an einer Fritzbox VOIP Telefonie nutzen möchte. Die Fritzbox steht im LAN Netzwerk hinter einer OPNSense. Die Fritzbox wurde mir vom ISP 2018 fertig eingerichtet übergeben und auch die Telefonie hat funktioniert. 2019 bin ich umgestiegen auf eine Sophos UTM. Dabei habe ich die Fritzbox in den IP Client Modus versetzt und entsprechende Port Freigaben und Firewall Regeln für die Telefonie an der Fritzbox eingerichtet. Bis dahin hat auch alles funktioniert. Nun wollte ich die Sophos UTM durch die OPNSense austauschen, leider funktioniert die VOIP Telefonie nicht wie erwartet. Wenn meine private Telefonnummer angerufen wird, kommt als Antwort "Der gewünschte Gesprächspartner ist zurzeit nicht erreichbar". Ausgehende Anrufe funktionieren ohne Probleme, nur die eingehenden nicht.

Der erste Screenshot zeigt die für VOIP benötigten Portfreigaben. Ich habe diesen Screenshot gemacht, als ich auf die Sophos umgestiegen bin. Diese Portfreigaben und entsprechende Firewall Regeln habe ich in der Sophos eingerichtet und die haben ohne Probleme funktioniert.

Meine Port Freigaben und die Firewall Regeln auf der OPNSense (die Fritzbox hat die IP Adresse 10.20.1.2) hab ich auch noch angehängt.


Ich habe auf der OPNSense Suricata auf dem WAN Interface und Zenarmor auf allen internen Netzwerken laufen. Ich sehe bei beiden Systemen keine Fehlermeldungen, dass Traffic geblockt werden würde. Bei Suricata sehe ich gar keine Einträge in den Alerts, was auch sehr komisch ist, aber VOIP funktioniert auch nicht bei ausgeschaltetem Suricata. Also sollte das nicht das Problem sein.

In den Ereignissen bei der Fritzbox finden sich auch keine Einträge, die auf ein Problem hindeuten können.

Eine Outbound NAT Rule für die Fritzbox habe ich auch, der Screenshot ist im Anhang.

Nun würde ich gerne von euch wissen, ob ihr mir helfen, könnt, die VOIP Telefonie wieder zum laufen zu bringen.

Mein einziger Anhaltspunkt ist, dass ich in den Logs von Zenarmor sehe, dass die Fritzbox DNS Anfragen an meinen SIP Provider stellt. Dabei handelt es sich um SRV, bzw UNKNWN DNS Anfragen, bei denen entweder NXDOMAIN (SRV) oder - zurückkommt (UNKNWN). Mehr hab ich leider nicht.

Vielen Dank euch schon mal für die Hilfe und schöne Grüße

Maginos
bildschirmfoto 2019-04-25 um 11.10.16
firewall rules
nat rules
outbound nat rule

Content-ID: 667960

Url: https://administrator.de/contentid/667960

Printed on: October 15, 2024 at 16:10 o'clock

benderng
benderng Sep 07, 2024 at 20:41:08 (UTC)
Goto Top
LordGurke
LordGurke Sep 07, 2024 at 20:53:05 (UTC)
Goto Top
Port-Forwarding ist unnötig, die benötigten Ports werden von alleine durchlässig dadurch, dass deine Fritzbox sie ausgehend benutzt.
Dein Problem dürfte das standardmäßig von OpnSense aktivierte PAT (Port Translation) sein, so dass die von der Fritzbox angenommenen Ports nicht mit denen übereinstimmen die beim Registrar-Server ankommen.
Stelle PAT für die Fritzbox ab und/oder konfiguriere, dass sie sich nicht per UDP sondern TCP registriert, das sollte das Problem beheben.
Maginos
Maginos Sep 08, 2024 at 06:17:04 (UTC)
Goto Top
Danke euch beiden für euere Kommentare.

@benderng:
In dem Link geht es im Grunde um die Outbound NAT Regel, die ich schon gesetzt habe (siehe letzter Screenshot). Leider hat mir das nicht geholfen.

