Hallo zusammen!
Ich habe im Home-Office folgenden Aufbau:
Internetzugang per DSL mit öffentlicher, fester IP-Adresse, als DSL-Router eine FritzBox 7590, dahinter eine OPNsense Firewall und dahinter wiederum mein Office LAN mit diversen Clients. Auf einem dieser Clients betreibe ich ein MicroSIP als Softphone. Die FritzBox agiert dabei quasi als SIP-Provider/Server und stellt ein entsprechendes Telefoniegerät bereit. Die Einrichtung ist den Screenshots zu entnehmen. An der OPNsense wurden KEINE Firewall- oder NAT-Regeln definiert. Alles funktioniert einwandfrei, die MicroSIP-Applikation kann Rufe nach Extern aufbauen und auch Rufe von Extern empfangen.
Nun zu meiner Verständnisfrage: WARUM funktioniert das?
Müsste die OPNsense Firewall nicht zumindest die Rufe von Extern blockieren?
Vielleicht kann mir jemand den genauen Flow erklären, warum die FW hier quasi ,,durchtunnelt" wird?
Danke & viele Grüße
Netzwerk-s.jpg
FritzBox-s.jpg
MicroSIP-1-s.jpg
MicroSIP-2-s.jpg
Du hast ja nicht gezeigt, wie Deine OpnSense konfiguriert ist. Das kann entweder ein routed-Setup sein, bei dem die Fritzbox die Route zu 192.168.0.0/24 kennt oder die OpnSense macht outbound NAT von 192.168.0.0/24 auf ihre WAN-IP.
Wie auch immer, Deine LAN-Clients haben Internet-Zugriff und auch Zugriff auf 172.16.0.0/24, somit auch auf den SIP-Server 172.16.0.1. Damit funktioniert zumindest die SIP-Registrierung ziemlich sicher. Es stellt sich nur die Frage, wie/warum eingehende RTP-Pakete per UDP durch die OpnSense kommen. Die entsprechenden Ports können per UPnP, über entsprechende Regeln oder mittels eines SIP proxy geöffnet werden.
Es ist übrigens auch so, dass ausgehende UDP-Pakete in der Gegenrichtung immer beantwortet werden können. Wenn Dein MicroSIP also die RTP-Ports nutzt, können umgekehrt auch eingehende Verbindungen durch.
QuoteDu hast ja nicht gezeigt, wie Deine OpnSense konfiguriert ist. Das kann entweder ein routed-Setup sein, bei dem die Fritzbox die Route zu 192.168.0.0/24 kennt oder die OpnSense macht outbound NAT von 192.168.0.0/24 auf ihre WAN-IP.
In der Tat, die OPNsense macht Outbound NAT (Automatische ausgehende NAT Regelgenerierung).
QuoteEs stellt sich nur die Frage, wie/warum eingehende RTP-Pakete per UDP durch die OpnSense kommen. Die entsprechenden Ports können per UPnP, über entsprechende Regeln oder mittels eines SIP proxy geöffnet werden.
Und genau das war meine eigentliche Frage. Es sind m.E.n. keine deartige Regeln in der OPNsense definiert und ein SIP Proxy existiert auch nicht. Ich habe lediglich Regeln für den OpenVPN-Server auf Port 1194 definiert.
QuoteEs ist übrigens auch so, dass ausgehende UDP-Pakete in der Gegenrichtung immer beantwortet werden können. Wenn Dein MicroSIP also die RTP-Ports nutzt, können umgekehrt auch eingehende Verbindungen durch.
Dann sollte das am Ende die Erklärung sein?
Höchstwahrscheinlich.