OPNsense Forum

International Forums => German - Deutsch => Topic started by: theq86 on March 06, 2017, 08:40:04 am

Title: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: theq86 on March 06, 2017, 08:40:04 am
Hallo,

ich schreibe dieses kleine Tutorial, weil ich leider selbst nirgendwo fündig geworden bin und einiges ausprobieren musste, um es zum Laufen zu bekommen.

Um die opnSense richtig auszureizen betreibe ich sie direkt hinter einem reinen VDSL-Modem. Die Fritz!Box hängt am LAN Switch und ist zur Telefonanlage und WiFi AccessPoint kastriert. (IP-Client Modus)

Wie man die Box konfiguriert, darauf gehe ich selbst nicht ein. AVM bietet da aber auch Anleitungen für. Hier geht es darum, die Firewall einzurichten um eingehende und ausgehende Gespräche durchzulassen.

1. Aliase einrichten
Firewall->Aliase->Ansicht --> Neuen Alias hinzufügen (Typ: Ports)
Hier werden 1 Port und 2 Portbereiche definiert:
5060 -> SIP
5070:5079 -> VoIP Sprache (von 1und1 genutzte RTP Ports)
30000:30019 -> VoIP Fax (wenn benötigt)

Firewall->Aliase->Ansicht --> Neuen Alias hinzufügen (Typ: Hosts)
Alle IP Adressen vom verlinkten Post hinzufügen.
https://forum.opnsense.org/index.php?topic=4712.msg18404#msg18404

2. Portweiterleitung
Firewall->NAT->Portweiterleitung --> Hinzufügen
Schnittstelle: WAN
Version: IPv4
Protokoll: UDP
Ziel: WAN Adresse
Zielportbereich: angelegter Alias
Ziel-IP umleiten: IP der FritzBox
Zielport weiterleiten: Angelegter Alias

3. Outbound NAT
Firewall->NAT->Ausgehend

Zuerst Manuelle Erstellung ausgehender NAT Regeln auswählen und speichern.
Dann eine neue Regel anlegen:
Schnittstelle: WAN 
TCP/IP Version: IPv4 
Protokoll: UDP
Quelle: FritzBox IP
Quellport: jeglich
Ziel: jeglich
Zielport: jeglich
Übersetzung / Ziel: Schnittstellenadresse
Haken bei statischer Port <-- wichtig!

Verschiebt diese Regel jetzt noch an den Anfang der Liste (hinzugefügten Eintrag auswählen (Checkbox) und den Pfeil nach Links in der ersten Regel klicken.
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: franco on March 08, 2017, 04:24:58 am
Hi nasq,

Vielen Dank, habe es "sticky" markiert. :)


Grüsse
Franco
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: JeGr on March 08, 2017, 11:22:09 am
Sorry dass ich ggf. doof nachfrage, aber ist es wirklich ernst gemeint, dass die Weiterleitung auf den SIP Port und die Sprach/Fax Ports von ANY erlaubt werden :o
Das würde im Normalfall dazu führen, dass - so die Sense bei einem SIP Portscan irgendwem auffällt - man recht fix ungebetene Gäste hat die über einen telefonieren können - oder konfiguriert 1&1 seine FB so streng, dass das nicht möglich ist?

Grüße
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: theq86 on March 08, 2017, 07:57:56 pm
Ich danke dir sogar fürs "doof nachfragen"
Ich hatte es anders als mit der Any-Einstellung leider nicht hinbekommen. Vielleicht hab ich aber auch einen Denkfehler.

Wichtig ist, dass auf UDP die Ports 5060, 5070-5079 und 30000-30019 eingehend zur Kommunikation frei sind und auf die FritzBox geleitet werden. Wenn ich allerdings nur diese Ports outbound weiterleite, dann höre ich niemanden und kann nicht gehört werden. Ich nehme an, dass dann der RTP Stream nicht durchkommt.

Frage mich ohnehin, wozu ich das outbound nat brauche. normalerweise sollte doch eh alles, was aus meinem LAN ins WAN geht genattet werden, oder ?!?
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: theq86 on March 08, 2017, 10:06:43 pm
FIX für etwas Sicherheit:

Ports kann ich leider nicht eingrenzen, sind sehr random.
Aber die IP Addressen, die 1und1 für RTP, STUN und SIP verwendet konnte ich mittels opnsense Paketfilter herausfinden. Es sind sau viele, aber wenn ich die Destination auf diese IPs einschränke dann sollten nur 1und1 Server Zugriff bekommen.

