pfSense Gold Subscription

Author Topic: [GELÖST] Unitymedia => pfSense => Fritzbox 7490 => Telefon  (Read 1004 times)

0 Members and 1 Guest are viewing this topic.

Offline chrisi51

  • Newbie
  • *
  • Posts: 18
  • Karma: +4/-0
    • View Profile
[GELÖST] Unitymedia => pfSense => Fritzbox 7490 => Telefon
« on: March 17, 2017, 06:56:27 pm »
Hallo Leute,

ich bin mir sicher, dass das Thema keiner mehr sehen kann ... ich habe jetzt so viel gelesen und recherchiert dass ich es selbst kaum glauben kann, dass es noch immer nicht geht.

Ich habe eine Fritzbox 7490 aus meinem noch bestehenden DSL-Vertrag mit 1&1 und nutze seit geraumer Zeit meinen neuen Kabel-Vertrag von Unitymedia.  Die Fritzbox ist also selbst nicht mehr im DSL eingewählt und bezieht das Internet von der Horizonbox (Unitymedia). In dem Szenario funktioniert soweit auch alles.

Nun kam der Basteltrieb wieder durch und ich wollte eine pfSense zwischen die Horizonbox und dem restlichen LAN klemmen. Für das normale Netzwerk ist das auch erstmal kein Problem nur kommen auf einmal keine eingehenden Anrufe mehr durch.

Offenbar scheitere ich kläglich daran, die pfSense korrekt zu konfigurieren, um die Telefonie durchzulassen.

Kann mir mal bitte jemand ein funktionierendes Regelwerk zeigen?
Ich habe schon viele Screenshots gesehen nur bringen die alle samt nichts, wenn die Ports dabei immer nur Aliase sind, dessen Inhalt man ja schlecht sehen kann.

Horizonbox LAN 192.168.178.1;
pfSense WAN: 192.168.178.21; LAN: 192.168.1.1;
Fritzbox LAN: 192.168.1.80

In der Horizonbox ist der "DMZ-Host" auf 192.168.178.21 also die pfSense WAN-Seite gesetzt.

Wenn ich vom Handy mein Festnetz anwähle kommen in der Firewall-Log solche Einträge:
Mar 18 00:52:23   WAN   212.227.18.135:5060  192.168.178.21:31959


Firewall => NAT => Port Forward
Code: [Select]
Interface Protocol Source Address Source Ports Dest. Address Dest. Ports NAT IP          NAT Ports Description
WAN           UDP                 *       *                  * 7078 - 7110 192.168.1.80 7078 - 7110 NAT VOIP FritzBox

Firewall => NAT => Outbound
Code: [Select]
Interface Source      Source Port Destination Destination Port NAT Address NAT Port Static Port Description
WAN     192.168.1.80/32        *              *                *         WAN address     *      x

Firewall => Rules => WAN
Code: [Select]
States Protocol Source        Port Destination     Port Gateway   Queue      Schedule   Description
0 /0 B  IPv4 UDP 192.168.1.80 * 192.168.1.0/24 VOIP Ports    *       none           NAT VOIP FritzBox
                                                               (5060,5070,5080)

Firewall => Rules => LAN ist komplett offen

PS: Ich habe bisher auch noch nicht rausbekommen, wie ich bei den Port-Aliasen eine Portrange angeben kann. pfSense beschwert sich immer, dass es keine valide IP wäre :P

Hoffe, jemand kann mir weiterhelfen.

Grüße
Chris
« Last Edit: March 25, 2017, 05:03:37 am by chrisi51 »

Offline rubinho

  • Full Member
  • ***
  • Posts: 157
  • Karma: +5/-0
    • View Profile
Re: Unitymedia => pfSense => Fritzbox 7490 => Telefon
« Reply #1 on: March 18, 2017, 03:00:03 pm »
Boah, bei dem ganzen genatte wirds mir schwindelig, kannst du das Kabelmodem nicht in einen Bridgemode ändern ?

Also ich hab zwar keine Fritz direkt an der PFS hängen, sondern ein Asterisk aber ich denke mal Sip ist Sip (Ich glaube zumindest ganz fest daran  ::) )

Folgende Einträge habe ich für meinen Voip-Server gemacht....

