OPNsense Forum
International Forums => German - Deutsch => Topic started by: NicholasRush on October 07, 2017, 11:48:48 pm
-
Hallo zusammen,
in diesem Thread soll es nur darum gehen, eure probleme mit dem Siproxd Plugin zu lösen und etwaige Lösungen für euch bereitzustellen. Ich werde dazu diesen Anfangspost immer um Lösungen im Zusammenhang mit eurer Hardware ergänzen. Sodass niemand lange suchen muss und soll, damit die Probleme schnell gelöst sind. :)
VOIP-Providerspezifische Einstellungen:
- 1und1 (https://hilfe-center.1und1.de/dsl-hardware-c85325/fremd-hardware-c85411/konfigurationsdaten-1und1-telefonie-a796046.html)
- Telekom Zuhause-Tarife (https://www.telekom.de/hilfe/festnetz-internet-tv/ip-basierter-anschluss/einstellungen-fuer-die-ip-telefonie-mit-anderen-clients)
- Telekom Geschäfts-Tarife (https://telekomhilft.telekom.de/t5/Telefonie-Internet/DeutschlandLAN-SIP-Trunk-Einstellungen-fuer-die-IP-basierte/ta-p/2484571)
- Sipgate Basic (https://basicsupport.sipgate.de/hc/de/articles/206519079-Allgemeine-Konfigurationsdaten)
- Sipgate Team (https://teamhelp.sipgate.de/hc/de/articles/203643481-Allgemeine-Konfigurationsdaten)
- Telepark Passau (Kategorie: Telefon => Frage: Wie konfiguriere ich die Rufnummern auf meiner eigenen Fritz!Box?) (https://www.telepark-passau.de/hilfe-faqs.html)
Bitte bei diesem Provider diesen Thread beachten: https://forum.opnsense.org/index.php?topic=7483.0
Bilderanleitungen: Dropbox (https://www.dropbox.com/sh/o5px7n1aww42tl6/AAA2rdF4Gul6NEc8dZmLQDhia?dl=0)
Die Transparenten Proxy Einstellungen für Siproxd sind nun in der Bilderanleitung enthalten.
Die IP Adresse in der Port Forwarding Regel ist die eures LAN Interfaces der OPNsense alternativ könnt ihr auch den Localhost "127.0.0.1" nehmen.
-
Telepark Passau: VOIP Probleme mit Lösung (https://forum.opnsense.org/index.php?topic=7483.0)
Telekom-VoIP mit Fritzbox 7490 hinter opnSense (https://forum.opnsense.org/index.php?topic=7663.0)
Selfmade OPNsense Appliance (vom OPNsense User: Imrazor) Themen: Hardware, Software, VOIP (https://www.imrazor.de/howto/selfmade-opnsense-appliance/)
Ein sehr umfangreich geschriebener Artikel, zu den Themen Hard- und Software sowie der Grundkonfiguration von VOIP.
Bei falschem Rufnummernformat in Verbindung mit der FritzBox und der Telekom bitte folgenden Beitrag beachten: Link (https://forum.opnsense.org/index.php?topic=6112.msg46487)
Gehört zwar normalerweise nicht hierher:
Anleitung: AVM Fritz!Box als Einwahlrouter IPv6 Prefix Delegation mit OPNsense (https://forum.opnsense.org/index.php?topic=7528.msg34249#msg34249)
-
Ich wollte mich bei dir herzlich bedanken. Ich habe das mit deiner Hilfe und dem Plugin perfekt hinbekommen.
Möchtest du das HowTo von dir vielleicht hier als Ergebnis posten?
Kurze Setup-Info von mir:
- Telekom VDSL ( Symmetric NAT )
- Vigor 130 VDSL mit PPPO Passthrough
- OPNsense 17.x (als VM auf Proxmox) auf einem HP Gen8
- Sipproxy Plugin installiert: outbound domain + STUN konfiguriert - alles standard ansonsten
- WAN ports UDP 5060 und UDP 7070 - 7079 geöffnet
- Gigaset C610IP (outbound proxy konfiguriert)
- Sip Phone ( OSX Telephone ) (outbound proxy konfiguriert)
ich benutze nun gleichzeitig das VOIP der Telekom und von Sipgate - läuft klasse. Danke!
Und
-
Ich wollte mich bei dir herzlich bedanken. Ich habe das mit deiner Hilfe und dem Plugin perfekt hinbekommen.
Möchtest du das HowTo von dir vielleicht hier als Ergebnis posten?
Kurze Setup-Info von mir:
- Telekom VDSL ( Symmetric NAT )
- Vigor 130 VDSL mit PPPO Passthrough
- OPNsense 17.x (als VM auf Proxmox) auf einem HP Gen8
- Sipproxy Plugin installiert: outbound domain + STUN konfiguriert - alles standard ansonsten
- WAN ports UDP 5060 und UDP 7070 - 7079 geöffnet
- Gigaset C610IP (outbound proxy konfiguriert)
- Sip Phone ( OSX Telephone ) (outbound proxy konfiguriert)
ich benutze nun gleichzeitig das VOIP der Telekom und von Sipgate - läuft klasse. Danke!
Und
Hallo eugenmayer,
freut mich sehr das mein "HowTo" geklappt hat und du zufrieden mit dem Ergebnis bist. Ich schreibe derzeit an einem etwas größeren Handbuch dazu, welches ich innerhalb nächsten Jahres veröffentlichen möchte. Ich werde deinen Lösungsweg dazu hier ebenfalls reinstellen. Auch wenn ich weiß das ein solches Mini-"HowTo" nicht für jedermann geeignet sein wird, insbesondere dann nicht, wenn man versucht diese Beispiel Konfiguration auf ein anderes Endgerät zu übertragen und den Wald vor lauter Bäumen nicht mehr sieht. Was dann unweigerlich wieder zu Problemen und Frustration führt. Das soll dieses HowTo-Handbuch dann versuchen zu lösen.
Beste Grüsse
NR
--
Hier das Mini-HowTo welches ich auf das neue oben von dir genannte Szenario etwas angepasst habe.
--
Wie viele VOIP Clients (Telefone), ob Hard- oder Software vorhanden sind, ist erstmal egal. Achtung die Telekom macht Symetric RTP. Andere Anbieter betrifft dieser Umstand natürlich nicht.
Der Normalfall sieht jetzt so aus, dass in der OPNsense Firewall die RTP- und SIP Ports, die auf das WAN Interface von OPNsense zeigen, geöffnet werden müssen. Das sind die Port Ranges die im Siproxd Plugin eingestellt sind. Also UDP 5060 und UDP 7070 - 7079 in den Standardeinstellungen.
Im Siproxd Plugin sollte in der Sektion "Stun" also weiter unten im Dialog ein STUN Server eingetragen werden.
In den VOIP Clients braucht jetzt nur noch als Outbound Proxy die OPNsense Box eingetragen werden (LAN Interface IP). Und die Telefone sollten sich dann beim jeweiligen Anbieter anmelden. In deinem Fall dann Sipgate/Telekom.
Achtung: Wenn in den Firewallregeln des LAN Interfaces der Zugriff auf OPNsense aus dem LAN beschränkt ist, müssen natürlich dort ebenfalls UDP 5060 und UDP 7070 - 7079 freigegeben werden.
Die VOIP Clients brauchen sich so nicht mehr um NAT Traversal zu kümmern, das macht dann Siproxd. Ebenso das Audio RTP Routing. Und da ist es dann egal ob Symetrisch oder Asymetrisch.
=> Weiterführende Providerspezifische Einstellungen (https://forum.opnsense.org/index.php?topic=6112.msg25603#msg25603)
-
Hallo,
hatt jemand es schon mit Placetel am laufen?
Wenn ja würden mich die einstellungen interessieren.
-
Hallo,
hatt jemand es schon mit Placetel am laufen?
Wenn ja würden mich die einstellungen interessieren.
Die Einstellungen sind ähnlich wie im Post vor deinem beschrieben. Nur das in deinem falle Siproxd dann besser Transparent laufen sollte. Das machst du, indem du eine Portweiterleitung von deinem "LAN"-Interface auf IP: 127.0.0.1 Protokoll: UDP Port: 5060 erstellst. Da du bei einer Cloud Telefonanlage ohnehin mehrere Endgeräte hast, solltest du den RTP Port Bereich ruhig von 7000 - 7999 nutzen. Denn meistens ist in IP-Telefonanlagen Standard, dass du mindestens 2 Leitungen/ Telefon hast.
Ich habe leider keinen Zugriff auf eine Placetel Cloud TK-Anlage, daher kann ich dir momentan noch nicht mit einer exakten Konfiguration von Siproxd dienen, allerdings kann ich dir anbieten mit dir zusammen eine zu erarbeiten, die dann hier im Forum veröffentlicht wird.
-
Hallo zusammen,
Seit gestern versuche ich auf meiner OpnSense 18.1.6 VOIP einzurichten.
Leider nur mit mässig Erfolg.
Ich habe eine Basisstation TPG600 von Panasonic und ein entsprechendes Handteil dazu.
Mein Anbieter ist die "Quickline" darüber wird über die MAC Addresse der Basisstation die VOIP Geräte Konfiguriert und sollten eigentlich wenn die richtigen Ports etc. eingestellt werden erreichbar sein.
Leider blickt das gerät in einem hübschen Orange dauerhaft.
Es soll eigentlich auch laut dem Anbieter auf der Firewall "SIP ALG Deaktiviert werden" leider finde ich diese Funktion in OpnSense nicht.
Falls ich hier falsch bin an der stelle bitte ich das zu entschuldigen.
Nachdem ich den Artikel mir durchgelesen habe soll das Plugin für alle VOIP Anbieter sein oder muss für meinen Anbieter speziell was beachten?
Danke für das Feedback.
-
Hallo zusammen,
Seit gestern versuche ich auf meiner OpnSense 18.1.6 VOIP einzurichten.
Leider nur mit mässig Erfolg.
Ich habe eine Basisstation TPG600 von Panasonic und ein entsprechendes Handteil dazu.
Mein Anbieter ist die "Quickline" darüber wird über die MAC Addresse der Basisstation die VOIP Geräte Konfiguriert und sollten eigentlich wenn die richtigen Ports etc. eingestellt werden erreichbar sein.
Leider blickt das gerät in einem hübschen Orange dauerhaft.
Es soll eigentlich auch laut dem Anbieter auf der Firewall "SIP ALG Deaktiviert werden" leider finde ich diese Funktion in OpnSense nicht.
Falls ich hier falsch bin an der stelle bitte ich das zu entschuldigen.
Nachdem ich den Artikel mir durchgelesen habe soll das Plugin für alle VOIP Anbieter sein oder muss für meinen Anbieter speziell was beachten?
Danke für das Feedback.
"SIP-ALG" wirst du in der OPNsense auch so niemals finden. Voll ausgeschrieben bedeutet SIP-ALG, SIP-Application Layer Gateway. Siproxd, wäre so ein "Application Layer Gateway", wenn du diesen nicht benutzt, oder installierst brauchst du den auch nicht auszuschalten. ;)
Dein Anbieter Quickline (https://www.quickline.ch/), ist der hinter dem Link oder? Ich müsste nur noch ein paar Infos mehr haben. Die TPG600 von Panasonic sollte eine Konfigurationsurl (HTTP, TR069 etc.) im Webinterface eingetragen haben, darüber holt die sich dann die Konfiguration. Wenn die Station vorkonfiguriert war, einfach mal alle Ports für die Panasonic Station ausgehend offen lassen. Evtl. tut sich dann etwas. Ich kann dir zu der Station auch nicht mehr sagen, denn ich habe weder eine solche, noch komme ich da an Handbücher von Panasonic dran.
Zu deinem Anbieter: Ich weiß natürlich auch nicht ob die ein Separates VLAN für Telefonie bereitstellen, evtl. funktioniert die Autokonfiguration auch nur darüber?? Das müsstest du allerdings selber herausfinden.
Ich hoffe ich konnte dir helfen.
Gruß
NR
-
Hallo @NicholasRush,
danke für deine Antwort habe es mittlerweile gelöst.
Es lag nicht an der Einstellung der Firewall (opnsense) sondern vielmehr war es ein Zusammenspiel zwischen dem Portal der Quickline (vPBX) und der Telefone daheim.
Danke für deine Unterstützung.
-
Hi Nicholas .. ich hab daheim jetzt auch ne OPNsense und hab hier meine ersten Probleme mit VoIP.
Hab DSL von DTAG, aber ich verwende VoIP nur zur Asterisk von der Firma! Dazu wurde meine public IP von der DTAG an der Firewall in der Firma frei geschalten. Mit einem Zyxel 5501 als Router ging das problemlos. Wenn ich mit OPNsense tausche, outbound NAT auf static und reverse NAT auf mein Telefon mache kann mich die Gegenstelle hören, ich aber niemanden.
Im tcpdump sehe ich die Pakete vom LAN Richtung Telefon kommend und gehend, das passt also.
Hab dann das siproxd Plugin installiert und alles gemacht wie eugenmeyer, wenn man mich anruft alles super, wenn ich jemanden anrufe höre weder ich noch die Gegenstelle etwas.
Was sagt dein Mastermind dazu? Verkloppen wir alle den siproxd plugin maintainer??? :P
-
Hi Nicholas .. ich hab daheim jetzt auch ne OPNsense und hab hier meine ersten Probleme mit VoIP.
Hab DSL von DTAG, aber ich verwende VoIP nur zur Asterisk von der Firma! Dazu wurde meine public IP von der DTAG an der Firewall in der Firma frei geschalten. Mit einem Zyxel 5501 als Router ging das problemlos. Wenn ich mit OPNsense tausche, outbound NAT auf static und reverse NAT auf mein Telefon mache kann mich die Gegenstelle hören, ich aber niemanden.
Im tcpdump sehe ich die Pakete vom LAN Richtung Telefon kommend und gehend, das passt also.
Hab dann das siproxd Plugin installiert und alles gemacht wie eugenmeyer, wenn man mich anruft alles super, wenn ich jemanden anrufe höre weder ich noch die Gegenstelle etwas.
Was sagt dein Mastermind dazu? Verkloppen wir alle den siproxd plugin maintainer??? :P
Hört sich witzig an die Geschichte. ;D
Mal eine Frage, hast du auch die RTP Ports von Siproxd freigeschaltet?
Denn wenn du ausgehend ein Gespräch führst, wird der Port ja von selber offen gehalten, wenn du angerufen wirst, passiert das dann evtl. nicht. Wenn dein Telefon ohne Siproxd nicht funktioniert, musst du bei dem evtl. ein STUN Server eintragen. Dazu kannst du auch einfach den von der TELKO nehmen: stun.t-online.de.
Bei Siproxd brauchst du das ja wiederum nicht, da Siproxd die WAN IP Adresse ja kennt.
Wichtig ist, das mit und ohne Siproxd, es zwei völlig verschiedene Konfig Optionen sind. Die sehr verwirrend sein können. Ansonsten konfiguriere SIProxd mal nach dem Bsp: Bilderanleitung für Telekom (https://www.dropbox.com/sh/o5px7n1aww42tl6/AADGtRWHAeW-ap3ptt_t4ZO9a/Deutsche_Telekom_Privatkunden?dl=0)
Bei deinem Telefon brauchst du dann auch keinen STUN Server eintragen. Und im "Outbound-Domains" Tab trägst du die SIP Domain deiner Firma ein.
Zumindest weiß ich anhand deiner Fehlerbeschreibung, dass dein Firmen Asterisk kein Symetric RTP macht. ;)
-
Es kommt noch besser. Ich hab daheim ein Snom 760, aktuellste Firmware. Wie gesagt, mit Zyxel alles super. Inbound hab ich die komplette IP der TK freigeschaltet, von daher sind da die Ports vom RTP mit dabei.
Aber jetzt kommts, am Handy mit Zoiper Client geht es sofort. Und sobald es einmal mit dem Zoiper geklappt hat geht es auch mit dem Snom, aber nur bis ich die Firewall neu starte, dann wieder nicht mehr.
Ekiga Softphone am Notebook geht auch sofort.
Im tcpdump seh ich bei den Clients wo es geht das sie das noch machen:
15:44:03.472369 IP 192.168.2.127.39385 > X.X.X.X.5060: SIP: REGISTER sip:X.X.X.X SIP/2.0
15:44:03.487090 IP 192.168.2.127.39385 > 192.168.2.1.5060: SIP: SUBSCRIBE sip:asterisk@X.X.X.X:5060 SIP/2.0
15:44:03.487281 IP X.X.X.X.5060 > 192.168.2.127.39385: SIP: SIP/2.0 200 OK
15:44:03.501506 IP X.X.X.X.5060 > 192.168.2.127.39385: SIP: SIP/2.0 200 OK
Das Snom schickt keinen Subscribe. Hab dazu nicht viel gefunden, nur das mit Version 8.2.7 das unnütze Subscript vom Snom entfernt wurde :P
Ich trag heut im Snom mal die Daten von meinem Telekomanschluss ein, mal schauen was raus kommt.
-
Also es muss was im Zusammenspiel Snom und Asterisk sein. Hab auf dem Snom mal meine Telekom VoIP Daten hinterlegt und in siproxd rein. Jetzt geht Snom zu Asterisk ständig (auch nach Reboots), anscheinend merkt der sich irgendwas von der offenen Verbindung zum DTAG VoIP.
Auf jeden Fall kein OPNsense spezifisches Problem, da bin ich schon mal froh :D
Danke dir!
P.S.: Weisst du wie gut siproxd skaliert? Ich hab nen Kunden mit 40-80 DTAG CloudPBX Clients im Netz, momentan nur dummes NAT am Ciscorouter. Schafft das der kleine siproxd?
-
Also es muss was im Zusammenspiel Snom und Asterisk sein. Hab auf dem Snom mal meine Telekom VoIP Daten hinterlegt und in siproxd rein. Jetzt geht Snom zu Asterisk ständig (auch nach Reboots), anscheinend merkt der sich irgendwas von der offenen Verbindung zum DTAG VoIP.