Code: [Select]
rtpproxy1-ngn.1und1.de - 212.227.124.2
rtpproxy2-ngn.1und1.de - 212.227.124.3
rtpproxy3-ngn.1und1.de - 212.227.124.66
rtpproxy4-ngn.1und1.de - 212.227.124.67
rtpproxy5-ngn.1und1.de - 212.227.124.4
rtpproxy6-ngn.1und1.de - 212.227.124.68
stun.1und1.de - 212.227.67.34
stun.1und1.de - 212.227.67.33
sipbalance1-1.1und1.de - 212.227.67.131
sipbalance2-1.1und1.de - 212.227.67.132
sipbalance3-1.1und1.de - 212.227.67.133
sipbalance4-1.1und1.de - 212.227.67.134
sipbalance5-1.1und1.de - 212.227.67.135
sipbalance6-1.1und1.de - 212.227.67.136
sipbalance7-1.1und1.de - 212.227.67.137
sipbalance8-1.1und1.de - 212.227.67.138
sipbalance9-1.1und1.de - 212.227.67.139
sipbalance10-1.1und1.de - 212.227.67.140
sipbalance1-2.1und1.de - 212.227.67.201
sipbalance2-2.1und1.de - 212.227.67.202
sipbalance3-2.1und1.de - 212.227.67.203
sipbalance4-2.1und1.de - 212.227.67.204
sipbalance5-2.1und1.de - 212.227.67.205
sipbalance6-2.1und1.de - 212.227.67.206
sipbalance7-2.1und1.de - 212.227.67.197
sipbalance8-2.1und1.de - 212.227.67.198
sipbalance9-2.1und1.de - 212.227.67.199
sipbalance10-2.1und1.de - 212.227.67.200
sipbalance1-3.1und1.de - 212.227.18.131
sipbalance2-3.1und1.de - 212.227.18.132
sipbalance3-3.1und1.de - 212.227.18.133
sipbalance4-3.1und1.de - 212.227.18.134
sipbalance5-3.1und1.de - 212.227.18.135
sipbalance6-3.1und1.de - 212.227.18.136
sipbalance7-3.1und1.de - 212.227.18.137
sipbalance8-3.1und1.de - 212.227.18.138
sipbalance9-3.1und1.de - 212.227.18.139
sipbalance10-3.1und1.de - 212.227.18.140
sipbalance1-4.1und1.de - 212.227.18.201
sipbalance2-4.1und1.de - 212.227.18.202
sipbalance3-4.1und1.de - 212.227.18.203
sipbalance4-4.1und1.de - 212.227.18.204
sipbalance5-4.1und1.de - 212.227.18.205
sipbalance6-4.1und1.de - 212.227.18.206
sipbalance7-4.1und1.de - 212.227.18.197
sipbalance8-4.1und1.de - 212.227.18.198
sipbalance9-4.1und1.de - 212.227.18.199
sipbalance10-4.1und1.de - 212.227.18.200

Edit:
Wäre es doof, statt 40 IPs freizugeben einfach die 3 Klasse C Netze freizugeben?
Das wären dann 212.227.18.0/24, 212.227.67.0/24 und 212.227.124.0/24.
Natürlich weiß weder ich noch die opnSense die tatsächlichen Netzmasken, die 1und1 zugeteilt sind, aber um diese IPs als Destination "zusammenzufassen" wäre es doch imho egal, ob es wirklich 24er Netze sind. Die opnSense schaut nur, ob die entsprechende IP im durchzulassenden Netz ist und gut ?!? Und ich vermute jetzt einfach stark, dass all diese Blöcke zu 1und1 gehören.
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: JeGr on March 09, 2017, 02:49:43 pm
Du könntest auch schlicht die Namen freigeben, die Sense übernimmt dann selbst den Lookup der IPs und das Eintragen in eine Tabelle oder Alias
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: kug1977 on March 21, 2017, 09:53:11 pm
"The most obvious optimization is to reduce the number of rules. If the list of addresses is large, the performance gain of one rule evaluation with one table lookup vs. one rule evaluation for each address is significant. As a rule of thumb, tables are cheaper when the list contains six or more addresses. For a list of 1,000 addresses, the difference will be factor of 1,000." [see http://www.undeadly.org/cgi?action=article&sid=20060927091645]

Es wird keinen großen Unterschied machen, ob die Liste jeden einzelnen Server enthält oder eine Liste von kürzeren Netzwerken. Die Rule wird größtenteils beim Aufbau der Verbindung aufgerufen, also eher alle 1x Minuten. Ich habe die Liste auf kürzere Netzwerksegmente herunter gebrochen:

rtpproxy1-ngn.1und1.de - 212.227.124.2/32
rtpproxy2-ngn.1und1.de - 212.227.124.3/32
rtpproxy5-ngn.1und1.de - 212.227.124.4/32

rtpproxy3-ngn.1und1.de - 212.227.124.66/32
rtpproxy4-ngn.1und1.de - 212.227.124.67/32
rtpproxy6-ngn.1und1.de - 212.227.124.68/32

stun.1und1.de - 212.227.67.34/32
stun.1und1.de - 212.227.67.33/32

sipbalanceX-1.1und1.de - 212.227.67.128/28
sipbalanceX-2.1und1.de - 212.227.67.192/28
sipbalanceX-3.1und1.de - 212.227.18.128/28
sipbalanceX-4.1und1.de - 212.227.18.192/28
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: PotatoCarl on March 22, 2017, 12:31:39 pm
Danke für das Tutorial.

Ich habe hier das ganze aus den angesprochenen Gründen und zur Reduktion der Probleme umgedreht: Die Fritzbox ist VDSL Modem mit SIP Gateway, die OPNSense ist dahinter. Das schnaggelt sehr gut und ich habe ein Gerät (das Modem) weniger. Auf der Fritzbox ist dann ein festes Routing eingestellt das einfach alles an die OPNSense weiterreicht. Der Knackpunkt ist das auf der Schnittstelle der OPNSense dann natürlich BOGON Networks und interne Netze erlaubt sein müssen. So kommt gar nicht erst Unfug an der OPNSense an.
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: nima on May 25, 2017, 04:07:18 pm
Hallo,
danke für die Anleitung.
Bei mir funktioniert das leider nicht mit dem FAX!
Wenn ich das interne Fax anrufe höre ich nichts. Sprache geht.
Nur Fax leider nicht.
Bei dir läuft Fax? Hast du sonst noch iwas gemacht?
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: Mathias on November 26, 2017, 09:26:27 pm
Hi, wie sind denn die Einstellungen wenn man VoIP von der Telekom hat?
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: booooob on December 05, 2017, 11:38:05 am
Quote from: Mathias on November 26, 2017, 09:26:27 pm
Hi, wie sind denn die Einstellungen wenn man VoIP von der Telekom hat?
Versuch es mit den Ports 7078:7097 für Telefonie.
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: us2871 on January 11, 2018, 10:31:31 pm
Großartiges Tutorial! Vielen Dank.... ;)
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: gmu on February 17, 2018, 10:31:52 am
Mich hat es gestern auch erwischt.
Umgestellt auf OPNsense mit großer Freude. Bis wir irgendwann festgestellt haben, dass wir die Gegenseite beim Telefonieren nicht hören.

