VoIP-Clients werden durch pfSense gehindert.
Hallo,
ich habe einige VoIP-Clients hinter einem neuen pfSense Firewall. Seit der Install können sie sich nicht anmelden.
Komischerweise ist nichts eingestellt, was ausgehende Anrufe blockieren könnten. Anbei findet ihr jeweils ein Screenshot über die LAN, WAN, NAT Settings:
Internet haben wir. Port 80 und 443 sind also auf jeden Fall in Ordnung.
Die 2. LAN Rule lässt allerdings alles raus unabhängig davon, dass 80 und 443 extra freigegeben sind.
Bei WAN ist nur OpenVPN frei. ich glaube aber kaum, dass hier eine Freigabe benötigt wird damit die Clients sich mit dem Server verbinden können.
Hat jemand eine Idee?
Danke.
Wenn ich in der Fritzbox nachschaue sehe ich:
Anmeldung der Internetrufnummer (<Rufnummer>) war nicht erfolgreich. Ursache: DNS-Fehler
Dieser Fehler tritt auf, wenn die Anmeldedaten für die Internettelefonie nicht korrekt eingegeben wurden. Gehen Sie folgendermaßen vor, um das Problem zu beheben:
Die DNS-Server sind auf jeden Fall zu erreichen. Internet haben wir ja.
LAN-Struktur:
Gr. I.
ich habe einige VoIP-Clients hinter einem neuen pfSense Firewall. Seit der Install können sie sich nicht anmelden.
Komischerweise ist nichts eingestellt, was ausgehende Anrufe blockieren könnten. Anbei findet ihr jeweils ein Screenshot über die LAN, WAN, NAT Settings:
Internet haben wir. Port 80 und 443 sind also auf jeden Fall in Ordnung.
Die 2. LAN Rule lässt allerdings alles raus unabhängig davon, dass 80 und 443 extra freigegeben sind.
Bei WAN ist nur OpenVPN frei. ich glaube aber kaum, dass hier eine Freigabe benötigt wird damit die Clients sich mit dem Server verbinden können.
Hat jemand eine Idee?
Danke.
Wenn ich in der Fritzbox nachschaue sehe ich:
Anmeldung der Internetrufnummer (<Rufnummer>) war nicht erfolgreich. Ursache: DNS-Fehler
Dieser Fehler tritt auf, wenn die Anmeldedaten für die Internettelefonie nicht korrekt eingegeben wurden. Gehen Sie folgendermaßen vor, um das Problem zu beheben:
Die DNS-Server sind auf jeden Fall zu erreichen. Internet haben wir ja.
LAN-Struktur:
Gr. I.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 207512
Url: https://administrator.de/forum/voip-clients-werden-durch-pfsense-gehindert-207512.html
Ausgedruckt am: 22.12.2024 um 15:12 Uhr
15 Kommentare
Neuester Kommentar
Guten Morgen,
auch wenn es schon keiner mehr hören kann oder will.
Mach bitte eine Skizze, wer wo ist, wo dir pfsense, wo die VoIPs und so weiter und so weiter.
Mach bitte eine genaue Skizze.
Du magst ja Dein Netz kennen, aber wir hier nicht und ein Bild sagt mehr als tausende Worte.
Bitte, Danke.
Gruß
Anton
auch wenn es schon keiner mehr hören kann oder will.
Mach bitte eine Skizze, wer wo ist, wo dir pfsense, wo die VoIPs und so weiter und so weiter.
Mach bitte eine genaue Skizze.
Du magst ja Dein Netz kennen, aber wir hier nicht und ein Bild sagt mehr als tausende Worte.
Bitte, Danke.
Gruß
Anton
Hallo,
du musst wahrscheinlich das Überschreiben des Quellports durch Pfsense verhindern, standardmäßig schreibt pfSense dynamisch den Quellport auf allen ausgehenden Datenverkehr. Dies ist notwendig für die NAT.
Das kann unter Umständen bei mehreren VOIP-Clients hinter einer öffentlichen Adresse zu Problemen führen. Das heisst den Quellport statisch einstellen:
Firewall -> NAT -> Outbound
Unter Punk 2 steht wie du das einstellen sollst: (für Destination-Port 5060 / UDP musst man Quellport auf staticsetzen)
http://doc.pfsense.org/index.php/VoIP_Configuration
http://doc.pfsense.org/index.php/Static_Port
Gruß
m
du musst wahrscheinlich das Überschreiben des Quellports durch Pfsense verhindern, standardmäßig schreibt pfSense dynamisch den Quellport auf allen ausgehenden Datenverkehr. Dies ist notwendig für die NAT.
Das kann unter Umständen bei mehreren VOIP-Clients hinter einer öffentlichen Adresse zu Problemen führen. Das heisst den Quellport statisch einstellen:
Firewall -> NAT -> Outbound
Unter Punk 2 steht wie du das einstellen sollst: (für Destination-Port 5060 / UDP musst man Quellport auf staticsetzen)
http://doc.pfsense.org/index.php/VoIP_Configuration
http://doc.pfsense.org/index.php/Static_Port
Gruß
m
Wichtig ist auch das der Voice Provider STUN supportet und STUN auf auf der FB aktiviert ist !!
http://de.wikipedia.org/wiki/Session_Traversal_Utilities_for_NAT
Voice nutzt RTP für die Sprachdaten, das Gateway eröffnet aber einen dynmaischen Port um die Voice Verbindung herszustellen.
