Hallo
Ich hoffe jemand kann mir weiter helfen. 8) Ich steige gerade von IPFire auf OpnSense um.
Ich hab folgenden Aufbau. Ich hab ein DSL Modem, welches selber nichts macht. Also keine Firewall, kein DHCP usw. wirklich ein reines Modem.
Dahinter war bis jetzt meine IPFire-Firewall und diese wird jetzt durch die neue OpnSense Firewall ersetzt. Hinter der OpnSense Firewall sind mehrere Netzwerke. In einem dieser Netzwerke sitzt meine AGFEO Telefonanlage.
Soweit so gut. Ich hab nun bei der OpnSense Firewall alle Regeln eingestellt die ich auch bei der IpFire-Firewall eingestellt habe. Die Agfeo Telefonanlage kann sich auch beim SIP-Provider anmelden.
Das Problem ist, das ich nur hinaus telefonieren kann aber nicht hinein. Und wenn ich hinaus telefoniere, dann höre ich am Telefon der Agfeo-Anlage nichts. Also meine Sprache geht raus auf mein Handy, aber die Sprache von meinem Handy kommt nicht rein.
Damals bei der IPFire-Firewall kann ich mich noch erinnern, das ich dieses Problem durch Anwählen der SIP Funktion beim ALG beheben konnte. Wie kann ich dieses Problem bei OpnSense lösen?
Hallo,
Dies ist kein grosses Problem und win bekanntes Phänomen bei SIP und NAT.
Ich denke das deine Firewall die Pakete vom SIP Provider schluckt.
Vielleicht postest du mal die entsprechenden Firewall uns NAT regeln, dann kann dir bestimmt geholfen werden.
Bei mir läuft eine Auerswald in einem VLAN hinter der Firewall und davor idt auch nur ein Modem.
Gruß
Sven
Gesendet von meinem SM-N960F mit Tapatalk
1. bitte einen grafischen netzwerkplan
2. Firewall Regeln als Bild
3. outbound regeln als Bild
4. welcher Provider (Telefonie und Internet)
5. siehe auch https://forum.opnsense.org/index.php?topic=12697.0 aber das hast du ja bestimmt gelesen wenn du neu hier im forum bist.
Gesendet von iPhone mit Tapatalk Pro
Hi,
so ganz allgemein kann ich dir mal die Ports sagen, die unsere AGFEO-Firewall verwendet:
- 5064:5083 (SIP mit max. 10 SIP-Ports)
- 5004:5013 (RTP mit max 5 Kanälen)
Hier im Forum gibt es diverse Anleitungen, wie man VoIP hinter der OPNsense mit einer FRITZ!Box betreibt. Im Prinzip kannst du das genau so konfigurieren.
https://forum.opnsense.org/index.php?topic=4712.0
1. Port Forward auf die Ports (ggf. per Source Angabe auf die SIP-Server des Anbieters beschränken)
2. Outbound-NAT mit Static-Port konfigurieren.
Bei uns in der Firma läuft das soweit ohne Probleme.
Gruß
Robert
Mein Aufbau
Internet
|
|
--------------
| Modem |
--------------
|
|
--------------
| OpnSense |
--------------
| |
| |
10.95.100.0 Netzwerk Netzwerk 10.95.102.0
Firma Privat
|
|
---------------
| Agfeo | 10.95.100.12
---------------
Ziel ist es meine alte IPFire Firewall mit einem ALIX Board durch eine neue OpnSense-Firewall zu ersetzen. 1. Grund dafür ist einfach weil die IPFire mittlerweile zu wenig für mich kann und zweiten ist seit einem Blitzschaden, eine Netzwerkkarte von meinem ALIX-Board durch.