Bei mir ist es ein Telekom VoIP (Magenta).

Mich wundert, dass hier immer NAT-Regeln mit Port-Forwarding über die externe Schnittstelle durchgeführt werden. Der Telefonieserver baut doch keine Verbindung mit der FritzBox auf sondern umgekehrt.

Bei mir reichte das Anlegen von nur einer NAT-Outbound-Regel an erster Stelle:

InterfaceWAN
Source addressSingle host or Network
<IP-Adresse der FritzBox auf LAN1> / 32
Translation targetInterface address
Static portangehakt

Ich hatte noch eine DHCP-Reservierung für die IP-Adresse der FritzBox vorgenommen, da ja die FritzBox via DHCP auf LAN1 eine IP-Adresse zugewiesen bekommt. Und die könnte sich sonst bei einem Neustart der OPNsense ändern ... und somit würde meine NAT-Regel nicht mehr greifen.

Seitdem kann ich mit meinem Gegenüber auch wieder kommunizieren.

Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: theq86 on February 19, 2018, 07:54:27 am
Quote from: gmu on February 17, 2018, 10:31:52 am
Mich wundert, dass hier immer NAT-Regeln mit Port-Forwarding über die externe Schnittstelle durchgeführt werden. Der Telefonieserver baut doch keine Verbindung mit der FritzBox auf sondern umgekehrt.

Ich hatte das Problem des "Nichthörens" - also, RTP Pakete kamen nicht durch - auch bei eingehenden Gesprächen. Deshalb auch die SNAT Regel zusätzlich zum DNAT
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: docb on March 10, 2018, 07:25:28 pm
Moin zusammen, ganz komisch, ich habe es nach der Anleitung gemacht - und ich konnte nur angerufen werden. Wenn ich es komplett OHNE Regeln/Nat mache (weder In- noch Outbound), dann klappt es einwandfrei. So ganz blicke ich da nicht durch. Wie habt ihr denn die Fritte eingestellt -> Internet über Router und IP über DHCP (beides also von der PFSense, soweit klar und nach AVM-Anleitung). Habt ihr sonst noch etwas gemacht? Kommt ihr dann über diese IP auf die FB? Ich schaffe das nämlich leider nicht, nicht mal über den Port 40643, auf dem die Fritzbox ja eigentlich "von außen" erreichbar wäre. Ich muss also immer direkt anstöpseln und mich über die Not-Ip mit der Fritz verbinden, um auf die Oberfläche zu kommen. Ich traue meinem Konstrukt noch nicht ganz, daher wäre ich über den ein oder anderen Tipp dankbar. Ach ja - meine OPNSense hängt hinter einem TC7200 Kabelmodem (das ich leider nicht auf Bridge umschalten kann, sondern dort habe ich die OPNSense in eine DMZ gestellt.
Viele Grüße
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: His.Dudeness on March 26, 2019, 08:12:55 pm
Hallo Zusammen,

ich hatte auch die ganze Zeit das Problem, dass es zwar gelingelt hat aber man nichts hören konnte und nach ca. 10 Sek ist das Gespräch abgebrochen.

Ich nutze die FritzBOX 7940 als reine TK-Anlage hinter der OPNSense an einem Telekom-VoIP-Magenta-Gedöns für zuhause. (An einem FTTH-Anschluss, aber ich glaube das spielt keine Rolle. Sollte am DSL genau so gehen)

Am Ende musste ich KEINE eingehenden Portforwardings für SIP oder RTP und auch keine eingehenden Firewall-Regeln anpassen. Der entscheidene Punkt war die source port randomization bei der Outbound-NAT Regel.

Unter Firewall -> NAT -> Outbound

1) Manual outbound NAT rule generation auswählen

2) Drei neue Regeln von Hand erstellen. Im Grunde habe ich die beiden Default-Regeln übernommen und eine eigene dazu gebaut. Der einzige Unterschied der Regeln ist der Punkt "Static Port"

a) Die eine default-Regel für ISAKMP (Zielport 500 UDP) = Static Port YES
b) Eine für die FritzBOX (Quell IP = IP der Fritzbox im LAN)  = Static Port YES
c) Die andere default Regel für alles andere = Static Port NO

Danach ging es sofort.  ;D

Ich denke, dass das ein Bug in der OPNsense ist, weil es eigentlich auch _mit_ source port randomization gehen müsste. Der Punkt ist nämlich, dass falls die Fritzbox einen Port verwenden will, der zufällig schon von einem anderen Client für etwas anderes genutzt wird, würde das Telefonat wieder auf die Nase fallen, weil die OPNsense den Port ja dann nicht umschreiben kann. In meinem Heimnetz mit den paar Clients ist das aber eher unwahrscheinlich...
 
Gruß
Michael
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: opnboi on March 28, 2019, 09:49:20 am
Das wird ja dann jetzt doch ein bisschen unklarer :o

Was wird denn jetzt genau aus dem ersten Post noch an Regeln benötigt?

