VOIP auf Fritzbox hinter OPNSense
Hallo zusammen,
ich würde gerne wissen, ob ihr mir bei folgender Sache helfen könnt:
Es geht darum, dass ich an einer Fritzbox VOIP Telefonie nutzen möchte. Die Fritzbox steht im LAN Netzwerk hinter einer OPNSense. Die Fritzbox wurde mir vom ISP 2018 fertig eingerichtet übergeben und auch die Telefonie hat funktioniert. 2019 bin ich umgestiegen auf eine Sophos UTM. Dabei habe ich die Fritzbox in den IP Client Modus versetzt und entsprechende Port Freigaben und Firewall Regeln für die Telefonie an der Fritzbox eingerichtet. Bis dahin hat auch alles funktioniert. Nun wollte ich die Sophos UTM durch die OPNSense austauschen, leider funktioniert die VOIP Telefonie nicht wie erwartet. Wenn meine private Telefonnummer angerufen wird, kommt als Antwort "Der gewünschte Gesprächspartner ist zurzeit nicht erreichbar". Ausgehende Anrufe funktionieren ohne Probleme, nur die eingehenden nicht.
Der erste Screenshot zeigt die für VOIP benötigten Portfreigaben. Ich habe diesen Screenshot gemacht, als ich auf die Sophos umgestiegen bin. Diese Portfreigaben und entsprechende Firewall Regeln habe ich in der Sophos eingerichtet und die haben ohne Probleme funktioniert.
Meine Port Freigaben und die Firewall Regeln auf der OPNSense (die Fritzbox hat die IP Adresse 10.20.1.2) hab ich auch noch angehängt.
Ich habe auf der OPNSense Suricata auf dem WAN Interface und Zenarmor auf allen internen Netzwerken laufen. Ich sehe bei beiden Systemen keine Fehlermeldungen, dass Traffic geblockt werden würde. Bei Suricata sehe ich gar keine Einträge in den Alerts, was auch sehr komisch ist, aber VOIP funktioniert auch nicht bei ausgeschaltetem Suricata. Also sollte das nicht das Problem sein.
In den Ereignissen bei der Fritzbox finden sich auch keine Einträge, die auf ein Problem hindeuten können.
Eine Outbound NAT Rule für die Fritzbox habe ich auch, der Screenshot ist im Anhang.
Nun würde ich gerne von euch wissen, ob ihr mir helfen, könnt, die VOIP Telefonie wieder zum laufen zu bringen.
Mein einziger Anhaltspunkt ist, dass ich in den Logs von Zenarmor sehe, dass die Fritzbox DNS Anfragen an meinen SIP Provider stellt. Dabei handelt es sich um SRV, bzw UNKNWN DNS Anfragen, bei denen entweder NXDOMAIN (SRV) oder - zurückkommt (UNKNWN). Mehr hab ich leider nicht.
Vielen Dank euch schon mal für die Hilfe und schöne Grüße
Maginos
ich würde gerne wissen, ob ihr mir bei folgender Sache helfen könnt:
Es geht darum, dass ich an einer Fritzbox VOIP Telefonie nutzen möchte. Die Fritzbox steht im LAN Netzwerk hinter einer OPNSense. Die Fritzbox wurde mir vom ISP 2018 fertig eingerichtet übergeben und auch die Telefonie hat funktioniert. 2019 bin ich umgestiegen auf eine Sophos UTM. Dabei habe ich die Fritzbox in den IP Client Modus versetzt und entsprechende Port Freigaben und Firewall Regeln für die Telefonie an der Fritzbox eingerichtet. Bis dahin hat auch alles funktioniert. Nun wollte ich die Sophos UTM durch die OPNSense austauschen, leider funktioniert die VOIP Telefonie nicht wie erwartet. Wenn meine private Telefonnummer angerufen wird, kommt als Antwort "Der gewünschte Gesprächspartner ist zurzeit nicht erreichbar". Ausgehende Anrufe funktionieren ohne Probleme, nur die eingehenden nicht.
Der erste Screenshot zeigt die für VOIP benötigten Portfreigaben. Ich habe diesen Screenshot gemacht, als ich auf die Sophos umgestiegen bin. Diese Portfreigaben und entsprechende Firewall Regeln habe ich in der Sophos eingerichtet und die haben ohne Probleme funktioniert.
Meine Port Freigaben und die Firewall Regeln auf der OPNSense (die Fritzbox hat die IP Adresse 10.20.1.2) hab ich auch noch angehängt.
