Guten morgen,
hab seit gestern die OPNsense firewall in betrieb (OPNsense 21.1-amd64).
OPNsense ist an einem Lan Port des Speedport Hybrid angeschlossen (ist das schnellste was zur Verfügung steht, noch..). Ansonsten ist am SPH nichts weiteres dran und Wlan ist deaktiviert.
SPH und die OPNsense Firewall (inkl. dem ganzem Netzwerk) haben 2 getrennte Netzwerkadressen.
SPH 192.168.1.1/24
Firewall und Netzwerk 192.168.100.1-255/24
Bis zum Umbau bzw. anbau der Firewall hat der Telekom Vo-IP Anschluss mit dem Gigaset C430 go wunderbar funktioniert (im VoIP Telefon sind die Server Daten direkt eingegeben, der SPH fungiert nicht als Telefonanlage). Seit der OPNsense gestern funktioniert das nicht mehr (war mir auch bewusst). Genauso wenig die Email funktion meiner Kameras (SMTP mit Port 587) auf ein googlemail Konto.
OK, nun versuche ich seit gestern zu kapieren, wie die Firewall "richtig" eingestellt werden will.
Zu dem Thema mit VoIP hab ich einen "alten" Thread aus 2018 gefunden:
https://forum.opnsense.org/index.php?topic=7663.0 (https://forum.opnsense.org/index.php?topic=7663.0)
Ich besitze aber keine FritzBox und "suche" nun die richtigen Einstellungen, damit das Telefon(meine Frau ist grad alles andere als verständlich) und meine email Alarmierung der Kameras wieder funktioniert.
Wie ich es verstanden habe, muss ich unter "Firewall: Aliases" erstmal die Ports anlegen, wo ich überhaupt mit "Arbeiten" möchte.
Danach muss ich in den "Firewall: Rules: LAN" diese Ports zur Freigabe (oder Weiterleitung?) einrichten.
Ist dies soweit korrekt?
Wenn ja, dann bin ich zu blöd das zu kapieren, da ich es nicht hinbekomme.
Könnte mir bitte jemand weiterhelfen (zumindest mit dem VoIP Anschluss), damit das Telefonieren wieder funktioniert?
Mein Problem dabie ist, dass ich es verstehen muss und die zusammenhänge kapieren muss, damit ich es dann auch zukünftig richtig umsetzen kann.
Bin damals auch von Synology auf Qnap dann auf Windows Server auf FreeNAS nun schlussendlich bei Unraid hängen geblieben.... Auch nach 3Monaten weis ich nicht alles, aber schon einiges mehr als am Anfang :-) *macht mir zumindest Spass*
Danke schon mal im Voraus.
Grüße
PS: Das mit meiner Frau ist kein Witz :o
Hi,
erstmal bitte einen kurzen Netzwerkplane, dann wissen wir alle wie du was angeschlossen hast.
Außerdem einen Screenshot deiner FW Regeln.
:)
Hallo High-Tower,
gab es einen dringenden Grund komplett umzuziehen?
Bevor gerade wichtige Dinge wie Telefonie nicht laufen, würde ich mir immer die Option des Rollnacks offenlassen...
Zur Telefonie hilft dir vielleicht das weiter:
https://forum.opnsense.org/index.php?topic=4712.msg100299#msg100299
Du müsstet den Eintrag dann halt nur für dein Gigaset anpassen...
Des Weiteren wäre ein Netzwerkplan: https://forum.opnsense.org/index.php?topic=7216.0
und eine Übersicht deiner Firewall-Regeln hilfreich :)
Was sagen denn die Logs der Firewall?
Beste Grüße
€dit: zu langsam ;D
€dit2: Link korrigiert
Guten morgen,
sry.. gestern viel los zuhause.... :-)
Meine Frau kann nun über unser Wlan wenigstens mit dem Smartphone telefonieren (und auch WhatsApp).
Nun ist es soweit wieder ~normal~...