Stehe vorm Umzug von ner FritzBox! inkl. DECT auf die OPNSense - die FritzBox! soll dann hinter der OPNSense als AP und DECT Station dienen...
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: direx on March 28, 2019, 07:40:23 pm
Also ich habe genau wie His.Dudeness für Drosselkom VoIP nur genau eine Outbound-NAT-Regel bei mir.

Setup ist wie folgt:


VG
direx
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: His.Dudeness on March 30, 2019, 12:06:22 pm
Ja, geht auch mit einer Regel.

Wenn man bei den Outbound-NAT Regeln die Auswahl oben auf "Hybrid" stellt. Also "Defaut Regeln + Eigene Regeln" reicht die eine.  Sonst braucht man nichts.

Ich frage mich aber trotzdem ob das irgednwann mal gefixt wird. Eigentlich müsste es ja auch ganz ohne Regel gehen. Naja, bis dahin kann man ganz gut mit dem Workaround leben, finde ich.
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: opnboi on March 31, 2019, 11:42:09 am
Fragt sich ob es für 1und1 genauso funktioniert;)
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: Amari on April 09, 2019, 09:40:53 pm
Quote from: nasq on March 08, 2017, 10:06:43 pm

Code: [Select]
rtpproxy1-ngn.1und1.de - 212.227.124.2
rtpproxy2-ngn.1und1.de - 212.227.124.3
rtpproxy3-ngn.1und1.de - 212.227.124.66
rtpproxy4-ngn.1und1.de - 212.227.124.67
rtpproxy5-ngn.1und1.de - 212.227.124.4
rtpproxy6-ngn.1und1.de - 212.227.124.68
stun.1und1.de - 212.227.67.34
stun.1und1.de - 212.227.67.33
sipbalance1-1.1und1.de - 212.227.67.131
sipbalance2-1.1und1.de - 212.227.67.132
sipbalance3-1.1und1.de - 212.227.67.133
sipbalance4-1.1und1.de - 212.227.67.134
sipbalance5-1.1und1.de - 212.227.67.135
sipbalance6-1.1und1.de - 212.227.67.136
sipbalance7-1.1und1.de - 212.227.67.137
sipbalance8-1.1und1.de - 212.227.67.138
sipbalance9-1.1und1.de - 212.227.67.139
sipbalance10-1.1und1.de - 212.227.67.140
sipbalance1-2.1und1.de - 212.227.67.201
sipbalance2-2.1und1.de - 212.227.67.202
sipbalance3-2.1und1.de - 212.227.67.203
sipbalance4-2.1und1.de - 212.227.67.204
sipbalance5-2.1und1.de - 212.227.67.205
sipbalance6-2.1und1.de - 212.227.67.206
sipbalance7-2.1und1.de - 212.227.67.197
sipbalance8-2.1und1.de - 212.227.67.198
sipbalance9-2.1und1.de - 212.227.67.199
sipbalance10-2.1und1.de - 212.227.67.200
sipbalance1-3.1und1.de - 212.227.18.131
sipbalance2-3.1und1.de - 212.227.18.132
sipbalance3-3.1und1.de - 212.227.18.133
sipbalance4-3.1und1.de - 212.227.18.134
sipbalance5-3.1und1.de - 212.227.18.135
sipbalance6-3.1und1.de - 212.227.18.136
sipbalance7-3.1und1.de - 212.227.18.137
sipbalance8-3.1und1.de - 212.227.18.138
sipbalance9-3.1und1.de - 212.227.18.139
sipbalance10-3.1und1.de - 212.227.18.140
sipbalance1-4.1und1.de - 212.227.18.201
sipbalance2-4.1und1.de - 212.227.18.202
sipbalance3-4.1und1.de - 212.227.18.203
sipbalance4-4.1und1.de - 212.227.18.204
sipbalance5-4.1und1.de - 212.227.18.205
sipbalance6-4.1und1.de - 212.227.18.206
sipbalance7-4.1und1.de - 212.227.18.197
sipbalance8-4.1und1.de - 212.227.18.198
sipbalance9-4.1und1.de - 212.227.18.199
sipbalance10-4.1und1.de - 212.227.18.200


Wie macht ihr das denn nun? Nur die IPs als Alias anlagen? Nur die Hostnamen? Oder alles so wie es im Code Block steht?

Beim 2. mal hat er es jetzt sogar so genommen. Beim 1. speichern klicken, wollte er es so nicht.

Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: donald24 on August 15, 2019, 10:16:16 pm
Quote from: His.Dudeness on March 26, 2019, 08:12:55 pm
Hallo Zusammen,

ich hatte auch die ganze Zeit das Problem, dass es zwar gelingelt hat aber man nichts hören konnte und nach ca. 10 Sek ist das Gespräch abgebrochen.

Ich nutze die FritzBOX 7940 als reine TK-Anlage hinter der OPNSense an einem Telekom-VoIP-Magenta-Gedöns für zuhause. (An einem FTTH-Anschluss, aber ich glaube das spielt keine Rolle. Sollte am DSL genau so gehen)

Am Ende musste ich KEINE eingehenden Portforwardings für SIP oder RTP und auch keine eingehenden Firewall-Regeln anpassen. Der entscheidene Punkt war die source port randomization bei der Outbound-NAT Regel.

