OPNsense Forum

Guten Abend,


ich habe folgenden Aufbau:

        Internet
            :
            : ISP (SWN)
            :
      .-----+-----.
      |  Gateway  |  (Fritzbox mit konfiguriertem VoIP-Telefon)
      '-----+-----'   LAN(Fritzbox): 10.5.9.1
            |
            |
            |
      .-----+------.  WAN: 10.5.9.10
      |  OPNsense |
      '-----+------'  VOIP(LAN der Sense): 10.5.19.10
            |
            | (VLAN ID 19)
            |
            Telefon (10.5.19.5)

Ich habe nun folgende Punkte, die gut funktionieren:

• Das Telefon bekommt von der OPNsense eine IP (DHCP).
• Ich kann mit dem Telefon mein Handy anrufen und das Handy klingelt.
• Wenn ich das Telefon direkt an die Fritzbox anschließe funktioniert alles wunderbar.

Nun zu den Punkten, die nicht funktionieren:

• Wenn ich das Gespräch am Handy annehme, kann keine der beiden Seiten die andere hören
• Wenn ich vom Handy aus anrufe, klingelt das Telefon nicht.

Was ich bisher versucht habe, bzw. was ich glaube zu verstehen:

• Ich habe diverse Forenbeiträge hier im Forum und in anderen Foren im Netz durchgelesen und versucht die Lösungsansätze umzusetzen. Dazu gehören Port Forward-Regeln, Outbound NAT, One-To-One NAT, transparent Bridge. Leider hat keine der Ansätze den erwünschten Erfolg gebracht, wobei ich nicht ausschließen möchte, dass ich etwas falsch gemacht habe. Außerdem sind viele der Fragestellungen in dieser Thematik (zumindest von denen, die ich finden konnte) auf eine Fritzbox hinter der OPNsense bezogen.
• Der fehlende Ton liegt, soweit ich das verstanden habe an der scheinbar nicht existierenden RTP-Verbindung. Allerdings hätte ich hier erwarte im Log-Live-View die blockierten Pakete zu sehen. Ich sehe dort nichts was blockiert wird, außer den igmp Nachrichten der Fritzbox an 224.0.0.1
• Das fehlende Klingeln bei Anrufen von Außen kann ich nicht erklären.

Was ich von euch erbitten möchte:

• Bitte erklärt mir was ich genau in der OPNsense konfigurieren muss, damit der Ton übertragen wird bzw. das Telefon bei externen Anrufen klingelt. Bitte möglichst konkret. Eine Aussage wie "Port Forwarding für Port xyz" lässt leider noch einige Fragen offen (Welches Interface? Source? Destination? Translation Target?)
• Bitte beantwortet mir folgende Fragen: Ich möchte an sich das Telefon vom restlichen Netzwerk isolieren und direkt mit der Fritzbox verbinden. Ist der Weg über die Firewall überhaupt sinnvoll? Sollte ich stattdessen lieber den Weg einer Bridge einschlagen? Ich denke eine Bridge ist weniger sicher als der Weg über die Firewall, aber möglicherweise gibt es da noch andere Perspektiven, die ich noch nicht sehe.

Vielen Dank.

Geräte, die miteinander kommunizieren müssen und ähnliche Aufgaben haben, gehören in dieselbe Netzwerk-Zone. Weshalb willst du eine Firewall zwischen Telefon und Fritzbox?

Ich würde:

- die OPNsense direkt mit dem Provider verbinden
- an ein Interface der OPNsense (evtl. ein VLAN, aber das kommt darauf an) die Fritzbox und alle Telefone hängen

Alternativ:

- das Telefon "nach draußen" zur Fritzbox. Das muss doch mit Geräten hinter deiner OPNsense nicht sprechen, dafür mit der Fritzbox ganz ganz viel.

Wie gesagt: gleiches zu gleichem.

Moin,

vielen Dank für die schnelle Antwort. Grundsätzlich hast du recht. Aus Netzwerk-Technik Sicht, ergibt mein Aufbau wenig Sinn. Daher versuche ich mit ein wenig Hintergrund ein wenig Verständnis zu erzeugen:
Die Fritzbox gehört mir nicht, sondern dem ISP. Ich mag keine fremden Geräte in meinem internen Netzwerk. Dazu kommt, dass die Fritzbox direkt mit Glasfaser versorgt wird. Der Computer auf dem die OPNsense läuft hat kein Glasfaser-Interface. Das Telefon steht relativ weit weg von Fritzbox und OPNsense, weshalb eine Übertragung der Daten über das vorhandene Netzwerk notwendig ist, wobei auf dem gleichen Kabel auch die Daten anderer VLANs übertragen werden.

