Hallo,
wir haben eine neue Tel-Anlage, und diesmal ist es eine komplette VOIP Anlage.
Gibt es etwas (außer Shaping) worauf man bei OPNsense achten muss?
Generell - unabhängig von OPNsense bei jeder Firewall - ist zu beachten, das SIP extrem mies reagiert, wenn es die Ports nicht bekommt die es will. Somit sollte abgehend bspw. SIP (5060/5061) nicht random umgeschrieben werden, sondern via static port seine Zuweisung behalten. Andernfalls wird VoIP extrem unschön.
Besides that, kommt alles weitere stark auf Anlage und Provider an, die diktieren, welche Ports, welche IPs, welche Richtung und wohin.
Cheers
Wenn du schon Ports erwähnst... das ist genau das Thema aus dem anderen Thread, UC Server will ausgehend und eingehend die High-Ports für Voice. Bei UC kann man diese eingrenzen, und das haben wir auf 1000 Ports gemacht.
Und damit ein Port Forwarding mit Aliasen.
Was meinst du mit "static Ports"? Die Anlage ist eigentlich eine VM, daher gibt es keine Ports wirklich. Es läuft alles über einem 10Gbit Port auf der scope7 und das funkt sehr gut.
Sonst sind wir noch in der Umstellungsphase, 3CX haben wir aktuell, gewechselt wird auf Nfon, und wir haben auch die Besonderheit des Arbeitens lokal und auf der Citrix Farm, was uns die Sache umso schwieriger macht. VOIP via VPN hin und her.
Quote from: kosta on July 30, 2021, 12:49:02 PM
Wenn du schon Ports erwähnst... das ist genau das Thema aus dem anderen Thread, UC Server will ausgehend und eingehend die High-Ports für Voice. Bei UC kann man diese eingrenzen, und das haben wir auf 1000 Ports gemacht.
Und damit ein Port Forwarding mit Aliasen.
Was meinst du mit "static Ports"? Die Anlage ist eigentlich eine VM, daher gibt es keine Ports wirklich. Es läuft alles über einem 10Gbit Port auf der scope7 und das funkt sehr gut.
Sonst sind wir noch in der Umstellungsphase, 3CX haben wir aktuell, gewechselt wird auf Nfon, und wir haben auch die Besonderheit des Arbeitens lokal und auf der Citrix Farm, was uns die Sache umso schwieriger macht. VOIP via VPN hin und her.
Ich habe so einige VOIP Anlagen hinter OPNsense am laufen und musste nirgends Portweiterleitungen anlegen.
Lediglich Outbound NAT auf Static setzen und dann klappte alles, teilw. sogar mit doppelten NAT...
Danke, werde am Montag ausprobieren.
> Lediglich Outbound NAT auf Static setzen und dann klappte alles, teilw. sogar mit doppelten NAT...
Genau das war gemeint. Outbound NAT für die IP der Anlage oder für die IP + PortAlias auf static setzen, damit abgehend, wenn die Anlage rausredet der SIP oder RTP Port nicht geändert wird. Da SIP das (ungefähr) ähnlich wie FTP in der Kommunikation mit aushandelt, wäre sonst ein anderer ankommender Port fatal (ums einfach zu erklären). Darum ausgehend static Port NAT damit auch bspw. 5060 ausgehend ein 5060 bleibt und nicht plötzlich bei der Remote Seite mit 47523 ankommt :)
SIP ist für mich neu, daher danke für die Tipps. Mit 3CX hatten wir zwar intern VOIP aber extern ISDN. Daher war das nie ein Thema.
Outbound NAT ist mir klar, aber wenn ich einen Client habe, der von außen den Call initiiert, brauche ich dann nicht eingehend auch was, Port Forward? Static Outbound NAT macht quasi nur sicher, dass das was rausgeht am Port 5060 bleibt. zB. ein Rechner der nicht zwingend im VPN ist, aber vom Rechner aus die Verbindung aufbaut und anruft. Der hat die Firewall als IP und geht rein auf Port 7222, dieser muss auf Port Forward stehen, sonst geht gar nix. Und dabei muss die Firewall eigentlich eingehend erlauben, oder?
Quote from: kosta on July 30, 2021, 04:08:58 PM
Outbound NAT ist mir klar, aber wenn ich einen Client habe, der von außen den Call initiiert, brauche ich dann nicht eingehend auch was, Port Forward? Static Outbound NAT macht quasi nur sicher, dass das was rausgeht am Port 5060 bleibt. zB. ein Rechner der nicht zwingend im VPN ist, aber vom Rechner aus die Verbindung aufbaut und anruft. Der hat die Firewall als IP und geht rein auf Port 7222, dieser muss auf Port Forward stehen, sonst geht gar nix. Und dabei muss die Firewall eigentlich eingehend erlauben, oder?
Du musst Unterscheid.
Meinst du mit einem vom außen initiierten Ruf, einen Anruf auf deinen SIP Trunk?
Dann benötigst du keine Portweiterleitungen, da alles über den Provider ausgehandelt wird.
Möchtest du z.B. ein Softphone oder VOIP Telefon von außen direkt an die Anlage anbinden?
Dann brauchst du entweder Portweiterleitungen oder VPN. Aus Sicherheitsgründen würde ich die SIP Port nie direkt im Netz erreichbar machen, daher nur per VPN.
