Moin zusammen,
ich habe einen Glasfaseranschluss bei Nordischnet, einer Marke der GVG Glasfaser.
Nun habe ich eine OPNsense eingerichtet und für die VoIP Ports zwei unterschiedliche Informationen bekommen.
aot59GO0pRtnsE8u.png
und
zMnHq051jjbD5Tyn.png
Um sicher zu gehen, habe ich noch einmal nachgefragt und heute folgende Antwort erhalten:
QuoteWie beschrieben, werden Ports dynamisch ausgehandelt zwischen 30000 & 44999. Somit wäre die Einstellung der Ports wie oben beschrieben bei 1025 - 65535.
Daher wie oben beschrieben, bitte an die Einstellungen halten.
Da Sie eigene Endgeräte & Firewall betreiben, leisten wir hierzu keinen Support.
Die genannten Einstellungen führen zum Erfolg bei unseren Geschäftskunden.
Ansonsten gern Support über ihre Anlagenfirma bzw. externe IT-Firma holen.
In meinen Augen sollte doch dann der Bereich von 30000 - 44999 völlig ausreichen, oder?
An anderer Stelle habe ich sogar nur von 7078 - 7109 gelesen.
Aktuell habe ich diese Einstellungen und kann problemlos telefonieren
Screenshot 2025-09-25 151455.png
Die Frage ist nur, muss der Bereich so groß sein oder reicht auch kleiner?
Wenn Du als Endgerät eine Fritzbox hast, dann reichen 5060 und 7078-7109 eingehend. Und Du kannst sicherheitshalber für die eingehenden Verbindungen eine Einschränkung auf die angegebenen IP-Bereiche machen.
Die höheren Ports und der STUN-Port werden nur outbound benötigt, aber das schränkt man ja typischerweise nicht ein.
Ich verwende zusätzlich eine zusätzliche Outbound-NAT-Regel, die vor den automatischen oder sonstigen Regeln eingefügt wird:
2025-09-25 16_40_58-Outbound _ NAT _ Firewall _ OPNsense.mgsoft – Mozilla Firefox.png
Ich habe diese WAN Rule:
Screenshot 2025-09-25 182137.png
und diese Outbound Rule
Screenshot 2025-09-25 182317.png
Ports habe ich reduziert auf:
Screenshot 2025-09-25 182623.png
Damit haben gerade 2 Anrufe zum und vom Handy geklappt.
Vielen Dank!
Was mir jetzt aufgefallen ist:
Nach einem Neustart der OPNsense kann ich nicht angerufen werden. Ich muss erst selber einen Anruf nach extern tätigen und danach kann ich auch selber angerufen werden.
Ist das ein normales Verhalten?
Diese "WAN Rule" - ist das eine Firewall-Regel? Das alleine reicht nicht. Du brauchst inbound NAT für eingehendes Call Signaling, wenn die Fritzbox die Verbindung nicht bereits selbst hergestellt hat.
Quote from: Patrick M. Hausen on September 25, 2025, 07:12:08 PMDiese "WAN Rule" - ist das eine Firewall-Regel?
Ja.
Quote from: Patrick M. Hausen on September 25, 2025, 07:12:08 PMDu brauchst inbound NAT für eingehendes Call Signaling
OK, aber jetzt komme ich ins schleudern. Wo trage ich denn eine "inbound NAT" ein?
Screenshot 2025-09-25 192056.png
Port Forward.
Interface: WAN
Source: any oder wenn sich das einschränken lässt, Adressen des/der SIP-Gateway(s)
Destination: WAN address
Destination ports: SIP call signaling, hab ich grad nicht im Kopf, bin unterwegs. TCP oder UDP auch keinen Plan - aber die Info hast du ja eigentl.
Redirect target IP: die Fritzbox
HTH,
Patrick
DANKE !!
Es reicht UDP und die Regel stand bei mir schon drin. War aber deaktiviert :-(
Irgendwann habe ich sie beim Testen wohl mal deaktiviert und dann so gelassen.
Nun läuft es.
Nochmals vielen Dank und einen tollen Abend noch!