Messages

Hmh das wird recht schwierig für mich...

Glaube das sind Einstellungen in den Handsets.
Wahrscheinlich muss denen gesagt werden, welche öffentliche IP sie haben sollen.
Anders kann ich mir das nicht mehr wirklich vorstellen...

Würde dafür mal Cisco kontaktieren.
Die kennen Ihre Geräte am besten.


Gesendet von iPhone mit Tapatalk

Hallo MBG,
danke für die Rückmeldung, habe nun UPNP so wie in den Screenshots Konfiguriert, leider bekomme ich auf die Telefone trotzdem noch keine Anrufe rein.
Muss ich ev. noch was einstellen ?
Es sind jeweils 2 Telefone welche 4 SIP Nummern haben.

Nein eigentlich nicht.

Eventuell mal die Telefone neustarten und gucken ob die UPNP-Regeln erstellt werden (Statusübersicht)

Eventuell den Provider kontaktieren, wie das mit der Telefonkonfiguration mit UPNP aussieht.

Falls das nichts hilft, kann man mal testen, ob ein statischer Portforward auf die Ports der Telefone funktioniert.


Gesendet von iPhone mit Tapatalk

Mit UPNP sagen die Telefone, welche Ports (eingehend) die Firewall aufmachen und weiterleiten muss.

Dadurch sollten auch die eingehenden Anrufe funktionieren.

Wie man UPNP konfiguriert, siehst du im Anhang.

Ich meinte damit eher, dass du mal in die Logs schauen sollst, ob und warum die Pings abgelehnt werden. Wegen Default Block oder was anderem? Denn dann würde ich testweise einfach mal alles ICMP6 erlauben von/nach any einfach um zu testen ob der Alias "WAN adress" nicht korrekt funktioniert in dem Case.

Gute Idee! Werde es heute Abend gleich einmal probieren!


Gesendet von iPhone mit Tapatalk

Hallo,
ich benötige einmal eure hilfe.
Ich habe meine OPNsense soweit am laufen, nur habe ich noch Probleme mit unseren VOIP Handsets.

Wir können aktuell ohne Probleme nach draußen telefonieren, jedoch kommen keine eingehenden Anruf an den Handsets an.
Die Anrufe werden stattdessen immer an die Mailbox weitergeleitet.

Es sind 2 Handsetz mit jeweils 4 eingehenden Leitungen :

Handset1
Reception1
sip:1029962@192.168.15.161:5075
ShootKey1
sip:1029964@192.168.15.161:5076
Complaints1
sip:1029965@192.168.15.161:5077
Sales1
sip:1029963@192.168.15.161:5078


Handset2
Reception2
sip:1029960@192.168.15.160:5070
ShootKey2
sip:1029966@192.168.15.160:5071
Complaints2
sip:1029967@192.168.15.160:5072
Sales2
sip:1029968@192.168.15.160:5073

Die frage ist, was muss ich wo einstellen damit die Anrufe bei mir an den Handsets ankommen und nicht auf der Mailbox landen ?

Schon mal mit UPNP probiert? Gibt es als Erweiterung in der Weboberfläche.

Hatte das Problem auch da die Firewall alles blockiert, was nicht ausdrücklich freigegeben wurde.

Durch UPNP schicken die Telefone der Firewall eine Portforwardanfrage, die genehmigt wird. Dadurch macht die Firewall automatisch genau die Ports auf, die die Telefone brauchen.


Gesendet von iPhone mit Tapatalk

Du brauchst denifitiv kein NAT dafür!

Naten musst du nur, wenn du ins öffentliche Netz möchtest (Grundstoff Netzwerk).

Was du brauchst ist eine statische Route zwischen den Netzwerken, da der Default GW im 192.168.138.0/24 die Fritzbox ist und der Default GW im 192.168.126.0/24 die OPNSense ist.

Dadurch braucht das Netz 192.168.138.0/24 eine Route in 192.168.126.0/24 über die OPNSense (was an der Fritzbox zu konfigurieren ist) und das gleiche umgekehrt (auf der OPNSense konfigutiert)

Gruss
MBG


Gesendet von iPhone mit Tapatalk

Du lässt ICMP6 aber nur auf der WAN Adresse zu.

Habe auch nur IPv6 als WAN Adresse auf der Firewall konfiguriert und noch kein produktives System angefasst.

Aber die Firewall ist über IPv6 nicht pingbar...


Gesendet von iPhone mit Tapatalk

Hi

Die Angaben sind jetzt zwar ohne Gewähr, aber es gibt mehrere Möglichkeiten...

- Hast in Fall 1 alles geöffnet (sprich All:All in der Firewall). Das würde erklären, warum die keine Regel brauchst
- Oder hast du im Regel UPNP aktiviert? Dadurch würden die Ports automatisch weitergeleitet weil der Client der sich im SIP anmeldet der Firewall die Ports mitgibt, die er benötigt.

Gruss


Gesendet von iPhone mit Tapatalk

Hast du eine Policy gesetzt, dass die Netzwerke miteinander kommunizieren dürfen?

Die Firewall ist ja nicht nur ein Router. Du musst natürlich auch noch die Regel erstellen, dass sie durch darf.

Default ist ja, dass sie alles blockiert. Dadurch musst du es explizit definieren.

PS: hab das mit einem weiteren Netzwerker genausten angeschaut. :P


Gesendet von iPhone mit Tapatalk

Lässt du eingehendes ICMPv6 zu? Wenn die Firewall das blockt kann auch kein Ping von außen beantwortet werden.

Ja lasse ich (siehe Bild im vorherigen Post)


Gesendet von iPhone mit Tapatalk

Hab jetzt eine statische Route zum GW gesetzt.

Nun kann ich alles aussen im Netz anpingen.