Mach dich also zusätzlich auch nochmal kundig über die verwendeten Voice Protokolle SIP, STUN und RTP !!
Kommt die jetzt an deiner Firewall an, dann existiert dafür kein Eintrag in der NAT Session Tabelle und die FW blockiert diese Verbindung richtigerweise was dann bewirkt das keine Sparchverbindung zustande kommt.
Achte also auf aktiviertes STUN.
Ansonsten kannst du am WAN Port mal die IP Adresse des Voice Gateways erlauben die an der FB eingetragen ist. das sollte das Problem auch lösen ist aber unsicher, da du die FW öffnen musst.
Besser also immer die STUN Lösung die klappt auch ohne Frickelei !
Den Rest hat ja schon Kollege mathew hinreichend erklärt !
http://de.wikipedia.org/wiki/Session_Traversal_Utilities_for_NAT
Voice nutzt RTP für die Sprachdaten, das Gateway eröffnet aber einen dynmaischen Port um die Voice Verbindung herszustellen.
Mach dich also zusätzlich auch nochmal kundig über die verwendeten Voice Protokolle SIP, STUN und RTP !!
Kommt die jetzt an deiner Firewall an, dann existiert dafür kein Eintrag in der NAT Session Tabelle und die FW blockiert diese Verbindung richtigerweise was dann bewirkt das keine Sparchverbindung zustande kommt.
Achte also auf aktiviertes STUN.
Ansonsten kannst du am WAN Port mal die IP Adresse des Voice Gateways erlauben die an der FB eingetragen ist. das sollte das Problem auch lösen ist aber unsicher, da du die FW öffnen musst.
Besser also immer die STUN Lösung die klappt auch ohne Frickelei !
Den Rest hat ja schon Kollege mathew hinreichend erklärt !
Kurz um zu verstehen: Warum verursacht dasselbe Phänomen kein Problem bei http und https Verkehr, nur bei VoIP?
Der Grund ist, dass Protokolle (SIP,SIT/STP und RTP) die IP/Port-Angaben auf der Anwendungsebe übermitteln und nicht auf Layer 3/4 und die Firewall kann keine IP/Port-Informationen aus der Anwendungseben auslesen.
Gruß
m
Der Grund ist, dass Protokolle (SIP,SIT/STP und RTP) die IP/Port-Angaben auf der Anwendungsebe übermitteln und nicht auf Layer 3/4 und die Firewall kann keine IP/Port-Informationen aus der Anwendungseben auslesen.
Gruß
m
Die Frage wäre überflüssig wenn man die Threadantworten hier wirklich einmal lesen würde !!!
Stichwort: Dynamische Ports auf dem Reverse Patch bei Voice Protokollen. Lösung: STUN am Client (FB) aktivieren !! Oder FW per Scheunentor Regel öffnen !
Übrigens: Am WAN Port ist generell ALLES blockiert ! Das ist der Default auf ALLEN Firewall Interfaces, wie es für eine gute Firewall üblich und gewollt ist. Mit deiner 2ten Rule (WAN Port) oben, hast du aber die Firewall außer Kraft gesetzt, da nun alles erlaubt ist. Ob das gut ist und gewollt überlassen wir mal deiner Entscheidung !
Aktiviere auf allen deinen Voice Clients STUN und gib den STUN Server an dann kannst du dir diese ganze Frickelei ersparen !!
Stichwort: Dynamische Ports auf dem Reverse Patch bei Voice Protokollen. Lösung: STUN am Client (FB) aktivieren !! Oder FW per Scheunentor Regel öffnen !
Übrigens: Am WAN Port ist generell ALLES blockiert ! Das ist der Default auf ALLEN Firewall Interfaces, wie es für eine gute Firewall üblich und gewollt ist. Mit deiner 2ten Rule (WAN Port) oben, hast du aber die Firewall außer Kraft gesetzt, da nun alles erlaubt ist. Ob das gut ist und gewollt überlassen wir mal deiner Entscheidung !
Aktiviere auf allen deinen Voice Clients STUN und gib den STUN Server an dann kannst du dir diese ganze Frickelei ersparen !!
Ist das wirklich auch ein "Modem" oder auch ein Router ??
Sniffer einfach mal mit dem Wireshark einen sauberen SIP Verbindungsaufbau mit ohne FW und dann einmal mit FW.
Da siehst du dann sofort was fehlt.
Zudem steht das auch IMMER im Firewall Log der pfSense...wenn man da denn mal reinschaut.
Wie gesagt rennt hier mit einer simplen Standard Einstellung und STUN für 20 Clients und Sipgate OHNE das man was spezielles machen muss...
Gut möglich das du in dieses Problem rennst:
http://www.ip-phone-forum.de/showthread.php?t=211485&p=1588404& ...
Hast du auch mal einen "State Reset" in der pfSense gemacht und gecheckt obs danach rennt ?!
Sniffer einfach mal mit dem Wireshark einen sauberen SIP Verbindungsaufbau mit ohne FW und dann einmal mit FW.
Da siehst du dann sofort was fehlt.
Zudem steht das auch IMMER im Firewall Log der pfSense...wenn man da denn mal reinschaut.
Wie gesagt rennt hier mit einer simplen Standard Einstellung und STUN für 20 Clients und Sipgate OHNE das man was spezielles machen muss...
Gut möglich das du in dieses Problem rennst:
http://www.ip-phone-forum.de/showthread.php?t=211485&p=1588404& ...
Hast du auch mal einen "State Reset" in der pfSense gemacht und gecheckt obs danach rennt ?!