@LordGurke:
Kannst du das bitte genauer erklären, was du mit "standardmäßig von OPNSense aktiviertes PAT" meinst? Ich habe die Port Weiterleitungsregeln jetzt deaktiviert, das hat leider nicht geholfen.
Zum Thema UDP vs TCP:
In der Fritzbox unter Telefonie --> Eigene Rufnummern hat mein ISP mir die Rufnummern die wir bestellt haben standardmäßig hinterlegt und ich kann diese Rufnummern leider nicht bearbeiten. Wenn ich auf den Stift klicke, kann ich da nur einen Namen vergeben, mehr nicht.
Deswegen habe ich versucht, eine neue Internettelefonienummer anzulegen mit der SIP Adresse, die mir mein ISP genannt hat. Die ist auch verschieden zu der, die 2018 verwendet wurde. Der Mitarbeiter meinte, dass diese Adresse für uns freigeschalten wurde. Vll haben andere Inexio Kunden diese Adresse schon, ich weiß es nicht.
Leider klappt die Registrierung dieser Internettelefonnummer nicht parallel zu den anderen. Müsste ich zuerst die 2018 hinterlegten Nummern entfernen, bevor ich die neue Nummer hinzufüge? Dann müsste ich ein Backup der Fritzbox machen und alle Einstellungen bis auf die Telefonie wiederherstellen. Davor habe ich allerdings etwas Respekt, weil ich die benötigten Einstellungen nicht kenne, um die Telefonnummer hinzuzufügen. Hoffe, du verstehst, was ich meine.
Vision2015
Vision2015 Sep 08, 2024 at 06:29:52 (UTC)
Goto Top
Moin....
Meine Port Freigaben und die Firewall Regeln auf der OPNSense (die Fritzbox hat die IP Adresse 10.20.1.2) hab ich auch noch angehängt.

was soll der blödsinn? du sollst die Fritte als Client ins Netzwerk hängen... da braucht es keine freigaben!
und einen kaskadierten Router braucht es erst recht nicht!
FRITZ!Box für Betrieb mit anderem Router einrichten

Frank
Maginos
Maginos Sep 08, 2024 at 07:18:36 (UTC)
Goto Top
Hallo Frank und danke für deinen Kommentar.
Die Fritzbox ist als IP-Client im Netzwerk. Die von dir verlinkte Anleitung habe ich damals bei der Umstellung zur Sophos schon durchgeführt.
cykes
cykes Sep 08, 2024 updated at 07:50:59 (UTC)
Goto Top
Moin,

Du könntest uns auch mal verraten, um welchen ISP und welche Zugangstechnik (xDSL, Glasfaser, etc.) es sich handelt.

Mein einziger Anhaltspunkt ist, dass ich in den Logs von Zenarmor sehe, dass die Fritzbox DNS Anfragen an meinen SIP Provider stellt. Dabei handelt es sich um SRV, bzw UNKNWN DNS Anfragen, bei denen entweder NXDOMAIN (SRV) oder - zurückkommt (UNKNWN).
Über welchen DNS-Server löst (bzw. versucht) die Opnsense diese Anfragen aufzulösen? Hier vielleicht mal den DNS des Providers/ISP probieren.

Kannst Du die Zugangsdaten für die VoIP(-Rufnummern) vom ISP bekommen. Eine vorkonfigurierte Box kann auch noch andere ungünstige Voreinstellungen haben.

Gruß

cykes
aqui
aqui Sep 08, 2024 updated at 07:45:19 (UTC)
Goto Top
Seit Firmware Ver. 6.83 verwendet die Fritte primär TCP für SIP. Wie Kollege @LordGurke schon sagt braucht es kein PortForwarding für VoIP, egal wo.
Im Zweifel installiere dir ein Softphone auf einem PC innerhalb deines LANs. Ideal ist dafür Phoner oder Phoner Lite.
https://phoner.de/index.htm
https://lite.phoner.de/index_de.htm
Versehe die mit deinen SIP Credentials des Providers (gleiche wie in der FB) und baue damit eine VoIP Verbindung auf. Das Softphone arbeitet identisch zur FB hat aber den Vorteil eines detailierten Logs was dir genau sagt warum es kneift. On Top macht es ggf. Sinn über die Paket Capture Funktion der OPNsense den SIP Aufbau einmal mitzusniffern wenn alle Stricke reissen.
Maginos
Maginos Sep 08, 2024 at 07:50:05 (UTC)
Goto Top
@cykes:
Der ISP ist inexio, die Zugangsart ist DSL (60 Mbit/s down, 15 Mbit/s up).

Die OPNsense löst die Anfragen über zwei DoT Server von Quad 9 auf, 9.9.9.9 und 149.112.112.112. Ich hab in der Fritzbox schon mal die DNS Server von Google und Cloudflare eingetragen, hat leider auch nichts genutzt.

Die Zugangsdaten für die Telefonie hab ich.

