Messages

So, bin wieder an Bord nach dem Wochenende...

Ja, den STUN-Server habe ich eingetragen, das scheint auch zu funktionieren. In der Anlage gibt es einen Punkt, der die festgestellte externe IP anzeigt. Die ist korrekt und prinzipiell sehe ich ja auch in der Live-Ansicht Pakete, die ankommen, wenn ich meine Festnetznummer anrufe, aber irgendwie ist da noch weiterhin der Wurm drin. Was ich die Tage nochmal testen will, ist, dass ich mir einen Mirror-Port auf dem Switch anlege und dann müsste ich ja mit z.B: Wireshark beobachten können, was an der Telefonanalge ankommt, oder? Ich kenne mich -ehrlich gesagt- mit Wireshark nicht aus, aber dann muss ich mich da auch nochmal reindenken...

Danke Dominik für die schnelle Reaktion!

Die Daten bei 1und1 habe ich schon angefragt, bisher aber noch nichts zurückbekommen. Heißt das, dass ich die RTP-Ports vom Provider dann auf die RTP-Ports der Anlage weiterleiten/freischalten muss? Oder habe ich das falsch verstanden?

Gruß, Jan

Die Sache mit den RTP-Ports ist mir noch nicht klar, vielleicht kann mir da nochmal jemand eine Richtugn geben, bitte?

Für das Signalling benötigte ich Port 5060, richtig?

Damit wird nach meinem Verständnis das Gespräch signalisiert/eingeleitet und das läuft dann weiter über RTP, oder? Bei den FritzBox-Anleitungen steht hier immer was von 7097-x, für 1und1 wurde hier von hoch liegenden Ports gesprochen und bei meiner Telefonanlage, die lieder kein logging besitzt, kann ich für einen RTP-Port-Bereich von 30 Ports den Startport frei angeben. Mir stellen sich dazu die folgenden Fragen:
1. Wer gibt die RTP-Ports vor; meine Anlage, der Provider oder noch was anderes?
2. Sind die 7097 -x Ports spezifische Ports der FirtzBoxen?
3. Sollten die RTP-Ports von Provider und TK-Anlage gleich oder unbedingt nicht gleich sein?
4. Reden wir wirklich rein über UDP-Ports oder sollte ich FirewallRules und Weiterleitungen sicherheitshalbe auf UDP/TCP stellen?
5. Bei mir scheitert es immer noch am Signalling, zumindest eingehend. Ich werde meine OPNsense heute Abend nochmal blank machen, weil ich langsam auch nicht mehr durchblicke, wie die Firewall-Einstellungen per Default waren...
6. Bin ich auf dem richtigen Dampfer, dass ich die beiden Haken zum Blocken von Bogon und privaten Netzwen aktiv habe uaf der WAN-Schnittstelle, die sich ja per PPPoE einwählt?

Bin weiterhin für alle Tips sehr dankbar!

Gruß, Jan

Meinst Du im Bereich der Portweiterleitungen? In den Logs sieht es mir ja so aus, als wenn das eine Firwallregel sein müsste, weil ja die Default Dany All greift, aber warum kapiert die Firewall nicht die Regel, dass das erlaubt ist?

Noch ein paar Bilder und die weitere Frage, ob ich IPv6 deaktivieren sollte oder/muss oder was Ihr ratet?

Und noch die letzten Bilder zum vorigen Post...

Danke für die Rückmeldungen!

Also, ich hatte nun schon diverse Phänomene und habe halt auch schon viel rumprobiert, deshalb müsste ich nachher nochmal den aktuellen Stand testen. Fakt ist aber auch im Moment, dass ich von außen nicht rein telefonieren kann. Ich sehe auf der OPNsense, dass da was ankommt und geblockt wird und kann mir das nicht erklären. Das letzte war dann, dass ich von innen zwar nach außen telefonieren kann, aber dann Sprache nicht zu hören ist, aber das muss ich, wie gesagt, nochmal testen.
Ich hänge zum Problem mit den geblockten Paketen mal einige Screenshots an... Mich wundert, dass die Default Deny Rule greift, ob wohl ich aus meiner Sicht extra dafür eine Regel gesetzt habe... Das Geschwärzte ist meine externe/öffentliche IP. Fangen wir vielleicht mal damit an:-)

Gruß, Jan

Gar keiner irgendwie Hinweise? Wenn ich noch was liefern kann/soll, sagt´s mir gerne. Es muss auch nocht einer alles beantworten...

