OPNsense Forum

International Forums => German - Deutsch => Topic started by: Mikka on January 29, 2019, 08:53:22 pm

Title: SIP + FW-Regeln
Post by: Mikka on January 29, 2019, 08:53:22 pm

Hallo zusammen,

ich hätte da eine Verständnisfrage zu SIP und der FW-Regeln. Ich habe zwei Anwendungsfälle die zwar funktionieren, jedoch verstehe ich den einen nicht wieso das so ist  >:(

Der folgende Netzaufbau ist gegeben:
1: Internet <-> FritzBox <-> OPNsense <-> Ubiquiti UniFi WLAN <-> MacBook (IP-DHCP) mit dem SIP-Programm Telefon https://www.64characters.com/telephone/ (https://www.64characters.com/telephone/)
bzw.
2: Internet <-> FritzBox <-> OPNsense <-> LAN <-> Ubuntu 18.04 (IP-DHCP) mit FHEM welches per Net::SIP eine SIP-Verbindung aufbaut

Die FritzBox kann über ein SIP-Konto bei 1&1 ohne Probleme beliebige Nummern (Festnetz/Handy) anrufen.

Alle Rechner aus dem LAN bzw. WLAN können jede Adresse auf jedem Port im Internet erreichen.

Beim Anwendungsfall 2 muss ich jedoch zusätzlich eine weitere FW-Regel unter Firewall -> NAT -> Port Forward erstellen, damit der Teilnehmer (Festnetz bzw. Handy) erreicht werden kann. Die Regel hänge ich als Screenshot an.
Und genau das verstehe ich nicht, da es beim Anwendungsfall 1 auch ohne der NAT-Regel geht.
Tausche ich die Firewall-Distribution OPNsense gegen IPFire aus, wird die FW-NAT-Regel bei beiden Fällen nicht benötigt.

Evtl. hat hier einer von euch eine Idee woran das liegen könnte oder wie man dieses Problem weiter einkreist und kann somit meine Schlaflosen Nächte beenden  :o

Viele Grüße
Mikka

Title: Re: SIP + FW-Regeln
Post by: MBG on January 30, 2019, 07:26:30 am

Hi

Die Angaben sind jetzt zwar ohne Gewähr, aber es gibt mehrere Möglichkeiten...

- Hast in Fall 1 alles geöffnet (sprich All:All in der Firewall). Das würde erklären, warum die keine Regel brauchst
- Oder hast du im Regel UPNP aktiviert? Dadurch würden die Ports automatisch weitergeleitet weil der Client der sich im SIP anmeldet der Firewall die Ports mitgibt, die er benötigt.

Gruss


Gesendet von iPhone mit Tapatalk

Title: Re: SIP + FW-Regeln
Post by: Mikka on January 30, 2019, 09:40:13 pm

Hallo MBG,

bei Fall 1 und 2 ist die LAN-FW jeweils gleich eingestellt (siehe Screenshot).

Habe keine UPNP Regel.

Danke für deine Hilfe!

Mikka

Title: Re: SIP + FW-Regeln
Post by: OPNFox on January 31, 2019, 09:58:05 am

Findet eventuell bei Anwendung 1 ein "No-NAT" statt vom MAC Book zur FritzBox und beim 2. Anwendungsfall ein SNAT/Masq.?

Die SIP Clients wenden sich an die FB als Zugang, richtig? Und ei FB baut dann die weitere Verbindung auf?
Oder bauen alle Clients eine Verbindung direkt zu 1und1 auf?

Wenn über die FB:
Generell würde ich für die eingehende Verbindungen/Telefonate empfehlen, dass zur FB ein Routing stattfindet und in der FB die entsprechende Route über die OPNSense einstellen in ein internes LAN für den Port, damit du mehrere interne "Telefone" benutzen kannst, wenn ein Anruf reinkommt.

Also [SIP-Clients] -> [FB] NO-NAT
Danach die Regel alles andere normalerweise (LAN) -> * mit SNAT mit der "WAN-IP" der OPNsense.

Dann bei der FB eine statische Route für ein LAN Netz über GW "WAN-IP" der OPNsense.

Und die entsprechende FW Regeln noch einstellen.

Title: Re: SIP + FW-Regeln
Post by: Mikka on January 31, 2019, 02:13:58 pm

Hallo Teemoe,

Quote

Findet eventuell bei Anwendung 1 ein "No-NAT" statt vom MAC Book zur FritzBox und beim 2. Anwendungsfall ein SNAT/Masq.?

Das sind gute Fragen ;-) Müsste ich mal nachforschen. Hast du evtl. eine Idee wie man dies am einfachsten macht? TCPDUMP?

Quote

Die SIP Clients wenden sich an die FB als Zugang, richtig?

Ja.

Quote

Und ei FB baut dann die weitere Verbindung auf?

Ja.

Quote

Oder bauen alle Clients eine Verbindung direkt zu 1und1 auf?

Nein.

Quote

Wenn über die FB:
Generell würde ich für die eingehende Verbindungen/Telefonate empfehlen, dass zur FB ein Routing stattfindet und in der FB die entsprechende Route über die OPNSense einstellen in ein internes LAN für den Port, damit du mehrere interne "Telefone" benutzen kannst, wenn ein Anruf reinkommt.

Also [SIP-Clients] -> [FB] NO-NAT
Danach die Regel alles andere normalerweise (LAN) -> * mit SNAT mit der "WAN-IP" der OPNsense.

Dann bei der FB eine statische Route für ein LAN Netz über GW "WAN-IP" der OPNsense.

Und die entsprechende FW Regeln noch einstellen.

Ziel war es eigentlich nur, dass ich eine Anrufsignalisierung habe. Zum Beispiel wenn ein Feuermelder aktiv wird ruft das System mein Handy an. Anhand der Nummer kann ich erkennen, das Rauchmelder XYZ aktiv ist.

Mit dem MacBook Programm habe ich zunächst nur den Rufaufbau probiert. Funktionierte auch. Mit gleichen Zugangsdaten und dem gleichen Weg Richtung FritzBox jedoch nicht mit Net::SIP. Da benötige ich die zusätzliche NAT-Regel.

Viele Grüße
Mikka