Firewall => NAT => Port Forward
Code: [Select]
Interface Protocol Source Address Source Ports Dest. Address Dest. Ports NAT IP          NAT Ports Description
WAN           UDP                 *       *         WAN address 10000 - 10100 172.20.1.10 10000 - 10100 NAT RTP Asterisk
Code: [Select]
Interface Protocol Source Address Source Ports Dest. Address Dest. Ports NAT IP          NAT Ports Description
WAN           UDP                 *       *         WAN address 5060 172.20.1.10 5060 NAT SIP Asterisk

Firewall => NAT => Outbound
Code: [Select]
Interface Source      Source Port Destination Destination Port NAT Address NAT Port Static Port Description
WAN     172.20.1.10/32        *              *                5060         WAN address     *      x Static Sip


Bei deinen UDP Ports 7078 - 7110 handelt es sich um die von der Fritzbox festgelegten RTP Ports. Wobei AVM selbst 7078-7109 angibt, aber wir wollen ja nicht spalten :D

Mit den Einstellungen sollte es grundsätzlich gehen. Kontrolliere noch ob die Firewall Rules automatisch generiert worden sind und das auf dem WAN Interface das Häckchen bei "Block private networks and loopback addresses" rausgenommen ist. Letzteres ist wegen deinem Doppelnat mit privaten Adressen gegebenenfalls notwendig (Vermutung).

Achso, ganz wichtig... Vergiss nicht einen Stun-Server auf der FB einzutragen (Falls nicht standardmäßig aktiviert)
Manche Provider wollen die richtige IP im Sip-Header angezeigt bekommen.

Ich hoffe das hilft.
[Pfsense 2.3] Supermicro A1SRI-2558F@Atom C2558 4Gb RAM
[Pfsense 2.2.6] Jetway NF9D@Atom D2550 + AD3INLAN-G Expansioncard  (3x Intel 82541PI Gigabit Controller)

Offline hornetx11

  • Jr. Member
  • **
  • Posts: 60
  • Karma: +1/-0
    • View Profile
Re: Unitymedia => pfSense => Fritzbox 7490 => Telefon
« Reply #2 on: March 18, 2017, 03:42:47 pm »
Moin,
[size=78%][/size]
Quote
Also ich hab zwar keine Fritz direkt an der PFS hängen, sondern ein Asterisk aber ich denke mal Sip ist Sip (Ich glaube zumindest ganz fest daran  )



Stimmt SIP ist komplett Genormt
Großes S
Großes I
Großes P
und der Rest so wie man will  >:(

Aber NAT ist aufgrund des Protokolls alles andere als toll.
Mehrfaches NAT ist des SIP tot.


Grüße HornetX11
//Ein Optimist ist eine Person, der nicht alle Informationen zu Verfügung stehen ...
(John B. Priestley (1894-1984), engl. Schriftsteller)//

// Nur die paranoiden überleben
(Andrew Grove (1936 - 2016), Intel)//

Offline chrisi51

  • Newbie
  • *
  • Posts: 18
  • Karma: +4/-0
    • View Profile
Re: Unitymedia => pfSense => Fritzbox 7490 => Telefon
« Reply #3 on: March 18, 2017, 04:53:46 pm »
Boah, bei dem ganzen genatte wirds mir schwindelig, kannst du das Kabelmodem nicht in einen Bridgemode ändern ?
Sieht schlecht aus: https://support.upc.ch/app/answers/detail/a_id/11040/~/bridge-modus-mit-horizon-hd-recorder

Dass die Horizonbox alles auf die pfsense umleitet per "DMZ-Host" ist also schonmal ein Problem, wenn ich es recht verstehe?

Wie gesagt: ohne der Firewall dazwischen funktioniert es ohne weitere Konfiguration.

Mit den Einstellungen sollte es grundsätzlich gehen. Kontrolliere noch ob die Firewall Rules automatisch generiert worden sind und das auf dem WAN Interface das Häckchen bei "Block private networks and loopback addresses" rausgenommen ist. Letzteres ist wegen deinem Doppelnat mit privaten Adressen gegebenenfalls notwendig (Vermutung).

