Kein VoiP-Zusammenspiel zwischen einer Fritzbox und OPNsense

[bademeister]

Hallo,

ich bekomme keine Verbindung von einem VoIP-Telefon zu einer Fritzbox durch eine OPNsense-FW hin. Egal ob sich das Telefon an den SIP-Server (Fritzbox) anmelden soll, geschweige Anrufe getätigt werden können. Verschiedene Hinweise und Dokumentationen brachten keine Lösung. Einen SIP-Proxy habe ich ausgeschlossen, um die Fehlerquellen so niedrig wie möglich zu halten. Die Fritzbox dient als SIP-Server und beinhaltet sowohl die Konfiguration für eine Rufnummer (Unitymedia) als auch die eines VoiP-Geräte-Kontos mit Benutzernamen und Kennwort.

Folgende Konstellation existiert:

       Internet
            :
            : Cable-Provider (Unitymedia)
            :
      .-----+-----.
      |  Gateway  |  (Fritzbox mit konfiguriertem VoIP-Telefon)
      '-----+-----'   LAN: 10.110.180.10
            |
            |
            |
      .-----+------.  WAN: 10.110.180.110
      |  OPNsense |
      '-----+------'  LAN: 192.168.124.10 (Gateway: 10.110.180.10)
            |
            Telefon (192.168.124.110)
            |
            PC (192.168.124.210)

Wird das Telefon direkt in den Switch der Fritzbox gesteckt, funktioniert alles. Die PCs kommen durch OPNsense ins Internet.

Folgende Firewall-Regeln habe ich für das Telefon konfiguriert:

Regel   Proto     Source     Port      Destination    Port        Gateway
LAN     TCP/UDP  Telefon     *          Fritzbox        5060         WAN_Gateway
LAN     TCP/UDP  Telefon      *          Fritzbox        7078:7097     WAN_Gateway

WAN     TCP/UDP  Fritzbox      *          Telefon        5060        *
WAN     TCP/UDP  Fritzbox      *          Telefon        7078:7097   *


NAT Port Forwarding:

Regel   Proto     Source     Port      Destination    Port       NAT       Port
WAN       TCP/UDP  *             *          WAN address    5060        Telefon   5060
WAN       TCP/UDP  *             *          WAN address    7078:7097  Telefon   5060

Aus meiner Sicht hat das Telefon den Zugriff auf die Fritzbox, sowohl für die SIP-Anmeldung als auch für die Sprachübertragung. Sollte die Fritzbox den Rufaufbau initiieren, gibt es die Port-Weiterleitung zur OPNsense.

Was habe ich übersehen oder vergessen? Sollte sich tatsächlich eine Lösung ergeben, werde ich diese hier für alle zusammen fassen.

Besten Dank im Voraus.

[guest14952]

VoIP und Fritzbox, der Klassiker schlechthin ... natürlich gibt es eine Lösung, einfach mal Fritzbox in der Suche angeben.

Etwas konkreter:

Port 5060 (SIP) = Verbindungsaushandlung
Ports ab 7078 (RTP) = (Bei Fritzboxen) Sprache (mindestens 2 Ports, da hin/rück)

Ein NAT Forwarding 7078:7097 auf 5060 kann also nicht funktionieren.

Bei ausgehenden NAT für VoIP muss "statischer Port" angewählt sein!


Das Netzwerkdesign noch einmal überdenken, m.E. ist die Fritzbox besser in einer DMZ aufgehoben.

Doppeltes NAT (mit RFC1918 Adresse aus 10/8 am WAN) macht die Sache unnötig kompliziert.