Danke!

Moin ins Forum,

irgendwie bin ich überfordert mit einem Thema, das hier schon oftmals behandelt wurde und habe dazu auch schon gefühlt ein paar Kilometer gelesen, aber irgendwie macht´s nicht klick...

Es geht um VoIP hinter der OPNsense, allerdings nicht mit dem oftmals behandelten Szenario, dass eine FritzBox VoIP macht, sondern ich habe eine TK-Anlage von TipTel, die auch VoIP können soll (Tiptel Com.Pact 42 IP). Der Aufbau ist: Zyxel-Modem VMG1312-B30A <-> OPNsense PPPoE <-> Tiptel-TK-Anlage. Für die TK-Anlage und die Telefone habe ich ein eigenes VLAN, also nicht das Standard-LAN, wo die Rechner usw. hängen. Ich bin bei 1und1. Intern sind Telefone an die TK-Anlage per SIP angebunden, die laufen vernünftig.
Ich habe irgendwie schon alles Mögliche an Firewall-Regeln durchprobiert, außerdem Dinge wie NAT Ausgehend und Portweiterleitung hinter mir, bin aber mittlerweile einfach verunsichert, weil sich manches in den Foreneinträgen aus meiner Sicht auch widerspricht oder verschieden gelöst ist. In der Anlage könnte ich grundsätzlich einen STUN-Server angeben, aber insgesamt schwirren mir immer mehr Fragen im Kopf herum:

1.   Brauche ich einen STUN-Server, wenn ich Nat Outbound nutze?
2.   Benötige ich die Weiterleitung von extern 5060 auf die Telefonanlage?
3.   Ist es richtig, dass alles zu dem Thema UDP ist oder sollte ich doch sicherheitshalber auch TCP zusätzlich freigeben?
4.   Bei ausgehend NAT habe ich auf manuell gestellt und 2 Regeln, die vorher automatisch angelegt worden waren, siehe Bild. Brauche ich die 2 Regeln oder kann ich einmal blank machen?
5.   In der TK-Anlage kann ich RTP-Ports einrichten. Den Standard-Port kann ich angeben und dann ist das eine Range von 32 Ports, wo auch bei steht, dass die weitergeleitet werden müssen. Kann ich den Portbereich frei wählen wegen NAT oder muss der zu 1und1-RTP-Ports passen?
6.   Es kommt auf jeden Fall kein Signalling rein, sprich an den Telefonen kommt nichts an, wenn ich von außen reintelefoniere. Wenn ich mit den Telefonen mein Handy anrufe, merkt das Handy das, ich habe aber keine Sprache.
7.   Hat jemand einen gesammelten Tip, was alles bei den Firewalleinstellungen zu setzen ist, wie z.B. konservativ bei erweitert, bei Dynamic State Reset oder auch bei der Normalisierung?
8.   Meine Hauptfrage ist: Wie trace, verfolge, logge ich am besten, was die Anlage raus und die Firewall rein macht, wenn die Anrufe versucht werden aufzubauen oder auf welche Ports RTP läuft bzw. was scheitert. Unter welche Punkt kann ich das am besten mitschneiden/beobachten oder läuft das besser über die SSH-Konsole.

Ich will keinen nerven, bin nur irgendwie am Verzweifeln und hoffe auf ein paar Hinweise, die mir etwas Licht ins Dunkel geben. Vielen Dank im Voraus!