Unter Firewall -> NAT -> Outbound

1) Manual outbound NAT rule generation auswählen

2) Drei neue Regeln von Hand erstellen. Im Grunde habe ich die beiden Default-Regeln übernommen und eine eigene dazu gebaut. Der einzige Unterschied der Regeln ist der Punkt "Static Port"

a) Die eine default-Regel für ISAKMP (Zielport 500 UDP) = Static Port YES
b) Eine für die FritzBOX (Quell IP = IP der Fritzbox im LAN)  = Static Port YES
c) Die andere default Regel für alles andere = Static Port NO

Danach ging es sofort.  ;D

Ich denke, dass das ein Bug in der OPNsense ist, weil es eigentlich auch _mit_ source port randomization gehen müsste. Der Punkt ist nämlich, dass falls die Fritzbox einen Port verwenden will, der zufällig schon von einem anderen Client für etwas anderes genutzt wird, würde das Telefonat wieder auf die Nase fallen, weil die OPNsense den Port ja dann nicht umschreiben kann. In meinem Heimnetz mit den paar Clients ist das aber eher unwahrscheinlich...
 
Gruß
Michael


Super-Lösung! Dank Dir!

Ich merke einfach mit JEDEM Router-Geraffel, wo nicht AVM oder Telekom oder 1und1 draufsteht, muss man seine eigene workarounds finden.

Ich bin ja auch gern Hobby-Troubleshooter und frage mich, wie du darauf gekommen bist, dass es an der port-randomization liegt. Kannst du mir das vielleicht mal kurz erläutern?

Grüße
Don
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: neofuxx on October 08, 2019, 10:42:37 am
Super Sache, hat soweit funktioniert, jetzt muss ich das Ganze nur noch auf mein DGA4132 umbauen.

Aber noch mal das Problem, wie bekommt ihr die Liste der 1und1 Verbindungen in die Hosts rein? Ich habe genau das selbe Probleme, dass er die nicht wirklich nimmt.

VG, neofuxx
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: RicAtiC on November 01, 2019, 08:55:15 am
Guten Morgen allerseits,

Wer nutzt dieses Setup mit 1&1?

Müsst ihr auch zusätzlich die Highport-Range freigeben (für den direkten RTP-Strom von Punkt zu Punkt) 16384 bis 32767?

Danke für Rückmeldungen!

Gruß
Ric
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: TheDJ on December 01, 2019, 11:24:32 pm
Quote from: direx on March 28, 2019, 07:40:23 pm
Also ich habe genau wie His.Dudeness für Drosselkom VoIP nur genau eine Outbound-NAT-Regel bei mir.

Setup ist wie folgt:

  • FTTH-Modem -> OPNsense (per PPPoE) -> Fritz!Box (als DECT-Basis)
  • Eine einzige Outbound-NAT-Regel mit Static-Port für die Fritz!Box (siehe Screenshot). Andere Regeln brauche ich für VoIP nicht, auch keinen SIP Proxy.

VG
direx

Hallo zusammen,

ich habe seit gestern auch eine OPNsense 19.7 auf einem APU2.E4/D4 als NAT-Router hinter einer VDSL-Bridge und die FB als reinen IP-Client und DECT-Basis dahinter laufen (genau wie in dem obigen Aufbau).
Soweit so gut passt auch alles, was ich über die internen und auch WAN-Netze machen will. FB schafft es auch, die Internet-Rufnummern anzumelden und ich kann auch über die Nummern anrufen und angerufen werden. ABER: Nach ziemlich genau 15 Minuten problemlosem Telefonieren bricht das Gespräch plötzlich ab (teilweise asynchron - mein Gesprächspartner kriegt früher den Freizeichen/Abbruch-Ton als ich).
Ich habe das ganze über die Liveview der Firewall mit verfolgt und sehe kurz vor dem Verbindungsabbruch sehr viele, auf die WAN-IP EINGEHENDE :5060-Verbindungen, die durch die "default deny any" Regel gecatcht werden. Das sollte ja der problematische SIP-Port sein, durch den der Server der Telekom dann die Verbindung nicht mehr aufrecht halten kann.
Die oben angesprochene Outbound-NAT-Regel habe ich natürlich genauso gesetzt und wenn ich das richtig gesehen habe in der Liveview, gab es während des problemlosen Gesprächs auch einige :5060, die nach draußen gingen und ohne Probleme passiert haben. Eine eingehende 5060-Regel will/wollte ich bewusst (eben aufgrund der gleichen Sicherheitsbedenken vermeiden:

Quote from: JeGr on March 08, 2017, 11:22:09 am
Sorry dass ich ggf. doof nachfrage, aber ist es wirklich ernst gemeint, dass die Weiterleitung auf den SIP Port und die Sprach/Fax Ports von ANY erlaubt werden :o
Das würde im Normalfall dazu führen, dass - so die Sense bei einem SIP Portscan irgendwem auffällt - man recht fix ungebetene Gäste hat die über einen telefonieren können - oder konfiguriert 1&1 seine FB so streng, dass das nicht möglich ist?

Funktioniert bei den Telekom-Nutzern hier im Thread das telefonieren auch länger als 15 Minuten? Muss ich doch eine andere Regel setzen?

Viele Grüße und schonmal vielen Dank,
TheDJ
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: Bierfassl82 on March 02, 2020, 09:27:41 pm
Hallo zusammen,

habe auch hin und wieder das selbe Problem wie TheDJ, daher auch ebenfalls meine Frage nach einer Lösung für dieses Problem.
Außerdem kommt es bei mir von Zeit zu Zeit auch vor das niemand mehr anrufen kann und in der Firewall in diesem moment ebenfalls viele eingehende WAN:5060 anfragen kommen die per default deny abgelehnt werden.
Das Problem behebt sich nach einer weile von selbst, bzw. einmal kurz wegrufen geht auch.

Bitte um Hilfe, das lässt mich echt langsam verzweifeln, da ich nicht weiß was daran Schuld sein kann.