Auf jeden Fall kein OPNsense spezifisches Problem, da bin ich schon mal froh :D
Danke dir!
P.S.: Weisst du wie gut siproxd skaliert? Ich hab nen Kunden mit 40-80 DTAG CloudPBX Clients im Netz, momentan nur dummes NAT am Ciscorouter. Schafft das der kleine siproxd?
Siproxd skaliert bei mehreren Clients hervorragend, insofern genug Cores und Taktfrequenz vorhanden sind.
Die Taktfrequenz steht in direktem Zusammenhang mit der Latenz, die Cores eher mit den möglichen parallelen RTP Verbindungen. Auch wenn nichts umcodiert wird und auch nichts umcodiert werden kann (Unterstützt der Siproxd nämlich nicht), braucht der RTP Proxy nämlich entsprechend CPU Ressourcen.
Wenn du 80 DTAG Cloud PBX Clients hast, musst du mal im groben sehr großzügig überschlagen. Im Extremfall sage ich mal, werden rund 60 Gespräche gleichzeitig (Intern & Extern) geführt. Dann solltest du als Routerplatform schon einen Xeon E3-1241v3 als Hauptprozessor nehmen. Dazu eine Intel I340 4 Port NIC. So kann zumindest jeder Port einen eigenen Core zur Interruptabladung bekommen. Damit sollte es auch möglich sein 80 Gespräche und das Paketrouting mit 1-3 ms Latenz auch auf Layer 7 durchzubekommen. Natürlich könnte je nach Einsatzgebiet mein Vorschlag auch völlig überdimensioniert sein. Aber so musst du bei größeren Anforderungen auch nicht mehr aufrüsten. Bei einer CloudPBX kann die Internetleitung und der Router nicht Überdimensioniert genug sein. ;)
Zu SNOM kann ich dir allerdings nicht weiterhelfen, da ich leider kein einziges Snom Telefon habe. Bei Yealink sieht das schon anders aus. Aber bei den Snom hieß es damals, das die mit Spannungsschwankungen nicht so gut klar kommen und eben einige Problemchen haben auf die du wohl gerade gestoßen bist, daher habe ich da direkt einen Bogen rum gemacht.
-
Hallo Zusammen, ich melde mich aus Wien mit einem Problem mit der richtigen Konfiguration von siproxd:
wir nutzen einen Kabelinternetzugang von UPC (250/20) sowie seit kurzem den VOIP-Provider Sipit / Sipnal in Wien, mit einer virtuellen PBX bei Sipnal sowie 3 VOIP-Anschlüssen hinter einer OPNSense (18.1.9).
Die 3 Telefone haben fixe IP-Adressen, ich schaffe es 1 Gerät ohne Siproxd erfolgreich laufen zu lassen, alle 3 klappt nicht da ich nicht die gleichen ports an 3 verschiedene IP-Adressen weiterleiten kann - hier wurde mir siproxd als Alternative empfohlen.
Der Provider verwendet in unserem Setup keinen Stunserver, alle 3 Geräte registrieren sich direkt am sipserver des Providers und benutzen den Outbound Proxy des Providers.
Was mir nicht klar ist: wie bekomme ich die 3 Geräte an siproxd zum laufen: ein Variante wäre wohl als Outbound-Proxy siproxd zu verwenden, aber wo trage ich die RTP-Ranges in siproxd richtig ein?
Der Provider verendet wohl Serverseitig die Portrange 8000-9000 das übersetzt dann an den Geräten zu der Range 5004-5204 (ist so erfolgreich bei dem ersten Anschluss als Weiterleitung eingetragen).
Mir fehlt da leider grundlegendes Knowhow wie ich siproxd richtig konfiguriere.
Ohne das Plugin habe ich an den beiden anderen Anschlüssen das Problem dass bei eingehenden Anrufen der Anrufer nicht gehört wird.
Kann mich da jemand in die richtige Richtung leiten bitte?
Vielen Dank schon mal!
-
Als Portrange im Plugin die Range vom Provider rein und diese an der Firewall freischalten. Ports zwischen Tel und Plugin sind egal. Als Outbound Proxy am Tel die interne IP der Firewall. Wenn deine IP public ist brauchst du weder am Tel noch Plugin Stun.
-
Hallo Zusammen, ich melde mich aus Wien mit einem Problem mit der richtigen Konfiguration von siproxd:
wir nutzen einen Kabelinternetzugang von UPC (250/20) sowie seit kurzem den VOIP-Provider Sipit / Sipnal in Wien, mit einer virtuellen PBX bei Sipnal sowie 3 VOIP-Anschlüssen hinter einer OPNSense (18.1.9).
Die 3 Telefone haben fixe IP-Adressen, ich schaffe es 1 Gerät ohne Siproxd erfolgreich laufen zu lassen, alle 3 klappt nicht da ich nicht die gleichen ports an 3 verschiedene IP-Adressen weiterleiten kann - hier wurde mir siproxd als Alternative empfohlen.
Der Provider verwendet in unserem Setup keinen Stunserver, alle 3 Geräte registrieren sich direkt am sipserver des Providers und benutzen den Outbound Proxy des Providers.
Was mir nicht klar ist: wie bekomme ich die 3 Geräte an siproxd zum laufen: ein Variante wäre wohl als Outbound-Proxy siproxd zu verwenden, aber wo trage ich die RTP-Ranges in siproxd richtig ein?
Der Provider verendet wohl Serverseitig die Portrange 8000-9000 das übersetzt dann an den Geräten zu der Range 5004-5204 (ist so erfolgreich bei dem ersten Anschluss als Weiterleitung eingetragen).
Mir fehlt da leider grundlegendes Knowhow wie ich siproxd richtig konfiguriere.
Ohne das Plugin habe ich an den beiden anderen Anschlüssen das Problem dass bei eingehenden Anrufen der Anrufer nicht gehört wird.
Kann mich da jemand in die richtige Richtung leiten bitte?
Vielen Dank schon mal!
Hallo akironet,
bitte benutze zur Konfiguration diese Bilderanleitung: Anleitung Telekom (https://www.dropbox.com/sh/o5px7n1aww42tl6/AADGtRWHAeW-ap3ptt_t4ZO9a/Deutsche_Telekom_Privatkunden?dl=0)
Du konfigurierst deine OPNsense genau so ähnlich. Bis auf den Telekom Outboundproxy. Und die RTP Port Range setzt du auf eine Portweite von 1000 Ports. RTP Port Low 7000, und RTP Port High auf 8000. Natürlich musst du dann die Port Range auch in den Firewall Freigaben genauso auch anpassen. Ganz im Gegensatz zu dem Hinweis von @mimugmail brauchst du allerdings nicht die gleiche RTP Port Range wie dein Provider benutzen, da die jeweiligen zu Benutzenden Ports beim Verbindungsaufbau über SIP mitgeteilt werden. Richtig ist allerdings, das sofern du eine echte Öffentliche IPv4 Adresse bekommen hast, du kein Stun Plugin im Siproxd eintragen brauchst. Deine Telefone kannst du im Prinzip so konfiguriert lassen wie sie sind. Den Outbound Proxy von deinem Provider, trägst du zusätzlich in dem Outbound Proxy Tab von Siproxd ein. Die Konfiguration wie in der Bilderanleitung hat den Vorteil, dass du keinen Outbound Proxy in deinen SIP Telefonen eintragen musst, Siproxd hängt in diesem Fall transparent dazwischen und verändert den SIP Header jedesmal so, das alles über Siproxd geroutet wird.
-
Hallo mimugmail, Hallo NicholasRush, danke für Eure Antworten. Ich habe gestern Abend / heute früh mal einen Versuch gestartet wie von NicholasRush empfohlen nach der Bildanleitung Telekom, war auf Anhieb so leider nicht erfolgreich.
Ich musste aber bald wieder abbrechen, da das Büro voll besetzt war und alle Telefonieren wollten. Ich werde am kommenden Montag Abend nochmal ein wenig testen.
Nur um sicherzugehen: bei der NAT-Umleitung laut Bild1 trage ich die interne IP-Adresse der OPNSense ein, auf der siproxd läuft, oder?
Und bei Outbound Domains im Plugin kann ich den Namen frei vergeben, bei Host habe die IP-Adresse des Proxys eingetragen, wie er auch bei den Telefonen eingetragen ist. Alles andere wurde von mir 1:1 übernommen, die RTP-Ports allerdings im Bereich 7000-8000.
-
Nur um sicherzugehen: bei der NAT-Umleitung laut Bild1 trage ich die interne IP-Adresse der OPNSense ein, auf der siproxd läuft, oder?
Genau im Bild "NAT_REDR_RULE_Siproxd_Transparent.PNG" trägst du die Interne LAN Adresse von OPNsense ein. Solltest du mehrere VLANs für Intervlan Routing haben und möchtest nicht für jedes VLAN diese Regel erstellen, kannst du auch einfach "127.0.0.1" dort eintragen. Der Vollständigkeit halber, habe ich im Bild allerdings die LAN Adresse genommen.
Und bei Outbound Domains im Plugin kann ich den Namen frei vergeben, bei Host habe die IP-Adresse des Proxys eingetragen, wie er auch bei den Telefonen eingetragen ist. Alles andere wurde von mir 1:1 übernommen, die RTP-Ports allerdings im Bereich 7000-8000.
Im Bild "Sirpoxd_3_Outbound_Domains.PNG", also im Outbound Tab, kannst du den Namen nicht frei vergeben, wie ich sehe ist mir da wohl auch ein Fehler im Bild unterlaufen. Den ich natürlich sofort korrigieren werde. Aber erst einmal zu deiner Frage zurück. Du kannst in der Liste mehrere Provider Proxys angeben wenn du mehrere Provider nutzt oder dein Provider mehrere Proxys zur Verfügung stellt. Der richtige Proxy wird dann anhand des Namens ausgewählt und der ganze SIP Datenverkehr an diesen gesendet.
Beispielsweise werden die im Outbound Tab hinterlegten Proxys so in die Konfigurationsdatei geschrieben:
outbound_domain_name = tel.t-online.de
outbound_domain_host = tel.t-online.de
outbound_domain_port = 5060
outbound_domain_name = 1und1.de
outbound_domain_host = sip.1und1.de
outbound_domain_port = 5060
Der Name ist der sogenannte "Realm" und der Host der SIP-Proxy des Providers. Der Port erklärt sich hier ja von selbst. Da ich die Bilder auf die schnelle mal angefertigt habe ist mir dieser Fehler gar nicht aufgefallen, daher Danke für die Nachfrage.
So kann der Siproxd Dienst dann den Sip-Proxy dem Provider Realm zuordnen und das funktioniert dann auch so mit mehreren Providern, ich selbst habe da T-Online und so Sipgate drüber laufen.
-
Hallo,
Bin nun auf eine OPNSense zuhause umgestiegen, da ich diese schon auf meinen Servern laufen habe. Davor lief eine pfSense zuhause (APU)
Habe die Regeln 1:1 eingestellt, aber wenn ich via normales Telefon auf meinem PC anrufe, klingelt mein Phonerlite, doch ich kann nur die Sounds vom Telefon hören, aber das Telefon nicht die Sounds von Phonerlite...
Grob ist mein Netzwerk so aufgebaut:
ISP (Telekom) -> Fritzbox -> OPNSense -> Desktop
| |
normales Telefon Phonerlite
Hier nochmal detailiert:
WAN / Internet
:
: ISP (Telekom)
:
.-----+-----. .------------------.
| Fritzbox +-----------------+ normales Telefon |
'-----+-----' '------------------'
|
LAN Fritzbox | 192.168.178.1
WAN OPNSense | 192.168.178.254
|
.-----+------.
| OPNSense
'-----+------'
|
LAN | 10.88.0.0/24
|
.-----+------. IP .------------.
| Desktop PC +-----------------+ Phonerlite |
'-----+------' 10.88.0.1 '------------'
Grüße
MAGIC
-
Dann musst du eine Regel einfügen auf dem Tab wo die Fritzbox ist mit Source Fritzbox und Destination dein Telefon
-
Habe ich
(https://m.mufff.in/18d.png)
Sogar ein Outbound NAT habe ich erstellt:
(https://m.mufff.in/41e.png)
-
Und geblockte Pakete gibt's nicht?
-
Das Problem ist in dem Fall NAT zwischen FritzBox und Phonerlite. Damit das funktioniert musst du Static NAT bei der OPNsense für den Phoner Client einstellen, mit den Ports die in Phoner festgelegt sind. Denn diese müssen eben statisch auf die Adresse des "WAN"-Interfaces gemappt werden. Oder du benutzt Siproxd ;), dann musst du das alles nicht.
-
Und geblockte Pakete gibt's nicht?
Nein, die Liveview gibt keine roten Zeilen aus.
Das Problem ist in dem Fall NAT zwischen FritzBox und Phonerlite. Damit das funktioniert musst du Static NAT bei der OPNsense für den Phoner Client einstellen, mit den Ports die in Phoner festgelegt sind. Denn diese müssen eben statisch auf die Adresse des "WAN"-Interfaces gemappt werden.
Habe ich doch eigentlich gemacht oder?
Oder du benutzt Siproxd ;), dann musst du das alles nicht.
Wie wird der dann eingerichtet?
-
Habe ich doch eigentlich gemacht oder?
Oder du benutzt Siproxd ;), dann musst du das alles nicht.
Wie wird der dann eingerichtet?
Wie er eingerichtet wird findest du hier: https://www.dropbox.com/sh/o5px7n1aww42tl6/AADGtRWHAeW-ap3ptt_t4ZO9a/Deutsche_Telekom_Privatkunden?dl=0 (https://www.dropbox.com/sh/o5px7n1aww42tl6/AADGtRWHAeW-ap3ptt_t4ZO9a/Deutsche_Telekom_Privatkunden?dl=0)
Allerdings brauchst du keine "Outbound Domains" und keinen STUN-Server eintragen. Den rest aber bitte so wie auf den Bildern dargestellt konfigurieren.
Zu dem "Statischen"-NAT: Wenn du kein "Static" konfigurierst ist es auch kein Statisches NAT. Lässt sich in der Einstellungseite bei Outbound NAT nämlich anhaken.
Nachtrag: Entschuldige, ich habe jetzt erst gesehen das du es angehakt hast, aber funktionieren kann das erst wenn du auch Ports dort definierst die 1:1 durchreicht werden sollen.
Mit Siproxd bist du aber flexibler, weil du so viele VOIP Clients ins LAN der OPNsense hängen kannst wie du möchtest ohne etwas umkonfigurieren zu müssen. Du musst bei Phonerlite so auch keinen Outboundproxy einstellen, denn der wird automatisch auf Port 5060 umgeleitet.
-
Hi,
Danke schonmal, aber jetzt kann das normale Telefon hören, aber nicht senden. Logs geben noch blocks aus.
(https://m.mufff.in/44c.png)
Habe die Siproxd Bilder angeschaut und bei mir eingetragen.
Mir ist aber aufgefallen, dass du eine NAT Regel in Bild 1 anlegst, aber diese nicht in Bild 2 auftaucht. Außerdem nehme ich an, dass 192.168.230.20 die OPNSense WAN Adresse ist oder?
-
@Magic
Nein, bei mir ist 192.168.230.20 die LAN Adresse. Das ganze habe ich für die Bilder virtuell nachsimuliert. An der WAN Adresse würde die NAT Regel ja auch keinen Sinn machen. Denn es geht ja um die Telefone im LAN. Bild Nr.2 zeigt die Firewallregeln des LAN Interfaces. Bild 3 die des WAN Interfaces. Die NAT Regel in Bild 1 könnte auch als IP 127.0.0.1 eingetragen bekommen. Würde damit auch funktionieren.
Alles in allem scheinst du einen Denkfehler zu machen. Konfiguriere doch einfach alles mal exakt nach den Bildern, mit Ausnahme der Outbound Domains und dem STUN Server. Und in Bild 1, die NAT Regel, legst du exakt so an mit der Zieladresse 127.0.0.1.
Wetten es funktioniert dann? ;)
Dafür habe ich ja eine Bilderanleitung gemacht damit jeder die Schritte einfach nachvollziehen kann.
-
Hi,
Also habe die IP auf 127.0.0.1 geändert, ging erst nicht, dann mal die Firewall rebooted, weil 'reboot tut gut' und siehe da es geht
-
Hi,
Also habe die IP auf 127.0.0.1 geändert, ging erst nicht, dann mal die Firewall rebooted, weil 'reboot tut gut' und siehe da es geht
Dann wünsche ich dir einen schönen Sonntag mit dem neuen Spielzeug. ;D
-
Hi,
Also habe die IP auf 127.0.0.1 geändert, ging erst nicht, dann mal die Firewall rebooted, weil 'reboot tut gut' und siehe da es geht
Vermutlich weil die SIP schon im Tracking war und dann das NAT nur für neue Verbindungen gilt. Der Reboot hat dann die Verbindung getrennt.
I.d.R braucht die Firewall keinen Reboot :)
-
Ich hab jetzt siproxd am Laufen, aber irgendwie möchte meine 7490 den nicht :'(
Phoner am PC klappt, 7490 nicht.
Einstellungen von Phoner sehen so aus:
Benutzername: 49MEINERUFNUMMER HÄKCHEN
Passwort: MEINPASSWORT
Proxy/Registrar: 192.168.176.1
Registrierung: Aktiviert
Lokaler Port: 5060
STUN Server: 127.0.0.1
Realm: 1und1.de
Telefonnummer: 49MEINERUFNUMMER
Einstellungen an der 7490 sehen so aus:
Benutzername: 49MEINERUFNUMMER
Kennwort: MEINPASSWORT
Registrar: 1und1.de (nicht geändert)
Proxy-Server: 192.168.176.1
STUN-Server: 127.0.0.1 < kann man nicht leer lassen weil sonst immer das drinne steht was vorher drinne war
-
Du musst in deiner FritzBox dann auch die 1und1 Vorlage auf Benutzerdefiniert umstellen. In der Erweiterten Ansicht. Dann bleibt das Feld leer.