Alle Sachen die ich sonst brauche wir Mail-Server usw. funktioniert auch schon einzig die Telefonanlage funktioniert noch nicht richtig. Ich bin jetzt sogar schon weiter gekommen. Ich kann von extern anrufen und von innen nach aussen Telefonieren. Nur das ich in der Firma, also an den Telefonen die an der AGFEO-Telefonanlage hängen nichts höre. Egal ob ich von innen nach ausen auf mein Handy telefoniere oder umgekehrt.
Der Provider ist Magenta aus Österreich. Mit denen hab ich auch schon telefoniert. Sie sehen, das sich angemeldet bin. Der nett Herr am Telefon konnte aber selbst nicht auf die Routings und den Telegrammverkehr zugfreifen, da dies eine andere Abteilung macht. Von dieser Abteilung bekomme ich noch einen Rückruf. Aber vielleicht bekomme ich das mit eurer Hilfe auch noch hin. 8)
Nochmal zusammen gefasst, ich hoffe ich drücke mich richtig aus, der Audiostream der von meinem SIP-Provider zu mir kommt, also mein Hören, kommt noch nicht an.
Die angehängten FW-Regeln sind auf deinem Firmen-LAN, korrekt?
Wenn nicht dein WAN offen steht wie ein Scheunentor (dort sollten keine (!) ALLOW Regeln stehen), dann dürften die Regeln nicht funktionieren, da die OPNsense den Traffic immer am ersten EINGEHENDEN Interface evaluiert. Und auf deinem LAN sitzen die öffentlichen IPs nicht als SOURCE....
Nein die Firewall-Regeln sind auf der WAN-Schnittstelle. Dort kommt ja der Verkehr von aussen an.
@pacman, mein tipp:
1. alle firewall regeln was mit deiner telefonie zu tun hat mal deaktivieren
2. versuch mal die einstellungen aus meinem bild für deine telefonalage (am besten einen alias erstellen)
3. und mit für mich persönlich ein wichtiger punkt. nach dem du die einstellungen gemacht hast, starte mal deine sense neu (aus meiner erfahrung, wenn gefühlt meine änderungen kein ergebnis liefern, einfach mal neustarten)
ich hatte es damals auch mit irgendwelchen firewall regeln versucht. und mit dieser geht jetzt alles bei mir.
Interssant ist ja, wenn ich bei der Telefonanlage mit einem STUN-Servera arbeite, dann kann ich von innen nach aussen Telefonieren und alles funktioniert. Nur ich kann nicht rein telefonieren.
Wenn ich bei meiner Telefonanlage mit der Option RPORT anstatt STUN-Server fahre, kann ich zwar rein und raus telefonieren, ABER ich höre eben den einen Kanal nicht.
Das Problem hatte ich bei der IPFire-Firewall auch und dort hab ich es dann mit dem ALG und SIP gelöst. Aber ALG gibt es ja bei OpnSense glaub ich nicht. Zumindest finde ich nichts
Hallo pacman,
Als erstes erstellst du dir mal ein paar Alias in der Firewall.
1. Telefonanlage auf die interne IP der Telefonanlage
2. Registrar auf den DNS Name deines Registrats ( z.b. sip.t-offline.de)
3. Erstelle noch jeweils ein Alias mit den SIP Ports und einen mit den RTP Ports.
Im Anschluss daran musst du nur 2 Portweiterleitungen in der Firewall konfigurieren.
Einmal IPv4/UDP vom Registrar an die Telefonanlage mit dem Alias der SIP Ports
Und einmal IPv4/UDP vom Registrar an die Telefonanlage mit dem Alias der RTP Ports
Die Firewall muss natürlich auf dem WAN interface die Pakete von deinem Registrar auf dem SIP und UDP Port durch lassen.
Fertig ist die Kiste
Danke für die Inputs. 8)
Das hab ich alles aber schon gemacht. Ich vermute, dass das Problem bei mir folgendes ist.