@aqui:
Danke für den Hinweis, ich hab die Port Forwarding Regeln schon deaktiviert, leider funktionieren die eingehenden Anrufe immer noch nicht.

Gibt es sonst noch was, was ich probieren könnte?
Maginos
Maginos Sep 08, 2024 at 07:53:58 (UTC)
Goto Top
@aqui:
Danke für die Tipps mit Phoner und Phoner Lite, das schau ich mir an.

Was wären sinnvolle Einstellungen für das Packet Sniffing? Ich hab auf Port 5060 schon mal zwischen beiden Hosts gelauscht, aber da kam keine Fehlermeldung. Was könnte ich sonst noch probieren?
cykes
cykes Sep 08, 2024 updated at 08:16:54 (UTC)
Goto Top
Der ISP ist inexio, die Zugangsart ist DSL (60 Mbit/s down, 15 Mbit/s up).
Ok, hast Du denn dann noch ein xDSL Modem zwischen Telefondose und OpnSense in Betrieb (welches?).
Mach doch mal eine Skizze des momentanen Aufbaus.

Die OPNsense löst die Anfragen über zwei DoT Server von Quad 9 auf, 9.9.9.9 und 149.112.112.112. Ich hab in der Fritzbox schon mal die DNS Server von Google und Cloudflare eingetragen, hat leider auch nichts genutzt.
Dann mal den DNS von inexio probieren, der dem Anschluss zugewiesen wird. Soweit mir bekannt ist, vertreibt inexio nur DS-LIte Anschlüsse. Da wird es schwierig, DNS-Anfragen zum Telefonieserver über externe Server korrekt zu beantworten.
[EDIT] Oder ist das ein Geschäftskundenanschluss?

Gruß
cykes
Maginos
Maginos Sep 08, 2024 at 08:59:37 (UTC)
Goto Top
@cykes:
Ja, hab ich. Die Skizze ist im Anhang. Ist das verständlich?

Zum Thema DNS:
Ich hatte beim Setup mit der Sophos in den DNS Einstellungen einen Adguard Home drin. Der hat DoH zu quad9 verwendet und da ging die Telefonie auch. Daraus würde ich schließen, dass es daran nicht liegt.

DS Lite haben wir, ja. Wir haben aber eine IPv4 Adresse dazugebucht, das heißt, wir haben nur eine öffentliche IPv4 Adresse.

Nein, das ist kein Geschäftskundenanschluss, das ist ein Privatkundenanschluss.
2024-09-08_netzwerkplan
em-pie
em-pie Sep 08, 2024 at 09:23:25 (UTC)
Goto Top
Moin,

Scheint, als wenn die Fritte die Verbindung zum Registrar nicht halten kann. Ggf. Macht die Sense die Session zu früh zu!?


Grundsätzlich müsste die Fritte dem Registers aber erreichen können. Sonst würde es ja gar nicht gehen.

Gibt es die Sophos noch?
Falls ja: checke mal alle Settings und gleiche das mit der Sense ab.
Maginos
Maginos Sep 08, 2024 at 10:23:05 (UTC)
Goto Top
@em-pie:

Gute Frage. Wo kann ich das nachschauen, ob die OPNSense die Session zu früh zumacht?
In der Fritzbox hab ich bei den Anschlusseinstellungen "Portweiterleitung des Internet-Routers für Telefonie aktiv halten" aktiviert und auf 1 Minute gesetzt.

Danke für die Anleitungen.
Ich hab die Firewall jetzt auf "conservative" gesetzt und in der Fritzbox nochmal was probiert. Und zwar hat mir inexio wie schon erwähnt eine andere SIP Adresse genannt. Ich hab eine Internetrufnummer mit dieser SIP Adresse und den Einstellungen aus deinem ersten Link angelegt, leider kommt dabei ein Fehler bei der Anmeldung (Siehe Screenshot im Anhang). Die Anmeldedaten sind korrekt, habs mehrfach überprüft.

Die Sophos gibts noch. Da musste ich nur die Portfreigaben einrichten, nen Haken setzen bei "Automatische Firewallregel" und dann ging das. Also nicht wirklich hilfreich.
2024-09-08_fehlermeldung fritzbox
LordGurke
LordGurke Sep 08, 2024 at 10:29:43 (UTC)
Goto Top
Zitat von @Maginos:
@LordGurke:
Kannst du das bitte genauer erklären, was du mit "standardmäßig von OPNSense aktiviertes PAT" meinst? Ich habe die Port Weiterleitungsregeln jetzt deaktiviert, das hat leider nicht geholfen.