@opnboi,
danke für den Link der Android Hilfe, verstehe nur nicht, wie mir das weiterhelfen soll oder kann...
Die Regeln was ich erstellt habe, hab ich alle wieder gelöscht, weil es nicht funktioniert hat.
Würde das gerne richtig erstellen und nacheinander durchgehen, damit ich es auch richtig verstehe.
Im Anhang der "Netzwerkplan".
D.h. die Firewall Regeln sind alle "default", ausser ip v6 wurde komplett deaktiviert, da ich das nicht benötige.
Das Telefon klingelt zwar, aber keiner der Parteien hört etwas.
WAN / Internet
:
: Telekom Hybrid (DSL + LTE max. 16Mbit)
:
.-----+-----.
| Gateway | (Telekom Speedport Hybrid)
'-----+-----'
|
WAN | 192.168.1.1/24
|
.-----+------.
| OPNsense |
'-----+------'
|
LAN | 192.168.100.1/24
|
.-----+------.
| LAN-Switch |
'-----+------'
|
...-----+------... (Clients/Servers)
Wenn du "allow any-any" auf dem LAN hast, sollte es eigentlich funktionieren, ggf. könnte das doppelte NAT ein Problem sein, wenn Port 5060 "verloren geht".
https://forum.netgate.com/topic/80722/voip-client-behind-pfsense-on-german-telekom-isp
Da hat es einer zum Laufen gebracht, indem er STUN im Gigaset deaktiviert hat (aber auch ohne doppeltes NAT).
Ich nutze Gigasets mit anderen VOIP Providern, alles was es braucht sind 3 Regeln auf dem LAN (! nix auf dem WAN, kein NAT)
1. allow gigaset UDP port 5060 to any (bei mir die entsprechenden Server des VOIP providers, die Telekom rückt glaube ich die Info nicht raus)
2. allow gigaset UDP port 15000 to 30000 to any (bei mir wieder die Server laut Provider)
3. block gigaset any any
Wenn du die default deny Regel loggen lässt, müsstest du sehen, ob Pakete geblockt werden. Aber du kannst nicht sehen, ob deine Pakete jemals das WAN von dem Telekom-Dings verlassen, da brauchst du einen Wireshark. Oder macht das Hybrid-dings Internet mit Telefondose und Händinetz parallel?
Für eine schnelle Lösung: Stöpsel das Gigaset direkt in den Speedport. Aber ob das auf Dauer sicher ist... ;-)
Quote from: High-Tower on February 11, 2021, 10:05:48 AM
@opnboi,
danke für den Link der Android Hilfe, verstehe nur nicht, wie mir das weiterhelfen soll oder kann...
Sorry, war natürlich der falsche Link, hier der korrekte:
https://forum.opnsense.org/index.php?topic=4712.msg100299#msg100299
Hi,
vielen Dank erst mal für die Hilfe.
Hab nun unter Firewall Rules, LAN mit Add, folgendes hinzugefügt (siehe Screenshots im Anhang).
Hab folgende möglichkeiten zu Telefonieren:
1: VoIP von der Telekom mit dem Gigaset Festnetzgerät
2: WLAN Call mit einer Telekom Sim Karte, da der Empfang bei mir sehr sehr schlecht ist
3: sipgate Telefonnummer (für die Arbeit)
sipgate und WLAN Call funktionieren einwandfrei, hier hab ich nichts machen müssen.
Wenn ich nun mit dem Gigaset (nach den Firewall einstellungen) meine Sipgate Telefonnummer anrufe, höre ich auf der Sipgate seite das Gigaset Mikrofon. Zum Gigaset von der Sipgate seite aber nicht.
Wenn das Gigaset auf mein Handy anruft (mit WLAN Call), höre ich genau einmalig das Mikro (z.B. einmal Hallo obwohl mehrmals hintereinander ausgesprochen) vom Gigaset am Handy und dann nichts mehr. Am Gigaset höre ich das Mikro vom Handy nicht.
