Hallo zusammen,
ich bin Anfänger nutze OpenSense als Router Firewall vor der Fritbox (IP-Client als DECT und Telefonanlage) und habe ein hartnäckiges Problem mit der VoIP-Telefonie. Mein Problem ist, dass der Port 5060 geblockt wird. Aber erst nach ein paar Minuten, nachdem ich alles eingerichtet habe.
Alle Versuche und Tipps die ich bisher gefunden habe, in Anleitungen und Lösungsvorschlägen gingen wenn überhaupt nur ca. 2-4 Minuten. Dann wurde wieder der PORT 5060 per Automatik geblockt.
Was ich bereits konfiguriert habe:
Eine Outbound NAT Regel mit static Port
Eine NAT-Regel (Port Forwarding) leitet den UDP-Port 5060 von der OPT1-Schnittstelle auf die interne IP-Adresse meiner Fritzbox.
Die zugehörige Firewall-Regel ist ebenfalls aktiv und erlaubt den Verkehr auf diesem Port.
Was das Problem weiterhin bestehen lässt:
Nach ein paar Minuten nach erstinstallation oder restore, wo alles geht (eingehende und ausgehende Anrufe), werden die Firewall Regeln irgendwie nicht mehr beachtet und die automatische Regel blockiert den Port 5060
Im Firewall-Log sehe ich (OPT1 2025-08-03T10:24:56 81.20.119.167:5060 100.112.114.216:2261 udp Default deny / state violation rule)
Meine Konfiguration:
* OpenSense-Version: 25.7.1_1
* VoIP-Anbieter: Goetel
* Telefonanlage/Endgerät: Fritzbox 7590AX
Hat jemand eine Idee, was ich übersehen haben könnte oder welche weiteren Schritte zur Fehlerdiagnose sinnvoll wären?
Vielen Dank im Voraus für eure Hilfe!
VG Stefan
Als Starter: Wie sehen die konfigurierten Regeln im Detail (Screenshots) aus? ;-)
du brauchst keine ausgehende NAT Regel hierfür, bitte auf Default/automatisch belassen.
du brauchst eine Port Forward regel mit ziel dein Fritze port 5060 (Dein Telefonie Provider)
und eine Firewall Regel die eingehenden Verkehr auf der Schnittstelle erlaubt wo deine Fritze angeschlossen ist. (Zugriff Fritze)
sonst schaut man in den Firewall Log nach wo es doch nocht an Freischaltungen mangeln kann.
Ich bezweifle aber das es nur mit port 5060 getan ist mmn braucht es etwas mehr.....
Hier die Regeln
Quotedu brauchst keine ausgehende NAT Regel hierfür, bitte auf Default/automatisch belassen.
Gleiche Phänomen wie sonst. Geht kurz und dann wird 5060 wieder geblockt?
Hi zusammen,
da ich Anfangs ein ähnliches Problem hatte weil die Fritte hier nur noch als VOIP und WLAN Uschi hier ist, hab ich experimentiert und ein eine funktionierende
Config gefunden.
Vielleicht hilft sie dem Topic Starter auch. Ich frickel mal die Screenshot hier rein die ich gemacht habe.
Hoffe mal es hilft wenigstens im Ansatz.
Und ja ich habe tatsächlich eine Outgoing Nat Rule . :-D
Eines hatte ich noch vergessen, wir haben hier die gleiche FritzBox im Einsatz. Dort habe ich dann nur die Zugangsdaten für Voip reingeschrieben.
Vodafone ist hier der Provider.
tut mir leid, villt bin ich ein bissl blöd... :)
aber was ist der unterschied zwischen Default NAT wo quelle jeder und und ziel Schnittstellenadresse ist
und deiner wo du nur Port Static anhakst, was mmn in dem Fall keine Bedeutung hat.
Die weiterleitungregel sieht gut aus und da kann man bei filter zuordnung:
die zugehörige Regel erstellen oder einfach "Erlauben" wählen.
Die Firewall Regel die gepostet wurde passt irgendwie nicht denn es sollte Ziel definiert werden und nicht quelle.
hi,
haben gestern abend noch mit einem fachkundigen drübergeschaut. Wir konnten aber nicht feststellen warum der Port geblockt wurde. Wir haben dann an der Fritte ein paar kleine Änderungen vorgenommen (Rufnummer für die Anmeldung verwenden, Portweiterleitung aktiv halten) dann ging es auch..... genau 4Min. und es wurde wieder geblockt.