Ich meine damit die Einstellung in der Outbound-NAT-Regel, heißt mittlerweile "Statische Ports" und muss aktiviert werden. Ansonsten schreibt die Sense auch die Quell-Ports der ausgehenden Anfragen um, was bei VoIP doof ist, da die Fritzbox dem Registrar einen Kontakt für eingehende Anrufe mitteilen muss als IP + Port. Die Box kann aber nicht wissen, dass der Port den sie glaubt zu verwenden nicht stimmt, weil der zufällig gewürfelt wird und deshalb kann der Registrar die Box nicht unter den mitgeteilten Kontaktdaten erreichen.
Vision2015
Vision2015 Sep 08, 2024 at 10:32:52 (UTC)
Goto Top
Moin...

ich denke du sollst noch mal von vorn anfangen, also die opnSense Bügeln und neu Installieren!
wer weiß was du da an routen etc.. eingerichtet und angerichtet hast.
vieleicht ist es einfacher die pfSense zu nutzen, da braucht es wenige einstellungen...

Frank
LordGurke
LordGurke Sep 08, 2024 at 10:37:50 (UTC)
Goto Top
Nachtrag: Ich sehe gerade, dass Inexio scheinbar IPv6 für SIP-Registrierung supported.
Das wäre eine Motivation für dich, wenn nicht bereits geschehen, IPv6 zu konfigurieren. Kein NAT = Kein Problem.
Maginos
Maginos Sep 08, 2024 at 10:51:15 (UTC)
Goto Top
Also ich hab jetzt mit PhonerLite ein paar Sachen probiert, hier die Ergebnisse:

Ich habe zunächst zwei Profile angelegt, einmal mit sip.inexio.net und einmal mit tel.voip.inexio.net als Registrar.

Beim Profil mit tel.voip.inexio.net (wird aktuell nicht verwendet, diese Adresse wurde mir vor ein paar Tagen vom Inexio Kundenservice genannt) geht beides, anrufen und angerufen werden.

Beim Profil mit sip.inexio.net gehen nur die ausgehenden Anrufe, eingehende nicht.
Bei diesem Profil hab ich einen Auszug aus dem Debug Log. Fällt euch dabei was auf?
2024-09-08_phonerlite2
2024-09-08_phonerlite1
2024-09-08_phonerlite3
2024-09-08_phonerlite4
Vision2015
Vision2015 Sep 08, 2024 at 11:29:46 (UTC)
Goto Top
Moin...

Beim Profil mit tel.voip.inexio.net (wird aktuell nicht verwendet, diese Adresse wurde mir vor ein paar Tagen vom Inexio Kundenservice genannt) geht beides, anrufen und angerufen werden.
ok... dann hast du ja eine Lösung°!

Frank
Maginos
Maginos Sep 08, 2024 at 11:32:33 (UTC)
Goto Top
@Frank:

Ich hab bei den Einstellungen in der Fritzbox das Transport Protokoll von TCP auf Automatic gestellt und jetzt kann die Fritzbox die Nummern mit der neueren SIP Adresse registrieren.
Da meine Leute zuhause aber gerade schlafen, probier ich es später, ob es wieder geht. Wäre schön, wenn es wieder funktioniert.
aqui
aqui Sep 08, 2024 at 12:54:18 (UTC)
Goto Top
  • Eine stinknormale OPNsense mit simplen Default Setup, keine extra Regeln, kein Port Forwarding oder sonstwas. Auch PAT nicht angefasst.
  • Fritzbox 7490 als simpler Client mit einem 08/15 Sipgate Setup und den folgenden Settings:
fbvoip
  • Ein- und ausgehende VoIP Telefonie funktioniert fehlerlos sowohl mit IPv6 als auch IPv4.
wsfbopn
  • Fazit: Works as designed! 😉 👍
Maginos
Solution Maginos Sep 08, 2024 at 16:00:20 (UTC)
Goto Top
Danke euch allen für die Hilfe, Stand jetzt funktioniert die Telefonie wieder wie gewünscht.

Ich habe jetzt zwei neue Telefonnummern bei mir in der Fritzbox angelegt mit der SIP Adresse, die ich vor ein paar Tagen vom ISP bekommen habe.