Mach ich das überhaupt richtig?!
Das Gigaset kann ich schon an den SPH klemmen, aber das sollte nicht das Ziel sein =)
Meine Frau kann ja mit dem WLAN Call anrufe kostenlos tätigen... und wenn es noch mehrere Tage dauert, will das hinbekommen ^^
Danke nochmals.
Hast du es denn mal mit Outbound NAT wie aus dem mittlerweile korrekten Link probiert?
Für SIP sind quasi keine FW-Regeln oder Portweiterleitungen notwending...
...und eigentlich auch kein outbound NAT :-)
@opnboi,
hab es versucht, das Outbound NAT hinzuzufügen.. bekomme es aber nicht hin..
scheitere schon dabei, dass ich den Source Port wie z.B. von micneu angegeben gar nicht auswählen kann oder
hinzufügen kann.... tcp/udp/* das gibt es nicht zur Auswahl und eingeben kann ich es auch nicht...
Das nächste ist, was muss ich dann als Source angeben? Eigentlich ja meine IP des VoIP Telefons, oder?
Sry... bei mir scheitert es schon an solchen Kleinigkeiten...
verstehe nicht die Aussage
...und eigentlich auch kein outbound NAT :-)
Bin einfach im Thema Firewall ein absoluter Anfänger, will mich da aber reinfuchsen, scheitere aber dann schon an solchen Kleinigkeiten...
PS: In dem SPH ist eingestellt, dass Telefonate über die DSL Leitung geht und nicht über die LTE Leitung. Das spielt aber eigentlich keine Rolle, da es direkt am SPH wunderbar funktioniert... Möchte aber alles "hinter" der Firewall haben.....
Es braucht kein outbound NAT um ein Gigaset an der OPNsense zum laufen zu bringen. Und keine Regeln auf dem WAN. Nur ein paar Regeln auf dem LAN, falls es dort keine "allow any any" Regel gibt. ;-)
SIP ist keine Kleinigkeit und die Telekom WILL, dass du mit allem anderen als ihrem Plastikkram scheiterst, damit du gar nicht erst was anderes versuchst.
@High-Tower
Hast du denn auf den Hybrid-Mode bei Outbound NAT gestellt?
Leg einen Alias mit der IP-Adresse des Telefons an und dann erstelle eine Regel wie im Anhang von mir...
@chemlud
Warum aber "nur ein paar Regeln auf dem LAN", wenn es mit einer Outbound-Regel schneller und einfacher geht?
Quote from: opnboi on February 11, 2021, 05:10:44 PM
@chemlud
Warum aber "nur ein paar Regeln auf dem LAN", wenn es mit einer Outbound-Regel schneller und einfacher geht?
Wenn dir dein SIP-Provider seine IP/Port-Bereiche verrät kannst du damit den Zugang des Gigaset auf diese Server und die passenden IP-Ranges beschränken.
Finde den Fehler;)
Wenn das Wörtchen wenn nicht wäre 8)
Erstmal würde er die Ports vom Provider benötigen, dann die Aliase und dann die Regel anlegen - in der Zeit kann er locker die Outbound NAT Regel anlegen und testen ob es klappt oder nicht?
also, ich habe das setting für voip so schon bei der telekom und jetzt auch bei willytel am laufen, mehr habe ich nicht konfiguriert:
Firewall: NAT: Outbound
Mein Reden die ganze Zeit ;D
Bin auf das Ergebnis von High-Tower gespannt ;)
Die NAT Regel von @openboi könnte dein doppel NAT Problem durchaus lösen
Hab es getestet und es funktioniert nicht. Das Gigaset gibt kein Gespräch wieder (über den Lautsprecher, der funktioniert aber).
Im Anhang die Screenshots...
Das Gigaset hat ne fixe IP.
Edit: Static Port, haken rein gemacht....