Gruß, Jan

So, nun habe ich ein paar Neugikeiten:

1. Ich wollte noch die Info zu meinem eingesetzten Gerät liefern: Das ist ein Asus Vivo UN45, bisher bin ich damit sehr zufrieden, vor allem da ich auch in Punkt 2 weiter gekommen bin:

2. Ich bin nun tatsächlich per VDSL-Modem online. Die Beitrag von Andre hat mir geholfen, dass ich erstmal wusste, dass es grundsätzlich geht, PPPoE per VLAN zu nutzen. Ich habe also ein VLAN erstellt und das der WAN-Schnittstelle zugerodnet und die Zugangsdaten eingegeben. Als es dann noch nicht ging, habe ich im Modem noch ein paar Parameter angepasst und vor allem gemerkt, dass ich auch mit meinem 1&1-Zugang einen VLAN-Tag mitgeben muss (Heißt, dass das vermutlich darunter auch eine T-Com-Leitung ist?). Letztlich habe ich für WAN also ein VLAN 7 genommen und den Switchport, auf dem das Modem steckt auf Tagged VLAN7 gestellt, damit hat sich die OPNsense sofort eingewählt.
Ich habe leider noch einen sehr langsamen Upload. Kann das auch noch am Modem liegen? Ist ein Allnet ALL126AS2, ich bekomme aber auch noch ein Zyxel-Modem und werde dann damit mal probieren...

Danke für alle Unterstützung!

Vielen Dank für die Rückmeldungen. Ich war das Wochenende unterwegs und kann deshalb jetzt erst anworten. Da ich nicht zu Hause bin, habe ich auch gerade den Typen meines Asus-Gerätes nicht zur Hand, ist aber nicht das verlinkte, schon etwas älter und hat eine Celeron N3150 CPU mit 4 GB RAM. Hat von der Leistung bisther locker gereicht, von daher wäre eine Lösung damit super.

Deine Lösung, Andre, hört sich ja genau nach dem an, was ich suche, einen managed Switch mit VLANs habe ich und das Modem auch in einem separaten VLAN, aber wie das auf der OPNsense angelegt wird, habe ich noch nicht ganz verstanden, habe aber auch gerade ads Webinterface nciht vor Augen. Ich gucke da nachher mal. D.h. das ist keine "Gebastel" auf der SSH-Konsole, richtig?

Danke für alle Hinweise!

Gruß, Jan

Moin zusammen,
ich bin noch kein Held beim Thema OPNsense und habe deshalb kurz eine Frage, die vermutlich etwas dumm klingt...

Ich habe die OPNsense auf einem ASUS Vivo installiert, der in Sachen Prozessor, RAM usw. völlig ausreicht, aber natürlich nur eine LAN-Schnittstelle hat. Ich habe deshalb alles VLAN-Interfaces eingerichtet, auch für WAN. Die WAN-Schnittstelle der OPNsense hängt hinter einer Fritzbox vom Provider. Das hat auch bisher insgesamt ordentlich funktioniert mit der folgenden Ausnahme:
In meinem LAN habe ich noch eine FritzBox, die eigentlich nur VOIP zu 1und1 macht und dann alles auf eine S0-Schnittstelle durchreicht auf meine alte ISDN-TK-Anlage. Irgndwie habe ich aber seit Wochen immer wieder Probleme mit Telefonaten (keine Sprache, temporär keine Erreichbarkeit...).
Im ersten habe ich gedacht, dass ich dann den Schritt gehe, endlich mal meine ältere Tiptel-PBX in Betrieb zu nehmen, um alles auf IP zu haben und damit die Fritzbox abzulösen. Aber auch damit habe ich nun schon viele Stunden und Anleitungen verbraucht, ohne dass das zufriedenstellend läuft.
Deshalb wäre meine nächste Überlegung, um die WAN-Richtung zu vereinfachen, dass die OPNsense sich möglichst direkt einwählen soll, deshalb endlich zu meiner Frage:

Kann die OPNsense sich selbst über die VLAN-Schnittstelle per PPPoE über ein am Switchport angeschlossenes VDSL-Modem einwählen? Wenn ich auf PPPoE umstelle, sehe ich nämlich auf der SSH-Konsole, dass das VLAn nciht mehr angezeigt wird...

Ich hoffe, dass die nötigen Infos drin sind. Falls das nicht möglich ist, wäre die Frage, ob jemand eine kostengünstige Hardware mit AES-NI und 2 NICs kennt?

Danke!

Gruß, Jan