Zugriff auf Geräte hinter pfSense durch WAN-Port
Hallo,
ich hatte folgenden Aufbau geplant:
- Internet und Telefonie per Kabel von Kabel BW (mit Fritzbox 6490)
- Netzwerkverwaltung mittels pfSense auf Alix-Board
- mehrere VLANs, ein VLAN speziell für IP Telefonie
- in diesem VLAN läuft ein Asterisk-Server und die IP-Telefone (anderer IP-Bereich als der der Fritzbox)
In der Fritzbox habe ich für jede (externe) Rufnummer ein IP-Telefon angelegt.
Über diese IP-Telefone hat sich Asterisk auf der Fritzbox angemeldet. Das funktionierte noch.
Allerdings kam bei Asterisk nie ein Gespräch von Extern an.
Um zu testen, ob das mit dem unterschiedlichen IP-Bereich von Fritzbox und Asterisk zusammen hängt habe ich den Asterisk-Server direkt an die Fritzbox (ohne pfSense & VLAN) gehängt. Externe Anrufe kamen sofort in Asterisk an.
Mein Problem ist jetzt, dass die vorhandenen IP-Telefone aufgrund der Struktur des Netzwerkes definitiv nur per VLAN hinter pfSense betrieben werden können.
Da Asterisk auch mit IP-Telefone klarkommt, die in einem anderen IP-Bereich als der Server liegen, könnte ich mir vorstellen, den Asterisk-Server auch zukünftig direkt im Netz der Fritzbox zu betreiben.
Der Knackpunkt dabei ist, dass ich pfSense dazu bekommen muss, dass der Asterisk-Server, welcher im Fritzbox-Netzwerk hängt (aus Sicht von pfSense ist es das WAN), auf das Telefonie-VLAN hinter pfSense zugreifen kann.
Kann mir jemand spontan sagen, ob das möglich ist und falls ja, was ich bei der Firewall einstellen muss?
Hier noch der prinzipielle Aufbau:
Danke & Gruss
mabue
ich hatte folgenden Aufbau geplant:
- Internet und Telefonie per Kabel von Kabel BW (mit Fritzbox 6490)
- Netzwerkverwaltung mittels pfSense auf Alix-Board
- mehrere VLANs, ein VLAN speziell für IP Telefonie
- in diesem VLAN läuft ein Asterisk-Server und die IP-Telefone (anderer IP-Bereich als der der Fritzbox)
In der Fritzbox habe ich für jede (externe) Rufnummer ein IP-Telefon angelegt.
Über diese IP-Telefone hat sich Asterisk auf der Fritzbox angemeldet. Das funktionierte noch.
Allerdings kam bei Asterisk nie ein Gespräch von Extern an.
Um zu testen, ob das mit dem unterschiedlichen IP-Bereich von Fritzbox und Asterisk zusammen hängt habe ich den Asterisk-Server direkt an die Fritzbox (ohne pfSense & VLAN) gehängt. Externe Anrufe kamen sofort in Asterisk an.
Mein Problem ist jetzt, dass die vorhandenen IP-Telefone aufgrund der Struktur des Netzwerkes definitiv nur per VLAN hinter pfSense betrieben werden können.
Da Asterisk auch mit IP-Telefone klarkommt, die in einem anderen IP-Bereich als der Server liegen, könnte ich mir vorstellen, den Asterisk-Server auch zukünftig direkt im Netz der Fritzbox zu betreiben.
Der Knackpunkt dabei ist, dass ich pfSense dazu bekommen muss, dass der Asterisk-Server, welcher im Fritzbox-Netzwerk hängt (aus Sicht von pfSense ist es das WAN), auf das Telefonie-VLAN hinter pfSense zugreifen kann.
Kann mir jemand spontan sagen, ob das möglich ist und falls ja, was ich bei der Firewall einstellen muss?
Hier noch der prinzipielle Aufbau:
Danke & Gruss
mabue
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 284390
Url: https://administrator.de/forum/zugriff-auf-geraete-hinter-pfsense-durch-wan-port-284390.html
Ausgedruckt am: 22.12.2024 um 10:12 Uhr
15 Kommentare
Neuester Kommentar
Moin,
macht deine PFSense NAT auf dem WAN zur Fritte ? Wenn ja, Outbound-NAT Rules auf der PFSense deaktivieren und auf der Fritte statische Routen zu den Subnetzen hinter der PFSense anlegen, dann klappt auch VOIP hinter der PFSense, da keine weitere NAT Barriere den Traffic stört.
