Messages

Where do you want to use https?

Domain (Frontend) or HTTP Handler (Upstream to Backend)?

Domain (Fronted), the backend has only http.

I need some help with this great plugin. I want to use Caddy, as reverse proxy. I have in my local network, a immich-server running.

If I make the configuration with only http:// everthing works perfect. But i want to use it with https://.

I always get this error in the browser.

Fehlercode: SSL_ERROR_INTERNAL_ERROR_ALERT

das ist jetzt die server.conf von der IPFire.

Wie schon gesagt, ich gebe euch beiden recht. Aber bei IPfire konnte ich nur ein OpenVPN-Server installieren. Somit konnte ich auch nie die Zertifkate aktualisieren, da sonst die Fernwartung nicht mehr funktioniert hätte.

Daher eben jetzt mein Plan. Wieder einen OpenVPN-Server mit der alten konfiguration und einen neuen mit einer neuen Konfiguration, neuen Zertifikaten usw.

Dann hab ich beides, die alten Sachen laufen weiter wie gewohnt und jedes mal, wenn ich irgendwo vor Ort bin, kann ich diese Installation auf den aktuellesten Stand setzen bzw. eben auf den neuen OpenVPN-Server wechseln und erreiche da durch eine höhere Sicherheit.

Eine Frage noch zu den Zertifikaten. Die heißen bei beiden Firewalls anderst. Kann mir hier jemand den "übersetzer" spielen. ;o) Ich hab einen Anhang von der Oberfläche von IPFire. Dort werden Zertifikate, Passwörter usw. bearbeitet. Welches von diesen muss, ich wo genau bei OpnSense System:Trust einfügen?

Das hab ich sowieso vor. Ich hab gesehen, das man bei OpnSense mehrere OpenVPN-Server konfigurieren kann. Somit wäre der Plan, das ich einen neuen Server Konfiguriere bzw. hab ich das sogar schon gemacht. Alle Laptops, Smartphones usw. die ich in der Firma habe, werden sofort auf den neuen Server umgestellt.

Aber ich hab eben einige Installationen bei den Kunden vor Ort laufen, wo ich nicht so einfach umstellen kann. Mein Plan wär jetzt eben, bei OpnSense eine OpenVPN Instanz am laufen zu lassen, mit der diese "alten" Konfigurationen laufen. Jedes mal, wenn ich bei einem Kunden vor Ort bin, stelle ich ihn dann auf die neue Fernwartung um.

Hallo liebe Community

Eine kleine Frage. Bei meiner alten Firewall (Linux IPFire) hatte ich für Fernwartungszwecke usw. einen OpenVPN Server am laufen. Gibt es eine Möglichkeit diese Daten von der IPFire auf meine neue OpnSense zu migrieren, damit die bestehenden Fernwartungen wieder funktionieren?

[12]

Jetzt hab ich es fast geschafft. Eine Fehler hab ich noch. Hier brauch ich aber die Hilfe von einem Siproxd Speziallisten.

Und zwar der Spiroxd macht jetzt brav was er machen muss, d.h. er manipuliert brav die SIP-Packete und ersetzt die lokale-IP-Adresse der Telefonanlage durch die WAN-Adresse meines Internetanschlusses. Soweit so gut. Ich kann jetzt raus und rein telefonieren. alles passt perfekt.

Unter der Regestrierung sehe ich auch die Anmeldungen an dem Siproxd

sip:0557783310@10.95.100.12:5060
sip:0557783310@85.126.101.10
sip:0557783310@siptrunk.upc.at


Das Problem das jetzt noch besteht ist, das wir wollen, das beim raus Telefonieren die Durchwahl des jeweiligen Telefons angehängt ist. Das Problem ist, wenn man mit dieser Durchwahl anruft, blockt der Siproxd Dienst diesen Anruf und lässt ihn nicht durch. Also kurz erklärt, wenn man direkt auf der Rumpfnummer/Hauptnummer anruft läuf alles Perfekt. Sobald man aber mit einer Durchwahl anruft blockt Siproxd diesen ab. Das sieht man auch im Telegrammverkehr.

Die anderen Telefone können sich aber nicht am Siproxd anmelden, da diese ja noch "klassische" Analoge und digitale Telefone sind. Irgendwie muss ich es jetzt noch schaffen, das Siproxd die Durchwahl auch durch lässt.

Die Durchwahl hängt natürlich im Telegrammverkehr drinnen. z.b sip:055778331012@85.126.101.10

Hat jemand eine Idee?

Hier noch die restlichen 3 Screenshots.

Ich bin mittlerweile ganz nach drann. Eine Kleinigkeit fehlt mir noch. Vielleicht kann mir jemand helfen. Ich bin im Moment soweit, das der Siproxd mir einen zusätzlichen VIA-Header rein schreibt und zwar mit der WAN-Adresse. Er lässt aber auch noch die VIA-Zeile mit der LAN-Adresse drinnen. Ob das stört kann ich im Moment noch gar nicht sagen. ABER für meinen SIP-Provider ganz wichtig. Ich hab den Siproxd-Dienst jetzt soweit, das er mir das Contact-Feld mit er WAN-Adresse überschreibt.

1. Teilerfolg. Ich kann jetzt von innen nach aussen telefonieren und es funktiniert alles einwandfrei
2. Teilerfolg. Wenn ich von extern versuche rein zu telefonieren kommt jetzt auch ein Anfrage vom SIP-Provider. So viel ich sehe, schauen auch diese Daten richtig aus.
3. Problem. Bei einem externen Anruf kommt ein Timeout. Das komische an diesem Timout ist, das laut Wireshark teilweiße nicht einmal eine Millisekunde und sonst nur wenige Millisekunden, zwischen der Invite-Anfrage meines Provider und des Timeout von meiner Seite aus kommt.