Außerdem beachte bitte die Einstellungen von 1und1: https://hilfe-center.1und1.de/dsl-hardware-c85325/fremd-hardware-c85411/konfigurationsdaten-1und1-telefonie-a796046.html
Der Registrar ist SIP.1und1.de. Nicht 1und1.de.
Den STUN Server im Phoner leer lassen.
Den Stun Server von Siproxd auf: stun.1und1.de setzen.
Die FritzBox braucht den STUN nicht. Daher ist es egal ob der von 1und1 drinne steht.
Probiere bitte mal diese Einstellungen aus.
-
Alles schon probiert...
Die Fritzbox stellt automatisch auf die 1und1 Vorlage sobald irgendwo was von 1und1 steht, auch wenn ich eine neue Rufnummer anlege und "Anderer Anbieter" auswähle.
Das STUN Feld bleibt nur leer wenn man ein Leerzeichen rein schreibt, ansonsten steht immer wieder das drin, was vor der "Löschung" drin stand.
Das gleiche Phänomen ist auch bei Phoner vorhanden, da funktioniert es aber einfach irgendwas rein zu schreiben, bei der Fritzbox scheinbar nicht.
Bei den von Werk installierten Rufnummern ist übrigens 1und1.de als Registrar eingetragen und nicht sip.1und1.de, habe aber selbstverständlich beides ausprobiert.
Funktioniert leider wie gesagt nur via Phoner, dort aber anscheinend wirklich über siproxd, weil beim Stoppen des Services auf OPNsense keine Verbindung mehr funktioniert.
-
Alles schon probiert...
Die Fritzbox stellt automatisch auf die 1und1 Vorlage sobald irgendwo was von 1und1 steht, auch wenn ich eine neue Rufnummer anlege und "Anderer Anbieter" auswähle.
Das STUN Feld bleibt nur leer wenn man ein Leerzeichen rein schreibt, ansonsten steht immer wieder das drin, was vor der "Löschung" drin stand.
Das gleiche Phänomen ist auch bei Phoner vorhanden, da funktioniert es aber einfach irgendwas rein zu schreiben, bei der Fritzbox scheinbar nicht.
Bei den von Werk installierten Rufnummern ist übrigens 1und1.de als Registrar eingetragen und nicht sip.1und1.de, habe aber selbstverständlich beides ausprobiert.
Funktioniert leider wie gesagt nur via Phoner, dort aber anscheinend wirklich über siproxd, weil beim Stoppen des Services auf OPNsense keine Verbindung mehr funktioniert.
Dann probiere doch mal diese Lösung (https://www.dropbox.com/sh/o5px7n1aww42tl6/AADGtRWHAeW-ap3ptt_t4ZO9a/Deutsche_Telekom_Privatkunden?dl=0&subfolder_nav_tracking=1) ist zwar für die Telekom, lässt sich aber im Prinzip genauso für 1und1 nutzen, was geändert werden muss ist der STUN Server in der Konfig, eben auf stun.1und1.de und in den outbound Domains muss als Name="1und1.de" als Realm und als HOST="sip.1und1.de" als Registrar eingetragen werden. In der Fritzbox änderst du jetzt aber nichts. Außer das du bei den Rufnummern alles auf 1und1 Standard belässt in deinem Änderungsfall bitte zurücksetzen. So läuft Siproxd dann Transparent ohne das du etwas in deinen Endgeräten als Proxy eintragen musst.
-
Funktioniert auch nicht :'(
Wie habt ihr die Fritzbox denn ans Netzwerk angeschlossen?
Ich hab sie als "vorhandener Zugang über LAN" konfiguriert und an LAN 1 das Netzwerk angeschlossen.
-
Funktioniert auch nicht :'(
Wie habt ihr die Fritzbox denn ans Netzwerk angeschlossen?
Ich hab sie als "vorhandener Zugang über LAN" konfiguriert und an LAN 1 das Netzwerk angeschlossen.
Eine FritzBox von einem Bekannten habe ich genauso wie du es schreibst an 1und1 mit OPNsense über Siproxd angebunden. Deshalb wundert es mich das es so auch nicht bei dir funktioniert.
Ich kann am Wochenende aber mal bei meinem bekannten in die Konfig schauen, villeicht könntest du mal ein paar Screenshots reinstellen damit ich einen vergleich habe.
Gruß
NR
-
Funktioniert auch nicht :'(
Hast Du denn hinter der Opnsense mehrere SIP-Endgeräte, welche sich über NAT zum Registrar im Internet verbinden müssen? Falls nicht (z. B. nur eine Fritzbox im LAN), ist der Sipproxy nicht zwingend notwendig. Ich habe ihn bei mir wieder rausgenommen, funktioniert mit der Fritzbox 7490 sowie 1&1 einwandfrei
-
Erst einmal großen Dank an NicholasRush, deine Bildanleitungen sind super, hat mir sehr geholfen.
Mein Setup: Telekom DSL und VOIP, OPNsense hinter einem DSL-Modem im Bridge-Modus, Fritz!Box 7320 (nur für VoIP) mit zwei Fritz!Fons direkt hinter der OPNsense. Ich kann sowohl raus telefonieren als auch angerufen werden: so weit so gut!
Einziges Problem: eingehende Nummern haben das falsche Format. Statt 049111111 werden die Nummern als 49111111 angezeigt. Telefonieren klappt, man kann aber logischerweise nicht zurück rufen und die Nummern werden auch nicht gegen das hinterlegte Telefonbuch gematcht.
Da die Nummern ohne SIPROXD (static NAT auf der OPNsense box) korrekt durch kamen, gehe ich davon aus, dass hier SIPROXD den Fehler verursacht. Ich finde aber keine passende Option. Hat jemand eine Idee?
-
Einziges Problem: eingehende Nummern haben das falsche Format. Statt 049111111 werden die Nummern als 49111111 angezeigt. Telefonieren klappt, man kann aber logischerweise nicht zurück rufen und die Nummern werden auch nicht gegen das hinterlegte Telefonbuch gematcht.
Tritt dieses Problem denn bei jedem Anruf auf, oder nur partiell. Und wo taucht das in der FritzBox auf, im Telefonbuch oder auf der Diagnose Seite?
Gruß
NR
-
>> Tritt dieses Problem denn bei jedem Anruf auf, oder nur partiell.
Es tritt zumindest bei den beiden Mobilnummern (Telekom und O2) auf, mit denen ich es gestern testen konnte. Beide Nummern hatten das Verhalten vor Umstellung auf SIPROXD nicht gezeigt.
>> Und wo taucht das in der FritzBox auf, im Telefonbuch oder auf der Diagnose Seite?
Die Nummern werden so auf den Mobilteilen angezeigt. Dort wird ja normalerweise für bekannte Nummern der hinterlegte Name aus dem Telefonbuch der Fritz!Box angezeigt. Auch auf der Fritz!Box in der Anrufshistorie sieht man die Nummern "falsch" in der Anrufsübersicht auf der Übersichtsseite (siehe Screenshot). Unter Diagnose finde ich nichts passendes, dort habe ich nur die Unterseiten "Funktion" und "Sicherheit"...
-
"Diagnose" war von mir blöd ausgedrückt... Ich meinte Tatsächlich "Telefonie -> Eigene Rufnummer -> Sprachübertragung". Da ich keine FritzBox mehr nutze, kenne ich die Menüstruktur leider nicht mehr so auswendig.
-
Dort wird +49xxxx angezeigt... siehe Anhang. Auf der Übersichtsseite wieder nur 49xxxx :/
-
Dort wird +49xxxx angezeigt... siehe Anhang. Auf der Übersichtsseite wieder nur 49xxxx :/
Sieht so aus als wenn Siproxd die CallerID umschreibt. Denn das ist die Rufnummer die auch im Fbox Telefonbuch auftaucht.
Du könntest einfach mal versuchen bei allen Plugins vom Siproxd "Enable fix_bogus_via plugin", "Enable fix_DTAG_networks plugin" und "Enable fbox_anoncall_networks plugin" den Haken wegzunehmen und die Plugins damit zu deaktivieren. Evtl. bearbeitet eines dieser Plugins den Sip Header mehr als er sollte. Auch wenn das Rufnummernformat ohne "0" also "49xxx" eigentlich richtig ist und ein "049xx" dagegen falsch wäre. Also was Siproxd hier korrigiert ist eigentlich richtig. Wenn du eine Nummer wählst Signalisierst du mit "00" das jetzt eine Rufnummer im Internationalen Format kommt. Bei einer Landesweiten Vorwahl dagegen nur mit "0". Und eine Ortsrufnummer beginnt direkt mit "1-9" und nicht mit "0". Und hier ist auch richtig das die Rufnummer umformatiert wird:
Beispiel:
Rufnummer: 1234567
Ort: 0211 (211)
Land: 0049 (49)
Du wählst jetzt innerhalb des Ortes: 1234567
Der Angerufene dagegen hat die wirkliche Nummer: 492111234567
Hoffe das das so verständlich erklärt ist. Also eigentlich wäre das Format so sogar das Richtige.
Der Unterschied damals zu heute ist ja, das es damals noch wirklich Ortsnetze gab. Heute ist alles Länder bezogen und so hat die Rufnummer in Wirklichkeit auch immer ein Internationales Format. Man kann notfalls aber bestimmt das Verhalten der FritzBox daran anpassen. Es ist halt auch von VOIP Anbieter zu Anbieter verschieden wie das Rufnummernformat übertagen wird. Die einen Schreiben innerhalb des Ortes wirklich nur "1234567" und andere eben das Standardisierte Internationale Format.
-
Sieht so aus als wenn Siproxd die CallerID umschreibt. [...]
Danke für die ausführliche Erklärung!
Ich habe gestern noch etwas recherchiert und probiert. Die Plugins habe ich in verschiedenen Kombinationen aus und an geschaltet, halt aber nichts. Im Endeffekt habe ich einen dann einen alten Eintrag im ip-hone-forum gefunden, in dem mit der Zeichenkette 00*;0*49;0*0;00*00 als Suffix ein Workaround beschrieben wurde. Und zumindest in meinen Testfällen funktioniert das.
Ich frage mich jetzt, ob tatsächlich SIPROXD die Nummer abändert oder ob der Effekt nun auftaucht, weil ich in der Fritz!Box nun das "Benutzerdefiniert" Profil statt "Telekom" benutze. Evtl. Hat "Telekom" ja diese oder eine andere Tauschregel eingebraut?
-
Ich frage mich jetzt, ob tatsächlich SIPROXD die Nummer abändert oder ob der Effekt nun auftaucht, weil ich in der Fritz!Box nun das "Benutzerdefiniert" Profil statt "Telekom" benutze. Evtl. Hat "Telekom" ja diese oder eine andere Tauschregel eingebraut?
Es scheint genauso zu sein, wie du festgestellt hast. siehe hier: https://telekomhilft.telekom.de/t5/Telefonie-Internet/Eingehende-Rufnummernanzeige-falsch/td-p/875969 (https://telekomhilft.telekom.de/t5/Telefonie-Internet/Eingehende-Rufnummernanzeige-falsch/td-p/875969)
https://avm.de/service/fritzbox/fritzbox-7530/wissensdatenbank/publication/show/3390_Bei-ankommenden-Anrufen-wird-der-Name-des-Anrufers-nicht-angezeigt/ (https://avm.de/service/fritzbox/fritzbox-7530/wissensdatenbank/publication/show/3390_Bei-ankommenden-Anrufen-wird-der-Name-des-Anrufers-nicht-angezeigt/)
Ist zwar hier für die 7530 beschrieben, sollte aber auch für die Vormodelle mit VOIP gelten.
Anleitung:
Unter "Telefonie -> Eigene Rufnummer" in den jeweiligen Telekom Rufnummern die Vorlage von "Telekom" auf "anderer Anbieter" ändern, damit alle Felder angezeigt werden. Unter "Rufnummernformat anpassen" befindet sich ein Feld namens "Suffix für Internetrufnummern", dort bitte folgendes eintragen: 00*;0*49;0*0;00*00 Danach sollten die Rufnummern richtig angezeigt werden.
Bitte auch den oben verlinkten AVM Artikel dazu beachten, denn dort steht welches Rufnummernformat das Telefonbuch der FritzBox unterstützt.
-
Hallo zusammen,
leider komme ich hier nicht weiter, und bin mir ziemlich unsicher, ob es die OPNsense ist oder es auf Providerseite Probleme gibt.
Den SIPproxy habe ich hier nach den Anleitungen und Bildern aus diesem Thread eingerichtet. Telefon funktioniert auch. WIr haben 3 Nummern die registriert werden müssen. Dabei kommt es immer wieder zu Problemen. unter anderen meldet die Fritz!Box immer wieder "Anmeldung der Internetrufnummer [Rufnummer] war nicht erfolgreich. Gegenstelle meldet Ursache: [404].". Meist hilft da ein Neustart der OPNsense. Wenn dann die Rufnummer regestriert werden können, fällt nach kuzer Zeit 1 der 3 Nummern wieder aus. DIe anderen bleiben bestehen, man kann raus und reintelefonieren. Woran kann es liegen?
-
Hast du in der FritzBox das Telekom Profil benutzt oder den Zugang Manuell konfiguriert?
Auch sollte der Sipproxd Transparent laufen, sodass in der FritzBox kein Eintrag gemacht werden muss um diesen zu nutzen.
Den SIPproxy habe ich hier nach den Anleitungen und Bildern aus diesem Thread eingerichtet. Telefon funktioniert auch. WIr haben 3 Nummern die registriert werden müssen. Dabei kommt es immer wieder zu Problemen. unter anderen meldet die Fritz!Box immer wieder "Anmeldung der Internetrufnummer [Rufnummer] war nicht erfolgreich. Gegenstelle meldet Ursache: [404].". Meist hilft da ein Neustart der OPNsense. Wenn dann die Rufnummer regestriert werden können, fällt nach kuzer Zeit 1 der 3 Nummern wieder aus. DIe anderen bleiben bestehen, man kann raus und reintelefonieren. Woran kann es liegen?
-
Also so richtig schlau werde ich daraus nicht. Ich habe alle möglichen Konfigurationen versucht, es bleibt dabei: Die Nummern sind alle hinterlegt und angemeldet in der Fritz!Box. Anschließend habe ich mich strikt an diesen Thread und die verlinkten Bildern gehalten. Dabei stoße ich immer wieder auf ein Problem; und zwar wenn ich in den Outbound NAT Regeln als NAT Adresse das WAN Interface angeben möchte, bekomme ich die Fehlermeldung, dass ich ein gültige IP Adresse angeben muss.
Telefon funktioniert für 10 Minuten samt Stimme, danach kommt bei anrufen immer direkt die Mailbox.
In der Fritz!Box habe ich beide Optionen schon versucht, also mit der Telekom Konfiguration und mit der Manuellen.
Könnt ihr nochmal die Schritte im Detail erklären? Ich weiß nicht wo ich einen Denkfehler habe.
-
Also so richtig schlau werde ich daraus nicht. Ich habe alle möglichen Konfigurationen versucht, es bleibt dabei: Die Nummern sind alle hinterlegt und angemeldet in der Fritz!Box. Anschließend habe ich mich strikt an diesen Thread und die verlinkten Bildern gehalten. Dabei stoße ich immer wieder auf ein Problem; und zwar wenn ich in den Outbound NAT Regeln als NAT Adresse das WAN Interface angeben möchte, bekomme ich die Fehlermeldung, dass ich ein gültige IP Adresse angeben muss.
Telefon funktioniert für 10 Minuten samt Stimme, danach kommt bei anrufen immer direkt die Mailbox.
In der Fritz!Box habe ich beide Optionen schon versucht, also mit der Telekom Konfiguration und mit der Manuellen.
Könnt ihr nochmal die Schritte im Detail erklären? Ich weiß nicht wo ich einen Denkfehler habe.
Also die Outbound NAT Regel brauchst du nur dann, wenn du Siproxd nicht benutzt.
Wenn du Siproxd benutzt und Transparent einsetzt, wie in meiner Bilderanleitung beschrieben, dann musst du das https://www.dropbox.com/sh/o5px7n1aww42tl6/AADGtRWHAeW-ap3ptt_t4ZO9a/Deutsche_Telekom_Privatkunden?dl=0&preview=NAT_REDR_RULE_Siproxd_Transparent.PNG&subfolder_nav_tracking=1 (https://www.dropbox.com/sh/o5px7n1aww42tl6/AADGtRWHAeW-ap3ptt_t4ZO9a/Deutsche_Telekom_Privatkunden?dl=0&preview=NAT_REDR_RULE_Siproxd_Transparent.PNG&subfolder_nav_tracking=1)
Als Portweiterleitung eintragen, also "Port Forwarding". Dann werden automatisch alle ausgehenden SIP Anfragen aus deinem Netz über den Siproxd abgewickelt ohne das du das deinen Endgeräten extra bekanntgeben musst.
Die Ziel IP ist in diesem Falle deine Adresse der LAN Schnittelle deiner OPNsense oder "127.0.0.1". Beides sollte funktionieren.
Gruß
NR
-
Grüße.
Ich versuche seit zwei Tagen bei nem Kumpel auch Telekom VoIP bei zum Laufen zu bekommen.
Aber irgendwie scheitert es zum Teil.
Ich hab den SIPproxd nicht ganz verstanden...
Was soll denn beim Reiter "users" rein?
Wenn ich den dann aktiviere, steht bei 'current registrations' viele Zeilen mit ****:0:0
Die Telekom hat doch die RTP Geschichte auf Port 10000:10100 laufen oder?
Und wenn der SIPproxd aktiviert ist, was muß dann in den Telefonieserver/SIPClient rein?
Die IP vom SIPproxd oder weiterhin Telekom?
Ich habs mal mit nem PortForward versucht.
Es kommen alle Gespräche rein und laufen auch durch, aber nur jeder "vierte" Anruf nach draußen hat ne Sprachübertragung.