Grundsätzlich stimme ich dir also zu, allerdings sind die Umstände bei mir leider so, dass ich die beiden von dir vorgeschlagenen Optionen nicht umsetzen kann. Daher meine Frage: Heißt deine Antwort, dass das was ich vorhabe nicht geht? Ich würde denken, dass es grundsätzlich gehen müsste.

Vielen Dank nochmal

Das Telefon ist kabelgebunden?

1. Eigenes Interface (phys. oder VLAN) an der OPNsense. Zwangsläufig eigenes IP-Netz.
2. NAT für dieses Netz aus.
3. Statische Route in der Fritzbox für dieses Netz.
4. Firewall-Regel: Telefon darf mit Fritzbox frei kommunizieren aber mit nichts anderem.

Wäre das ein Ansatz?

Was spricht dagegen, die Fritte durch einen media converter zu ersetzten?
Sowas hier https://www.tp-link.com/us/business-networking/accessory/mc230l/

Moin,

Vielen Dank für eure Antworten.
@James: ich habe das Gefühl dass einer von uns den anderen missverstanden hat. Die Fritzbox ist zum einen nicht das Problem, zum anderen bin ich leider auf sie angewiesen.

@Patrick: ja, das Telefon ist per Kabel angebunden. Dein Ansatz klingt super, das wäre so ziemlich genau das was ich möchte. Meine Frage dazu: wie genau setze ich Schritt 2 konkret um?

Vielen Dank

Firewall > NAT > Outbound, Umstellen auf manuell, Regel anlegen, die nur source "LAN net" ausgehend NATed und alles andere nicht.

Moin,

vielen Dank für eure Hilfe. Es hat für mich den entscheidenden Unterschied gemacht und ich kann mit freude sagen: Es funktioniert jetzt.
Für jene, die nach mir auf diesem Weg wandeln:
Der entscheidende Punkt ist im Prinzip das was Patrick geschrieben hat. Ich persönlich habe es so umgesetzt:
NAT->Outbound auf Hybrid und eine einzige manuelle Regel:
Interface    Source     Source Port     Destination     Destination Port     NAT Address     NAT Port     Static Port     Description     
WAN          VoIP net     *                 *                *                NO NAT            *               NO          No NAT for VoIP     
(Ich habe versucht Static trotzdem zu aktivieren, aber das wird automatisch deaktiviert, wenn man "NO NAT" angibt. Was auch Sinn macht.)

Ich habe aktuell nur für das VoIP-Interface Regeln erstellt. Für das WAN Interface, habe ich gar keine Regeln. Das einzige was bei mir aktuell nicht immer 100% funktioniert, ist dass das Telefon klingelt, wenn man von außen anruft. Ich gehe davon aus, dass das an den noch fehlenden Regeln am WAN Interface liegt.

Besten Dank euch!

Naja, die Fritte kann kein Bridge mode, sprich das Telefon wird falls hinter OPNsense unter dual NAT leiden.

Genau das doppelte NAT haben "wir" doch gerade eliminiert!

Aber ja, du brauchst auf dem WAN eingehend natürlich eine Regel für das Telefon. Wenn du das jetzt erfolgreich in ein eigenes Netz isoliert hast, dann kannst du doch "from Fritzbox, to Telefon net, any allow" einrichten und gut ist.

Du könntest die Fritzbox in dem Modem Modus schicken und mit LAN1 dein WAN an der Firewall füttern und dann auf LAN2-4 die Fritzbox als Client erreichen.

Dann hast du nur die Unsicherheit, dass die Fritzbox nicht physisch getrennt ist und vielleicht doch was von der WAN Seite zum Client durchsickern kann.
Keine Ahnung ob es da bekannte Schwachstellen gibt...

Quote from: Patrick M. Hausen on April 16, 2025, 09:33:56 PMGenau das doppelte NAT haben "wir" doch gerade eliminiert!

Klar, aber warum das ganze?
Um mehr Strom mit einer Fritte anstelle eines media converters zu verbrauchen?
Mir wäre die zusätzlich Komplexität zu doof, aber da tickt ja jeder anders.

Quote from: JamesFrisch on April 17, 2025, 08:25:01 AMKlar, aber warum das ganze?

Irgend ein SIP-Endpunkt muss ja auch noch da sein, das macht bei mir z.B. eine Fritzbox 7510 ganz prima.