OPNsense Forum
International Forums => German - Deutsch => Topic started by: Kruemel on February 26, 2018, 12:22:18 am
-
Moin,
nachdem ich nun schon zwei Abende rumprobiert, gegoogled und einige graue Haare mehr habe, wende ich mich nun ans Forum in der Hoffnung, dass mir jemand sagen kann, was ich falsch mache.
Meine Konfiguration:
Internet <-> Speedport Hybrid Router (192.168.0.1) <-> opnsense WAN (192.168.0.2) <-> opnsense LAN (192.168.1.1) <-> Fritzbox 7490 Client VoIP (192.168.1.7)
Ich bekomme es einfach nicht hin, dass VoIP stabil läuft. Hauptproblem ist, dass mich die Gegenstelle nicht hören kann. Umgekehrt funktioniert es aber.
Folgende Settings hab ich:
NAT - Outbound; Hybrid Outbound NAT
NAT: WAN udp static
NAT Portforwarding 5070, 5080, 30000:31000, 40000:41000, 5004, 7072, 7070
Firewall Rule UDP outgoing: 5060, 30000:31000, 40000:41000, 3478, 3479
Wenn die opnsense nicht "mitspielt", funktioniert das VoIP auf der Fritzbox hinter dem Speedport Hybrid problemlos.
Würde mich über etwas Hilfe sehr freuen.
Danke und Gruß
Krümel
-
Du könntest auf der OPNsense auch Siproxd installieren.
=> Mit "auch", meine ich das der Speedport Hybrid nämlich bereits eine veränderte Version von Siproxd an Board hat, den man dort allerdings nicht konfigurieren kann.
Damit sollte es dann funktionieren. Installation und Basiskonfiguration kannst du oben im Siproxd Thread lesen. Allerdings brauchst/musst du bei dir dann keinen STUN-Server im Siproxd Plugin eintragen. Das liegt daran das der Speedport Hybrid die Sip Pakete sowiso nochmal beim Kommunikationsaufbau verändert.
-
Hallo,
hatte gleiches Problem.
Bei mir ist es VDSL-Modem --- OPNsense --- Fritzbox 7490.
Habe aber kein Hybrid.
https://forum.opnsense.org/index.php?topic=4712.msg33193#msg33193 (https://forum.opnsense.org/index.php?topic=4712.msg33193#msg33193)
-
Moin,
vielen Dank für die Infos.
Ich hatte gestern auch mal mit den siproxd rumexperimentiert, aber ich war mir nicht sicher, ob ich damit auf dem richtigen Weg bin. Irgendwo hab ich mal gelesen, dass man den gar nicht mehr benutzen muss....
@gmu
Den sticky Post hatte ich auch gelesen, war mir nur unsicher wegen der Ports. In dem beschriebenen Fall gehts ja um 1und1. Aber ich kanns nochmal probieren.
Werde nochmal berichten, vielleicht finde ich heute Abend wieder Zeit zum Testen.
Besten Dank und Gruß
Krümel
-
Hallo,
wie beschrieben - ich habe nur eine Outgoing-NAT-Regel.
Siehe Anhang.
Ich drück Dir die Daumen. Habe auch schon etliche Nächte mit der OPNsense verbracht.
-
Vielen Dank für den Screenshot, sowas hilft mir.
Allerdings hatte ich gestern auch schon probiert, auf manual NAT umzuschalten. Danach funktiionierte das Routing nicht mehr. Ich konnte die IP des Routers im WAN Netz nicht mehr erreichen. Im Moment bin ich im Hybrid Modus unterwegs.
Vielleicht kann mir jemand erklären, warum das auf manuell stehen muss und bei mir dann keine Pakete mehr ins WAN gehen? In den Firewall Logs sah ich übrigens keine block Einträge. Die Connections wurden erlaubt, aber sind eben nicht angekommen..... :o
-
Hallo,
wenn Du auf manuel umstellst wird aufgrund fehlender Regeln kein NAT durchgeführt.
Und deine interne IP-Adresse wie 192.168.1.100 kennt das Internet nicht. Daher kommt auch nichts mehr zurück.