Weiterhin glaube ich , daß da Angriffe drüber kommen.
-
Grüße.
Ich versuche seit zwei Tagen bei nem Kumpel auch Telekom VoIP bei zum Laufen zu bekommen.
Aber irgendwie scheitert es zum Teil.
Ich hab den SIPproxd nicht ganz verstanden...
Was soll denn beim Reiter "users" rein?
Wenn ich den dann aktiviere, steht bei 'current registrations' viele Zeilen mit ****:0:0
Die Telekom hat doch die RTP Geschichte auf Port 10000:10100 laufen oder?
Und wenn der SIPproxd aktiviert ist, was muß dann in den Telefonieserver/SIPClient rein?
Die IP vom SIPproxd oder weiterhin Telekom?
Ich habs mal mit nem PortForward versucht.
Es kommen alle Gespräche rein und laufen auch durch, aber nur jeder "vierte" Anruf nach draußen hat ne Sprachübertragung.
Weiterhin glaube ich , daß da Angriffe drüber kommen.
Wenn du die Bilderanleitung 1:1 befolgt hast, sollte alles ohne Probleme funktionieren. Der Siproxd ist ein Sicherheitsgewinn, da einkommende SIP Pakete, die über die WAN Schnittelle empfangen werden, so am Siproxd münden und eben nicht zum Endgerät (FritzBox) etc. weitergleitet werden, außer ein Endgerät authentifiziert sich an einem Sip-Server im Internet. Und man wird über diesen Server angerufen. Diese Verbindung kann Siproxd dann zuordnen. Alle anderen nicht. Diese werden vom Siproxd dann ignoriert.
Die ganze Konstellation ist also definitiv ein Sicherheitsgewinn.
Dadurch das du den Siproxd Transparent konfiguriert hast mit der Portforwarding Regel, musst du auch in den Clients nichts eintragen.
Die NAT Adresse in der Port Forwarding Regel ist außerdem die Adresse deines LAN Interfaces. Oder der Localhost "127.0.0.1". Das kannst du dir aussuchen. Falls du dort die Adresse eingetragen hast die ich in die Bilderanleitung geschrieben habe. Wundern mich deine Probleme nicht, denn so gehen alle Anrufe momentan am Siproxd vorbei.
Den "users" Tab benötigst du gar nicht. Denn sonst muss sich dein Endgerät noch am Siproxd authentifizieren. Aber das muss dein Endgerät auch unterstützen, ist aber bei den meisten nicht der Fall daher kannst du den ignorieren.
Gruß
NR
-
Hat jemand Erfahrungen mit den VOIP Einstellungen bei Vodafone / Kabel Deutschland?
Stehe vor der Einrichtung und bin quasi noch ganz am Anfang.
-
Hat jemand Erfahrungen mit den VOIP Einstellungen bei Vodafone / Kabel Deutschland?
Stehe vor der Einrichtung und bin quasi noch ganz am Anfang.
Noch nicht, wenn hast du mal bei Vodafone selber geschaut?
Was OPNsense betrifft sind es ja nur die VOIP Ports die geöffnet und weitergleitet werden müssen.
-
Noch nicht, wenn hast du mal bei Vodafone selber geschaut?
Was OPNsense betrifft sind es ja nur die VOIP Ports die geöffnet und weitergleitet werden müssen.
Vodafone bringt mich leider echt auf die Palme. Die geben die SIP Daten nur raus, wenn man am Anschluss ein Fremdgerät anschließt und aktiviert. Da ich aber deren Router benutze geben die mir die Daten nicht raus.
Die Sagen einem in der Hotline leider nur, das es technisch nicht möglich ist, was halt auch Schwachsinn ist. :(
-
Das ist zwar schade, aber sage den doch einfach das du ein Fremdgerät nutzen möchtest. Denn wenn du die Zugangsdaten einmal hast, solltest du doch keine Probleme mehr haben.
-
Hallo zusammen,
ich bin auch gerade dabei VOIP einzurichten. Funktioniert mit siproxd bis auf die doppelte Sprache.
Ich höre mich am Telefon selbst.
Das passiert nicht nur an meinem Telefon, sondern auch beim Empfänger. Die Sprache wird sozusagen an den Empfänger geschickt und auch an mich selbst. Genauso hört sich der Angerufene selbst. Wenn extern ein Gespräch eingeht, hört sich der Anrufer auch selbst.
Ich habe ein Gigaset 530 IP und einen Anschluss bei 1und1. Eine Fritzbox hängt nicht im System.
Den Outbound Proxy habe ich nicht im Telefon eingetragen. Alle Einstellung für die OPNsene stammen aus den Vorgaben der Bilder.
Evtl. hat jemand eine Idee.
-
Hallo zusammen,
ich bin auch gerade dabei VOIP einzurichten. Funktioniert mit siproxd bis auf die doppelte Sprache.
Ich höre mich am Telefon selbst.
Das passiert nicht nur an meinem Telefon, sondern auch beim Empfänger. Die Sprache wird sozusagen an den Empfänger geschickt und auch an mich selbst. Genauso hört sich der Angerufene selbst. Wenn extern ein Gespräch eingeht, hört sich der Anrufer auch selbst.
Ich habe ein Gigaset 530 IP und einen Anschluss bei 1und1. Eine Fritzbox hängt nicht im System.
Den Outbound Proxy habe ich nicht im Telefon eingetragen. Alle Einstellung für die OPNsene stammen aus den Vorgaben der Bilder.
Evtl. hat jemand eine Idee.
Evtl. liegt es am STUN Server und die Outbound Proxy Einstellungen solltest du auf automatisch stellen.
-
Das Problem sitz vor der OPNsense, wie schon die letzten 2 Wochen seit ich die Firewall habe. Alles funzt perfekt.
Für 1und1 können deine Voreinstellungen der Telekom ohne Änderungen übernommen werden. Ich habe auch noch den Voice Dienst von nexxtmobile eingebunden.
Würde es eigentlich gehen die Telefonie vom LAN in ein VLAN zu verlegen ?
Die offenen Ports im LAN gefallen mir gar nicht, auch wenn siproxd noch eine Sicherheitsschicht darstellt.
Für alle die vor der gleichen Aufgabe stehen noch ein paar Bilder zu den Einstellungen in siproxd und im Gigaset.
-
Das Problem sitz vor der OPNsense, wie schon die letzten 2 Wochen seit ich die Firewall habe. Alles funzt perfekt.
Für 1und1 können deine Voreinstellungen der Telekom ohne Änderungen übernommen werden. Ich habe auch noch den Voice Dienst von nexxtmobile eingebunden.
Würde es eigentlich gehen die Telefonie vom LAN in ein VLAN zu verlegen ?
Die offenen Ports im LAN gefallen mir gar nicht, auch wenn siproxd noch eine Sicherheitsschicht darstellt.
Für alle die vor der gleichen Aufgabe stehen noch ein paar Bilder zu den Einstellungen in siproxd und im Gigaset.
In ein VLAN verlegen kannst du das natürlich ohne Probleme wenn du möchtest. Evtl. kannst du bei dann bei 1und1 auch den siproxd immer als Outbound Proxy eintragen. Das unterstützt nur leider nicht direkt jedes Endgerät deins schon. So brauchst du auch keine Transparent regel. Auch wenn ich immer empfehle die drin zu lassen.
-
Leider funktioniert es immer noch nicht. Ich habe bereits die Firewall einmal auf factoy default zurückgesetzt und habe ganz genau die Anleitung befolgt. Ohne Erfolg. Die Nummern werden nicht registriert und wenn man versucht anzurufen, dann kommt nur die Ansage vom Anrufbeantworter. Wenn ich auch versuche in der Fritz!Box 7530 (Version 7.03) den STUN-Server Eintrag zu löschen, wird ein Kennwort gefordert. Somit stellt sich das System auch immer wieder zurück. Port Forward, LAN + WAN Rules habe ich alles nach der Anleitung eingestellt.Wie ich es auch versuche, VoIP funktionert leider nicht. Ich möchte euch bitten , dass ihr mir eine detailierte Anleitung samt Bilder noch einmal zur Verfügung zu stellt.
-
Leider funktioniert es immer noch nicht. Ich habe bereits die Firewall einmal auf factoy default zurückgesetzt und habe ganz genau die Anleitung befolgt. Ohne Erfolg. Die Nummern werden nicht registriert und wenn man versucht anzurufen, dann kommt nur die Ansage vom Anrufbeantworter. Wenn ich auch versuche in der Fritz!Box 7530 (Version 7.03) den STUN-Server Eintrag zu löschen, wird ein Kennwort gefordert. Somit stellt sich das System auch immer wieder zurück. Port Forward, LAN + WAN Rules habe ich alles nach der Anleitung eingestellt.Wie ich es auch versuche, VoIP funktionert leider nicht. Ich möchte euch bitten , dass ihr mir eine detailierte Anleitung samt Bilder noch einmal zur Verfügung zu stellt.
Hast du auch beachtet das die Port Forward Regel mit Zielport 5060 auf die LAN IP deiner OPNsense zeigt?
Ansonsten kann ich mir solche Probleme wie du hier beschreibst nicht vorstellen.
Auch bekommst du keine Fehlermeldung 404 von deiner Gegenstelle wenn es an Siproxd läge. Da muss etwas mit deinem Benutzernamen oder Kennwort falsch gelaufen sein.
-
Also ich schaffe es zwar, dass sich die Nummer registrieren - hier im Bild (1), dennoch kann ich nicht anrufen oder angerufen werden. Es meldet sich direkt die Mailbox ohne ein Rufzeichen. Wenn ich nach den Bildern die OPNsense konfiguriert, erhalte ich bspw. bei den LAN Rules automatisch den Rule Eintrag für die NAT konfiguration. Das ist auf deinen Bildern auch nicht zu sehen. Hier im Bild (2). Die Destination IP ist die selbe, mit der ich aus dem LAN auf die OPNsense zugreife (192.168.X.X / Standart wäre 192.168.1.1). Noch einmal auf deine Eingangsfrage bezogen: in der Fritz!Box 7530 nutze ich unter Telefonie -> Eigene Rufnummern -> Rufnummer bearbeiten die Anmeldedaten der Telekom. Diese lassen sich auch nicht ändern. Wenn ich den Telefonanbieter auf Anderen Anbieter umstelle, den STUN-Server ändere, dann verlangt die Fritz!Box von mir ein Kennwort. Hier im Bild (3). Das Kennwort bzw. den Benutzername kann ich den Zugangsdaten der Telekom entnehmen; soweit ich das richtig verstanden habe. Dazu habe ich mir das hier angeschaut:https://telekomhilft.telekom.de/t5/All-IP-das-digitale-Netz/Zugangsdaten-fuer-die-Einrichtung-von-SIP-Geraeten/td-p/2585255 (https://telekomhilft.telekom.de/t5/All-IP-das-digitale-Netz/Zugangsdaten-fuer-die-Einrichtung-von-SIP-Geraeten/td-p/2585255). Wenn ich Daten dann eingebe und bestätige, dann wechselt die Fritz!Box die Daten wieder und der STUN-Server bleibt hinterlegt.
Kannst du mir da weiterhelfen? Vielen Dank an dieser Stelle für die ganze Mühe und die schnellen Rückmeldungen!
Beste Grüße,
david
-
Bild 2
-
Bild 3
-
Mal eine andere frage, wie kommt die OPNsense bei dir ins Internet über direkte PPPoE Einwahl oder mit vorgeschaltetem Router? Wenn du einen vorgeschalteten Router hast könnte das wegen den beiden Firewalls ebenso ein Problem sein.
-
Über PPPoE. Hab nur ein Modem davor. Die OPNsense geht dann in die Switch und von da aus dann an die Clienten. Wäre es sinnvoll die Fritz!Box als TK-Anlage und AP direkt an die OPNsense zu verbinden? Liegt da das Problem unter umständen? Die Switch ist eine Managed Switch.
-
Hast du den Managed Switch konfiguriert? Oder ist dieser in irgendeiner Form konfiguriert? Das Problem könnten hier Port basierte ACLs sein. Muss nicht, gehe davon auch nicht aus. Soll dir nur helfen den Fehler mal einzugrenzen.
Denn du bist der Einzige hier im Forum der bisher diese immensen Probleme mit der OPNsense und Siproxd und VOIP von der Telekom hat. Macht zumindest bei mir so den Eindruck. Tut mir allerdings auch leid das ich bisher auf keine Lösung bei dir komme. Sollte es allerdings doch an Siproxd liegen, dann müssten hier im Forum wohl noch mehr Leute Probleme haben, die Sie nicht melden und von denen ich dann nichts wissen kann.
Alternativ reichst du die Ports die die FritzBox für VOIP benötigt einfach komplett durch. Dann würde es sich aber anbieten die FritzBox an ein eigenes Interface der Sense zu hängen und sie von deinem LAN zu isolieren. Ob VLAN Interface oder Physikalisches (sofern vorhanden überlasse ich dann dir). Evtl. wäre das für dich dann sogar die beste Lösung.
-
Also ich habe als Modem ein Netgear DM200 im Bridge Mode. Dort gibt esdie Möglichkeit "Passtrough VLAN" auszuwählen. Das habe ich bisher nicht aktiviert gehabt Leider funktioniert die PPPoE Einwahl dann nicht mehr wie gewünscht, wenn ich das Häckchen setze. Liegt es vielleicht daran? Ich werde mir jetzt erst einmal die Abhilfe schaffen, indem ich die Fritz!box als DMZ für VoIP und WLAN (bisher keine anderen APs im Haus) vor die OPNsense schalte und einige Clienten per Kabel an die Switch hinter der Firewall. Ist nicht die eleganteste Lösung aber ich probiere es natürlich weiterhin mit siprox und der Fritz!Box hinter der Firewall.
-
Also ich habe als Modem ein Netgear DM200 im Bridge Mode. Dort gibt esdie Möglichkeit "Passtrough VLAN" auszuwählen. Das habe ich bisher nicht aktiviert gehabt Leider funktioniert die PPPoE Einwahl dann nicht mehr wie gewünscht, wenn ich das Häckchen setze. Liegt es vielleicht daran? Ich werde mir jetzt erst einmal die Abhilfe schaffen, indem ich die Fritz!box als DMZ für VoIP und WLAN (bisher keine anderen APs im Haus) vor die OPNsense schalte und einige Clienten per Kabel an die Switch hinter der Firewall. Ist nicht die eleganteste Lösung aber ich probiere es natürlich weiterhin mit siprox und der Fritz!Box hinter der Firewall.
Hallo Homewire, nein so wie du die Einwahl konfiguriert hast ist das schon OK. VLAN kann dein Modem automatisch erkennen. Am besten wäre du würdest dir einen WLAN AP zulegen und die FritzBox nur noch für VOIP nutzen.
-
Guten Abend,
ich bin ein wenig am verzweifeln aber vielleicht kann mir hier jemand helfen. Ich hab schon ein Posting hier https://forum.opnsense.org/index.php?topic=12623.0 bin aber mit Siproxed ein Stück weiter. Mein Problem als Anfänger ist, dass ich nur teilweise die einzelnen Aktionen nachvollziehen kann .... aber ich bin am Lernen ;-)
Status:
Siproxd:
Unter Current registrations sehe ich 5 Einträge:
0:13413443 (als Beispiel)
1: 123413434,
sip:meine Rufnummer@meine IP Fritzbox;uniy=134141234,
sip:meine Rufnummer@WAN IP Opnsense,
sip:meine Rufnummer@telekom.at
Somit glaube ich, dass sich Siproxd erfolgreich mit den Anmeldedaten der FB VoIP registriert hat.
Die FB hat sich allerdings nicht registriert.
Unter "anderer VOIP Anbieter" habe ich 4 Anmeldefelder:
Benutzername: meine Rufnummer
Kennwort: mein Kennwort
Registrar: *.telekom.at
Proxy-Server: meine IP der OPNsense
wenn ich nun beim Registrat "meine IP der OPNsense" eintrage registriert sich interessanterweise die FB Nummer aber ich kann weder wegrufen noch angerufen werden.
Warum registriert sich die FB? Es gibt keinen Hinweis auf die IP Adresse des Registrar bei der Telekom.
Port Forwarding habe ich wie beschrieben eingetragen:
Interface: LAN
Protocol: UDP
Address: LAN net
Ports: *
Destination: IP OPNSense
Ports: 5060 (SIP)
NAT: IP OPNSense
Ports: 5060 (SIP)
Jede Hilfe / Hinweis ist herzlich willkommen.
-
Hallo ojessie,
du hast einen sehr einfachen Fehler gemacht, du versuchst mit deiner Konfiguration der FritzBox deine VOIP Accounts am Siproxd zu registrieren statt über diesen den Anbieter Server zu kontaktieren.
Denn der Sipproxd nimmt intern vom LAN deiner Sense jede Art von Registration entgegen, was nicht gleich bedeutet, das man nachher auch telefonieren kann.
Richtig wäre in deinem falle alles nach der Bildanleitung von mir zu konfigurieren und in den Telekom Einstellungen der FritzBox nichts zu ändern. Das brauchst du nämlich dann gar nicht mehr.
Gruß
NR
-
Hallo Nicholas,
Danke für deine Unterstützung ... leider funktioniert das nicht bei mir. Es funktioniert nicht mit der "standard" Anmeldung der FB für A1 noch mit der "anderer Anbieter". Mike hat mir auch schon versucht zu helfen bis jetzt ohne Erfolg.