P.S.: FritzBox steht auf 30sek bei Port-Refresh
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: Wired Life on May 09, 2020, 01:13:59 pm
Also ich habe das Problem, dass nach einer Zwangstrennung nur noch weniger als die Hälfte der Anrufe rein kommen und nach der zweiten Zwangstrennung gar keine mehr.
Dann hilft nur noch ein Neustart der Fritzbox oder der sense.
Ich hatte alles mögliche ausprobiert von Keepalive der Fritzbox über Firewall Modus der sense auf conservative ändern usw.
Bis mir eingefallen ist dass ich "Disable State Killing on Gateway Failure" aktiviert habe, was wohl dazu führt dass die States über die Zwangstrennung hinaus bestehen bleiben.
Quote
pftop -f 'port 5060'

PR        DIR SRC                                           DEST                                                   STATE                AGE       EXP     PKTS    BYTES
udp       In  192.168.10.2:5060                             212.227.67.33:3478                               MULTIPLE:MULTIPLE     00:08:52  00:00:48      106     9116
udp       Out 87.123.137.224:5060                           212.227.67.33:3478                               MULTIPLE:MULTIPLE     00:08:52  00:00:48      106     9116
udp       In  192.168.10.2:5060                             212.227.124.130:5060                             MULTIPLE:MULTIPLE     52:06:30  00:00:49    14543  1821202
udp       Out 87.122.91.93:5060                             212.227.124.130:5060                             MULTIPLE:MULTIPLE     52:06:30  00:00:49    14539  1821026
udp       In  192.168.10.2:5060                             212.227.124.129:5060                             MULTIPLE:MULTIPLE     34:02:12  00:00:49     8878   582146
udp       Out 87.123.137.224:5060                           212.227.124.129:5060                             MULTIPLE:MULTIPLE     34:02:12  00:00:49     8878   582146

Ich vermute, dass sowas nach Deaktivieren der Option nicht mehr passiert, allerdings killt er dann halt auch immer States die nichts mit der WAN Seite zu tun haben.
Drum werde ich mir nun einen Cronjob anlegen, der kurz nach der Zwangstrennung die VoIP States killt.
pfctl -k 0.0.0.0/0 -k 212.227.0.0/16
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: TheDJ on September 15, 2020, 09:02:24 am
Hallo Bierfassl82,

hast du eine Lösung für dein Problem gefunden?
Ich hatte eine Phase, in der zwischenzeitlich alles mal ganz gut funktioniert hat, aber mittlerweile häufen sich sowohl die Telefonabbrüche als auch Probleme beim Raustelefonieren immer mal wieder.
Ich bin noch auf FW 20.1, wollte aber in nächster Zeit dann mal auf 20.7 gehen und schauen, ob das was ändert. Vielleicht hilft ja auch die 7.20er FW für die FB dann, wenn sie für die 7490 dann mal rauskommt.

Viele Grüße,
TheDJ
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: oekomat on October 09, 2020, 04:21:51 pm
Quote from: His.Dudeness on March 26, 2019, 08:12:55 pm

Unter Firewall -> NAT -> Outbound

1) Manual outbound NAT rule generation auswählen

2) Drei neue Regeln von Hand erstellen. Im Grunde habe ich die beiden Default-Regeln übernommen und eine eigene dazu gebaut. Der einzige Unterschied der Regeln ist der Punkt "Static Port"

a) Die eine default-Regel für ISAKMP (Zielport 500 UDP) = Static Port YES
b) Eine für die FritzBOX (Quell IP = IP der Fritzbox im LAN)  = Static Port YES
c) Die andere default Regel für alles andere = Static Port NO

Danach ging es sofort.  ;D


Hallo zs, Ist das so noch möglich?

Ich hab die Version 20.7 mit einer FB 7390 im LAN hinter der opnsense. Ist ja seitdem etwas Zeit vergangen.
Anbieter ist 1und1

Gruß oekomat
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: oekomat on October 09, 2020, 07:15:09 pm
Ein kleines Stück weiter bin ich: Gespräche kann ich nach außen tätigen mit folgenden Einstellungen in der Fritzbox und Sense. Jedoch kommen eingehende Gespräche nicht an.

Die Fritzbox ist im LAN mit der IP 192.168.10.122.
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: oekomat on October 09, 2020, 07:22:57 pm
Korrektur...die Funktion Telefonate nach außen klappt nicht. Ich gebs jetzt auf...  :-\
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: micneu on October 09, 2020, 08:36:23 pm
Quote from: oekomat on October 09, 2020, 07:15:09 pm
Ein kleines Stück weiter bin ich: Gespräche kann ich nach außen tätigen mit folgenden Einstellungen in der Fritzbox und Sense. Jedoch kommen eingehende Gespräche nicht an.

Die Fritzbox ist im LAN mit der IP 192.168.10.122.
also ich habe bei mir einen alias auf meine Fritzbox. vergleich mal deine regel mit meiner, versuche es nochmal und passe deine regel an.
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: oekomat on October 10, 2020, 08:27:10 am
Quote from: micneu on October 09, 2020, 08:36:23 pm
Quote from: oekomat on October 09, 2020, 07:15:09 pm
Ein kleines Stück weiter bin ich: Gespräche kann ich nach außen tätigen mit folgenden Einstellungen in der Fritzbox und Sense. Jedoch kommen eingehende Gespräche nicht an.

Die Fritzbox ist im LAN mit der IP 192.168.10.122.
also ich habe bei mir einen alias auf meine Fritzbox. vergleich mal deine regel mit meiner, versuche es nochmal und passe deine regel an.

