OPNsense Forum
International Forums => German - Deutsch => Topic started by: pylox on March 17, 2017, 11:41:22 am
-
Hallo,
ich habe ein ziemlich nerviges Problem mit OPNsense (17.1.3) und meiner VoIP-Anbindung bei 1&1. Das äussert sich so, das ich von aussen nicht/oder nur sporadisch angerufen werden kann. Mein Eindruck ist (kann es leider nicht genau festmachen), das es seit dem Update auf 17.1.x auftritt. Voher gab es nichts zu beanstanden. Der Vollständigkeit halber sei erwähnt, meine OPNSense bucht sich über ein Zyxel-Modem (PPPoE) ins Internet ein - also nix weiter dazwischen.
In den Firewall-Rules (WAN) sieht es dann so aus, das die 1&1-SIP Server (2x /24 Netzwerke) per UDP reindürfen, der Rest geblockt wird und per NAT ein Forwarding auf eine Adresse (Gigaset IP-Telefon) in einem privaten Netzwerk-Segment erfolgt. Wie gesagt vor 17.1.x kein Problem.
Ein Blick in das FireWall-Log macht mich dann entgültig wahnsinnig, denn dort sehe ich, das die eigentlich per Rule erlaubten IP-Adressen der 1&1 SIP-Server (UDP) plötzlich geblockt werden ! Für mich ist leider nicht ersichtlich warum. Um dem Ganzen dann noch einen draufzusetzen - manchmal funktioniert es nach einem Neustart kurzzeitig und dann nicht mehr...
Hat sich seit 17.1.x (bzw. mit FreeBSD 11) am Verhalten der FireWall(PF) etwas grundsätzlich geändert ?
Ich bin völlig ratlos und bitte Euch um Hilfe
Gruß pylox
-
Welche Version hast du vorher genutzt? Bin von 17.1.2 auf 17.1.3 gegangen und habe kein Problem.
Bist du sicher, dass du alle SIP, RTP und STUN Adressen von 1und1 zulässt? Eine aktuelle Liste habe ich im folgenden Post zusammengestellt: https://forum.opnsense.org/index.php?topic=4712.msg18404#msg18404
-
Hi nasq,
danke für Deine Antwort. Ich Komme ursprünglich von der OPNSense 16.7.x, habe also ein Update gemacht - keine Neu-Installation.
Zu Deiner Frage: Der Witz ist ja, das die 1&1-Server, die ich eigentlich per FW-Rule durchlassen will, geblockt werden. Es tauchen im FW-Log nur "Block" - Einträge für eigentlich bekannte Server auf.... Also keine Server, die ich noch freigeben müsste.
Gruß pylox
-
Hi nasq,
aber was mir jetzt aufgefallen ist, nachdem ich Deinen Post gelesen habe: Ich habe die Annahme getroffen, das die 1&1-Server sich in einem /24 - Netzsegment befinden... Das kann natürlich falsch sein ???
Ich werde es daher heute nochmal mit einem entsprechendem Host-Alias (alle 1&1-Server) versuchen.
Gruß pylox
-
Selbst wenn sie sich nicht in einem /24 Block befinden, weiß das die OPNsense ja nicht und es kann ihr auch egal sein.
Letztendlich muss sowas ja auch nur der verantwortliche Router für den Block wissen, um ins richtige Netz zu routen, sowie ein direkt angeschlossener Client um zu wissen, ob die Anfrage ins LAN oder ans Gateway geht.
Wenn du nen komplettes /24 Netz durch die Firewall lässt, gleicht er bei eingehender Verbindung ohnehin nur ab, ob sich besagte IP im definierten Netz befindet. Daher sollte es trotzdem funktionieren. Für deine Firewall ist der 1und1 IP Block eh extern und geht übers Gateway der OPNsense. Die Netzmaske wird ja bei der Kommunikation nicht in IP Paketen gespeichert.
Aber lass mich wissen, ob die Umstellung auf einzelne IPs was nutzt.
-
Hi,
das Problem war in einer anderen Ecke, habe an der falschen Stelle gesucht. Ich konnte als "Schuldigen" das Suricata ausmachen. Nach langem Hin- Her- u. Rumsuchen ;) bin ich dann mal halbwegs systematisch vorgegangen, habe FW-Rules bis auf ein Minimum herunter-gestrippt und zum Schluss nicht lebenswichtige Dienste. Und siehe da, nachdem ich das IPS deaktiviert hatte - voila, da war die Welt wieder in Ordnung.
Die gute Nachricht ist - VoIP läuft seit gestern wieder zuverlässig. Leider weiss ich nun noch nicht, was an/mit dem Suricata nicht gestimmt hat...
Eingestellt hatte ich:
IPS-Modus an
Promiscuous-Modus an
Musterprüfer default
Schnittstellen WANPPPoE1
Hardware-Offloading ist komplett deaktiviert. Und aktiviert hatte ich bisher nur die "abuse.ch"-Listen. Was ich merkwürdig finde, das Suricata nichts erhellendes ins LOG geschrieben hat und auch keine Alarmmeldungen in der GUI angezeigt wurden...