Ist beides der Fall

Achso, ganz wichtig... Vergiss nicht einen Stun-Server auf der FB einzutragen (Falls nicht standardmäßig aktiviert)
Manche Provider wollen die richtige IP im Sip-Header angezeigt bekommen.
Nach etwas rumgooglen hab ich den entsprechenden Servereintrag gefunden und auch die Stelle, wo es in der Fritzbox reingehört :)
(https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publication/show/119_Gespraechspartner-hoeren-sich-nicht/)

was die Regeln angeht habe ich bei AVM noch das hier gefunden (der selbe Link):
Quote
Von beliebigen UDP-Ports >= 1024 (z.B. 6078-6097) auf die Ports 7078-7109 der FRITZ!Box
Von UDP-Port 5060 auf Port 5060 der FRITZ!Box
Wobei ich erst verwundert war, ob das wirklich heißt, dass der eingehende Port auch 5060 ist

die Regel sieht nun also so aus:
Code: [Select]
Interface Protocol Source Address Source Ports Dest. Address Dest. Ports NAT IP         NAT Ports
  WAN           UDP                *       *          WAN address 7078 - 7109 192.168.1.80 7078 - 7109
  WAN           UDP                * 5060 (SIP) WAN address 5060 (SIP) 192.168.1.80 5060 (SIP)  
 

Damit habe ich gerade mit dem Handy zumindest das Festnetz erreicht, aber konnte nur auf dem Handy hören, was ich im Festnetz reingesprochen habe ... also Ton von Aussen klappt nicht.

Offline chrisi51

  • Newbie
  • *
  • Posts: 18
  • Karma: +4/-0
    • View Profile
Re: Unitymedia => pfSense => Fritzbox 7490 => Telefon
« Reply #4 on: March 20, 2017, 05:37:37 pm »
Hat noch wer eine Idee, was noch fehlen könnte, damit ich auch denjenigen höre, der mich angerufen hat?

Offline rubinho

  • Full Member
  • ***
  • Posts: 157
  • Karma: +5/-0
    • View Profile
Re: Unitymedia => pfSense => Fritzbox 7490 => Telefon
« Reply #5 on: March 21, 2017, 01:37:36 am »
Da gibts einige Möglichkeiten, wie hornetx11 schon erwähnt hat, ist SIP sehr flexibel was den Standard angeht.

Grundsätzlich müsste es mit den oben angegebenen PFS Einstellungen funktionieren, aber...

Manche Voip Provider wollen Stun, die anderen nicht. Bei manchen Provider muss man andere RTP Ports verwenden.

Es gibt noch die Möglichkeit das Paket Sipproxd zu installieren. Ich hab da zwar schlechte Erfahrungen damit gemacht, aber einen Versuch ist es wert. Wobei dir da womöglich wieder das doppelte NAT in die Suppe spuckt.

Was man noch machen kannst, ist einen größeren RTP Bereich forwarden. z.b. von UDP 5100 - 11000, jedoch in der Firewall blocken und mitloggen. Dann siehst du ob was auf einem anderen Port aufschlägt.

Oder du legst dir ein anderes Modem zu das den Bridge-Mode unterstützt ;)
[Pfsense 2.3] Supermicro A1SRI-2558F@Atom C2558 4Gb RAM
[Pfsense 2.2.6] Jetway NF9D@Atom D2550 + AD3INLAN-G Expansioncard  (3x Intel 82541PI Gigabit Controller)

Offline sebden

  • Jr. Member
  • **
  • Posts: 42
  • Karma: +0/-0
    • View Profile
Re: Unitymedia => pfSense => Fritzbox 7490 => Telefon
« Reply #6 on: March 22, 2017, 06:54:51 am »
Hallo chrisi51,

zunächst entferne bitte die WAN Regel Port 5060. Das hat Parsec schon mal erläutert warum  8)

Ansonsten sahen die Regeln gut aus, Outgoing-NAT von Fritzbox-IP mit Port 5060 und statisch ist richtig/nötig. Der Ton läuft über die RTP-Ports die je nach PBX unterschiedlich sind.