Deswegen sind die anderen NAT-Einträge von meinem Screenshot manuel hinzugefügt worden.
Bsp: 192.168.128.0/24 für mein LAN und 192.168.129.0/24 für meine Kinder sowie die 127.0.0.1 für die OPNsense selbst.
Wichtig ist, dass die erste Regel für die FritzBox tatsächlich auf die IP-Adresse der LAN1 der FritzBox geht, da die das als WAN-Schnittstelle hat. Stimmt die nicht, hörst Du Dein Gegenüber nicht und umgekehrt.
-
Wird heute Abend prompt probiert, danke Dir!
Werde berichten.... 8)
-
Ich werd verrückt, das scheint tatsächlich das Problem gewesen zu sein.
Ich habe nun die NAT Settings vorgenommen wie beschrieben. Was ich noch nicht gemacht habe, sind NAT Forwarding Rules. Sind diese nicht notwendig? Es gibt bisher auch keine gesonderten VoIP Firewall Rules. Muss ich diese dennoch einrichten?
VG
Krümel
-
Ich werd verrückt, das scheint tatsächlich das Problem gewesen zu sein.
Ich habe nun die NAT Settings vorgenommen wie beschrieben. Was ich noch nicht gemacht habe, sind NAT Forwarding Rules. Sind diese nicht notwendig? Es gibt bisher auch keine gesonderten VoIP Firewall Rules. Muss ich diese dennoch einrichten?
VG
Krümel
Normalerweise schon, sonst könnte es passieren das die Gespräche mittendrin abbrechen. Das gleiche gilt dann nicht nur für SIP sondern auch für RTP. Normalweise wird die FritzBox dann im IP Client Modus betrieben, das heißt, es gibt bei der FritzBox in dem sinne kein WAN Interface.
Das mit dem Speedport Hybrid ist auch wegen dem darauf laufenden Siproxd Dienst etwas besonderes, denn so muss im Speedport für Telefonie niemals ein Portforwarding (Source und Destination NAT) eingerichtet werden.
Genauso braucht in der FritzBox kein STUN Server eingetragen zu werden.
Denn die IP Adressen und Ports müssen normalerweise auch in den SIP Paketen umgeschrieben werden. Daher braucht es in der OPNsense dann auch Statische Weiterleitungen, zuerst deshalb damit die Verbindung wirklich offen bleibt. Und es bei eingehenden Verbindungen kein RTP Missmatch gibt.
Endgeräte wie die FritzBox beherrschen zwar NAT Traversal, das es ermöglich auch nur mit einfachem Source NAT umgehen zu können. Das klappt jedoch nur relativ bescheiden. Was der Grund ist weshalb es SIP und RTP Proxyserver gibt.
Du könntest es dir in deinem Setup auch noch einfacher machen, indem du einen Alias für dein WAN Interface erstellst und diesem eine feste IP aus dem Speedport Netz gibst. Und dann ein 1 zu 1 NAT einrichtest. Damit treten dann keine Probleme beim Telefonieren auf, und du brauchst keinen Sipproxy. Für diesen IP Alias am WAN Interface brauchst du dann nur noch die Ports in der Firewall zu öffnen und Fertig.
Gruß
NR
-
Hallo,
bei mir klappt das wunderbar ohne Port forwarding.
Habe auch keine Gesprächsabbrüche.
So lange sich hier nichts Gegenteiliges abzeichnet bleibt das auch so.
Denn ein Port forwarding bedeutet auch, den bösen Jungs im Internet Angriffsfläche zu bieten.
-
Hallo,
bei mir klappt das wunderbar ohne Port forwarding.
Habe auch keine Gesprächsabbrüche.
So lange sich hier nichts Gegenteiliges abzeichnet bleibt das auch so.
Denn ein Port forwarding bedeutet auch, den bösen Jungs im Internet Angriffsfläche zu bieten.
Wenn bei dir da keine Probleme bisher aufgetreten sind ist das doch gut. Aber bei Kruemel mündet das WAN Interface ja ohnehin ins LAN des Speedport Routers, da könnte sowiso bzgl. "böser Jungs" nicht viel passieren. ;)