Ich habe auf der OPNSense Suricata auf dem WAN Interface und Zenarmor auf allen internen Netzwerken laufen. Ich sehe bei beiden Systemen keine Fehlermeldungen, dass Traffic geblockt werden würde. Bei Suricata sehe ich gar keine Einträge in den Alerts, was auch sehr komisch ist, aber VOIP funktioniert auch nicht bei ausgeschaltetem Suricata. Also sollte das nicht das Problem sein.
In den Ereignissen bei der Fritzbox finden sich auch keine Einträge, die auf ein Problem hindeuten können.
Eine Outbound NAT Rule für die Fritzbox habe ich auch, der Screenshot ist im Anhang.
Nun würde ich gerne von euch wissen, ob ihr mir helfen, könnt, die VOIP Telefonie wieder zum laufen zu bringen.
Mein einziger Anhaltspunkt ist, dass ich in den Logs von Zenarmor sehe, dass die Fritzbox DNS Anfragen an meinen SIP Provider stellt. Dabei handelt es sich um SRV, bzw UNKNWN DNS Anfragen, bei denen entweder NXDOMAIN (SRV) oder - zurückkommt (UNKNWN). Mehr hab ich leider nicht.
Vielen Dank euch schon mal für die Hilfe und schöne Grüße
Maginos
Please also mark the comments that contributed to the solution of the article
Content-ID: 667960
Url: https://administrator.de/contentid/667960
Printed on: October 15, 2024 at 16:10 o'clock
31 Comments
Latest comment
Port-Forwarding ist unnötig, die benötigten Ports werden von alleine durchlässig dadurch, dass deine Fritzbox sie ausgehend benutzt.
Dein Problem dürfte das standardmäßig von OpnSense aktivierte PAT (Port Translation) sein, so dass die von der Fritzbox angenommenen Ports nicht mit denen übereinstimmen die beim Registrar-Server ankommen.
Stelle PAT für die Fritzbox ab und/oder konfiguriere, dass sie sich nicht per UDP sondern TCP registriert, das sollte das Problem beheben.
Dein Problem dürfte das standardmäßig von OpnSense aktivierte PAT (Port Translation) sein, so dass die von der Fritzbox angenommenen Ports nicht mit denen übereinstimmen die beim Registrar-Server ankommen.
Stelle PAT für die Fritzbox ab und/oder konfiguriere, dass sie sich nicht per UDP sondern TCP registriert, das sollte das Problem beheben.
Moin....
was soll der blödsinn? du sollst die Fritte als Client ins Netzwerk hängen... da braucht es keine freigaben!
und einen kaskadierten Router braucht es erst recht nicht!
FRITZ!Box für Betrieb mit anderem Router einrichten
Frank
Meine Port Freigaben und die Firewall Regeln auf der OPNSense (die Fritzbox hat die IP Adresse 10.20.1.2) hab ich auch noch angehängt.
was soll der blödsinn? du sollst die Fritte als Client ins Netzwerk hängen... da braucht es keine freigaben!
und einen kaskadierten Router braucht es erst recht nicht!
FRITZ!Box für Betrieb mit anderem Router einrichten
Frank
Moin,
Du könntest uns auch mal verraten, um welchen ISP und welche Zugangstechnik (xDSL, Glasfaser, etc.) es sich handelt.
Kannst Du die Zugangsdaten für die VoIP(-Rufnummern) vom ISP bekommen. Eine vorkonfigurierte Box kann auch noch andere ungünstige Voreinstellungen haben.
Gruß
cykes
Du könntest uns auch mal verraten, um welchen ISP und welche Zugangstechnik (xDSL, Glasfaser, etc.) es sich handelt.
Mein einziger Anhaltspunkt ist, dass ich in den Logs von Zenarmor sehe, dass die Fritzbox DNS Anfragen an meinen SIP Provider stellt. Dabei handelt es sich um SRV, bzw UNKNWN DNS Anfragen, bei denen entweder NXDOMAIN (SRV) oder - zurückkommt (UNKNWN).
Über welchen DNS-Server löst (bzw. versucht) die Opnsense diese Anfragen aufzulösen? Hier vielleicht mal den DNS des Providers/ISP probieren.Kannst Du die Zugangsdaten für die VoIP(-Rufnummern) vom ISP bekommen. Eine vorkonfigurierte Box kann auch noch andere ungünstige Voreinstellungen haben.