Via: SIP/2.0/UDP 10.95.100.12:5060;branch=z9hG4bK-524287-1---08eb37a95287207b;rport
Hier eine Auszug aus dem Telegrammverkehr. Wenn sich meine Telefonanlage mit der Sip-Provider anmeldet ist im Via-Header die Lokale IP-Adresse der Telefonanlage drinnen und nicht die WAN-Adresse. Wenn jetzt natürlich der Provider versucht den RTP-Stream auf diese Adresse zu senden, kann es nicht funktionieren. Die Frage ist, wie kann ich das ändern. Ich bin schon am versuchen, das irgendwie mit Siproxd zu lösen. Hat ihr jemand schon erfahrung?
Kannst Du bei der Agfeo einen STUN Server eintragen?
Kann ich. Aber auf der Agfeo-Seite wird ganz klar gesagt bei UPC Austria bzw. jetzt Magenta darf der STUN-Server nicht verwendet werden.
Interessant ist ja, wenn ich mit dem STUN Server arbeite funktionieren zwar beide Audio-Streams, also hören und sprechen. Aber ich kann nur von innen nach aussen Telefonieren. Wenn ich von aussen nach innen Telefonieren will, funktioniert das nicht.
Wenn ich ohne STUN Server arbeite, kann ich rein und raus telefonieren. Aber ich bekomme keinen Audio-Stream von SIP-Provier :'(
Hallo Pacman,
dann funktioniert dein NAT nicht richtig. Denn die Firewall sollte die interne Adresse auf die Externe IP umschreiben und zurück.
Was mich allerdings etwas stutzig macht ist die Tatsache das du offensichtlich surfen kannst.
Wie sieht es denn mit der Konfiguration der Telefonanlage aus? Hast du da mal geschaut was zum Thema NAT einzustellen ist?
Gruß
Sven
Gesendet von meinem SM-N960F mit Tapatalk pro
Quote from: lidynia.sven on October 16, 2020, 06:21:11 PM
Hallo Pacman,
dann funktioniert dein NAT nicht richtig. Denn die Firewall sollte die interne Adresse auf die Externe IP umschreiben und zurück.
Was mich allerdings etwas stutzig macht ist die Tatsache das du offensichtlich surfen kannst.
Wie sieht es denn mit der Konfiguration der Telefonanlage aus? Hast du da mal geschaut was zum Thema NAT einzustellen ist?
Gruß
Sven
Gesendet von meinem SM-N960F mit Tapatalk pro
Zur Ermittlung der externen IP ist der STUN Server ja zuständig.
Die Agfeo kennt nur die interne Adresse.
Warum man allerdings keinen STUN in der Kombination verwenden darf ist mir schleierhaft.
Siehst Du im Live view der Firewall was da so passiert wenn Du telefonieren willst? Irgendwelche Blocks?
Ich habe mit meiner Gigaset VOIP Basis in Verbindung mit Easybell die Verbindung zu einem STUN Server und ausgehend für UDP Ports 5060-5064 und 10.000-50.000 zu den entsprechenden Server von Easybell zugelassen. Eingehend nichts. Kein spezielles NAT.
Irgendwie komm ich hier nicht weiter. Ich hab das ganze noch einmal angeschaut. Ich hab auch mal ein paar Screenshots von der alten Firewall und der neuen Firewall gemacht. Die Regeln sind meiner Meinung nach 1:1 übertragen worden. Das einzige ist dieses ALG-SIP. Das kann ich bei Opnsense nicht anwählen.
Ich hab heute auch noch ein paar Tests mit der alten Firewall gemacht. Dort verhält sich die Telefonanlage genau gleich wie bei Opnsens wenn dieses ALG-SIP deaktiviert ist.
Ich denke ich muss diese Funktion von dieser Option SIP-ALG von Ipfire mit Siproxd nach bilden. Leider weiß ich nicht im Ansatz wie. :( Kann mir hier jemand helfen?