Entweder bietet die Telefonanlage selbst einen VPN Server oder du löst es mit openvpn, ipsec oder wireguard der OPNsense.
Danke, gute Tipps.
Aktuell bin ich dabei bei allen externen Benutzern die OpenVPN zu konfigurieren, und die sind alle immer an, verbinden auch automatisch bei der Anmeldung. Und die Handyapps benötigen die Portweiterleitungen nicht, da sie via STUN Server (UCConnect) funktionieren, ohne dass ich was machen muss.
Das schlechte dran, ich habe gestern versucht die Outbound NAT zu konfigurieren, und kam heute in die Firma, und niemand konnte Teln, weder in 3CX noch Nfon. War richtig geil. OK, alles retour und nach paar Minuten ginge wieder (schätze mal dass es wegen die States etwas gedauert hat, hätte auch States Reset machen können, aber damit kille ich alles, daher abgewartet).
Mein Outbound Rule sieht so aus:
Interface: WAN
Source: Tel_Server
Source Port: tcp/udp/ PortGrp_SIP (5060,5061,31000:32000)
Destination: *
Destination Port: tcp/udp/ PortGrp_SIP
NAT Address: WAN address
NAT Port: *
Static Port: YES
Dabei habe ich die Portweiterleitungen deaktiviert. Und damit war alles tot.
Hallo kosta,
lass mal die Angabe der "Destination" weg und setze mal die Optionen wie folgt beim Outbound NAT:
Interface WAN
Protocol UDP
Source address IP- oder Alias der TK-Anlage
Source port Alias VoIP_ports
Static-port aktiviert
Description VoIP TK2WAN
Gruß
Robert
Leer lassen kann ich nicht. * ist any.
Und was du sagst, UDP impliziert nur die Voice-Ports. Nicht 5060, welches glaube ich ist TCP.
Hi,
mit leer lassen meinte ich die Standardeinstellung.
SIP ist meist UDP, es sei denn dein SIP-Provider macht das explizit über TCP. Bei SIP-Trunk Anschlüssen ist das i.d.R. TCP, meistens jedoch UDP.
Gruß
Robert
Hallo,
mit "VOIP Ports" sind hier SIP (5060,5061) und RTP Ports (was auch immer, meistens custom)?
Quote from: kosta on August 06, 2021, 08:27:38 AM
Hallo,
mit "VOIP Ports" sind hier SIP (5060,5061) und RTP Ports (was auch immer, meistens custom)?
Also die VOIP Ports sind erstmal nur die hinterlegten in deiner Telefonanlage.
Normalerweise sind dies 5060 für die SIP Pakete und 10000-20000 für die RTP Pakete.
Danke.
Dann werde ich das heute testen: ich entferne die Port Weiterleitungen und mache die Outbound Rules.
Bin gespannt (da es das letzte mal nicht funktioniert).
Quote from: kosta on August 06, 2021, 08:34:58 AM
Danke.
Dann werde ich das heute testen: ich entferne die Port Weiterleitungen und mache die Outbound Rules.
Bin gespannt (da es das letzte mal nicht funktioniert).
Also für Telefonate sollte das funktionieren.
Möchtest du nun Handys oder andere SIP Geräte von außen an die Anlage anbinden, brauchst du die Weiterleitungen oder eben VPN.
Ja, die Handys und Apps gibt's, die haben auch eigene Ports, und die bleiben als Port-WL. Handys habe ich nicht vor mit VPN zu verbinden.
Muss ich zusätzlich für diese Ports auf dem WAN Interface was öffnen? Also bspw. RTP -> Tel-SRV?
Quote from: kosta on August 06, 2021, 09:10:17 AM
Muss ich zusätzlich für diese Ports auf dem WAN Interface was öffnen? Also bspw. RTP -> Tel-SRV?
Klar du richtest einmal die Portweiterleitung ein und zusätzlich dazu eine passende FW Regel.
Oder eben in der Portweiterleitungen unten "Erlauben" wählen.
Ich rede vom Outbound NAT... also für die 5060/5061 und RTP Ports. Die sind jetzt auf Outbound NAT.
Auf WAN habe ich noch die Rules wie zB. RTP-Ports 9000:10999 (3CX) auf Tel-Srv.
Brauche ich die, wenn Outbound NAT konfiguriert ist?
Quote from: kosta on August 06, 2021, 09:13:18 AM
Ich rede vom Outbound NAT... also für die 5060/5061 und RTP Ports. Die sind jetzt auf Outbound NAT.
Auf WAN habe ich noch die Rules wie zB. RTP-Ports 9000:10999 (3CX) auf Tel-Srv.
Brauche ich die, wenn Outbound NAT konfiguriert ist?
Nein
Außer ist auf deinem LAN Interface schon nicht erlaubt.
Aber da die Tel Anlage selbst schon ins Netz kann sollte alles passen .
OK, danke. Es scheint zu funktionieren jetzt.
Quote from: kosta on August 06, 2021, 09:31:24 AM
OK, danke. Es scheint zu funktionieren jetzt.
So oder so würde ich immer davon abraten eine Telefonanlage direkt aus dem Internet erreichbar zu machen.
Naja, die Anlage (5060) ist nicht im Netz erreichbar (da sehe ich immer wieder blocks). Ich werde sehen was ich schließen kann. Danke auf jeden Fall.