Gruß
cykes
Seit Firmware Ver. 6.83 verwendet die Fritte primär TCP für SIP. Wie Kollege @LordGurke schon sagt braucht es kein PortForwarding für VoIP, egal wo.
Im Zweifel installiere dir ein Softphone auf einem PC innerhalb deines LANs. Ideal ist dafür Phoner oder Phoner Lite.
https://phoner.de/index.htm
https://lite.phoner.de/index_de.htm
Versehe die mit deinen SIP Credentials des Providers (gleiche wie in der FB) und baue damit eine VoIP Verbindung auf. Das Softphone arbeitet identisch zur FB hat aber den Vorteil eines detailierten Logs was dir genau sagt warum es kneift. On Top macht es ggf. Sinn über die Paket Capture Funktion der OPNsense den SIP Aufbau einmal mitzusniffern wenn alle Stricke reissen.
Im Zweifel installiere dir ein Softphone auf einem PC innerhalb deines LANs. Ideal ist dafür Phoner oder Phoner Lite.
https://phoner.de/index.htm
https://lite.phoner.de/index_de.htm
Versehe die mit deinen SIP Credentials des Providers (gleiche wie in der FB) und baue damit eine VoIP Verbindung auf. Das Softphone arbeitet identisch zur FB hat aber den Vorteil eines detailierten Logs was dir genau sagt warum es kneift. On Top macht es ggf. Sinn über die Paket Capture Funktion der OPNsense den SIP Aufbau einmal mitzusniffern wenn alle Stricke reissen.
Der ISP ist inexio, die Zugangsart ist DSL (60 Mbit/s down, 15 Mbit/s up).
Ok, hast Du denn dann noch ein xDSL Modem zwischen Telefondose und OpnSense in Betrieb (welches?).Mach doch mal eine Skizze des momentanen Aufbaus.
Die OPNsense löst die Anfragen über zwei DoT Server von Quad 9 auf, 9.9.9.9 und 149.112.112.112. Ich hab in der Fritzbox schon mal die DNS Server von Google und Cloudflare eingetragen, hat leider auch nichts genutzt.
Dann mal den DNS von inexio probieren, der dem Anschluss zugewiesen wird. Soweit mir bekannt ist, vertreibt inexio nur DS-LIte Anschlüsse. Da wird es schwierig, DNS-Anfragen zum Telefonieserver über externe Server korrekt zu beantworten.[EDIT] Oder ist das ein Geschäftskundenanschluss?
Gruß
cykes
Moin,
Scheint, als wenn die Fritte die Verbindung zum Registrar nicht halten kann. Ggf. Macht die Sense die Session zu früh zu!?
Grundsätzlich müsste die Fritte dem Registers aber erreichen können. Sonst würde es ja gar nicht gehen.
Gibt es die Sophos noch?
Falls ja: checke mal alle Settings und gleiche das mit der Sense ab.
Scheint, als wenn die Fritte die Verbindung zum Registrar nicht halten kann. Ggf. Macht die Sense die Session zu früh zu!?
- https://www.inexio.net/fileadmin/content/pdf/privatkunden/anleitungen/ix ...
- https://www.inexio.net/fileadmin/content/pdf/unternehmen/anleitungen/sip ...
- https://forum.opnsense.org/index.php?topic=3901.0
Grundsätzlich müsste die Fritte dem Registers aber erreichen können. Sonst würde es ja gar nicht gehen.
Gibt es die Sophos noch?
Falls ja: checke mal alle Settings und gleiche das mit der Sense ab.
Zitat von @Maginos:
@LordGurke:
Kannst du das bitte genauer erklären, was du mit "standardmäßig von OPNSense aktiviertes PAT" meinst? Ich habe die Port Weiterleitungsregeln jetzt deaktiviert, das hat leider nicht geholfen.
@LordGurke:
Kannst du das bitte genauer erklären, was du mit "standardmäßig von OPNSense aktiviertes PAT" meinst? Ich habe die Port Weiterleitungsregeln jetzt deaktiviert, das hat leider nicht geholfen.
Ich meine damit die Einstellung in der Outbound-NAT-Regel, heißt mittlerweile "Statische Ports" und muss aktiviert werden. Ansonsten schreibt die Sense auch die Quell-Ports der ausgehenden Anfragen um, was bei VoIP doof ist, da die Fritzbox dem Registrar einen Kontakt für eingehende Anrufe mitteilen muss als IP + Port. Die Box kann aber nicht wissen, dass der Port den sie glaubt zu verwenden nicht stimmt, weil der zufällig gewürfelt wird und deshalb kann der Registrar die Box nicht unter den mitgeteilten Kontaktdaten erreichen.