Siehe auch diesen Thread zu VoIP mit der PFSense
VoIP-Clients werden durch pfSense gehindert.
Gruß grexit
macht deine PFSense NAT auf dem WAN zur Fritte ? Wenn ja, Outbound-NAT Rules auf der PFSense deaktivieren und auf der Fritte statische Routen zu den Subnetzen hinter der PFSense anlegen, dann klappt auch VOIP hinter der PFSense, da keine weitere NAT Barriere den Traffic stört.
Siehe auch diesen Thread zu VoIP mit der PFSense
VoIP-Clients werden durch pfSense gehindert.
Gruß grexit
Nein. Mach es am besten ohne doppeltes NAT. Also auf "manual outbound" stellen und die lokalen Subnetze dort rausnehmen.
Dann wie oben geschrieben die statischen Routen zu den Subnetzen auf der Fritzbox eintragen und die allseits bekannten SIP Ports für IP Telefonie auf der Firewall freischalten.
Fertsch.
Dann wie oben geschrieben die statischen Routen zu den Subnetzen auf der Fritzbox eintragen und die allseits bekannten SIP Ports für IP Telefonie auf der Firewall freischalten.
Fertsch.
erscheint diese bei der Fritzbox in der Liste der aktiven Geräte mit der MAC-Adresse des physikalischen Ports des Alix-Boards, auf dem pfSense läuft.
Das ist auch normal, denn diese IP ist quasi eine secondary ip zur Primär IP auf dem physischen Port.Nur warum nutzt du hier eine Alias IP und nicht die physische IP des WAN Interfaces. Ein Alias ist doch vollkommen überflüssig !
Vergiss das und nimm die physische IP und richte dafür ein Port Forwarding ein, dann klappt das auch !
die dem physikalischen Port zuvor vom DHCP der Fritzbox zugewiesen wurde
Da sist generell schlecht ! Routern sollte man niemals dynamische IPs zuweisen !! Ändert sich diese IP mal dann geht dein Port Forwarding ins Leere. Also immer statische IPs.Ausnamhe ist wenn du der Fritzbox die Mac Adresse der pfSense eingragen hast damit der immer auf Basis der Mac eine feste IP vergibt (Nailing) das geht dann.
Ist es möglich, dass die Fritzbox mit mehreren IP-Adressen, welche der gleichen MAC-Adresse zuzuordnen sind, nicht klar kommt?
Ja, davon ist auszugehen. Die Verwendung eines Alias ist auch Unsinn und muss nicht sein in diesem Umfeld.Nochwas: Bitte keine externen Bilderlinks hier im Forum ! Dir kann nicht entgangen sein das es hier eine wunderbare Upload Funktion gibt !
Editiere deinen Originalthread, dann siehst du das. Bild hochladen, den Bilder Link dann per Rechtsklick und cut and paste sichern und in die Antwort bringen.
Schafft eigentlich auch Klein Fritzchen sofort...
Allerdings werden die Anrufe, welche von extern kommen, nicht an das Telefon mit der Nummer 21 durchgereicht.
Das ist gut möglich. RTP nutzt dynmaische Ports. Du musst also vermutlich in der pfSense eine Port range eröffnen damit die RTP Flows passieren können.Lies bitte dazu mal die folgenden Links:
http://www.godo.ch/index.php/projekte/3-linux/16-isdn-voip-mit-fritzbox ...
FritzBox7490 hinter der pfsense für VOIP.
Fritzbox hinter pfsense VOIP Probleme
http://www.3cx.com/blog/voip-howto/pfsense-firewall/
Hi!
Ja, die RTP Pakete sollte man unbedingt forwarden, die transportieren aber eigentlich nur den reinen Audiostream der VoIP Telefonie. Die Rufsignalisierung (also das Klingeln des Telefons) erfolgt aber nicht über RTP und sollte daher auch ohne RTP-Forwards klappen, ansonsten ist da vermutlich noch was anderes faul...
mrtux
Ja, die RTP Pakete sollte man unbedingt forwarden, die transportieren aber eigentlich nur den reinen Audiostream der VoIP Telefonie. Die Rufsignalisierung (also das Klingeln des Telefons) erfolgt aber nicht über RTP und sollte daher auch ohne RTP-Forwards klappen, ansonsten ist da vermutlich noch was anderes faul...
mrtux
die transportieren aber eigentlich nur den SIP-Audiostream
Achtung FALSCH !SIP ist ausschliesslich und einzig nur für den Verbindungsaufbau zuständig !! (auch das Klingeln, wobei das eine Systemfunktion ist wenn der SIP Aufbau erfolgreich war)
Der Voice Audiostream wird Punkt zu Punkt über die beiden Endgeräte immer per RTP realisiert !
