OPNsense Forum

International Forums => German - Deutsch => Topic started by: Kharim on July 15, 2023, 01:43:39 pm

Title: SIP an FritzBox, hinter OPNsense
Post by: Kharim on July 15, 2023, 01:43:39 pm

Hallo Zusammen,

ich bin neu in Sachen OPNSense konnte aber bisher inkl. VPN alles soweit einrichten.
Am SIP scheitere ich allerdings und benötige daher eure Hilfe....

Ausgangspunkt ist/war ein Smartphone mit eingerichtetem LinPhone-Client und einer FritzBox 7530.
Auf der FritzBox sind dabei SIP Zugangsdaten hinterlegt, die das LinPhone nutzt.
Im Linphone ist die Fritzbox als Server und STUN Server hinterlegt.
Im LinPhone ist fest Port 5060 eingestellt "use random ports" deaktiviert.
Das Setup soweit ok und funktionstüchtig.

Und dann kam die OPNSense dazwischen - im wahrsten Sinne des Wortes.
(Also FritzBox als Internetrouter, "SIP Server"  - OPNSense und lokales Netzwerk, darin das LinPhone)

An der Fritzbox wurde nur die IP verändert.
Klar auf der OPNSense entsprechende Netze und Firewall Regeln erstellt.
Für den "normalen" Netzwerkverkehr ist soweit alles ok.

Stand jetzt:
       - Über siproxd bekomme ich zwar einen SIP Login, aber kein Klingeln - daher nicht weiter verfolgt
       - Firewallregel LAN zu FritzBox alle Protokolle, alle Ports frei gegeben - Klingeln geht, aber beidseitig kein Ton
             - OPNsense in der FB als exposedHost - keine Änderung
             - der im Netz vielfach zu lesende Versuch "Outbound zu WAN auf Port static" im Hybrid Modus - keine Änderung

Im Firewall-Live-Log sehe ich Verbindungen über Ports 5060, sowie 5000 - 50003 - mehr nicht - auch kein Verwerfen von Paketen.

Laut Internet ein Problem Richtung RTP Ports? Wie gesagt, sehe ich aber im Live-Log kein Verwerfen....

Wo liegt mein Fehler?

MfG
Kharim

---------------

Edit:
Einige Experimente später:
--- LinPhone neu eingerichtet im WLAN der FB
          -kein STUN, kein Proxy nötig, alles Schick. AudioCodec PCMU/PCMA als Einzigstes aktiviert
--- LinPhone ins WLAN der OPNsense - Registierung am SIP ok
          - Versuch Anruf sagt "Dienst nicht erreichbar"
          - nun musste ich die FP extra als Proxy eintragen, damit klingelt es an der Gegenseite nun
Es kommt aber noch immer zu keiner Sprachübertragung - auch wenns nun nicht mehr am Codec liegen kann.

Title: Re: SIP an FritzBox, hinter OPNsense
Post by: Kharim on July 16, 2023, 11:39:18 am

Ich glaube hier stimmt etwas mit dem Outbound NAT nicht.

In meiner Verzweiflung habe ich nun auf der FritzBox eine statische IPv4 Route ins "OPNsense Netz" eingetragen.
Es geht zwar immer noch nicht aber das Firewall-Log zeigt nun Pakete aus dem "FB-OPN" Netz ins private Netz, auf mein Smartphone.
Logischer Weise werden diese als "Block private networks from WAN" blockiert.

Würde das Outbound NAT (als Source NAT?) funktionieren, dürfte das Rückziel doch nicht die interne Netz-IP sein, sondern die IP der OPN IM FB Netz?!


-----

Edit:
Es läuft, aber sicher nicht sicher!
Ich musste am WAN "block privat network" deaktivieren und zusätzlich die Quellports (des SIP der FB) 50000-50005 frei geben, nach intern.

Für mich bleibt aber immer noch die (Verständnis)Frage: Woher kennt die FB meine netz-interne IP?
Wie kann die FB auf eine interne IP senden können, wo sie das Ziel nicht kennen kann?
Das Ziel sollte doch durch Outbound/Source NAT immer die ext. IP der OPNsense sein??

Title: Re: SIP an FritzBox, hinter OPNsense
Post by: lfirewall1243 on July 17, 2023, 08:20:53 pm

Ist die FB noch im Router Modus oder als IP-Client eingerichtet ?

Habe da ebenfalls mal ewig probiert, allerdings bei dem Versuch die FB per VPN an eine Asterisk anzubinden. Das ganze lief erst wo ich die FB in den IP-Client Modus versetzt habe.


OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support

Title: Re: SIP an FritzBox, hinter OPNsense
Post by: Kharim on July 19, 2023, 08:08:32 am

Die FB läuft im Router-Modus - muss sie ja auch, da sie den Internetzugang zur Verfügung stellt....

Title: Re: SIP an FritzBox, hinter OPNsense
Post by: lfirewall1243 on July 19, 2023, 03:19:37 pm

Quote from: Kharim on July 19, 2023, 08:08:32 am

Die FB läuft im Router-Modus - muss sie ja auch, da sie den Internetzugang zur Verfügung stellt....

Bitte erstell doch mal einen kurzen Netzwerkplan damit wir wissen welches Netz wo ist.
Vermutlich ist da ja das LAN Netz der OPNsense, welches die FritzBox nicht kennt.


OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support

Title: Re: SIP an FritzBox, hinter OPNsense
Post by: Kharim on July 20, 2023, 08:15:21 am

Das vermutest du richtig.....dank Outbound NAT muss die FB das Netz auch nicht kennen...in der Theorie

(Netzwerkplan siehe Anhang.)

Title: Re: SIP an FritzBox, hinter OPNsense
Post by: lfirewall1243 on July 22, 2023, 08:11:08 am

Quote from: Kharim on July 20, 2023, 08:15:21 am

Das vermutest du richtig.....dank Outbound NAT muss die FB das Netz auch nicht kennen...in der Theorie

(Netzwerkplan siehe Anhang.)

An sich hast du recht.

SIP ist da aber etwas anders unterwegs und hat meist die IP nochmal in den SIP und RTP Paketen, da bringt NAT dann nicht viel.

Title: Re: SIP an FritzBox, hinter OPNsense
Post by: Kharim on July 22, 2023, 12:25:04 pm

Hm....
"Ich schick also Pakete zurück nicht an den Absender, sondern an die Adresse die im "Text" steht"....
Das genzt ja an Phishing :-D

Danke für die Aufklärung...