Es scheint, das ich die SIP Ports nicht nach außen krieg ... meine States
all udp 127.0.0.1:5060 (192.168.1.1:5060) <- 192.168.1.6:5060 NO_TRAFFIC:SINGLE
127.0.0.1 ist die OPNsense und 192.168.1.6 ist die FB
lg
-
Update das sind meine aktuellen udp States
all udp 10.0.0.1:5060 -> 193.81.4.68:5060 MULTIPLE:MULTIPLE
all udp 127.0.0.1:5060 (193.81.4.68:5060) <- 192.168.1.6:5060 NO_TRAFFIC:SINGLE
all udp 192.168.1.1:5060 -> 192.168.1.6:5060 MULTIPLE:MULTIPLE
10.0.0.1 ist die OPNSense, WAN
127.0.01 und 192.168.1.1 OPNsense LAN
192.168.1.6 FB
-
Der einzige Unterschied der mir auffällt ist dein Port Forward startet mit einem Doppel Pfeil meine mit einem Pfeil nach rechts? Kann es das sein? und falls ja was bedeutet das und wie kann ich das ändern.
-
Ich verzweifel auch noch Telekom VOIP. Danke für die Anleitung aber evtl. ist noch ein Wurm drin.
Kurz zu meinem Setup: Draytek Vigor VDSL Modem (250/40 Mbit/s Telekom Business) -> OPNSense -> Netzwerk (u.a. mit einer Fritzbox 7390 als Telefonanlage).
Ich hab es nun auch so wie in deinen Bildern eingerichtet, statt der 192.168.230.20 eben 127.0.0.1 eingetragen beim Port Forward.
Der Port Forward ist ja dazu da, dass transparent alle Anfragen ausm LAN an Port 5060 umgebogen werden und direkt auf der OPNSense landen und nicht rausgehen, korrekt?
Die LAN Firewall Reglen im zweiten Bild sollten nur notwendig sein wenn man sonst gewisse Zugriffe sperrt oder?
Zumal bei mir durch die Port Forward Regel auch noch eine weitere Regel mit Description NAT hinzugefügt wurde (automatisch):
IPv4 UDP LAN net * 127.0.0.1 5060 (SIP) * NAT
Bild 3 regelt, dass Anfragen auf die Ports SIP und RTP auch eingehend von der OPNSense akzeptiert werden.
Siproxd Settings 1:1 übernommen aber die DTAG Netze noch erweitert, da ich im tcpdump gesehen hab, dass auch mit anderne IPs aus 217.0.x.x kommuniziert wird per 5060.
In der Fritzbox hab ich "andere Anbieter" genommen.
Benutzername und Kennwort ausgefüllt. Registrat tel.t-online.de und Proxy und Stun Server freigelassen.
Laut Fritzbox auch registriert und ich kann raustelefonieren, komischerweise stürzt mein Android Phone nach dem 2. klingeln reproduzierbar ab.
Angerufen werden kann ich aber trotzdem nicht.
Hab ich evtl. noch irgendwas übersehen?
Wenn ich es ohne siproxd mache und ohne besondere Firewallregeln geht Anrufen und Angerufen werden, aber weder ich höre meinen Gegenüber noch er mich. Es scheitern also aktuell bei mir noch beide Varianten.
Bin um jeden Hinweis dankbar.
-
du bist zumindest schon um einige Schritte weiter ... ich schaffe es nicht, dass sich die FB VoIP registriert ... wie gesagt Registrierung ist nur möglich wenn die FB direkt hinter dem A1 Modem hängt.
-
Ich hab nun erstmal doch wieder siproxd entfernt und lediglich folgendes getan:
- ein Alias RTP angelegt mit den Ports 7078-7097 (die nutzt die Fritzbox)
- ein Alias mit dem IP Range der Telekom SIP/RTP Server
- NAT Outbound eine Regel erstellt mit SIP und RTP (s.o.) die Static Port setzt, im Gegensatz zum Default
- NAT Port Forwards UDP mit den Protokollen SIP und RTP (s.o.), Quelle Telekom Range und leite das direkt zu meiner FB weiter.
Damit geht raus- und reintelefonieren und hab hier zwei Telefone seit 24 Minuten verbunden (das eine ist mein Vodafone Anschluss mit eigenem Telefon).
Noch nicht ganz happy bin ich mit der Tatsache, dass das Port Forwarding meine Firewall etwas aufmacht und hoffe den IP Bereich noch weiter einzugrenzen, habe aber auch Angst, dass dann mal nix mehr geht wenn die Telekom die IPs anpasst.
Was mich noch wundert, dass bei meinem alten Arbeitgeber Sipgate genutzt wurde und mit Linphone SIP genutzt wurde ohne den ganzen Aufwand mit Port Forwarding.
Update: stellt sich raus ist evtl. alles nicht notwendig, seit ich bei der Fritzbox eingestellt habe, dass sie die Portweiterleitung aufrecht erhalten soll alle 30 sekunden geht es auch ohne die ganzen Einstellungen.
Update 2: Zu früh gefreut, heute morgen wurden die Pakete wieder nicht korrekt weitergeleitet :(
-
Habe nun mal die Firewall auf conservative gestellt und das Port Forwarding wieder raus. Tut aktuell, mal sehen ob doch mal ein Telefonat nicht reinkommt.
@ojessie: kannst mal nen Screenshot von deiner Konfiguration auf Seiten der FB posten oder auch mal mit tcpdump mitsniffen auf beiden Interfaces, der SIP traffic ist da gut zu erkennen.
-
Moin,
ich habe bei mir folgendes Konstrukt:
Telekom VDSL50 - Draytek Vigor 165 VDSL-Modem - OPNsense-Firewall - Cisco SG350 Switch - Gigaset N510 IP Pro DECT Basis mit einem Gigaset SL910.
Ich habe die OPNsense nach der Bilderanleitung für Telekom-Hometarife eingerichtet und es hat auch von Anfang an soweit geklappt. Seit ein paar Tagen habe ich jedoch das Problem, dass ausgehende Anrufe nach 30 Sekunden abgebrochen werden. Es scheint so, dass das Telefon vom siproxd keine Daten bekommt, wenn der Angerufene den Hörer abnimmt. Ich höre dann zwar den Angerufenen, aber das Telefon zeigt dabei noch an, dass gewählt wird. Nach 30 Sekunden bricht die Verbindung dann ab.
Wenn ich angerufen werde, gibt es das Problem nicht. Hier kann ich stundenlang telefonieren, ohne dass es zu Verbindungsabbrüchen kommt.
Hat jemand noch einen Tip für mich? Ich glaube, ich sehe den Wald vor lauter Bäumen nicht mehr.
PS: Sorry, wenn ich keine neuen Thread aufmache, aber ich habe mich an den Informationen in diesem Thread orientiert.
-
Bei deiner Hardware braucht's keinen sip proxy. Einfach das Gigaset, ein paar ausgehend FW-rules auf dem LAN interface, je nach Provider und KEINE Regeln auf dem WAN, dann läuft das.
-
Stimmt schon, aber gibt es dennoch eine Möglichkeit, das Fehlerbild anderweitig zu beheben? Klar, ich selbst kann damit schon leben, aber ich möchte schon die "professionellere" Lösung, da die auch bei einem Kunden von mir eingesetzt werden soll (etwas andere Hardwarekonstellation, aber vom Prinzip her ähnlich, nur viel größer). Deshalb möchte ich selber auch ein paar Erfahrungswerte mit diesem Konstrukt sammeln.
-
Hallo,
ich versuche schon 3 Tage einzurichten, aber bekomme es nicht hin. Auch so wie in der Bildanleitung. Registrierung von PhonerLite kommt nicht zustande. Auf dem Bild meine Situation. Es soll nur ein PC mit PhonerLite telefonieren können. Falls jemand ein vorschlag hat, bitte posten.
(https://www.bilder-upload.eu/thumb/7096ef-1581177595.png) (https://www.bilder-upload.eu/bild-7096ef-1581177595.png.html)
-
Wenn's nur ein Gerät ist geht's doch auch mit NAT oder nicht?
-
NAT von den gleichen Ports, die in der Anleitung stehen, hat auch kein Erfolg gebracht.
Ich werde noch mal Versuchen NAT zu machen.
DigiBox NAT zu OPNsense (5060, 7070-7089)
OPNsense NAT zum PC (5060, 7070-7089)
Das sind etwas viele Ports. Gibt es eine möglichkeiten etwas sicherer zu machen?
-
Leider nein. Entweder mit siproxd, was bei mir auch nicht sauber funktioniert oder aber wenn es eine Telefonanlage/IP DECT-Basis wäre, mit einem eigenen VLAN und NAT. Letzteres habe ich nun im Einsatz und das läuft soweit. Wichtig ist, dass bei ausgehendem NAT Static-Port für VoIP-Verkehr genutzt wird, sonst klappen die Anrufe nicht.
-
ich muss wirklich nur ein PC mit dem PhonerLite einrichten.
Kannst du mir kurz das ausgehende NAT mit Static-Port erklären?
-
Du musst zuerst unter "Firewall" - "NAT" - "Outbound" den Hybridmodus aktivieren. Danach kannst du manuelle NAT-Regeln erstellen. Anschließend erstellst du eine Regel ausgehend von deinem PC ins Internet über die verwendeten SIP/RTP-Ports als Quell-Ports und aktivierst dann weiter unten den Haken "Static Port". Dies dient dazu, dass die Firewall den ursprünglichen Quellport beibehält, wenn sie die Gegenstelle anspricht. Ohne diese Regel würde sich der Quellport durch das ausgehende NAT ändern.
-
"Maestro86" Vielen Dank für deine Antwort. Ich habe leider bis jtzt überhaupt keine Zeit gehabt.
Ich habe noch eine Verständnis Frage. Die Portsweiterleitungen (5060, 7070-7089) von dem Router an die OPNsense müssen auch gemacht werden?
-
Hallo zusammen, und danke an NR dass er hier so einen Fundus zusammen geschrieben hat. Sehr hilfreich!
Meine Baustelle:
Ich habe zwei VoIP-Gigasets mit jeweils denselben Nummern bei der Telekom (tel.t-online.de) und Sipgate registriert, was auch wunderbar läuft (=man kann mit beiden raustelefonieren, bei ankommendem Anruf klingeln beide). Allerdings braucht man dafür spezifische Portweiterleitungen je Gerät auf der Firewall. Um flexibler zu sein wollte ich gern Siproxd einsetzen und habe das mit der von NR vorgeschlagenen Konfiguration probiert, allerdings scheint das nicht zu klappen, weil sich darüber immer nur ein Gerät je Nummer registrieren kann.
Habe irgendwo gelesen dass man die Siproxd-eigene Authentifizierung nutzen kann, um eine Registrierung mehrerer Geräte mit derselben Nummer zu ermöglichen. Ich sehe aber nicht, wie ich das den Endgeräten (Gigaset!!!) beibringen kann. Oder gibt es noch einen anderen Weg?
Für Eure Hinweise oder Ideen bin ich dankbar... Bleibt gesund!
-
Hi,
über Wiregard als inbound kann den den Siproxd anscheinend nicht nutzen?
Viele Grüße,
iam
-
Wenn du das interface assignest und dann als outgoing if definierst könnte es klappen
-
In dem Fall wenn ingoing.
Ich muß das Interface nur "assignen", aber nicht aktivieren (also kein Haken bei Enable "Interface")?
-
Assign, Enable, Interface Lock, keine IP, dann Apply und WireGuard neu starten
-
Moin,
ich habe mich hier mal angemeldet, da ich die OPNsense glaube ich ganz gut finden würde, wenn diese funktioniert. Temporär habe ich auch alles wie gewünscht zum Laufen bekommen, verbringe aber schon etliche Stunden/Tage damit rauszufinden, warum meine Telefonanlage nicht die SIP-Leitungen am Provider registrieren kann. Stecke ich meine Ubiquiti Gateway ein, dann verbindet sich diese sofort.
ich habe die Version OPNsense 20.1.8_1-amd64
Aufbau:
1&1 -> Draytek Vigor 130 als Modem -> OPNsense per PPPoE -> Starface PBX im VLAN 3
Fehlermeldung in der Starface ist z.B.:
[Jul 9 02:53:59] WARNING[5709] chan_sip.c: Forbidden - wrong password on authentication for REGISTER for 'Benutzer' to 'sip.1und1.de'
oder auch, dass der Provider nicht erreichbar ist.
Sipgate registriert sich sofort und funktioniert auch.
Ich habe die Portweiterleitungen eingerichtet, mich mit Siproxd probiert, abner ich bekomme es noch nicht einmal hin, dass sich die Leitungen beim Provider registrieren.
Meine Vermutung ist, dass die OPNsense irgendetwas an dem Header ändert, so dass die Logindaten nicht korrekt bei 1&1 ankommen. Versuche ich es per Zoiper im WLAN mit bei 1&1 zu registrieren, dann kommt häufig die Meldung, dass die IP-Adresse nicht zugelassen ist, obwohl ich mich versuche per WLAN über meinen 1&1 Anschluss anzumelden.
Hat hierzu vielleicht jemand eine Idee?
Schnittstellen Scrub habe ich auch schon deaktiviert. Ich habe das Gefühl, dass Zoiper sich häufiger registrieren kann, wenn ich IP-Nicht-Fragmentieren anwähle. Allerdings kann ich das nicht reproduzieren, da es auch damit mal nicht geht und ohne die Option auch und ich mich seltsamerweise auch an einer Leitung meines Accounts anmelden kann, aber an dem anderen nicht, dann geht mal der eine, aber der andere nicht, oder es gehen beide oder beide nicht. Aber das wie gesagt mit Zoiper zu 1&1, meine Starface habe ich noch nie bei 1&1 über die OPNsense registriert bekommen und die läuft schon Jahre am Ubiquiti Gateway stabil.
Hat jemand die zündende Idee? Ich weiß nicht, wie viele Stunden ich bereits mit der Suche verbracht habe :-(
Mit freundlichem Gruß
Andreas
-
Screenshot von outbound nat und port forward bitte.
Du brauchst bei sip trunk keinen siproxd, nur wenn du mehrere Tel zu einem Provider hast
-
Hallo Schubbie,
bei 1&1 und Sipgate sind die SIP-Server auch IPv6 fähig. Wenn du dir also die Ports in der TK-Anlagen-Doku raussuchst, die benötigt werden, kannst du auch auf Port-Forwarding und Outbound-NAT verzichten. Du benötigst dann nur entsprechende Firewall-Regeln (WAN) zur TK-Anlage.
Ich habe das mit der ein oder anderen FRITZ!Box hinter OPN/pfSense so konfiguriert und es läuft prima. Die Frage ist nur, ob deine TK-Anlage IPv6 fähig ist?
Gruß
Robert.
-
Hallo Robert,
vielen Dank für die Antwort.
In der Anlage habe ich meiner Erinnerung noch nie etwas mit IPv6 konfiguriert und auch noch keine Adresse in einem Log gesehen.
Im Ubiquiti Gateway brauche ich zur Anlage lediglich Port 5060 zur Anlage freigeben und begrenze diese eingehend auf die beiden IPv4 IPs von 1&1 SIP und bekomme damit auch keine Einbruchversuche auf der Telefonanlage gemeldet.
Leider funktioniert es mit OPNsense nicht so leicht. Ich komme nicht dahinter, warum sich die Leitungen nicht registrieren können. Daher wäre meine Vermutung, dass die OPNsense den Header ändert, aber wie dieses verhindern?
Mit freundlichem Gruß
Andreas
-
Hallo Andreas,
kurz zur Erklärung, vielleicht hilft es dir weiter: VoIP funktioniert mit zwei Protokollen. Die "Steuerung" der Session erfolgt mit dem SIP-Protokoll, meistens Port 5060/udp. Damit werden Anrufe signalisiert, beendet usw. Die Sprachdaten gehen dann über RTP. Welche Ports für die RTP-Verbindung genutzt werden hängt von der TK-Anlage ab. Auch diese Ports werden über SIP ausgehandelt.
Bei dir scheint das Problem ja schon bei der Registrierung zu liegen. Ich vermute, dass bei deine SIP-Anfrage der Absender-Port 5060 durch das NAT umgeschrieben wird. D.h. es wird nicht nur die private IP-Adresse durch die öffentliche IP-Adresse ausgetauscht, es wird auch der Absender-Port geändert. Dadurch schlägt die Registrierung vmtl. fehl. Ich denke du müsstest die Outbound-NAT Konfiguration anpassen, damit der Absender-Port nicht umgeschrieben wird. Das Stichwort lautet "STATIC PORT".
Kurzfassung:
- Zuerst muss der Mode auf Hybrid outbound NAT rule generation gestellt werden.
- Unter Firewall → NAT → Outbound legt man eine neue Regel an:
Interface: WAN
Protocol: UDP
Source address: <IP-Adresse der TK-Anlage>
Source port: *
Static-port: aktiviert (WICHTIG)
Description: VoIP
Die Ausführliche Anleitung findest du hier: https://forum.opnsense.org/index.php?topic=4712.0
Ich hoffe, du kommst damit weiter. :)
Gruß
Robert.
ps. Es lohnt sich IPv6 zu aktivieren und sich damit zu beschäftigen. Das Leben wird damit leichter! (Kein NAT, kein Port-Forwarding - keine "dreckigen" Lösungen mehr...)
-
Hallo Robert,
ich habe kurz geguckt, die Starface PBX wird voraussichtlich erst im Laufe diesen Jahres IPv6 unterstützen, eine Umstellung ist derzeit also nicht möglich.
Den Static-Port habe ich aktiviert, leider kommt immer noch zurück, dass die Login-Daten verkehrt sind. Per Zoiper (ich melde mich mit Zoiper in diesem Falle direkt bei 1&1 an) kommt wieder wie Meldung, dass die IP nicht authorisiert ist. Die Starface muss doch bei 1&1 ankommen, ansonsten würde nicht zurückkommen, dass der Login falsch ist. Ansonsten habe ich ein Timeout als Fehlermeldung bekommen.
Ist nun die Frage, ob Zoiper oder Starface die korrekte Fehlermeldung bringen, also ob irgendetwas bei der Übertragung der Login-Daten oder der IP schief geht. Zoiper geht ja gelegentlich.
SipGate geht weiterhin ohne zusätzliche Einstellungen.
Was mich weiterhin irritiert ist, dass wenn sich die Starface versucht bei 1&1 zu melden, müsste ich da nicht etwas in der Firewall Protokoll Liveansicht sehen? Gelegentlich meldet sich eine Windows-VM an der Starface, obwohl die VM damit gar nichts zu tun hat.