Anbei der Beitrag hier im Forum sowie ein Zitat von Parsec  ;D

https://forum.pfsense.org/index.php?topic=112764.0

Quote
Der SIP Dienst der Telekom funktioniert im Prinzip wie jeder andere - dort liegt das Problem nicht.
Auch nicht in PFsense 2.3.1

Eingehend Port 5060 freizuschalten ist falsch. Zumindest hast Du ihn aber auf tel.t-online.de beschränkt.
Hättest du dies nicht, könnte jeder aus dem Internet sich an deiner Telefonanläge anmelden und auf deine Kosten telefonieren.
Hat mal einen Kunden von mir 9000€ gekostet!

Du brachst in der PFsense EINE ausgehende NAT-Regel mit Port 5060/UDP

Source: IP der Telefonanlage - dort MUSS der Haken bei "Static Port" sitzen

Eingehend müssen nur die RTP Ports auf diene Anlage weitergeleitet werden.
Standard RTP ist 5004/UDP und folgende.

Ja nach Anlage werden aber auch gerne 10000/UDP-10100/UDP verwendet.
Gigaset DECT Stationen verwendet 5004/UDP bis 5020/UDP
Frizboxen 7078/UDP-7110/UDP

Offline rubinho

  • Full Member
  • ***
  • Posts: 157
  • Karma: +5/-0
    • View Profile
Re: Unitymedia => pfSense => Fritzbox 7490 => Telefon
« Reply #7 on: March 22, 2017, 08:19:59 am »

Quote
zunächst entferne bitte die WAN Regel Port 5060. Das hat Parsec schon mal erläutert warum

Quote
Eingehend Port 5060 freizuschalten ist falsch. Zumindest hast Du ihn aber auf tel.t-online.de beschränkt.
Hättest du dies nicht, könnte jeder aus dem Internet sich an deiner Telefonanläge anmelden und auf deine Kosten telefonieren.
Hat mal einen Kunden von mir 9000€ gekostet!

Ähm, jein. Das kann ich so nicht stehen lassen. Pauschal zu sagen dass man die Freischaltung nicht braucht ist falsch.
Manche Provider verlangen aus eigender Erfahrung die Weiterleitung dieses Ports.

 Und ja, bei alten Fritzboxen oder schlecht konfigurierten Asterisk Server bestand die Möglichkeit des Missbrauchs.
Bedenkt, dass alle Fritzboxen die als Router fungieren und direkt mit dem Internet hängen, den Port 5060 auf der WAN Seite offen haben.

Wenn du eine FB mit einer FritzOS Version 6.50 oder höher hast, sind seitens AVM Vorkehrungen getroffen worden, dass so ein solcher Missbrauch nicht mehr möglich ist. (Sehr zum Leidwesen Jener, die die FB als Client einsetzen und über ein Thirtparty VPN oder einem anderen Subnetz drauf zugreifen wollen)

Gruß
Rubinho

[Pfsense 2.3] Supermicro A1SRI-2558F@Atom C2558 4Gb RAM
[Pfsense 2.2.6] Jetway NF9D@Atom D2550 + AD3INLAN-G Expansioncard  (3x Intel 82541PI Gigabit Controller)

Offline chrisi51

  • Newbie
  • *
  • Posts: 18
  • Karma: +4/-0
    • View Profile
Re: Unitymedia => pfSense => Fritzbox 7490 => Telefon
« Reply #8 on: March 22, 2017, 01:10:20 pm »
Also 5060 offen zu halten scheint tatsächlich doch nicht notwendig zu sein ... ich habe mir nun noch mal https://doc.pfsense.org/index.php/VoIP_Configuration genauer angeschaut und einfach mal try'n'error praktiziert ...

also mal von der Fritzbox kommend alles im Outbound Nat Static zu machen .... DAS bringts ... Nach bisschen hin und her kam ich dann doch noch auf eine geistreiche Idee und habe nur 7078-7110 auf der Sourcesite static gesetzt ...

also im Outbound habe ich nun:
Code: [Select]
Mappings
Interface Source      Source Port Destination Destination Port NAT Address NAT Port Static Port
WAN     192.168.1.80/32    *               *               5060         WAN address     *              x  
WAN     192.168.1.80/32   7078:7110               *                *         WAN address     *                x

=> läuft ;)

jetzt steht wohl noch ein langzeittest aus um zu schaun wie stabil es ist.