Im Anhang hab ich mal meine Konfigurationen von Siproxd, vom NAT und von der Firewall. Wäre froh, wenn mir jemand noch einen Input geben könnte.

Ich hab endlich von meinem Provider eine Rückmeldung bekommen. Das Problem ist genau, jenes ich vermutet habe. Im Anhang hab ich ein Screenshot von einem Telegramm gemacht. Das NAT und die Firewall passt alles. Aus irgend einem Grund kann ich bei UPC/Magenta mit einer Agfeo-Telefonanlage den STUN-Server nicht verwenden. Das steht so auf der Agfeo-Homepage unter den Tipps für die Provider. Es funktioniert auch tatsächlich nicht. Die Person an der Agfeo-Hotline konnt mir das auch nicht sagen warum das so ist. Ist auch egal, das bringt mich auch nicht weiter. Das heißt ich muss wie bis jetzt auch ohne STUN-Server arbeiten.

Dort ist jetzt auch das Problem. Meine Agfeo-Telefonanlage kennt ihr WAN-Adresse nicht und trägt darum im Contact-Feld im SIP-Telegramm ihre lokale IP-Adresse ein. Das hat mir auch Magenta am Telefon so bestätigt.
Genau hier kommt das SIP-ALG von meiner alten Linux-Firewall zu tragen. Diese hat dieses Contact-Feld überarbeitet und dort die WAN-Adresse eingetragen. Somit hat sich dann die Telefonanlage richtig bei Magenta angemeldet.

Beim Screenshot sieht man genau beim Teil Internet Protocol Version 4, das meine extreme IP-Adresse eingetragen ist und die richtige Ziel-Adresse von meinem SIP-Provider. Auch die Ports sind richtig, somit ist meiner Meinung nach beim NAT alles richtig eingestellt. Nur im Session Initiation Protocoll (180) unter Message Header Contact, sieht man das die lokale IP-Adresse eingetragen ist.

So Jetzt muss ich es schaffen das mir Siproxd ebenfalls in diesem Feld die lokale IP-Adresse der Telefonanlage überschreibt. Genau so wie das die Linux-Firewall mit dieser Funktion ALG-SIP gemacht hat. Kann mir hier jemand helfen oder Tipps geben wie ich das schaffe?

Aktuell ist es so, das ich im System nur ein VOIP Telefon habe. Der Rest sind teilweiße noch analoge oder digitale Telefone. Aber ja mit dem einen VOIP Telefon kann ich Firmenintern ganz normal Telefonieren. Die gesamte Anlage funktioniert intern ganz normal. Eben nur die Verbindung mit dem SIP Trunk Provider funktioniert nicht richtig.

Irgendwie komm ich hier nicht weiter. Ich hab das ganze noch einmal angeschaut. Ich hab auch mal ein paar Screenshots von der alten Firewall und der neuen Firewall gemacht. Die Regeln sind meiner Meinung nach 1:1 übertragen worden. Das einzige ist dieses ALG-SIP. Das kann ich bei Opnsense nicht anwählen.

Ich hab heute auch noch ein paar Tests mit der alten Firewall gemacht. Dort verhält sich die Telefonanlage genau gleich wie bei Opnsens wenn dieses ALG-SIP deaktiviert ist.

Ich denke ich muss diese Funktion von dieser Option SIP-ALG von Ipfire mit Siproxd nach bilden. Leider weiß ich nicht im Ansatz wie.  :( Kann mir hier jemand helfen?

Kann ich. Aber auf der Agfeo-Seite wird ganz klar gesagt bei UPC Austria bzw. jetzt Magenta darf der STUN-Server nicht verwendet werden.

Interessant ist ja, wenn ich mit dem STUN Server arbeite funktionieren zwar beide Audio-Streams, also hören und sprechen. Aber ich kann nur von innen nach aussen Telefonieren. Wenn ich von aussen nach innen Telefonieren will, funktioniert das nicht.

Wenn ich ohne STUN Server arbeite, kann ich rein und raus telefonieren. Aber ich bekomme keinen Audio-Stream von SIP-Provier   :'(

[10.95.100.12:5060]

Danke für die Inputs.  8)

Das hab ich alles aber schon gemacht. Ich vermute, dass das Problem bei mir folgendes ist.



        Via: SIP/2.0/UDP 10.95.100.12:5060;branch=z9hG4bK-524287-1---08eb37a95287207b;rport

Hier eine Auszug aus dem Telegrammverkehr. Wenn sich meine Telefonanlage mit der Sip-Provider anmeldet ist im Via-Header die Lokale IP-Adresse der Telefonanlage drinnen und nicht die WAN-Adresse. Wenn jetzt natürlich der Provider versucht den RTP-Stream auf diese Adresse zu senden, kann es nicht funktionieren. Die Frage ist, wie kann ich das ändern. Ich bin schon am versuchen, das irgendwie mit Siproxd zu lösen. Hat ihr jemand schon erfahrung?

Interssant ist ja, wenn ich bei der Telefonanlage mit einem STUN-Servera arbeite, dann kann ich von innen nach aussen Telefonieren und alles funktioniert. Nur ich kann nicht rein telefonieren.

Wenn ich bei meiner Telefonanlage mit der Option RPORT anstatt STUN-Server fahre, kann ich zwar rein und raus telefonieren, ABER ich höre eben den einen Kanal nicht.

Das Problem hatte ich bei der IPFire-Firewall auch und dort hab ich es dann mit dem ALG und SIP gelöst. Aber ALG gibt es ja bei OpnSense glaub ich nicht. Zumindest finde ich nichts