Ich hänge mal Screenshots des momentanen Standes an, vielleicht habe ich ja nur irgendwo einen Haken falsch gesetzt...
(https://www.bilder-upload.eu/thumb/b78263-1594279321.jpg) (https://www.bilder-upload.eu/bild-b78263-1594279321.jpg.html)
(https://www.bilder-upload.eu/thumb/c9314e-1594279359.jpg) (https://www.bilder-upload.eu/bild-c9314e-1594279359.jpg.html)
(https://www.bilder-upload.eu/thumb/f34f4d-1594279403.jpg) (https://www.bilder-upload.eu/bild-f34f4d-1594279403.jpg.html)
(https://www.bilder-upload.eu/thumb/ab4807-1594279423.jpg) (https://www.bilder-upload.eu/bild-ab4807-1594279423.jpg.html)
(https://www.bilder-upload.eu/thumb/60de0e-1594279443.jpg) (https://www.bilder-upload.eu/bild-60de0e-1594279443.jpg.html)
(https://www.bilder-upload.eu/thumb/d7b604-1594279464.jpg) (https://www.bilder-upload.eu/bild-d7b604-1594279464.jpg.html)
(https://www.bilder-upload.eu/thumb/476535-1594279484.jpg) (https://www.bilder-upload.eu/bild-476535-1594279484.jpg.html)
(https://www.bilder-upload.eu/thumb/1ad5a0-1594279505.jpg) (https://www.bilder-upload.eu/bild-1ad5a0-1594279505.jpg.html)
(https://www.bilder-upload.eu/thumb/13d5c3-1594279521.jpg) (https://www.bilder-upload.eu/bild-13d5c3-1594279521.jpg.html)
Ich bin gleich erstmal auf Arbeit, eine Antwort kann also dauern.
Vielen Dank bis hierher.
Mit freundlichem Gruß
Andreas
-
Ich wollte gerade mal per Smartphone gucken, ob es bereits etwas Neues gibt und habe bemerkt, dass ich die hochgeladenen Fotos (ging leider auf die Schnelle nicht im Forum) nicht sehen kann. Könnt ihr die sehen?
-
Ne sieht man nix
-
Ist es ok, wenn ich die Links so hier einstelle? Ich hatte Thumbnails eingestellt und mir wurden diese angezeigt. Keine Ahnung, warum die nun weg sind... Oder habe ich gegen irgendwelche Regeln verstoßen?
https://www.bilder-upload.eu/bild-b78263-1594279321.jpg.html
https://www.bilder-upload.eu/bild-c9314e-1594279359.jpg.html
https://www.bilder-upload.eu/bild-f34f4d-1594279403.jpg.html
https://www.bilder-upload.eu/bild-ab4807-1594279423.jpg.html
https://www.bilder-upload.eu/bild-60de0e-1594279443.jpg.html
https://www.bilder-upload.eu/bild-d7b604-1594279464.jpg.html
https://www.bilder-upload.eu/bild-1ad5a0-1594279505.jpg.html
-
Screenshot 2, Ziel muss WAN address sein
-
Outbound Nat fehlt
-
Leider waren das nicht alle Anhänge. Nun sitze ich kurz am Rechner.
Anbei 4 Screenshots. Kann man daran etwas sehen? Kann ich mit mehr Infos dienen?
Gibt es denn eine Option, die den SIP-Header o.ä. verändert oder eine Veränderung verhindern kann?
-
Hallo Andreas,
versuch doch bitte mal folgende Punkte:
- Stell mal bei der Outbound-NAT Regel die Option "Source port" von Any (*) auf SIP (5060) um.
- Funktioniert der Verbindungsaufbau, wenn du die anderen SIP-Registrierungen (Sipgate etc.) deaktivierst?
Gruß
Robert.
-
Moin Robert,
werde ich heute Abend testen. Jedoch sehe ich die Chance als verschwindend gering an, da die Starface PBX die Rückmeldung bekommt, dass der Login falsch ist. Würde die den Provider nicht erreichen, dann würde ein Timeout oder so Kommen. Man müsste gucken können, was bei 1&1 ankommt, was die einem aber nicht sagen.
Mit freundlichem Gruß
Andreas
-
Mach mal ein Paket Capture auf Interface LAN mit IP der TK Anlage und versuch paar Calls, dann bitte uploaden.
Das gleiche dann noch mal an Interface WAN, aber ohne IPs und nur Zielport 5060.
Du machst jetzt nur NAT für Signaling, aber kein RTP .. hast du keine bekannten IP Ranges die du komplett natten kannst?
-
Starface nutzt für RTP Port 1.000 - ca. 65.xxx. Da wäre für andere Anwendungen dann nichts mehr über, aber bisher brauchte ich die nicht freigeben und bisher kann ich eh nicht telefonieren, wenn die OPNsense angeklemmt ist, da sich die Leitungen gar nicht erst registrieren können. Erstmal muss die Registrierung über UDP 5060 klappen und dann kann man weitersehen, jedoch denke ich, dass es dann gehen wird.
Sipgate scheint nicht ganz so kleinlich wie 1&1 zu sein und da klappt alles. Ich mache die Captures heute Abend. Die macht OPNsense direkt?
Mit freundlichem Gruß
Andreas
-
Interfaces : Diagnostics : Packet Capture
-
Da bin ich endlich wieder ;D
@Robert
Auf Port 5060 geändert - keine Veränderung
SipGate deaktiviert - keine Veränderung
@mimugmail
Outbound-NAT siehe Anhang, ob ich das so korrekt gemacht habe - keine Veränderung
Von 1und1 brauche ich nur die zwei IPs 212.227.124.129 + .130 sprich .129/30
In dem Capture sieht man die Meldung, die Zoiper mir bringt, also verfälscht anscheinend die Starface die Meldung von 1&1.
Zoiper und Capture (wobei Zoiper gelegentlich funktioniert):
403 Nicht unterstuetzte IP im Contact-Header
Starface Log:
WARNING[24234] chan_sip.c: Forbidden - wrong password on authentication for REGISTER for '495***909' to 'sip.1und1.de'
Die externe IP in den Captures stimmt mit der momentanen externen IP überein. Ich habe auch nur einen Internetzugang (außer 4G für Fallback, der aber noch nicht konfiguriert ist), ich kann also nicht über eine andere IP als die von 1&1 zugewiesene ins Internet.
Anbei die Dateien.
Vielen Dank für Eure Unterstützung und Eure Mühen!
Mit freundlichem Gruß
Andreas
-
Moin,
ich kann die Leitungen jetzt registrieren. Warum auch immer, muss ich in der Starface eine Einstellung ändern, die ich bei der Ubiquiti-Gateway nicht vornehmen durfte. Ich hatte auch mit NAT ja/nein in der Starface probiert, jedoch musste ich in den SIP-Einstellungen meine externe IP eintragen. Da ich alle 24 Stunden eine neue nehme, habe ich meine Strato Subdomain eingetragen, die immer auf meine externe IP verweist. Leitungen registrieren sofort und Anrufe kommen rein und gehen raus, allerdings noch ohne Sprache. Da gucke ich nun, ob eine Regel zu viel eingrenzt oder ich die RTP-Ports auch freigeben muss, was ich aufgrund der Range bei der Starface (1025 - 65535) nicht hoffe.
Vielen Dank für Eure Unterstützung. Ich melde mich, wenn ich es mit den RTP-Ports nicht hinbekommen sollte oder noch auf andere Probleme bei der Einrichtung stoße ;-)
Mit freundlichem Gruß
Andreas
-
Hallo Andreas,
um die externe IP-Adresse zu ermitteln benutzt man eigentlich einen STUN-Server. Ich sehe auf deinem Screenshot leider keine Option dafür, aber schau doch nochmal bei deiner SIP-Config nach.
https://de.m.wikipedia.org/wiki/Session_Traversal_Utilities_for_NAT
Zum RTP: Eine Portweiterleitung sollte nicht unbedingt nötig sein, jedoch würde ich unbedingt nochmal Google nutzen oder in der Anleitung wühlen.
Der Portbereich muss ja irgendwo dokumentiert sein. Bei Fritz Boxen ist es z.B. 7078:7109 und bei Auerswald hatte ich mal 49152:49407 recherchiert.
Wichtig ist auch hier wieder Outbound-NAT mit Static-Port. Wenn du den Portbereich eingrenzen könntest, wäre das hilfreich.
Gruß
Robert.
PS. Wenn du ein paar Paketmitschnitte von Telefonaten aufzeichnest, kannst du die ausgehandelten RTP Ports mit Wireshark in den SIP-Paketen nachlesen.
-
Moin Robert,
STUN-Server und die Funktion ist bekannt, leider gibt es bei Starface keine Möglichkeit diesen im Providerprovil einzutragen. Im Forum wird nur darauf verwiesen, dass die Ports freizugeben sind.
Ich habe jetzt endlich Ton und Verbindung. Allerdings kommt nicht jeder Ruf am Telefon an. Die Starface weist Rufe ab, da sie die interne Nummer lt. Log nicht findet, allerdings scheint diese Meldung auch wieder nicht korrekt zu sein, da die korrekte Nummer im Log steht.
[Jul 12 08:45:20] NOTICE[20205][C-0000001a] chan_sip.c: Call from '' (212.227.124.129:5060) to extension '495***913' rejected because extension not found in context 'default'.
Dieses Problem hatte ich früher schon, nachdem ich eine neue IP nach Zwangstrennung bekommen habe. Per Script lasse ich die Dienste neu starten, wenn es eine neue IP gibt. Allerdings tritt es jetzt nach ca. 3x anrufen auf und eventuell 2x hintereinander oder der Ruf kommt wieder durch (kommt auf jeden Fall bei der Starface an), also eher zufällig, dass es funktioniert.
Die RTP-Ports werden von dem Geräte, in diesem Falle von der Starface vorgegeben und die sind leider tatsächlich von Port 1025 - 65535, wobei ich noch eben ein- und ausgehend trennen kann, was ja aber keine Besserung ergeben dürfte, da ausgehend trotzdem bei der Range bleibt.
https://knowledge.starface.de/pages/viewpage.action?pageId=6128345 (https://knowledge.starface.de/pages/viewpage.action?pageId=6128345)
Wenn ich nun sicherstellen könnte, dass jeder Ruf durch die Starface geht, so wie er es mit dem Ubiquiti-Gateway tut, dann habe ich es vermutlich. Jemand hat mal das UDP-Delay hochgestellt auf 300 Sekunden, allerdings vergehen bei mir nur 10 Sekunden, bis der Ruf eventuell nicht mehr durch geht und das auch kurz nach einen Neustart. Habe ich in der OPNsense eine Option, um dieses zu verlängern? Ich habe die Firewall-Optimierungen bereits auf "konservativ" gestellt.
Ich stelle nochmals Screenshots ein. Vielleicht kann man ja noch etwas verbessern?
Die Regeln für Port 5060 habe ich bewusst nochmals zusätzlich angelegt, vielleicht nützt es ja etwas, obwohl es ja eigentlich nicht sein dürfte, wenn der Port in der Range der RTP-Ports ist? (Hat nichts gebessert. Können sich die Regeln behindern?)
Mit freundlichem Gruß
Andreas
Kurz für die Statistik: ich habe knapp 240 Testanruf von Mitternacht bis heute morgen gemacht...
-
Moin,
ich habe noch ein paar Testanrufe gemacht. Laut Paketmitschnitt scheint es mir so, als wenn der Ruf von 1&1 212.227.124.130:5060 kommt, nicht von der Starface an das Endgerät durchgestellt wird und kurz darauf kommt die Ansage von 1&1, dass der Teilnehmer nicht erreichbar ist. Kommt der Ruf über die 212.227.124.129:5060 rein, dann klingelt das Telefon.
Aber warum dieses Verhalten nur bei der OPNsense und nicht bei einem anderen Router.
Kann der "static Port" ein Problem sein, wenn die ankommende Adresse wechselt?
in der Firewall habe ich 212.227.124.129/30 freigegeben, also genau diese beiden IPs von 1&1. Wenn ich alle freigebe, dann lässt die Starface auch nicht alle Rufe durch.
Mit freundlichem Gruß
Andreas
-
Zeig noch mal port forward und outbound nat zu den IPs bitte ...
-
Hi,
kleiner Schuss ins Blaue: Verwende doch mal anstatt eines Subnetzes /30 einen Firewall-Alias, der die beiden IP-Adressen enthält. Bei den Regeln wählst du dann einfach den Alias aus.
Bei IPv4 ist ja jedes Subnetz prinzipiell mit einer Netzadresse und einer Broadcast-Adresse versehen. (/24 = x.x.x.0 bis x.x.x.255 wobei 0 das Netz ist und 255 die Broadcast-Adresse). Je kleiner die Bereiche werden, desto mehr Adressen werden ja bekanntlich verschwendet.
Robert.
-
Moin,
anscheinend gab es eine Wunderheilung. Ich habe gestern alles nochmals neu gestartet und seit dem keine Probleme bei 25 Testanrufen auf beiden IPs.
Anbei die Screenshoots (die Größe der möglichen Anhänge finde ich nicht mehr zeitgemäß. Ich muss die Qualität immer weit runterschrauben, damit ich mit der Größe der Dateien hier hinkomme). Der letzte kommt im Folgepost.
Das mit den Aliasen sollte ich wohl mal in Angriff nehmen. Nicht nur, um Ranges eingeben zu können, sondern werden damit zentral an einer Stelle auch für alle Regeln die Ranges geändert, ohne dass man in jede Regel rein muss. Behalte ich als ToDo im Hinterkopf.
Mit freundlichem Gruß
Andreas
-
Der letzte Screenshot.
-
Hallo Andreas,
es freut mich zu hören. Schade, dass wir jetzt nicht wissen, was der entscheidende Schalter war. :-)
Aliase sind toll, sie machen das Leben so viel leichter. Habe gerade gestern eine Fritzbox (nur TK Anlage hinter der OPNsense) aus dem Haupt-LAN in ein separates LAN gelegt. Ich musste nur den Alias ändern und alles andere hat sich automatisch angepasst.
Gruß
Robert
-
Hallo Robert,
zu früh gefreut, wir dürfen weiter suchen :-(
Zur Anmeldung der Leitungen war entscheidend, dass ich in der Starface in den Netzwerkeintellungen die richtige externe IP eintrage, was ich über DynDNS bei Strato mache, wo ich eine Subdomain angelegt habe, die immer auf meine externe IP verweist.
Aber nun zu dem, was mich heute morgen erwartet hat. Freustrahlend ein Testanruf aufs Fax und - der Gesprächspartner ist nicht erreichbar. 2 Mal wiederholt mit selben Ergebnis.
Starface (PBX) aufgerufen, keine der Leitungen (auch nicht SipGate) konnte sich registrieren. Im Log der Starface wurde ein Timeout angezeigt, sprich 1&1 nicht erreichbar o.ä. Starface neu gestartet, keine Änderung.
OPNsense neu gestartet, alle Leitungen sofort registriert, jedoch kommt wieder nicht jeder Anruf durch.
Eben Mails gecheckt, die beiden Synologys konnten sich nach der 24 stündigen Zwangstrennung ebenfalls nicht erneut verbinden.
Kann es sein, dass mir die statische Portweiterleitung (für RTP habe ich ja fast alle Ports weitergeleitet, wobei ich dieses eigentlich auf die Starface begrnezt habe) in Verbindung mit der Zwangstrennung und somit Erteilung einer neuen externen IP hier einen Strich durch die Rechnung macht?
Vielleicht mag diese Regel es auch nicht, dass Anrufe mal von der und mal von der anderen IP eintrudeln?
Mit freundlichem Gruß
Andreas
Deaktiviere ich alle static Ports, dann kommt die Sprache nicht mehr an, also auch keine Lösung.
-
Moin,
die ganze Sache kommt mir irgendwie komisch vor und so langsam gehen mir die Ideen aus. Irgendwie müssen wir ja voran kommen und die Anzahl der möglichen Fehlerquellen reduzieren.
Ich fasse mal zusammen:
- Die Starface kann kein IPv6, welches die Komplexität nehmen würde und von 1&1 und Sipgate unterstützt wird.
- Die Starface kann keinen STUN-Server, man muss die externe IP selbst eintragen oder per DynDNS ermitteln lassen. Meiner Meinung nach ist ein STUN-Server die "bessere" Wahl, da er dafür gemacht wurde. DynDNS ist immer mit einem gewissen delay verbunden.
- Du willst ein paar 1&1 Nummern und ein paar Sipgate Nummern registrieren - früher ging das, seit OPNsense nicht, korrekt?
- Die SIP-Registrierung funktioniert nicht, daher ist RTP zunächst nicht wichtig. Erst muss die SIP-Registrierung laufen.
Um die Anzahl der Fehlerquellen zu reduzieren würde ich mal schauen, dass man einzelne Komponenten "aus dem Spiel" nimmt.
Mein erster Vorschlag zur Problemlösung wäre, eine (ggf. ältere) FRITZ!Box zu nehmen und diese als IP-Client zu konfigurieren. (Die Box wird Teil deines (V)LANs und deaktiviert DSL-Modem und Routing-Funktion) Die FRITZ!Box soll dann zunächst die IP-Adresse der TK-Anlage bekommen und die Nummern registrieren. Wenn das funktioniert, wissen wir, dass es an der TK-Anlage liegt (oder an der Konfiguration). Wenn es dort auch nicht geht, würde ich bei der OPNsense nochmal schauen.
Mein zweiter Vorschlag wäre, die Situation nochmals umzudrehen: Mit einer FRITZ!Box würde ich die DSL-Verbindung aufbauen und die TK-Anlage die Nummern registrieren lassen (aktuelle Konfiguration). Anschließend kann man beurteilen, ob die TK-Anlage die gleichen Probleme verursacht oder ob alles läuft.