Wichtig dabei war, dass die Optionen "Rufnummer für Anmeldung verwenden" aktiviert und das "Transport Protokoll" auf Automatisch gesetzt war.
Maginos
Maginos Sep 08, 2024 at 16:32:05 (UTC)
Goto Top
Eine Frage hab ich jetzt doch noch:

Letztendlich lag es ja an der neuen SIP Adresse. Wie bekommen andere Kunden von Inexio mit, dass die SIP Adresse geändert wird? Hätte ich da nicht nachgefragt, würde ich mich heute noch wundern, warum die Telefonie nicht funktioniert... Oder hat der Service Techniker von Inexio nur unseren Anschluss umgestellt und die anderen werden dann nach und nach umgestellt und die Kunden werden darüber dann besser informiert?
MysticFoxDE
MysticFoxDE Sep 09, 2024 updated at 10:14:34 (UTC)
Goto Top
Moin @Maginos,

Letztendlich lag es ja an der neuen SIP Adresse. Wie bekommen andere Kunden von Inexio mit, dass die SIP Adresse geändert wird?

das ist eine gute Frage, den in der offiziellen Doku von Inexio für die Fritze ...

https://www.inexio.net/fileadmin/content/pdf/privatkunden/anleitungen/ix ...

... steht noch nach wie vor die alte SIP Adresse drin. 😔😭🙈

Lediglich in der folgenden Doku habe ich dir richtigen Angaben gefunden ...
https://www.inexio.net/fileadmin/content/pdf/anleitungen/sip_anschluesse ...
... die ist jedoch so wie ich das sehe, eher die für Business-Kunden gedacht. 🙃

Übrigens, ich würde in so einem Fall die Fritze zuerst an das WAN hängen und dann die OPNSense dahinter, so sparst du dir unter anderem auch das Zyxel Modem. 😉

Gruss Alex
Lochkartenstanzer
Lochkartenstanzer Sep 09, 2024 at 10:15:45 (UTC)
Goto Top
Zitat von @MysticFoxDE:

Übrigens, ich würde in so einem Fall die Fritze zuerst an das WAN hängen und dann die OPNSense dahinter, so sparst du dir unter anderem auch das Zyxel Modem. 😉

Nicht jeder mag doppeltes NAT. face-smile

lks
aqui
aqui Sep 09, 2024 at 11:58:39 (UTC)
Goto Top
steht noch nach wie vor die alte SIP Adresse drin.
Spricht ja für die "Qualität" dieses Anbieters! face-sad
MysticFoxDE
MysticFoxDE Sep 09, 2024 at 12:14:02 (UTC)
Goto Top
Moin @Lochkartenstanzer,

Nicht jeder mag doppeltes NAT. face-smile

braucht man aber nicht wirklich, das von der Fritze recht schon vollkommen aus.

Man muss in dem Fall nur das statische Routing auf der Fritze für die hinter der OPNSense liegenden internen Netze sauber konfigurieren.

https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/581_Statische ...
😉

Gruss Alex
Maginos
Maginos Sep 11, 2024 at 18:36:58 (UTC)
Goto Top
@MysticFoxDE
Geht das vll über diese "Anbieter Dienste (TR069)"?

Das Modem hatte ich schon, also ist das kein Thema. Und günstig war das Modem auch, also alles gut. ;)
aqui
aqui Sep 12, 2024 at 07:36:35 (UTC)
Goto Top
Wohl eher nicht. Damit schnorcheln die Provider private Daten ab. Jeder verantwortungsvolle Netzwerker deaktiviert deshalb TR-069!
https://www.heise.de/news/TR-069-Fernwartungsluecke-bei-DSL-Routern-Deut ...
Lochkartenstanzer
Lochkartenstanzer Sep 12, 2024 at 07:43:28 (UTC)
Goto Top
Zitat von @aqui:

Wohl eher nicht. Damit schnorcheln die Provider private Daten ab. Jeder verantwortungsvolle Netzwerker deaktiviert deshalb TR-069!

Es sind eher die pöhsen Purschen die bei den Providern in deren Netz rumgeistern, die das ausnutzen.

lks
aqui
aqui Sep 12, 2024 at 07:47:09 (UTC)
Goto Top
...und der Provider selber. Ein Schelm wer Böses dabei denkt!
Maginos
Maginos Sep 12, 2024 at 08:02:58 (UTC)
Goto Top
@aqui und @Lochkartenstanzer:
Danke für eure Hinweise. Ich habe den Port an der Firewall zugemacht und an der Fritzbox geprüft, ob TR-069 aktiv ist. Es ist nicht aktiviert, also sollte auch keine ungewollte Nutzung möglich sein. Im gleichen Zug hab ich den Port für "Diagnose und Wartung" meines ISPs, 50172, auch gleich geschlossen.