Aber die FW an sich von aussen lässt sich nicht anpingen.
Wie genau kann ich nun diese IPs öffentlich verfügbar machen?

Hier der Ping-Output:

Code Select Expand

# /sbin/ping6 -c '3' '2001:4860:4860::8888'
PING6(56=40+8+8 bytes) 2001:4ba0:ffe7:1fa::1 --> 2001:4860:4860::8888
16 bytes from 2001:4860:4860::8888, icmp_seq=0 hlim=60 time=3.520 ms
16 bytes from 2001:4860:4860::8888, icmp_seq=1 hlim=60 time=3.243 ms
16 bytes from 2001:4860:4860::8888, icmp_seq=2 hlim=60 time=3.408 ms

--- 2001:4860:4860::8888 ping6 statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/std-dev = 3.243/3.390/3.520/0.114 ms

Nach dem ich als Gateway den link local gateway genommen habe, bin ich mal einen Schritt weiter gekommen.

Nun die Aufgabe der FW:

Code Select Expand

root@fw12:~ # ping6 ff02::2%em0
PING6(56=40+8+8 bytes) fe80::20c:29ff:feb3:3751%em0 --> ff02::2%em0
ping6: sendmsg: No route to host
ping6: wrote ff02::2%em0 16 chars, ret=-1
ping6: sendmsg: No route to host
ping6: wrote ff02::2%em0 16 chars, ret=-1
ping6: sendmsg: No route to host
ping6: wrote ff02::2%em0 16 chars, ret=-1
ping6: sendmsg: No route to host
ping6: wrote ff02::2%em0 16 chars, ret=-1
ping6: sendmsg: No route to host
ping6: wrote ff02::2%em0 16 chars, ret=-1
^C
--- ff02::2%em0 ping6 statistics ---
5 packets transmitted, 0 packets received, 100.0% packet loss

Gleichzeitig hier noch ein Pingversuch auf die FW auf die IPv6-Adresse und die IPv4-Adresse (IPv4 funktioniert, IPv6 nicht):

Code Select Expand

H:\>ping -6 2001:4ba0:ffe7:1fa::1

Pinging 2001:4ba0:ffe7:1fa::1 with 32 bytes of data:
PING: transmit failed. General failure.
PING: transmit failed. General failure.
PING: transmit failed. General failure.
PING: transmit failed. General failure.

Ping statistics for 2001:4ba0:ffe7:1fa::1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),


H:\>ping 89.163.253.13

Pinging 89.163.253.13 with 32 bytes of data:
Reply from 89.163.253.13: bytes=32 time=28ms TTL=50
Reply from 89.163.253.13: bytes=32 time=27ms TTL=50
Reply from 89.163.253.13: bytes=32 time=28ms TTL=50
Reply from 89.163.253.13: bytes=32 time=30ms TTL=50

Ping statistics for 89.163.253.13:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 27ms, Maximum = 30ms, Average = 28ms

Die FWRegeln sind richtig gesetzt (siehe Bild).

Schau mal hier: https://forum.opnsense.org/index.php?topic=6035.0

Schön bin auch bei der myLoc.

Und dann poste mal die Ausgabe. Dann wirst du ja sehen was für Router du im Netz hast.

Hier die Ausgabe:

Code Select Expand

root@fw12:~ # ping6 ff02::2%em0
PING6(56=40+8+8 bytes) fe80::20c:29ff:feb3:3751%em0 --> ff02::2%em0
^C
--- ff02::2%em0 ping6 statistics ---
8 packets transmitted, 0 packets received, 100.0% packet loss

Liegt aber glaube ich daran, dass momentan kein IPv6 eingerichtet ist.
Werde die Ausgabe nach dem durchlesen der anderen Topic noch einmal posten.

Der Hoster soll dir aber aber nochmal sagen welches PPP er spricht. Es gibt ja mehrere Möglichkeiten. Bei PPPoE zB. brauchst du auch evtl. Zugangsdaten. Also frag da noch mal nach. Sobald du  das Interface hast und es Up ist sollte sich auch das Gateway einrichten lassen ohne zu meckern.

Lustigerweise finde ich zu dem Punkt nichts. Ich glaube dies ist nicht nötig? Zu mindest Zugangsdaten habe ich keine bekommen und laut Hoster braucht es auch keine.

Mach das aber nur bei Adressen, die auch wirklich von außen verfügbar sein sollen.

Ja gut, das ist logisch :P
Sonst macht eine Firewall wenig Sinn...
Mach dann auch nur die Ports auf, die offen sein müssen.

Um eine statische Route zu definieren auf der OPNSense, brauchst du folgendes.

Die Konfiguration des Gateways unter den Gateway-Einstellungen (Die Fritzbox muss dort hinzugefügt werden). Zu beachten ist die Schnittstelle, diese muss auf OPT1 gestellt werden. Andressfamillie kann auf IPv4 bleiben. Den Namen kannst du selber setzen, genauso wie die Beschreibung. Der Gateway ist die IP der Fritzbox. Dies ist natürlich kein Default Gateway (Der normale Internettraffic soll wahrscheinlich immer noch über die OPNSense laufen). Der Gateway ist auch kein ferner Gateway. Die Gatewayüberwachung kannst nach belieben ein oder ausschalten. Damit überprüft die FW ob die Verbindung zum Gateway steht. Der Rest kann default bleiben.

Nach der Gatewaykonfiguration kannst du eine statische Route festlegen. Unter Routen -> Konfiguration auf das Plus unten in der Tabelle klicken und die 3 Felder ausfüllen:
- Netzwerkadresse (192.168.138.0/24)
- Gateway (der erstellte Gateway auswählen)
- Beschreibung kannst du selber definieren

Und siehe da, es funktioniert :)