Das Ganze setzt natürlich voraus, dass du eine FRITZ!Box zum Testen hast. Wir verwenden in der Firma häufig die FRITZ!Boxen als TK-Anlage hinter OPNsense (früher pfSense) und haben im Prinzip keine Probleme.
Noch ein Vorschlag: Telefonie und LAN zu trennen ist natürlich immer eine gute Idee, daher könnte man auch ein Setup wie folgt umsetzen. Auch dieses Setup fahren wir bei einigen Kunden:
WAN / Internet
:
: DSL/Kabel/o.ä.
:
.-----+-------. Telefonie .------------.
| FRITZ!Box +-------------------+ TK-Anlage |
'-----+-------' 192.168.178.0 '------------'
|
WAN | IPv4 + IPv6 PD
|
.-----+------.
| OPNsense +
'-----+------'
|
LAN | IPv4 + IPv6
|
.-----+------.
| LAN-Switch |
'-----+------'
|
...-----+------... (LAN und ggf. verschiedene VLANs)
Gruß
Robert
-
Moin Robert,
leider bekomme ich kein Multizitate auf die Schnelle hin und muss gleich schon wieder los...
- Die Stasrface kann (noch) kein IPv6.
- Ich kann keinen STUN-Server eintragen, anscheinend nutzt Sipgate über die Starface jedoch einen, was für 1&1 aber nicht möglich ist. Portfreigaben sind zwingend erforderlich. Zu einer 1&1-Leitung habe ich im Zusammenhang mit der Starface auch noch nichts anderes lesen können.
- Ich habe 10 1&1 Nummern und eine bei Sipgate zum Testen. Sipgate funktioniert zuverlässiger, da anscheinend irgendwie ein STUN-Server angesprochen wird.
- SIP-Registrierung funktioniert mal und mal nicht. RTP funktioniert, wenn SIP funktioniert, das habe ich soweitals Regel eingerichtet.
Erstem Vorschlag könnte ich probieren, jedoch habe ich ja schon per Zoiper festgestellt, dass sich die Leitungen nicht immer registrieren lassen. Zoiper habe ich in dem Falle direkt per WLAN über die OPNsense bei 1&1 angemeldet. Fehlermeldung war, dass die IP, von der aus sich bei 1&1 eingeloggt werden sollte, unzulässig ist, was mich zur Annahme bringt, dass die OPNsense einen Header "zerschießt" und 1&1 denkt, dass sich jemand unbefugt einwählen möchte. Bei der Starface kam dann immer "wrong password", jedoch habe ich per OPNsense nach Deinen Angaben den Verkehr auf der WAN-Schnittstelle mitgeschnitten und es kam heraus, dass die Starface die Meldung anscheinend falsch übersetzt. Die Stsrface zeigt "Wrong password", der Log sagt aus, dass 1&1 nicht mit der IP einverstanden ist.
Nutzt die FritzBox zu 1&1 einen STUN-Server? Da dieses möglich, bzw. wahrscheinlich ist, dürfte die Aussage, die man aus diesem Test bekommt nicht verlässlich sein oder?
Zweiter Vorschlag wäre ja das, was ich ständig machen, wenn es nicht läuft. Wenn es per OPNsense nicht läuft, dann stecke ich einfach mein Ubiquiti-Gateway statt der OPNsense zwischen Modem und Switch und es läuft alles wieder auf Anhieb und dass läuft schon seit langer Zeit ohne Probleme. Die Probleme begannen erst mit der OPNsense.
Dritter Vorschlag ist genau das, was ich nicht will. Die OPNsense muss vor der TK-Anlage sitzen. Grund ist, dass die Blacklist der TK-Anlage sonst voll läuft, da man per FritzBox den Port 5060 nicht auf einzelne externe IPs begrenzen kann. Ich möchte nicht, dass die Anfragen der Bots erst an die TK-Anlage drankommen und vielleicht doch mal Glück haben ein kostenpflichtiges Gespräch aufbauen zu können. So habe ich den Schutz der OPNsense und der Firewall der TK-Anlage, was mir lieber ist.
Ich hoffe hier noch auf eine Lösung, das es sich auch mit meinem Problemen deckt, dass nach Zwangstrennung die Portweiterleitungen nicht mehr richtig oder gar nicht mehr funktionieren, bis ich die OPNsense neu starte:
https://forum.opnsense.org/index.php?topic=16158.msg82160#msg82160
Ich nehme an, dass ich die Regeln falsch konfiguriert habe, da ich zum ersten Mal solch eine Firewall konfigurieren möchte. In vorherigen Routern habe ich lediglich den Port 5060 und die RTP-Ports an die TK-Anlage geleitet und war fertig.
Per Cron-Job habe ich die Zwangstrennung nun auf 2:45 Uhr gelegt. Aktualisiere ich danach der Cron-Job die DynDNS in der OPNsense, nützt es anscheinend leider auch nichts - hat mit der TK-Anlage ja auch nicht wirklich etwas zu tun, die holt sich die externe IP selbst. Die Dienste der TK-Anlage lasse ich extern per SSH automatisch neu starten, sobald eine neue externe IP erkannt wird, so dass die auch immer die korrekte externe IP neu beziehen sollte.
Gestern war es dann so, dass die OPNsense länger lief und 1&1 anscheinend die Leitungen aufgrund zu vieler fehlerhafter Login-Versuche gesperrt hat. Ich klemmte dann das Ubiquiti-Gateway an und bekam beim Login-Versuch einen ebenfalls Timeout vom Server. Nach einiger Zeit (1-2 Stunden) waren die Leitungen wieder registriert. Also wieder ds OPNsense dran und es kam die Meldung "wrong Password" im Log der Starface, was eigentlich heißt, dass 1&1 mit der ankommenden IP nicht einverstanden ist. Nun war es diesmal aber so, dass nicht der Neustart der OPNsene Abhilfe geschaffen hat und auch kein Neustart der Starface, sondern ich musste die ganze Synology neu starten, auf der sich die Starface als VM befindet. Ob es Zufall war, dass es damit funktionierte? Ich kann es nicht nachvollziehen.
Die Starface befindet sich auf einer DS1618+ in einer VM. Ich habe alle Neztwerkkarten zu einem Bond zusammengefasst und für die Starface eine virtuelle Netzwerkkarte mit VLAN TAG 3 angelegt, was auch so zu funktionieren scheint.
Leider kann ich nicht viel neues schreiben, da ich auch keine Idee habe, woran es nun schlussendlich liegen könnte. Ich habe halt die OPNsense in Verdacht. In der Live-Ansicht bekomme ich die Starface leider kaum angezeigt, eigentlich fast gar nicht, was mich auch verwundert. Spätestens beim Versuch der Registrierung müsste doch etwas angezeigt werden? Bei Einrichtung der VLANs kann man doch eigentlich nichts falsch machen und das würde auch nicht erklären, warum die Portweiterleitungen manchmal gar nicht mehr funktionieren und die OPNsense neu gestartet werden muss.
Mit freundlichem Gruß
Andreas
-
Moin,
nachdem ich heute den ganzen Tag keine Probleme hgatte und zahlreiche Testanrufe zwischendurch gemacht habe, habe ich eben den Cronjob starten lassen, der die PPPoE Verbindung neu aufbauen lässt.
Die IP im DynDNS der OPNsense wird sofort korrekt angezeigt.
Ich komme per Portweiterleitung auf meinen Ubiquiti CloudKey.
Was nicht funktioniert sind anscheinend Verbindungen, die vorher permanent bestanden. Dazu gehören:
- VPN ein- und ausgehend (ich nutze dafür 2 Synology mit 2 unterschiedlichen VPN-Protokollen, um meine Daten an 2 Standorten zu haben).
- SIP-Ports der Starface
Ich habe 3 - 4 Minuten gewartet, jedoch bekomme ich bei der Neuregistrierung der Leitungen der Starface im Log ein Timeout, also Server nicht erreichbar. Auch die beiden VPN der Synologies, welche permanent stehen, konnten nicht aufgebaut werden.
Erst als ich die OPNsense (also diesemal nicht die Synology bei mir) neu gestartet habe, lief wieder alles. Zwar gingen erstmal 2 Anrufe nicht durch (Problem mit der 1&1 IP mit Endung .130), aber danach ging es.
Sprich ich habe nun vermutlich noch 2 Probleme:
1. Nach Reconnect der PPPoE-Verbindungen gehen zuvor ständig genutzte Portweiterleitungen für SIP und VPN nicht mehr, jedoch Weiterleitungen, die ich nur gelegentlich nutze.
2. Die Starface mag die IP von 1&1 mit der Endnummer .130 nicht, auf Endnummer .129 konnte ich nich keine Probleme feststellen.
Hilft dieses in irgendeiner Weise die Probleme einzugrenzen?
Mit freundlichem Gruß
Andreas
-
Jetzt war eben die geplante Trennung um 2:45 Uhr.
Ubiquiti CloudKey (läuft nur für die Accesspoints) per Port 8443, bzw. 8080 von außen. erreichbar.
Starface funktioniert diesmal, bis auf das Problem der abgelehnten Rufe von 1&1 IP xxx.130.
Synology baut den VPN jetzt seit 10 Minuten nicht neu nach außen auf. Die externe Synology kann ich vom Handy nicht einsehen, gehe aber davon aus, dass ich da gleich eine Fehlermeldung per Mail bekomme. Auch ein Versuch der manuellen Neuverbindung schlägt fehlt.
Ich habe jetzt per Cron-Job "Issue a reboot" ausführen lassen, was aber eine unnötig lange Trennung bis zum Reboot der OPNsense zur Folge hat. Hierdurch erhalte ich ebenfalls eine neue externe IP. Danach läuft es wieder bis auf die Einschränkung 1&1 IP xxx.130.
Mit freundlichem Gruß
Andreas
-
Eben habe ich nochmals das WAN per Cronjob getrennt. Neustart der Dienste der Starface war erfolglos, ein Neustart der VM half. Die VPN-Verbindungen gingen dafür dieses Mal. Vermutlich hätte ich auch wieder die OPNsense starten können. Es macht also den Anschein, als wenn ich mir aussuchen kann, was ich neu starte, ob die OPNsense oder die Geräte, die keine Verbindung mehr aufbauen können.
Per Cronjob habe ich dann die LAN-Schnittstelle neu gestartet, dieses brachte aber keinen Unterschied.
Kann ein managebarer Switch Schuld sein?
Müsste ich dafür ein neues Thema erstellen? Es ist ja auch die Telefonie betroffen, aber es scheint eher um Portweiterleitungen zu gehen, die nicht funktionieren.
Mit freundlichem Gruß
Andreas
-
Ich habe noch ein wenig rumprobiert.
sip.1und1.de verweist ja auf 2 IPs (212.227.124.129 & 212.227.124.130)
Kann es sein, dass die OPNsense damit Probleme hat? Ich habe die IPs in den Leitungen der Starface eingetippt. Mit der einen IP registrieren sich die Leitungen mit der anderen nicht. Die Starface kann sich ja quasi eine IP aussuchen, wenn ich einen FQDN (sip.1und1.de) eintrage. Nach einem Neustart nimmt sie vielleicht mal die IP, die die OPNsense für Port 5060 routet und mal die andere IP, mit der sich nicht registriert werden kann, da dort Port 5060 nicht von der OPNsense weitergeleitet wird, da die Anfragen zuvor über eine andere IP gekommen sind und die OPNsensen dann auch nur diese IP zur Starface korrekt routet.
Das würde erklären, warum die Starface mal nach einem Neustart sofort die Leitungen registrieren konnte und mal nicht. Starte ich hingegen die OPNsense neu, dann wird die Route bei erster Registrierung der Leitungen neu festgelegt und es funktionieren dann nur Logins und Anrufe über die zu erst genutzte IP.
Eben lief alles über die .130er IP, aber dann auch nur über die. Zuvor konnte ich beobachten, dass alles nur über die 129er IP funktioniert.
Leider kann ich die IP nicht fest vorgeben, bzw. nützt es nichts, da 1&1 die eingehenden Anrufe trotzdem über beide IPs (vermutlich je nach Auslastung der Server) signalisiert.
Könnte an der Vermutung etwas dran sein?
-
Mach doch nen statischen dns Eintrag der nur auf die eine IP zeigt, dann bist du safe. Sehr kuriose Logik von 1 und 1 ::)
-
Moin,
dann muss ich für jede der beiden IPs einen Eintrag machen? Damit ich es nicht falsch mache, wo soll ich diesen eintragen? Der geht dann in beide Richtungen? Portweiterleitungen für diese Ports deaktiviere ich dann und auch unter NAT die ausgehende static Regel?
Mit freundlichem Gruß
Andreas
-
Hallo Andreas,
ich habe das so verstanden, dass du deiner OPNsense und allen Clients im DNS "vorgaukeln" sollst, dass sip.1und1.de nur eine IP-Adresse hat. Das kannst du bei einer Standardkonfiguration unter Services -> Unbound DNS -> Overrides erledigen.
Dadurch werden deine Clients nicht mehr die korrekte Antwort des Internets erhalten sondern die von dir vorgegebene Antwort.
Insgesamt finde ich das schon etwas unschön als Lösung. Schließlich funktionieren die 1und1 Server ja sonst auch.
Wenn die Portweiterleitung auf einer der 1und1 IP-Adressen nicht funktioniert, könnte es sein, dass vielleicht ein anderes Gerät (App, TK-Anlage, USG o.ä.) sich dort registriert und dadurch die Ports bereits auf ein anderes Gerät umgeleitet sind? Hast du vielleicht die USG noch im Netz, die sich Ports "krallt"?
Etwas weiter vorne hatte ich dir den Vorschlag gemacht, eine FRITZ!Box vor die OPNsense zu hängen und dann die TK darüber laufen zu lassen. Wenn dein Szenario nicht zu groß für eine FRITZ!Box ist, halte ich das durchaus für einen gangbaren Weg. Ja, es gibt zig SIP-Scanner, die versuchen Calls zu initiieren. Jedoch sind 99% alle FRITZ!Boxen in Deutschland direkt online und AVM hat effiziente Maßnahmen ergriffen damit nichts passiert. Insgesamt also nicht die schlechteste Option - auch wenn es mich wirklich interessieren würde, was die Ursache bei dir ist.
Gruß
Robert.
-
Moin Robert,
das Problem ist, dass die Anrufe von der Starface nicht an die Endgeräte weitergereicht werden, wenn sich die IP von 1&1 geändert hat. Da 1&1 immer zufällig eine der beiden IPs verwendet, ist es etwas ungünstig. Mit Ubiquiti gab es hier jedoch keine Probleme, daher denke ich, dass vielleicht einfach irgendwo ein Haken weg muss oder ich eine Route falsch gesetzt habe. In der Whitelist der Starface sind beide Adressen automatisch eingetragen.
Das mit dem Überschreiben kann ich mal testen, was ich aber auch unschön finde. Ich möchte möglichst wenig konfigurieren, um bei Änderungen möglichst wenig vergessen zu können, was mit zu ändern ist.
Es registriert sich kein anderes Gerät bei 1&1 direkt, was zuvor aber auch kein Problem war. Das USG ist mit beiden LAN/WAN-Kabeln abgesteckt und der Stecker vom Netzteil gezogen. Ich stecke es nur an, wenn etwas nicht funktioniert. Alle Telefone registrieren sich an der Starface TK-Anlage (die Handies per WireGuard, welches noch auf der Synology läuft).
Würde ich eine FritzBox davor schalten, dann bräuchte ich die OPNsense nicht, da die dafür sein soll, die Starface abzuschotten. Es ist eher eine Spielerei und ich würde gerne WireGuard auf der OPNsense laufen haben, anstatt auf der Synology. Sonst könnte ich auch mein Ubiquiti USG (mit dem ich auch nicht so ganz zufrieden bin) behalten oder mir einen LANcom Router holen und mir den Strom für das zusätzliche Modem sparen. Prorität hat bei mir, dass kein FritzBox verwendet wird ;-)
Die Overrides könnte ich frühestens heute Abend testen.
Vielen Dank schon mal.
Mit freundlichem Gruß
Andreas
-
Anscheinend konnte ich das Problem lösen, in dem ich DNS-Server eingetragen habe, obwohl unter der PPPoE-Verbindung die korrekten DNS-Server angezeigt werden. Des Weiteren habe ich ausgewählt, dass bevorzugt IPv4 verwendet wird. Dieses hat den Nebeneffekt, dass die OPNsense jetzt auch immer auf den Spiegelserever für die Updates zugreifen kann, was zuvor eine Glückssache war.
Nur warum man das machen muss, wenn die korrekten DNS-Server in der 1&1-Verbindung angezeigt werden, verstehe ich nicht. Zudem verwendet 1&1 die DNS-Server der Telekom und anscheinend nicht mehr die eigenen.
-
Moin,
nachdem ich die DNS-Server eingetragen hatte, lief die Registrierung der Leitungen problemlos. Auch kamen die meisten Rufe rein. Nach einem Update der Telefonanlage tritt es nun aber wieder häufiger auf, dass Anrufe nicht eingehen, bzw. abgewiesen werden.
Zur Erinnerung, 1&1 hat eine Domain sip.1und1.de, die auf 2 IPs verweist. Kommt der Ruf über die IP mit der Endung 129, dann wird der Ruf angenommen, mit der Endung 130 abgelehnt oder andersum.
Im Log der Telefonanlage steht hierzu:
Call from '' (212.227.124.129:5060) to extension '495XXX913' rejected because extension not found in context 'default'.
Hat dazu vielleicht noch jemand eine Idee?
Mit freundlichem Gruß
Andreas
-
Hallo zusammen,
ich habe vor kurzem vor meiner Fritzbox eine OpnSense Box installiert. Die Fritzbox dient nun als VOIP-Anlage. Auch ohne Ports freizugeben funktioniert das telefonieren meist ohne Probleme, aber ab und zu kommt es zu einem Vermittlungsfehler oder die Fritzbox hat probleme die Rufnummern zu erreichen.