Quote from: pacman on October 10, 2020, 12:21:32 PM
Mein Aufbau
Internet
|
|
--------------
| Modem |
--------------
|
|
--------------
| OpnSense |
--------------
| |
| |
10.95.100.0 Netzwerk Netzwerk 10.95.102.0
Firma Privat
|
|
---------------
| Agfeo | 10.95.100.12
---------------
Ziel ist es meine alte IPFire Firewall mit einem ALIX Board durch eine neue OpnSense-Firewall zu ersetzen. 1. Grund dafür ist einfach weil die IPFire mittlerweile zu wenig für mich kann und zweiten ist seit einem Blitzschaden, eine Netzwerkkarte von meinem ALIX-Board durch.
Alle Sachen die ich sonst brauche wir Mail-Server usw. funktioniert auch schon einzig die Telefonanlage funktioniert noch nicht richtig. Ich bin jetzt sogar schon weiter gekommen. Ich kann von extern anrufen und von innen nach aussen Telefonieren. Nur das ich in der Firma, also an den Telefonen die an der AGFEO-Telefonanlage hängen nichts höre. Egal ob ich von innen nach ausen auf mein Handy telefoniere oder umgekehrt.
Der Provider ist Magenta aus Österreich. Mit denen hab ich auch schon telefoniert. Sie sehen, das sich angemeldet bin. Der nett Herr am Telefon konnte aber selbst nicht auf die Routings und den Telegrammverkehr zugfreifen, da dies eine andere Abteilung macht. Von dieser Abteilung bekomme ich noch einen Rückruf. Aber vielleicht bekomme ich das mit eurer Hilfe auch noch hin. 8)
Nochmal zusammen gefasst, ich hoffe ich drücke mich richtig aus, der Audiostream der von meinem SIP-Provider zu mir kommt, also mein Hören, kommt noch nicht an.
Habe ich das richtig verstanden?
In deinem privat Netz kannst du über VoIP telefonieren, über die Agfeo Anlage aus dem Firmennetz aber nicht?
Wie läuft VoIP den in deinen privat Netz denn (VoIP Telefon/FB oder so) und über welchen VoIP Provider.
Sollte ich das in deinem Post falsch verstanden haben, dann bitte kurze Info.
Gesendet von meinem SM-N960F mit Tapatalk pro
Aktuell ist es so, das ich im System nur ein VOIP Telefon habe. Der Rest sind teilweiße noch analoge oder digitale Telefone. Aber ja mit dem einen VOIP Telefon kann ich Firmenintern ganz normal Telefonieren. Die gesamte Anlage funktioniert intern ganz normal. Eben nur die Verbindung mit dem SIP Trunk Provider funktioniert nicht richtig.
Ich hab endlich von meinem Provider eine Rückmeldung bekommen. Das Problem ist genau, jenes ich vermutet habe. Im Anhang hab ich ein Screenshot von einem Telegramm gemacht. Das NAT und die Firewall passt alles. Aus irgend einem Grund kann ich bei UPC/Magenta mit einer Agfeo-Telefonanlage den STUN-Server nicht verwenden. Das steht so auf der Agfeo-Homepage unter den Tipps für die Provider. Es funktioniert auch tatsächlich nicht. Die Person an der Agfeo-Hotline konnt mir das auch nicht sagen warum das so ist. Ist auch egal, das bringt mich auch nicht weiter. Das heißt ich muss wie bis jetzt auch ohne STUN-Server arbeiten.
Dort ist jetzt auch das Problem. Meine Agfeo-Telefonanlage kennt ihr WAN-Adresse nicht und trägt darum im Contact-Feld im SIP-Telegramm ihre lokale IP-Adresse ein. Das hat mir auch Magenta am Telefon so bestätigt.
Genau hier kommt das SIP-ALG von meiner alten Linux-Firewall zu tragen. Diese hat dieses Contact-Feld überarbeitet und dort die WAN-Adresse eingetragen. Somit hat sich dann die Telefonanlage richtig bei Magenta angemeldet.