Offline rubinho

  • Full Member
  • ***
  • Posts: 157
  • Karma: +5/-0
    • View Profile
Re: Unitymedia => pfSense => Fritzbox 7490 => Telefon
« Reply #9 on: March 22, 2017, 03:30:13 pm »
Ich bin immer wieder überrascht, wieviel unterschiedliche Lösungen notwendig sind, um zum gleichen Ziel zu kommen.... so viel zum Standard :/

Sei froh, dass du nur einen Voip Provider benutzt. Ich habe 7 unterschiedliche Provider mit insgesamt 20 Accounts auf meinem Asterisk-Server am laufen und einige sind richtige Zicken !
(Und nein, die Accounts sind nicht alle für mich. Ich betreibe einen Internet Gemeindschaftsanschluss incl Telefonie)

Trotzdem Glückwunsch :)
[Pfsense 2.3] Supermicro A1SRI-2558F@Atom C2558 4Gb RAM
[Pfsense 2.2.6] Jetway NF9D@Atom D2550 + AD3INLAN-G Expansioncard  (3x Intel 82541PI Gigabit Controller)

Offline chrisi51

  • Newbie
  • *
  • Posts: 18
  • Karma: +4/-0
    • View Profile
Re: Unitymedia => pfSense => Fritzbox 7490 => Telefon
« Reply #10 on: March 22, 2017, 03:36:17 pm »
ja ich find's auch mächtig merkwürdig ... aber wer weiß, an welcher Ecke diese Abhängigkeit nun ausgelöst wird ...

Gibt ja ausreichend Angriffsfläche. ;)

Offline hornetx11

  • Jr. Member
  • **
  • Posts: 60
  • Karma: +1/-0
    • View Profile
Re: Unitymedia => pfSense => Fritzbox 7490 => Telefon
« Reply #11 on: March 22, 2017, 04:27:20 pm »
Moin,


 ;D nach meiner Erfahrung heißt es bei SIP nicht try'n'error sondern try and worry ;D
Wireshark wird hier zum besten Freund. Manchmal auch mit trap.


HornetX11



//Ein Optimist ist eine Person, der nicht alle Informationen zu Verfügung stehen ...
(John B. Priestley (1894-1984), engl. Schriftsteller)//

// Nur die paranoiden überleben
(Andrew Grove (1936 - 2016), Intel)//

Offline sebden

  • Jr. Member
  • **
  • Posts: 42
  • Karma: +0/-0
    • View Profile
Re: Unitymedia => pfSense => Fritzbox 7490 => Telefon
« Reply #12 on: March 23, 2017, 06:53:52 am »
Also 5060 offen zu halten scheint tatsächlich doch nicht notwendig zu sein ... ich habe mir nun noch mal https://doc.pfsense.org/index.php/VoIP_Configuration genauer angeschaut und einfach mal try'n'error praktiziert ...

also mal von der Fritzbox kommend alles im Outbound Nat Static zu machen .... DAS bringts ... Nach bisschen hin und her kam ich dann doch noch auf eine geistreiche Idee und habe nur 7078-7110 auf der Sourcesite static gesetzt ...

also im Outbound habe ich nun:
Code: [Select]
Mappings
Interface Source      Source Port Destination Destination Port NAT Address NAT Port Static Port
WAN     192.168.1.80/32    *               *               5060         WAN address     *              x  
WAN     192.168.1.80/32   7078:7110               *                *         WAN address     *                x

=> läuft ;)

jetzt steht wohl noch ein langzeittest aus um zu schaun wie stabil es ist.

Ich habe leider auch nur wenige VOIPs machen müssen/können, bisher genügte mir aber die 5060 NAT Regel. Es gibt hier übrigens eine sicherere Umsetzung mit Port 5061 bei manchen Anlagen.