Noch zu erwöhnen wäre:
Rufe ich mit dem Handy beim Gigaset an, höre ich auf dem Handy einmal ein Hallo, nach 10Sekunden legt es aber auf (höre nichts auf dem Gigaset vom Handy).
Rufe ich vom Sipgate beim Gigaset an, höre ich nichts in keiner Richtung und nach 10 Sekunden legt es einfach auf...
Irgendwie schnall ich es nicht...
Ja!
Beim Alias, das ist kein Network sondern ein Host...
Hab es angepasst und mal die OPNsense neu gestartet...
Jetzt Klingelt das Telefon nicht mehr. Kein rein und kein raus...
Edit!
Hab damals mit einer ziemlich Kompetenten Mitarbeiterin das Gigaset Telefon für die Telekom angepasst.
Im Anhang sind 2 Screenshots von den Einstellungen des Gigasets...
Evtl. hilft das für die Lösungsfindung weiter?!
Was sagt der Live-Log der Firewall?
Hab nochmal neu gestartet, da ich noch 2 Regeln im LAN hatte.... :-\
Ergebnis ist nun, dass ich am Lautsprecher des Gigasets nichts höre.
Beim anruf über das Handy höre ich am Handy einmal ein Wort und danach nicht mehr... nach 10 sekunden legt es dann automatisch auf..
Dein Problem wird definitv Doppeltest NAT sein.
Hast du keine Möglichkeit das zu vermeiden? Würde dir in Zukunft sehr viel Arbeit ersparen
Aber gibt Mal sicherheitshalber alle notwendigen regeln sowie Outbound NAT Rules für das Gigaset ohne den alias an
Und lege deine Outbound NAT Rules Mal wie hier mit den Ports an
https://forum.opnsense.org/index.php?topic=13481.0
Mich hat das nun so gefuchst, dass ich die Telefon IP geändert hab auf die Range des SPH und das Gateway sowie den DNS auf den SPH eingestellt habe (so wie es ja vorher immer funktioniert hat).
Hab die einzigste Verbindung zum SPH dann am Telefon angeschlossen.
Ergebnis beim anruf aufs Handy:
Hab nichts gehört beim Handy noch beim Gigaset...
Das würde bedeuten, dass es irgendwas im dem SPH verändert hat, bzw. nicht korrekt ist...
@lfirewall1243
schätze, dass ich auf das DoppelNat angewiesen bin, solange bis endlich mal der "schnelle Ausbau" was schon seit 6 Jahren versprochen wird, kommen wird (Glasfaser). Solange bin ich am Hybrid der Telekom gebunden, da es nichts vergleichbares gibt (Geschwindigkeit, Ping, kosten)... leider...
Du nutzt also den Hybridmodus des Speedports auch?
Sonst hätte ich das Teil als "dummes" Modem umkonfiguriert und dann sollte es auch klappen...
Das mit dem dummen Modem wäre mir am aller liebsten, aber ich bin auf das Hybrid angewiesen. Ohne Hybrid bekomme ich MAX ~5Mbit´s mit dem Hybrid geht es wenigstens ab und zu auf ~16Mbits.
Hab nun noch eine Sache gefunden. Man muss im SPH unter den Internet Ausnahmen zum LTE eine Ausnahme für das VoIP Telefon hinzufügen, damit dass Telefon "nur" die DSL Leitung benutzt, hatte das voll vergessen...
So, hab das versucht über die MAC Adresse... Da ich aber 2 verschiedene IP Adressenbereiche habe, findet der SPH die Mac des Gigasets nicht....
Wäre es sinnvoll, den SPH in den selben Netzwerkbereich des LAN´s zu bringen, oder ein 2.tes Kabel ziehen vom SPH zum Gigaset?
Kannst du nicht dein Gigaset direkt an den Speedport anschließen?
Quote from: High-Tower on February 11, 2021, 06:45:36 PM
Das mit dem dummen Modem wäre mir am aller liebsten, aber ich bin auf das Hybrid angewiesen. Ohne Hybrid bekomme ich MAX ~5Mbit´s mit dem Hybrid geht es wenigstens ab und zu auf ~16Mbits.