Beim Screenshot sieht man genau beim Teil Internet Protocol Version 4, das meine extreme IP-Adresse eingetragen ist und die richtige Ziel-Adresse von meinem SIP-Provider. Auch die Ports sind richtig, somit ist meiner Meinung nach beim NAT alles richtig eingestellt. Nur im Session Initiation Protocoll (180) unter Message Header Contact, sieht man das die lokale IP-Adresse eingetragen ist.
So Jetzt muss ich es schaffen das mir Siproxd ebenfalls in diesem Feld die lokale IP-Adresse der Telefonanlage überschreibt. Genau so wie das die Linux-Firewall mit dieser Funktion ALG-SIP gemacht hat. Kann mir hier jemand helfen oder Tipps geben wie ich das schaffe?
Ich bin mittlerweile ganz nach drann. Eine Kleinigkeit fehlt mir noch. Vielleicht kann mir jemand helfen. Ich bin im Moment soweit, das der Siproxd mir einen zusätzlichen VIA-Header rein schreibt und zwar mit der WAN-Adresse. Er lässt aber auch noch die VIA-Zeile mit der LAN-Adresse drinnen. Ob das stört kann ich im Moment noch gar nicht sagen. ABER für meinen SIP-Provider ganz wichtig. Ich hab den Siproxd-Dienst jetzt soweit, das er mir das Contact-Feld mit er WAN-Adresse überschreibt.
1. Teilerfolg. Ich kann jetzt von innen nach aussen telefonieren und es funktiniert alles einwandfrei
2. Teilerfolg. Wenn ich von extern versuche rein zu telefonieren kommt jetzt auch ein Anfrage vom SIP-Provider. So viel ich sehe, schauen auch diese Daten richtig aus.
3. Problem. Bei einem externen Anruf kommt ein Timeout. Das komische an diesem Timout ist, das laut Wireshark teilweiße nicht einmal eine Millisekunde und sonst nur wenige Millisekunden, zwischen der Invite-Anfrage meines Provider und des Timeout von meiner Seite aus kommt.
Im Anhang hab ich mal meine Konfigurationen von Siproxd, vom NAT und von der Firewall. Wäre froh, wenn mir jemand noch einen Input geben könnte.
Hier noch die restlichen 3 Screenshots.
Jetzt hab ich es fast geschafft. Eine Fehler hab ich noch. Hier brauch ich aber die Hilfe von einem Siproxd Speziallisten.
Und zwar der Spiroxd macht jetzt brav was er machen muss, d.h. er manipuliert brav die SIP-Packete und ersetzt die lokale-IP-Adresse der Telefonanlage durch die WAN-Adresse meines Internetanschlusses. Soweit so gut. Ich kann jetzt raus und rein telefonieren. alles passt perfekt.
Unter der Regestrierung sehe ich auch die Anmeldungen an dem Siproxd
sip:0557783310@10.95.100.12:5060
sip:0557783310@85.126.101.10
sip:0557783310@siptrunk.upc.at
Das Problem das jetzt noch besteht ist, das wir wollen, das beim raus Telefonieren die Durchwahl des jeweiligen Telefons angehängt ist. Das Problem ist, wenn man mit dieser Durchwahl anruft, blockt der Siproxd Dienst diesen Anruf und lässt ihn nicht durch. Also kurz erklärt, wenn man direkt auf der Rumpfnummer/Hauptnummer anruft läuf alles Perfekt. Sobald man aber mit einer Durchwahl anruft blockt Siproxd diesen ab. Das sieht man auch im Telegrammverkehr.
Die anderen Telefone können sich aber nicht am Siproxd anmelden, da diese ja noch "klassische" Analoge und digitale Telefone sind. Irgendwie muss ich es jetzt noch schaffen, das Siproxd die Durchwahl auch durch lässt.
Die Durchwahl hängt natürlich im Telegrammverkehr drinnen. z.b sip:055778331012@85.126.101.10
Hat jemand eine Idee?