Hat jemand vielleicht eine Idee woran das liegen könnte oder welche Ports freigeben werden müssen um das Problem zu lösen?
Mit freundlichen Grüßen Georg.
Anbieter: Osnatel - EWE
-
Moin, moin,
Unter https://forum.opnsense.org/index.php?topic=23203.msg110236#msg110236 (https://forum.opnsense.org/index.php?topic=23203.msg110236#msg110236) habe ich mein Problem beschrieben: Fritz!Box registriert keine Rufnummern bei O2 (Zeitüberschreitung)
Mein Anschluss wird von O2 abgerechnet. Ich gehe davon aus, dass die Technik von der Telekom gestellt wird.
Kann mir siproxd bei der Lösung helfen?
Gruß
Thomas
-
Hallo zusammen,
ich habe eine spezielle Situation, die ich bisher nicht in den Griff bekomme, vielleicht könnt ihr mir helfen:
Wir haben (gebäudebedingt) zwei Netzwerke, die jeweils mit einer OPNsense gemanaged werden und über ein gemeinsames VLAN verbunden sind. Die Telefonanlage wählt sich selber über die Telekom ein und die mobilen DECT-Endgeräte klinken sich über SIP-DECT-Sender ein, die an verschiedenen Stellen im Netzwerk hängen. Leider klappt es nicht, dass die Sprache von der Telefonanlage an die SIP-Sender im Bereich der zweiten OPNsense weitergeleitet wird. Die ausgehende Sprache (von den SIP-Sendern in Bereich der zweiten OPNsense "nach außen") wird aber übertragen.
Daher meine Fragen:
1. Wie kann ich das beheben? Und vor allem, wo liegt die Ursache?
2. Ist siproxd hier das richtige Mittel zum Zweck?
Hier meine vereinfache Systemlandschaft:
WWW --> OPNsense_1
|--> Telefonanlage (VLAN 100, IP 192.168.100.10) & SIP-DECT-Sender (192.168.100.20-25)
|--> Bridge-VLAN (192.168.199.1) ---------------> (WAN: 192.168.199.2) OPNsense_2 --> Telefonie-VLAN 192.168.210.0/24 mit weiteren DECT-Sendern
Falls das schonmal irgendwo beantwortet wurde oder ich hier falsch bin, gebt mir gerne Bescheid! Andernfalls bereits herzlichen Dank für alle Mühen :-)
-
Da kann dir siproxd nicht helfen. Besser du machst einen eigenen Thread mit allen Details auf :)
-
Moin,
nachdem ich die DNS-Server eingetragen hatte, lief die Registrierung der Leitungen problemlos. Auch kamen die meisten Rufe rein. Nach einem Update der Telefonanlage tritt es nun aber wieder häufiger auf, dass Anrufe nicht eingehen, bzw. abgewiesen werden.
Zur Erinnerung, 1&1 hat eine Domain sip.1und1.de, die auf 2 IPs verweist. Kommt der Ruf über die IP mit der Endung 129, dann wird der Ruf angenommen, mit der Endung 130 abgelehnt oder andersum.
Im Log der Telefonanlage steht hierzu:
Call from '' (212.227.124.129:5060) to extension '495XXX913' rejected because extension not found in context 'default'.
Hat dazu vielleicht noch jemand eine Idee?
Mit freundlichem Gruß
Andreas
Der Eintrag des DNS-Servers in der OPNsense brachte die erste Besserung.
Zweites Problem mit den eingehenden Anrufen konnte ich ebenfalls lösen.
Nach einem Update der Starface-Telefonanlage habe ich die Checkbox "resolve host" entdeckt. Diese gibt an, ob der angegebene Host als FQDN oder aufgelöst als IP in die Konfiguration der Telefonanlage geschrieben werden soll. Weiß man dieses, dann ist es ziemlich einleuchtend, warum die Rufe nur von einer IP eingehen. Löst die Telefonanlage den Host neu aus und schreibt dann die andere IP in die Konfiguration, dann funktioniert die andere IP.
Diese Option lässt sich sicher auch bei anderen Telefonanlagen finden.
-
Servus zusammen,
generell funktionieren eingehende wie auch ausgehende Anrufe von an alle Teilnehmer mit Berechtigung (analog / digital Nebenstelle). Einen Gesprächsabbruch konnte ich bisher nicht feststellen.
Mir ist nun aufgefallen, dass wenn ich etwas tiefer in den Stream sehe, dass hier jeweils pro MSN die folgende Meldung ersichtlich wird:
Status 383 Too Many Hops
Diese Zeile steht unter jeder Request SIP Zeile, der bestehenden MSN Accounts.
Dennoch sind die Accounts wie es scheint registriert, sonst würde vermutlich kein Gesprächsaufbau etc. erfolgen.
Evtl. jemand eine Idee, ob diese Ausgabe normal ist, oder wenn nein, welche Anpassung hier erforderlich werden könnte.
Folgend mein Setup:
T-Com <--> DrayTek Vigor 165 (Modem) <--> OPNsense VM (ppoe) <--> Mikrotik CRS317 <--> Auerswald 5020 VoIP (je ein Account pro MSN)
- VLANs - nein
- Kein explizites Portforwarding -> TK
- Firewall Optimization -> normal
Unter Nat => Outbound
- "Hybrid rule generation" -> ausgewählt
- Manual Rule:
Interface: WAN
TCP/IP Version: Ipv4
Protocol: UDP
Source Adress: IP der TK Anlage als Alias
source port: any
Destination adress: !RFC1918
Destination port any
Translation/ target: Interface address
Static-port: yes
Dank und Grüße
Elektromat
-
Hallo in die Runde,
Ist das Plugin siptrunk mit integriert, und wen ja wo kann man es konfigurieren?
https://sourceforge.net/p/siproxd/discussion/203640/thread/88c1929a8d/#a5de (https://sourceforge.net/p/siproxd/discussion/203640/thread/88c1929a8d/#a5de)
Vielen Dank im Voraus für eure Hilfe
-
Dafür ist der siproxd eigentlich nicht gemacht. Normalerweise sind sip Trunks ohne dem Zeug besser dran
-
Für Elektromat habe ich keine Idee,. Der Fehlermeldung nach könnte man prüfen, wie viele Server zwischen Telefonanlage und SIP-Provider sitzen und versuchen diese zu reduzieren.
@Realterminator: Wofür ist es relevant? Was hast du vor? Ich kann bestätigen, dass möglichst wenig in der Firewall vor der Telefonanlage eingestellt werden sollte. Worauf ich nicht verzichten will ist, dass ich den SIP-Port von außen ausschließlich für die IPs der SIP-Provider freigegeben habe. Damit hat die in der Telefonanlage integrierte Firewall nichts mehr zu tun.
-
Hi zusammen,
ich benötige die Möglichkeit auf zwei "Inbound interfaces" siproxd zu aktivieren. Gibt es hier eine Möglichkeit?
Viele Grüße und danke im Voraus
-
Hallo Zusammen,
ich brauch Hilfe mit einem Problem mit einer Auerswald Anlage hinter einer OPNSense. Der VOIP-Provider ist Magenta, wobei die Konfiguration der Anlage von UPC so übernommen wurde.
An der OPNSense läuft siproxd, es wurden an der Anlage 3 Durchwahlen 21, 22, 23 konfiguriert. Man kann hereinrufen und hinaus, allerdings mit folgenden Einschränkungen: herein geht nur mit der Hauptnummer, ruft man auf eine Durchwahl direkt bekommt der Anrufewr eine Fehlermeldung dass der Teilnehmer nicht verfügbar ist.
Ruft man von einer der Durchwahlen hinaus sieht der Angerufene nur die Hauptnummer, ohne Durchwahl dahinter.
Sprache funktioniert in beide Richtungen.
Hat irgendjemand einen Tipp wie ich es schaffe auf die Durchwahlnummern durchzurufen?
Vielen Dank erstmal, Martin
-
Servus Zusammen,
kurzes update, zwischenzeitlich habe ich meine zuvor bestehende Auerswald 5020 durch ein aktuelles Modell eine COMpact 4000 ausgetauscht, und siehe da, seit dem keinerlei VoIP schwierigkeiten mehr. Hätte ich die Anlage früher getauscht, hätte es mir sicher viel Nerven und Zeit gespart. 8)
Die 5020 war zwischenzeitlich aus dem Support gefallen und unterstützt das das dynamische DNS SRV Verfahren nicht. Siehe folgender Link vom Hersteller.
https://www.auerswald.de/de/support/produkt/compact-5020-voip/support#faq-8533
Grüße
Elektromat
-
Ich habe die Fritzbox hinter OPnsense im Einsatz. VOIP läuft vollständig über IPv6.
Leider habe ich das Problem, dass bei Anrufen oft die eingehende RTP-Verbindung nicht meine Server erreicht.
Die Fritzbox befindet sich in einem eigenen Segment.
Hier ist meine Konfiguration:
WAN / Internet
:
: 1und1 (Dual Stack)
:
.-----+-----.
| Vigor 165 | (als Modem)
'-----+-----'
|
|
|
.-----+------. FRITZBOX net .------------.
| OPNsense +---------------------+ Fritzbox |
'-----+------' TRACK INTF WLAN '------------'
|
LAN etc.
Die Firewall-Regeln auf dem WAN-Interface befinden sich im Anhang.
Das Alias allowlist_SIP enthält alle relevanten SIP-Server und im Alias allowlist_RTP befinden sich alle RTP-Proxy von 1und1 rtpproxy1 bis rtpproxy16.
Ich habe einen erfolgreichen SIP-Flow und einen nicht erfolgreichen SIP-Flow als Anhang beigefügt.
Im Firewall-Log sehe ich kein blockiertes Paket.
Seit ein paar Monaten habe ich ein Ticket bei 1und1 laufen. Aber Konstruktives ist von 1und1 noch nicht gekommen.
Hat jemand eine Idee, was ich noch verbessern kann, so dass Anrufer stets bei mir durchkommen?
(http://Rules Fritzbox-net.png)
-
Guten Abend,
Eine Frage an euch, hat das jemand mit Deutsche Glasfaser am laufen.
Mein Einfaches Ziel wäre es eine Siemens Gigaset Box 100 und ein "Softphone" gleichzeitig zu betreiben
Welches Softphone ist mir dabei fast egal. Ich hab in der Vergangenheit Linphone genutzt.
Manches war im analogen Zeitalter doch einfacher....
Hat jemand irgendwie die/eine Lösung für mich?
VG
Sascha
-
Was funktioniert bei Dir denn nicht?
Für 1&1 habe ich Siproxd am Ende nicht gebraucht.
RTP kam durch, nachdem ich die DNS von 1&1 (ggf. bei anderen Anbietern ähnlich) in der Konfiguration der OPNsense eingetragen habe. Muss man halt im Hinterkopf behalten, wenn in Tutorials, wie z.B. Multi-WAN, der DNS angepasst werden soll.
-
Ich bekomme schon keine Registrierung hin :(
Allerdings hab ich auch MultiWan etc. Hab aber als Outbound mein FTTH Interface angegeben
und bin mir unsicher bzgl der Firewalleinrichtung dafür
-
Und was bringen die Telefone als Fehlermeldung? Falls diese nicht zu sehen sind, dann probiere Zoiper, da kannst du glaube ich eh e Meldung sehen.
Portweiterleitungen würde ich vorerst entfernen und den DNS-Server des Providers suchen und diesen in die Konfiguration eintragen.
-
Das ist alles was ich im siproxyd unter Current registrations sehe :(
****:0:0
****:0:0
****:0:0
****:0:0
****:0:0
****:0:0
****:0:0
****:0:0
Danke für den Zoiper Tip, das läuft in beide Richtigungen ein- und ausgehened soweit für den Moment, sicherlich bis die FW die Ports wieder zu macht, aber das geht erstmal von meinem Windows Client aus dem Vlan raus.
-
Die Frage ist ja, ob du SIPROXD benötigst. Bei mir lief es komplett ohne. Ich hatte lediglich Port 5060 und die RTP-Ports auf meine Telefonanlage weitergeleitet und die IPs auf die des Providers begrenzt, womit die Firewall der Telefonanlage sauber blieb. Da du mehrere Clients anmelden möchtest, würde ich vermuten, dass du eigentlich gar nichts einstellen solltest, außer vielleicht die DNS-Server deines ISP in der OPNsense.
-
Moin,
ich bin gerade von sophos xg auf opnsense umgestiegen
Habe die neusten Updates drauf.
Mein Voip provider ist eigentlich harmlos von den Einstellungen her, aber ich bekomme keine Verbindung.
Bei der Sophos hatte meine Fritzbox einfach eine rule für Internet allow mit NAT.
Auf der opnsense werden die Rufnummern registriert, man kann auch anrufen raus und rein, aber die RTP Verbindung wird nicht aufgebaut.
Habe jetzt schon static port versucht, bekomme es aber nicht zum laufen.
Den sip proxy möchte ich eigentlich nicht verwenden. Hat hier jemand einen Tipp, was ich noch an der opnsense Einstellen muss
-
Hallo zusammen,
erstmal Dankeschön für die gute Hilfestellung in diesem Forum.
Folgendes Problem: Die Telefone laufen im mittlerweile alle. Ich verwende Telekom VOIP mit Siproxd.
Folgendes landet (regelmäßig) in meinem System Log der OPNsense:
2022-11-22T17:53:04 Error siproxd siproxd.c:440 ERROR:sip_message_parse() failed, sts=-5... this is not good
2022-11-22T17:51:47 Error siproxd siproxd.c:440 ERROR:sip_message_parse() failed, sts=-5... this is not good
2022-11-22T17:36:59 Error siproxd siproxd.c:440 ERROR:sip_message_parse() failed, sts=-5... this is not good
2022-11-22T14:40:33 Error siproxd sock.c:445 ERROR:sendto() [127.0.1.1:5100 size=293] call failed: Can't assign requested address
2022-11-22T11:19:14 Error siproxd siproxd.c:440 ERROR:sip_message_parse() failed, sts=-5... this is not good
Vielleicht kann mir jemand helfen :)
Danke
-
Hallo,
kurz zur Situation. Ich bin gerade dabei (dauert schon eine Weile an) meine Migration von IPFire nach OPNsense vorzubereiten. Jetzt bin ich an dem Punkt Telefonie. Ausgangssituation ist:
- Telekom mit Zuhause Tarif als Internetanbieter
- (zukünftig) OPNsense als Router
- dahinter eine Fritzbox 7390 mit Fritz-Phones, die nur für die Telefonie zuständig ist
Gibt es eine aktuelle Anleitung/howto, welche Portforwardings, Freischaltungen, etc. ich machen muss, damit das mit dem Telefonieren klappt? Habe da mit dem IPFire so meine Probleme und wollte es mit der sense besser machen.
Schon mals vielen Dank für die Unterstützung
Paul
-
WAN WAN
: :
: DSL-Provider : StarLink
: :
.---+---. .--+--.
WAN2 | DSL | Modems | Eth | WAN1
'---+---' '--+--'
| |
PPPoE | | Ethernet
| |
| MultiWAN_GW |
| .----------. |
+------| OPNsense |------+
'----+-----'
|
LAN |
|
.-----+------.
| LAN-Switch |
'-----+------'
|
...-----+-----...
(Clients/Servers/Fritzbox)
Servus zusammen,
ich such schon seit Tagen an meinem Fehler aber kann ihn nicht finden, ich bekomme meine FritzBox (SIP) hinter der Firewall nicht zum laufen.
Zum Setup:
DSL-Modem -> Draytek Vigor 130 (Bridge Mode)
StarLink -> Direkt Verbunden (ohne StarLink-Router)
OpnSense -> HP ProDesk 400 (Intel I350-T4)
Zur Konfiguration MultiWAN-Gruppe:
STARLINK_DHCP (active) -> Tier1
WISOTEL_PPPOE -> Tier2
Firewall/Rules/LAN -> Gateway MultiWAN-Gruppe
Zur Konfiguration VOIP:
Alias -> VOIP_PORTS (5060, 30000:44999) , VOIP_SERVER (FritzBox)
Firewall/NAT/Port Forward
- Interface: WAN2 (WISOTEL)
- Protokoll: TCP/UDP
- Source: ANY
- Source Port: ANY
- Destination: ANY
- Destination Port Range: SIP (5060)
- Redirect target IP: VOIP_Server
- Redirect target port: SIP (5060)
Firewall/NAT/Outbound (Hybrid outbound NAT rule generation)
- Interface: WAN2 (WISOTEL)
- Protokoll ANY
- Source address: VOIP_Server
- Source Port: any
- Destination Port: ANY
- Translation / target: Interface Address
- Static Port: YES
Firewall/Rules/WAN2 (WISOTEL)
- Interface: WAN2 (WISOTEL)
- Protocol: TCP/UDP
- Source: ANY
- Destination: VOIP_Server
- Destination port range: SIP
Firewall/Rules/WAN
- Interface: LAN
- Protokoll: TCP/UDP
- Source: VOIP_Server
- Source Port Range: VOIP_PORTS
- Destination: ANY
- Destination port range: ANY
Im Live-Log sehe ich keine Einträge das überhaupt was über die FritzBox verschickt wird.
Ich habe mal auf meinem Rechner PhonerLite installiert um vielleicht darüber eine bessere Fehlermeldung zu bekommen und da bekomme ich nur die Rückmeldung "Unauthorized IP detected"
Durch die MultiWAN-Gruppe geht auch alles primär über das StarLink-Gateway raus aber mit den Regeln sollte
das WISOTEL Interface angesprochen werden, oder habe ich da einen Denkfehler ?
Grüße Doc
-
Irgendwie habe ich bei dem Thread hier nicht dem Überblick... Ist das Ding noch aktiv?
Ich suche ein Walk-Through für opnsense, dynamische IP und FusionPBX (freeswitch). Aktuell kann ich zwar anrufen, aber angerufen zu werden klappt nicht. Habe derzeit nur Port Forwarding aktiv.
VoIP sind sipgate und Telekom.