Hab nun noch eine Sache gefunden. Man muss im SPH unter den Internet Ausnahmen zum LTE eine Ausnahme für das VoIP Telefon hinzufügen, damit dass Telefon "nur" die DSL Leitung benutzt, hatte das voll vergessen...
So, hab das versucht über die MAC Adresse... Da ich aber 2 verschiedene IP Adressenbereiche habe, findet der SPH die Mac des Gigasets nicht....
Wäre es sinnvoll, den SPH in den selben Netzwerkbereich des LAN´s zu bringen, oder ein 2.tes Kabel ziehen vom SPH zum Gigaset?
Kannst du nur MAC basierend entscheiden was hybrid nutzt und was nicht?
Hi,
ich kann Mac basierend entscheiden, was nur die DSL Leitung nutzt.
Aber die MAC erkennt der SPH nicht, da die IP in nem anderen Netz ist.
Ich zieh die Tage ein Kabel, nur für das Telefon..... =)
PS: Aber es bleibt noch das Problem mit dem SMTP der Kameras.
Die Kameras schicken mir normalerweise über den Zugang meines Googlemails accounts, bei Alarm eine Email an eine andere Adresse. Das hat immer super funktioniert.
Was muss ich machen, damit das auch wieder funktioniert?!
Hab zusätzlich noch das Problem, dass ich auf Unraid einen Docker mit dem JDownloader benutze (gerade auch wegen dem Brutalen Internetgeschwindigkeit...). Dieser will nun auch nicht mehr....
Gibt es nicht iwo n Handbuch auch Deutsch, wo alles erklärt!? Will nicht immer fragen müssen, komme aber diesbezüglich nicht weiter... :-[
Sorry,
aber du solltest dir erstmal bei den Basics sicher sein, bevor du hier weiter machst...
Du wirbelst hier SMTP und SMB durcheinander und wirfst jetzt auch noch den jDownloader mit rein :o
Es gibt kein Handbuch auf Deutsch, nur die englische Doku...
Frage mich ernsthaft, warum du unter diesen Voraussetzungen - deine Skills und die quasi erzwungene Nutzung des Hybrid-Speedports - eine OPNsense betreibst? Dies birgt aufgrund des Doppel-NATs eh schon mehr Probleme mit sich, als du eh schon hast...
Welche Vorteile/Verbesserungen erhoffst du dir denn vom Einsatz der OPNsense, speziell an diesem Anschluss?
Soll kein Angriff sein, sondern nur eine ernstgemeinte Frage....
Hab das mit den JDownloader selbst hin bekommen....
Warum ich das mache mit der OPNsense hinter einem SPH?
Ganz einfach, da ich nicht auf jedem Gerät eine Firewall installieren möchte, sondern Zentral alles soweit Regeln und im Blick haben möchte.
Glaub nicht, dass es irgendwas mit dem SPH zu tun hat. Ich weis, dass doppel Nat schlecht ist, aber hab ich aktuell eine Wahl? Nein.
Wenn irgendwann mal das versprochene Glasfaser kommt, hol ich ein dummes Modem und möchte mit der OPNsense Hardware alles Regeln.
Aller Anfang ist schwer, ich geb nicht auf, wenn jemand das Wissen in die Wiege gelegt worden ist, finde ich das toll... mir leider nicht, aber ich will es wissen und umsetzen können.
Dann dauert es halt eine Zeit.
Das wichtigste hab ich noch vergessen. Wenn mal Glasfaser da ist, würd ich gern das VPN benutzen. Zentral.
Trotzdem Danke.
PS: Sry... hatte gerade nebenher neue Freigaben auf dem Unraid erstellt.... SMB... hab mich vertan beim schreiben.
Hab das mit den Kameras jetzt hin bekommen.
Thread kann geschlossen werden.
Danke.