Welche Port hast du frei?
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: micneu on October 10, 2020, 09:41:38 am
wie in meiner grafik zu sehen habe ich keinen bestimmten port freigegeben.
deshalb verstehe ich deine frage nicht, ist doch alles zu sehen.
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: oekomat on October 11, 2020, 12:31:56 pm
Quote from: micneu on October 10, 2020, 09:41:38 am
wie in meiner grafik zu sehen habe ich keinen bestimmten port freigegeben.
deshalb verstehe ich deine frage nicht, ist doch alles zu sehen.

Sorry, war zu früh für mich. Hatte das tcp/udp als Port statt Protokoll verstanden.

Hab ich so eingestellt wie bei dir. Ergebnis:
- Ich kann Anrufe erhalten und auch telefonieren
- wenn ich jmd anrufe, klingelt es bei ihm, wenn er abnimmt, höre ich auch nichts und er hört mich auch nicht.
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: Ohu on October 19, 2020, 01:27:12 pm
Hallo,

leider habe ich keine Lösung aber das identische Problem (allerdings mit einer Sophos XG Firewall und der Telekom). Ich dreh echt am Rad  :(

Hast Du schon eine Lösung gefunden?

BG
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: schnipp on October 20, 2020, 12:30:03 pm

(*) = wichtig
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: opnboi on February 09, 2021, 10:01:48 am
Quote from: opnboi on March 31, 2019, 11:42:09 am
Fragt sich ob es für 1und1 genauso funktioniert;)

Ich zitiere mich mal selbst  :D

Ja es geht 8)

Quote from: direx on March 28, 2019, 07:40:23 pm
Also ich habe genau wie His.Dudeness für Drosselkom VoIP nur genau eine Outbound-NAT-Regel bei mir.

Setup ist wie folgt:

  • FTTH-Modem -> OPNsense (per PPPoE) -> Fritz!Box (als DECT-Basis)
  • Eine einzige Outbound-NAT-Regel mit Static-Port für die Fritz!Box (siehe Screenshot). Andere Regeln brauche ich für VoIP nicht, auch keinen SIP Proxy.

VG
direx

Habe es genauso am laufen - Outbound NAT auf Hybrid und dann eine manuelle Regel für die FritzBox! hinter der OPNsense angelegt und in den VoIP Settings der FritzBox! noch wie hier angepasst:

Quote from: schnipp on October 20, 2020, 12:30:03 pm
  • Firewall optimization: conservative [unterbindet schnellen Timeout offener Verbindungen in Firewall — evtl. funktioniert "normal" auch, kann aber grenzwertig sein]


Habe ich auf "normal" gelassen..
Quote from: schnipp on October 20, 2020, 12:30:03 pm
Setup Fritzbox:
  • Eigene Rufnummern:
    • Registrar: sip.1und1.de
    • STUN: stun.1und1.de
    • Internettelefonie-Anbieter kontaktieren über: IPv4
  • Telefonie -> Eigene Rufnummern -> Anschlusseinstellungen -> Telefonieverbindung
    • Portweiterleitung des Internet-Routers für Telefonie aktiv halten: aktiviert (*)
    • Portweiterleitung aktiv halten alle: 30 sek. (*)
[/list]

(*) = wichtig

Habe ich erstmal so übernommen...


Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: ccna_student on May 19, 2021, 11:19:02 pm
Hallo Leute,

vielen Dank für die Anleitung und die IP-Adressliste. Dadurch war ich innerhalb kürzester Zeit mit meiner Basis N510 erreichbar. Das Setup läuft jetzt seit 2 Monaten, aber seit ein paar Wochen beschweren sich meine Anrufer, dass meine Nummer ab und an als "nicht erreichbar" gemeldet wird. Bei Wiederwahl gehts dann meist.

Heute hab ich mir (endlich) die Zeit genommen und hab in die Firewall-Logs geschaut und dabei ist mir eine IP mit 239 Blocks aufgefallen, die 212.227.124.8, die gehört natürlich auch zu 1&1. Hab die jetzt mit in die Liste gepackt und hoffe, dass die Beschwerden aufhören.

Gibt es von 1&1 eigentlich Auskunft oder eine Liste, welche Server in use sind bzw. wenn die selbst etwas ändern?

Viele Grüße!
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: Wired Life on November 27, 2021, 02:49:51 am
Hey, hat hier noch jemand seit ein paar Wochen Probleme mit 1und1?
An den Settings wurde nichts geändert, trotzdem gehen einige Anrufe (vor allem vom Festnetz aus) nicht rein.

Edit:
So, Problem gefunden.
Für alle die Probleme mit nicht eingehenden Anrufen haben:
Entweder hat es 1und1 geändert oder ein Fritzbox Update, und zwar...
1und1 nutzt (jetzt?) wohl 2 unterschiedliche SIP Server unter sip.1und1.de,
212.227.124.129 und 212.227.124.130.
Das Problem besteht darin, dass die Fritzbox nur zu einem der beiden eine Verbindung aufbaut und somit auch nur ein State für die Rückverbindung besteht.
Wenn jetzt die Fritzbox mit 212.227.124.129 verbunden ist, aber der Anruf von 212.227.124.130 rein kommt,
verwirft die Firewall der OPNsense logischerweise den INVITE, da ja kein State offen ist.
Meine Lösung: NAT Portforwarding
Interface: WAN
Protocol: UDP
Source: die beiden SIP Server IP's
Source port range: from SIP to SIP
Destination: WAN address
Destination port range: from any to any
Redirect target IP: IP Fritzbox
Redirect target port: SIP

Falls jemand eine elegantere Lösung hat, lasst es mich wissen.
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: schnipp on December 05, 2021, 10:37:53 am
Hi,

Quote from: Wired Life on November 27, 2021, 02:49:51 am
Hey, hat hier noch jemand seit ein paar Wochen Probleme mit 1und1?

