Servus liebe Community,
nachdem ich jetzt keinen Telekomanschluss mehr habe (Internet läuft über Starlink) wollte ich mir ne 3CX einrichten und darüber dann die Telefonie regeln.
Ich stehe aktuell aber vor dem Problem dass der Firewall Check von 3CX nicht sauber durchläuft.
Vermutlich habe ich irgendwo in den Regeln nen Fehler eingebaut aber finde ihn nicht wirklich.
Ich habe mich bei den Regeln an folgenden Walktrough gehalten:
https://www.3cx.com/docs/pfsense-firewall/
Hier Screenshots meiner Regeln:
https://imgur.com/a/2f4cQNV
Mein Netzaufbau sieht folgender Maßen auf:
Internet <--> Opnsense (192.168.1.1 /24) <--> (Switch 192.168.1.0/24) <--> Synology NAS mit 3CX als virt. Maschine (10.10.20.131 Adresse der 3CX)
Ich hoffe mir kann hier jemand den richtigen Denkanstoß geben.
Hat das synology zufällig auch eine Firewall?
Gesendet von iPhone mit Tapatalk Pro
Quote from: Krathorias on March 31, 2022, 10:49:43 AM
Servus liebe Community,
nachdem ich jetzt keinen Telekomanschluss mehr habe (Internet läuft über Starlink) wollte ich mir ne 3CX einrichten und darüber dann die Telefonie regeln.
Ich stehe aktuell aber vor dem Problem dass der Firewall Check von 3CX nicht sauber durchläuft.
Vermutlich habe ich irgendwo in den Regeln nen Fehler eingebaut aber finde ihn nicht wirklich.
Ich habe mich bei den Regeln an folgenden Walktrough gehalten:
https://www.3cx.com/docs/pfsense-firewall/
Hier Screenshots meiner Regeln:
https://imgur.com/a/2f4cQNV
Mein Netzaufbau sieht folgender Maßen auf:
Internet <--> Opnsense (192.168.1.1 /24) <--> (Switch 192.168.1.0/24) <--> Synology NAS mit 3CX als virt. Maschine (10.10.20.131 Adresse der 3CX)
Ich hoffe mir kann hier jemand den richtigen Denkanstoß geben.
So weit ich weiß gibt es bei Starlink nur eine CGNAT IPV4 Adresse.
Würde also in die Richtung mal schauen. Vielleicht reicht es schon das STATIC-NAT für die IP der 3CX einzuschalten.
Und was meinst du mit "nicht sauber durch läuft"? Was funktioniert und was nicht?
Hallo,
bei meiner 3CX fällt mir noch dieser Tweak ein:
https://i.imgur.com/1kYsBIB.png
Könnte aber bei Starlink ggf. negative Effekte haben.
würde für die betreffenden Interfaces eine "Pass any any Log"-Regel bauen, um zu schauen welcher Traffic denn nötig ist ?
Oder sogar den Traffic direkt mitsniffen und per Wireshark analysieren - das hat mich schon oft weiter gebracht.
Entschuldigt meine späte Rückmeldung hatte ein bisschen was um die Ohren und kam deswegen noch nicht zum testen.
Mit nicht sauber durchlaufen mein ich das hier:
https://imgur.com/a/iMv7fDX
Interessanterweise funktioniert die Anmeldung bei Sipgate Basic aber.
Mit Wireshark wollte ich auch schon arbeiten muss aber gestehen dass ich noch nicht weiß wie ich den Traffic richtig sniffen kann weil ich ja im Prinzip alle Pakete die am LAN Port der opnsense ankommen sniffen muss.
Tu mich aber auch allgemein mit den Firewallregeln erstellen etwas schwer
Da bei mir jetzt immer häufiger Verbindungsabbrüche vorkommen, habe ich bei mir den Firewalltest gemacht und das gleiche Problem festgestellt.
Im Anhang ein Bild der Fehlermeldung vom 3cx Firewalltest und der Firewall NAT Portweiterleitung.
Hat jemand eine Lösung für dieses Probelm?