Hi!
Die reine Signalisierung (also das Klingeln des Telefons) in der Konfiguration des TOs sollte daher auch ohne den Forward der RTP Pakete funktionieren, auch wenn der Verbindungsaufbau des Audio-Streams dann fehlschlägt. Genau so habe ich das hier auch an meinem Asterisk in der Praxis beobachtet, nämlich dass die Telefone trotz fehlendem RTP-Forward klingeln und wenn man dann abhebt eben der Audiostream fehlt bzw. fehlen kann und man nur Stille in der "Leitung" hat. Aber im Falle des TO klingelt das besagte Telefone ja angeblich gar nicht, zumindest habe ich das so verstanden und daher vermute ich noch weitere Fehler in der Konfiguration des TO...Und nur darauf wollte ich mit meinem obigen Kommentar hinweisen.
mrtux
Zitat von @aqui:
Der Voice Audiostream wird Punkt zu Punkt über die beiden Endgeräte immer per RTP realisiert !
Richtig! SIP = Registrierung und Signalisierung sowie RTP = Audiostream. Eigentlich habe ich ja nichts anderes oben geschrieben, wenn auch das ursprünglich von mir verwendete Wort SIP-Audiostream in dem Zusammenhang etwas unglücklich war und verwirrend scheint, ich meinte damit natürlich allgemein den Oberbegriff der VoIP Telefonie, also den Audiostream der VoIP-Telefonie. Ich habe das sicherheitshalber oben geändert.Der Voice Audiostream wird Punkt zu Punkt über die beiden Endgeräte immer per RTP realisiert !
Die reine Signalisierung (also das Klingeln des Telefons) in der Konfiguration des TOs sollte daher auch ohne den Forward der RTP Pakete funktionieren, auch wenn der Verbindungsaufbau des Audio-Streams dann fehlschlägt. Genau so habe ich das hier auch an meinem Asterisk in der Praxis beobachtet, nämlich dass die Telefone trotz fehlendem RTP-Forward klingeln und wenn man dann abhebt eben der Audiostream fehlt bzw. fehlen kann und man nur Stille in der "Leitung" hat. Aber im Falle des TO klingelt das besagte Telefone ja angeblich gar nicht, zumindest habe ich das so verstanden und daher vermute ich noch weitere Fehler in der Konfiguration des TO...Und nur darauf wollte ich mit meinem obigen Kommentar hinweisen.
mrtux
Leider werden die Anrufe von der Fritzbox immer noch nicht an den Asterisk-Server weitergeleitet...
Dann machst du noch irgendwas falsch an den FW Einstellungen !!!Hast du mal "Scheunentor" versucht also alles freigegeben ?? Dann müsste es ja klappen und zeigt dir das du einen Fehler in der Regel konfiguriert hast !
Sinnvoll wäre es auch mal so einen Call am offenen Port mit einem Wireshark am Asterisk mitzuschneiden, damit due weist WAS ankommen muss damit es klappt.
Dann mit dem aktiven Firewall Port.
Hier siehst du dann sofort woran es liegt bzw. was die Firewall blockt und kannst in den regel Settings ganz einfach reagieren und das anpassen.
Damit hättest du das "Problem" schon lange gelöst !
Müsste der Verbindungsaufbau über den Port 5060 nicht im System Log von pfSense aufgeführt sein?
Nein warum ?? 5060 TCP ist ja SIP und kommunizieren tun ja die FB und der Asterisk direkt. DEREN IP Adressen stehen doch im SIP Paket und die FW leitet das nur weiter...je nachdem was ihrer Regeln ihr sagen. Aktiv nmmt die FW doch niemals an der SIP Kommunikation teil...wozu auch sie ist ja kein Voice Server oder sowas. Deshalb auch logischerweise kein Log.Deshalb ja auch der Tip mit dem Wireshark am Asterisk Port !!