- Eine stinknormale OPNsense mit simplen Default Setup, keine extra Regeln, kein Port Forwarding oder sonstwas. Auch PAT nicht angefasst.
- Fritzbox 7490 als simpler Client mit einem 08/15 Sipgate Setup und den folgenden Settings:
- Ein- und ausgehende VoIP Telefonie funktioniert fehlerlos sowohl mit IPv6 als auch IPv4.
- Fazit: Works as designed! 😉 👍
Moin @Maginos,
das ist eine gute Frage, den in der offiziellen Doku von Inexio für die Fritze ...
https://www.inexio.net/fileadmin/content/pdf/privatkunden/anleitungen/ix ...
... steht noch nach wie vor die alte SIP Adresse drin. 😔😭🙈
Lediglich in der folgenden Doku habe ich dir richtigen Angaben gefunden ...
https://www.inexio.net/fileadmin/content/pdf/anleitungen/sip_anschluesse ...
... die ist jedoch so wie ich das sehe, eher die für Business-Kunden gedacht. 🙃
Übrigens, ich würde in so einem Fall die Fritze zuerst an das WAN hängen und dann die OPNSense dahinter, so sparst du dir unter anderem auch das Zyxel Modem. 😉
Gruss Alex
Letztendlich lag es ja an der neuen SIP Adresse. Wie bekommen andere Kunden von Inexio mit, dass die SIP Adresse geändert wird?
das ist eine gute Frage, den in der offiziellen Doku von Inexio für die Fritze ...
https://www.inexio.net/fileadmin/content/pdf/privatkunden/anleitungen/ix ...
... steht noch nach wie vor die alte SIP Adresse drin. 😔😭🙈
Lediglich in der folgenden Doku habe ich dir richtigen Angaben gefunden ...
https://www.inexio.net/fileadmin/content/pdf/anleitungen/sip_anschluesse ...
... die ist jedoch so wie ich das sehe, eher die für Business-Kunden gedacht. 🙃
Übrigens, ich würde in so einem Fall die Fritze zuerst an das WAN hängen und dann die OPNSense dahinter, so sparst du dir unter anderem auch das Zyxel Modem. 😉
Gruss Alex
Zitat von @MysticFoxDE:
Übrigens, ich würde in so einem Fall die Fritze zuerst an das WAN hängen und dann die OPNSense dahinter, so sparst du dir unter anderem auch das Zyxel Modem. 😉
Übrigens, ich würde in so einem Fall die Fritze zuerst an das WAN hängen und dann die OPNSense dahinter, so sparst du dir unter anderem auch das Zyxel Modem. 😉
Nicht jeder mag doppeltes NAT.
lks
Moin @Lochkartenstanzer,
braucht man aber nicht wirklich, das von der Fritze recht schon vollkommen aus.
Man muss in dem Fall nur das statische Routing auf der Fritze für die hinter der OPNSense liegenden internen Netze sauber konfigurieren.
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/581_Statische ...
😉
Gruss Alex
Nicht jeder mag doppeltes NAT.
braucht man aber nicht wirklich, das von der Fritze recht schon vollkommen aus.
Man muss in dem Fall nur das statische Routing auf der Fritze für die hinter der OPNSense liegenden internen Netze sauber konfigurieren.
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7590/581_Statische ...
😉
Gruss Alex
Wohl eher nicht. Damit schnorcheln die Provider private Daten ab. Jeder verantwortungsvolle Netzwerker deaktiviert deshalb TR-069!
https://www.heise.de/news/TR-069-Fernwartungsluecke-bei-DSL-Routern-Deut ...
https://www.heise.de/news/TR-069-Fernwartungsluecke-bei-DSL-Routern-Deut ...
Zitat von @aqui:
Wohl eher nicht. Damit schnorcheln die Provider private Daten ab. Jeder verantwortungsvolle Netzwerker deaktiviert deshalb TR-069!
Wohl eher nicht. Damit schnorcheln die Provider private Daten ab. Jeder verantwortungsvolle Netzwerker deaktiviert deshalb TR-069!
Es sind eher die pöhsen Purschen die bei den Providern in deren Netz rumgeistern, die das ausnutzen.
lks