[…]
Falls jemand eine elegantere Lösung hat, lasst es mich wissen.

ja, ich wurde gestern darauf aufmerksam gemacht, dass ich über das Festnetz (1&1) nur noch sporadisch erreichbar bin. Meine Untersuchung deckt sich genau mit Deiner Schilderung. 1&1 scheint entweder einen weiteren Server hinzugefügt oder an seinem Loadbalancer geschraubt zu haben. Zumindest scheinen eingehende SIP-Pakete (UDP) gelegentlich von der alternativen IPv4-Adresse zu kommen, wofür kein Eintrag in der State-Table von Firewall und NAT enthalten ist.

Folglich muss auch ich wieder eingehende Verbindungen zur Fritzbox zulassen. Das Dilemma ist eigentlich, eine restriktive funktionierende Konfiguration zu erstellen, welche auch gegenüber Änderungen des Telefonieanbieters robust ist. Kleine Anmerkung, Du kannst die "Destination Port Range" fest auf "SIP" einstellen.

Das größere Risiko aus Sicht der Verfügbarkeit ist, ob man sich darauf verlassen kann, dass der Quellport bei 5060 bleibt. Der SIP-Quellport muss eigentlich den Vorgaben des SRV-Records im DNS für SIP entsprechen. Dies lässt sich in der Opnsense mit einem Firewallalias leider nicht automatisieren.

Weiterleitungen müssen eigentlich für folgende Endpunkte (IP-Adressen und Ports) des Telefonieanbieters eingerichtet werden.

Code: [Select]
$ dig _sip._udp.sip.1und1.de SRV

[…]
;; ANSWER SECTION:
_sip._udp.sip.1und1.de. 86400 IN SRV 0 0 5060 1und1-2.sip.1und1.de.
_sip._udp.sip.1und1.de. 86400 IN SRV 0 0 5060 1und1-1.sip.1und1.de.
[…]

=================
$ dig 1und1-1.sip.1und1.de

[…]
;; ANSWER SECTION:
1und1-1.sip.1und1.de. 6903 IN A 212.227.124.130
1und1-1.sip.1und1.de. 6903 IN A 212.227.124.129
[…]

=================
$ dig 1und1-2.sip.1und1.de

[…]
;; ANSWER SECTION:
1und1-2.sip.1und1.de. 6889 IN A 212.227.124.129
1und1-2.sip.1und1.de. 6889 IN A 212.227.124.130
[…]

Sprich die von Dir genannten IP-Adressen sind korrekt, inkl. des Ports 5060. Analog müsste man auch noch das TCP-Pendant einrichten, wird aber von 1&1 derzeit nicht unterstützt.
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: 3x3cut0r on December 12, 2022, 10:30:39 pm
Hi, diese Anleitung funktioniert bei mir gut.
Leider kann ich bei manchen ausgehenden Telefonaten den Gegenüber nicht hören. Ein erneuter Anruf behebt das Problem.
Woran kann das liegen?

Gibt es generell Updates hierzu?

Danke
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: schnipp on December 13, 2022, 09:29:42 pm
Tritt das Problem nur bei ausgehenden Gesprächen auf?
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: 3x3cut0r on December 15, 2022, 09:48:20 pm
Ich habe es jetzt mehrmals von außen probiert, mit unterschiedlichen Handys und das hat bisher immer geklappt.
Scheint nur ausgehende Gespräche zu betreffen.
Habe auch die Logs angeschaut und kann keine blocks feststellen.
Ein Anruf der geht und einer wo ich nichts höre sehen für mich in der Firewall identisch aus.
Könnte es sein das irgendwelche Logs (blocks) nicht angezeigt werden?
Oder ist es ein anderes Problem?
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: schnipp on December 16, 2022, 06:19:48 pm
Eventuell liegt es daran, dass sich aufgrund von NAT der Quellport ändert. Über Details kann ein Paketmitschnitt Aufschluss geben. Ich empfehle, für SIP/RTP/RCTP die Option „Static Port“ zu aktivieren (Firewall -> NAT -> Outbound).

Ansonsten schreibe hier bitte mal das gesamte Voip-Regelwerk für die Fritzbox hinter der Opnsense rein (Firewall-Regeln, Outbound NAT, Portweiterleitung).
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: 3x3cut0r on December 19, 2022, 09:51:39 pm
Ich habe es mal in meinem github dokumentiert, wie ich es eingestellt habe:
https://github.com/3x3cut0r/proxmox/blob/main/OPNSENSE.md#voip

Hier aber auch nochmal die Screenshots incl. Paketmitschnitt von 2 Anrufen:
https://drive.google.com/drive/folders/1uQk798frMUf-Coy74nUVfK4J3k7UARF7?usp=sharing (https://drive.google.com/drive/folders/1uQk798frMUf-Coy74nUVfK4J3k7UARF7?usp=sharing)

Was mir noch aufgefallen ist:
Anrufe, bei denen ich den Gegenüber nicht höre, werden immer nach exakt 20 Sekunden automatisch beendet.
Weis nicht ob das noch irgendwie hilft.

Danke für jegliche Art von Idee.
Title: Re: Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense
Post by: schnipp on December 21, 2022, 10:19:04 pm
Dein Setup enthält ziemlich viele Regeln, meines habe ich etwas einfacher gehalten:


Ich sehe anhand der Regelbeschreibung, dass Du den Siproxd einsetzt. Benötigst Du diesen wirklich (bei einem SIP-Gerät nicht zwingend erforderlich)?