Die RTP Ports müssen glaube ich nicht Outbound geNATet werden. Ich meine das es aber deswegen bei dir geht, weil NAT vor den Firewallregeln abgearbeitet wird, und du somit die Ports (hinten herum) freigeschalten hast. Ich mache das üblicherweise am Interface per Firewall-Regeln, da dies bisher genügt hat. Also einmal 5060 Outbound NAT, sowie unter Firewall RTP ausgehend und am WAN eingehend per PortForewarding NAT. Je nach Anlage sind die RTP Ports dann andere als oben angegeben.

Grüße


Offline JeGr

  • Moderator
  • Hero Member
  • *****
  • Posts: 3068
  • Karma: +195/-7
  • old man standing
    • View Profile
Re: [GELÖST] Unitymedia => pfSense => Fritzbox 7490 => Telefon
« Reply #13 on: March 30, 2017, 03:44:07 am »
@rubinho: wenn du so viele unterschiedliche SIP Provider am Start hast (inkl Zicken :D) - was wäre denn dann bspw. eine (oder mehrere) Empfehlungen von der Konfiguration (einfach) und Funktion her, wenn man einen alternativen SIP Provider sucht? Was wären denn Empfehlungen was Leistungen etc. angeht und recht wenig zicken bei der Konfiguration macht?

Grüße
Don't forget to [applaud] those offering their time and brainpower to help you!

If you're interested in paid support, I'm available via PM for details of German pfSense support either for corporate or personal cases.

Offline rubinho

  • Full Member
  • ***
  • Posts: 157
  • Karma: +5/-0
    • View Profile
Re: [GELÖST] Unitymedia => pfSense => Fritzbox 7490 => Telefon
« Reply #14 on: March 30, 2017, 07:25:22 am »
@JeGr
an was hast du Gedacht ?

Einen Provider zum Beherbergen deiner Rufnummern oder hauptsächlich zum raustelefonieren.

Meine Rufnummern hab ich momentan gesplittet, ein Teil meiner Rufnummern liegt bei Dus.net und ein anderer bei Sipgate.
Sipgate ist aber bei mehr als einer Nummer nur zu empfehlen, wenn du einen Asterisk Server betreibst. Ansonsten kannst du bei einem Basic Sipgate Anschluss nicht unterscheiden, auf welche Rufnummer angerufen wurde, weil du nur einen Sipaccount hast. Bei Dus sind es derweilen 5.
Beide Provider verlangen für das Beherbergen der Rufnummer einmalig für das Portieren Geld. Ab dann kostet es nichts mehr.

Da aber sowohl Sipgate als auch Dus nicht die günstigsten Verbindungspreise besitzen, kann ich für ausgehende Gespräche folgende Provider empfehlen...
Wer eine preiswerte Festnetz-Flat benötigt, der kann sich mal bei Toplink-Xpress umsehen. Dort kostet die preiswerteste Flat 2,90€ (Eine Leitung als Analog Ersatz), 5,80€ (Zwei Leitungen als ISDN Ersatz) und 11,60€ (4 Leitungen)
 
Für preiswertes Telefonieren (Fest und Mobil) ohne Flat, kann ich Voip2GSM empfehlen. 3,8ct/min ins Mobilfunknetz bzw 0,8ct/min ins Festnetz. Taktung ist 30/30

Beide Provider erlauben Clip no Screening, d.h. man kann die Ausgehende Rufnummer am Endgerät festlegen. (Ein Feature das nicht jeder anbietet.)

Aber nur bei Toplink kannst du ne echte Nummer beantragen, oder portieren lassen. Falls man alles bei einem Provider haben möchte.

Zickig ist meiner Erfahrung nach hauptsächlich Dus.net (Bei eingehenden Verbindungen). Aber wenn die Konfig passt, läuft auch Dus.net problemlos.
« Last Edit: March 30, 2017, 09:37:30 am by rubinho »
[Pfsense 2.3] Supermicro A1SRI-2558F@Atom C2558 4Gb RAM
[Pfsense 2.2.6] Jetway NF9D@Atom D2550 + AD3INLAN-G Expansioncard  (3x Intel 82541PI Gigabit Controller)