Danach waren wir wieder ratlos. Ich hatte vor ein paar Tagen, bevor ich entgültig auf Opnsense umgestiegen bin, auf der Fritte die Laborversion eingespielt. Die habe ich gestern abend noch gegen die aktuel gültige 8.02 ausgetauscht. Brachte aber nix. Port geblockt und keine Telefonie möglich.
Warum auch immer geht es jetzt. Keine Ahnung was heute Nacht passiert ist. Hab eben den Rechner angemacht und in die Logs geschaut und da war nix mehr zu sehen. Mit allen Telefonen angerufen, anrufen lassen, raus gewählt.... es geht :))
Hoffe das es so bleibt. Spekuliere das es an der Laborversion der Fritzbox lag....aber eigentlich keine Ahnung ob.
Zu früh gefreut... seit 12:02 wieder geblockt, 12:35 geht wieder... dann auf einmal wieder nicht.... dann doch. Irgendetwas passt insgesamt nicht.
Port Forward ist nicht nötig, meine Fritzbox funktioniert einwandfrei hinter der OPNSense als IP-Client. Ich habe lediglich die Static Port Outbound Rule gesetzt (und Normalization, damit die Pakete in meinem Netzwerk priorisiert werden).
Auf Screenshot 2025-08-03 112953.png ist eingehender Traffic auf Port 29925 zusehen. Port 5060 ist die Quelle.
Hallo StefansS.,
ich habe mir ein eigenes VLAN (TEL) für mein VOIP-Netz (192.168.122.0/24) angelegt.
Dazu folgende Aliase:
_ports_voip // 5060,5061,5064
_ip_voip_int // 192.168.122.0/24
_ip_voip_ex // sipgate.de, pbx.easybell.de
_ports_rtp // 10000:50000
Als nächsten Schritt habe ich eine NAT-Portweiterleitung angelegt:
Schnittstelle // WAN
TCP/IP-Version // IPv4
Protokoll // TCP/UDP
Quelle // _ip_voip_ex
Q-Portbereich // *
Ziel // WAN Adresse
Z-Portbereich // _ports_voip
Z-IP-Umleiten // _ip_voip_int
Z-Port weiterleiten // _ports_voip
Beschreibung // VOIP(NAT)
Nach dem Speichern wird automatisch eine WAN-Regel angelegt unter der eingetragenen Beschreibung angezeigt.
Jetzt fehlen nur noch die Regeln im VLAN (TEL).
Ich habe meine Fritzbox inzwischen durch VOIP-Telefone von Grandstream und SNOM ersetzt.
Falls Du einen anderen Provider hast, solltest du die Einstellungen für die Domain, SIP-Ports, Transportprotokoll und RTP-Range natürlich überprüfen.
Hi,
Danke für die Tipps.
Es ist und bleibt seltsam. Habe Phonerlite instaliert und das ging sofort ohne irgendwelche Probleme. Geht auch wenn die Telefone üer die Fritxbox nicht gehen?
Über die Fritzbox geht und geht nicht ozhne ein zeitliches Muster zu erkennen.
Habe auch ein Grandstream und kann das nicht direkt einbinden. Es verbindet sich nicht mit dem Registrar. In der Fritzbox kein Problem. Phonerlite gleiche Daten geht? Wenn ich über das Grandstream pinge ist voice.goetel.de nicht erreichbar, goetel.de direkt.
Wenn Du das Grandstream an die Fritzbox angeschlossen hast und diese als Telefonanlage benutzt, dann bekommst du einen Login von der Fritzbox erstellt.
Mit dieser Variante sind die Telefone im Telefonnetz der FB auch untereinander erreichbar.
Wenn andere Geräte "voice.goetel.de" erreichen können, dein Granstream aber nicht, dann könnte es auf einen Konfigurationsfehler hindeuten.
Stellt dein Provider Konfigurationshilfen für die FB oder VOIP-Telefone zur Verfügung?
Mir hat das jedenfalls geholfen bei der Einrichtung und Fehlerkontrolle.
Grandstream findet keinen SIP Registrar. Provider kann nicht helfen...Sie haben ja alle Daten....
Aber seit Samstag geht es mit der FB ohne Probleme. Es kommt auch keine Blockmeldung mehr. Ich weiß aber auch nicht warum. Hatte ein Vlan eingerichtet und irgendwie ging nix mehr. Restore gemacht von dem Stand vor dem VLAN Versuch. Seitdem gehts ohne irgendetwas (Nat, Regeln etc.) geändert zu haben.
Ist aber jetzt auch erstmal egal, da es geht.