Gruß
Alexander
Hier das Bild der OPNsense Firewall NAT Portweiterleitung
Warum musst du NATen? Ich hatte damals b i mir nur outbound nat für meine FRITZ Box konfiguriert mit static Ports?
Gesendet von iPhone mit Tapatalk Pro
Das heißt die Einträge nicht in NAT Portweiterleitung sondern in NAT Ausgehend?
Ich habe gerade den Eintrag hinzugefügt wie hier beschrieben: https://docs.netgate.com/pfsense/en/latest/recipes/nat-voip-pbx.html
Aber es geht noch nicht.
Problem gelöst!
Ich hatte zuerst durch das Klonen anstatt UDP TCP drin, dadurch konnte es nicht funktionieren.
Danach waren die SIP Trunk immer noch "rot", im 3cx Forum wird erwähnt das die Telekom das SIP Protokoll von TCP auf UDP umgestellt hat.
Nach der Änderung ist jetzt alles "grün". :D
Ich würde es mal mit static-port versuchen.
Hallo zusammen,
seit gestern funktioniert Registrierung der SIP Trunks nicht mehr.
Es kommt folgende Fehlermeldung:
Die Registrierung bei XXXX ist fehlgeschlagen.
Mögliche Ursachen: Das Ziel (sip:217.0.147.197:5060;lr) ist nicht erreichbar, bei der FQDN-Auflösung ist ein DNS-Fehler aufgetreten oder der Dienst ist nicht verfügbar.
Die Konfiguration von FQDN hatte ich bis jetzt nicht vorgenommen, weil ich bis jetzt nicht weis wie das funktioniert.
In dieser Anleitung wird es gezeigt wie es mit der pfsense funktioniert: https://www.3cx.com/docs/pfsense-firewall/ (https://www.3cx.com/docs/pfsense-firewall/)
Aber die Menüs ,,Dienste" > ,,DNS-Resolver" usw. gibt es bei der opnsense nicht.
Hat vielleicht jemand eine Anleitung wie das mit der opnsense eingestellt wird?
Es läuft auch noch AdGuard auf der opnsense.
Gruß
Alexander
Quote from: alex3003 on February 26, 2024, 10:31:15 PM
Die Konfiguration von FQDN hatte ich bis jetzt nicht vorgenommen, weil ich bis jetzt nicht weis wie das funktioniert.
In dieser Anleitung wird es gezeigt wie es mit der pfsense funktioniert: https://www.3cx.com/docs/pfsense-firewall/ (https://www.3cx.com/docs/pfsense-firewall/)
Aber die Menüs ,,Dienste" > ,,DNS-Resolver" usw. gibt es bei der opnsense nicht.
Hat vielleicht jemand eine Anleitung wie das mit der opnsense eingestellt wird?
Es läuft auch noch AdGuard auf der opnsense.
Gruß
Alexander
Vielleicht hilft das:
https://github.com/AdguardTeam/AdGuardHome/wiki/Configuration#upstreams-for-domains
Also das mit FQDN bekomme ich aktuell auch noch nicht hin.
Spannend finde ich das ich immer auf der opnsense login Maske Lande wen ich meine on3cx.de adresse eingebe. Obwohl der Port eigentlich direkt zur 3cx gehen sollte
Für intern habe ich hierzu auch schon versucht mit unbound und mit adguard was zu zaubern aber ohne Erfolg.
https://virtualize.link/split-dns/
Falls hierzu noch jemand eine Idee hat bin ich für Input auch Dankbar.
Also die Firewalltest Probleme kommen mir ehrlich gesagt bekannt vor. Ich muss hierzu nochmal nachdenken bei mir sah das ähnlich aus. Also der Tip mit auf konservativ stellen ist auch ein Ansatz so ist es bei mir auch.
Wenn ich nslookup google.de 8.8.8.8 in der 3cx ausführe funktioniert DNS nicht,
unter Windows schon.
Ich habe es auch schon ohne AdGuard versucht, AdGuard abgeschaltet und Port in Unbound auf 53 gestellt.
Hat auch nicht funktioniert.
kannst du mal Bitte einfach mal ein traceroute machen:
traceroute 8.8.8.8
hier sollte man sehen ob die 3cx überhaupt bis zur opnsense kommt.