Messages

Geht auch ohne Interface. Eine outbound-NAT Rule für WAN mit Source = Netz oder IP, die auf das Modem soll und Destination = privates Netz des Modems auf dem LAN Interface. Läuft.

Hört sich gut an, Vielen Dank!

Wenn du auf das Webinterface zugreifen willst, brauchst du dafür eine seperate Schnittstelle, welche auf der selben "igb" liegt wie die PPPoE-Verbindung liegen muss. Außerdem muss du unter "NAT"->"ausgehend" auf hybride Erstellung umschalten und eine Regel dafür anlegen. Achtung: "Blockiere private Netze" musst du auf beiden Schnittstellen deaktivieren.

Hey, ich bin bei meiner Suche gerade auf diesen Eintrag hier gestoßen! Kann mit jemand sagen wie ich diese Schnittstelle für den Modem-Zugriff anlege? Das Menü gibt mit iwie keine Möglichkeit eine weitere Schnittstelle auf demselben physischen Interace anzulegen...

Gruß Edi

[manuelle]

Ganz ohne "rumdoktern" wird es wohl mit VOIP in der DMZ auch nix werden. Da liegt auch NAT drauf und du musst für den Provider die Portfreigaben mittels Forwarding auf die VIOP-Box entsprechend umleiten.

Ich habe mittlerweile in einem anderen Forum gelesen, dass es ohne Portforwarding gehen soll, wenn Du bei ausgehendem NAT eine manuelle Regel mit einer statischen IP-Adresse der VoIP-Box anlegst.

Abgesehen davon stellen die Provider eigentlich die notwendigen Ports etc. für VOIP ins Netz.

So richtig kann ich das bei der Telekom leider nicht finden. Es ist scheinbar 5060 für STP und für RTP habe ich lediglich eine Portrange von 10000 bis 19000 UDP (lt. Handbuch des Speedlink) gefunden?! Bei Letzterem hoffe ich, dass es nicht stimmt. Ich will nicht wirklich tausende von Ports freigeben für den Zugriff auf die VoIP-Box.

Ich habe nur ausgehendes NAT für meine FritzBox (in der DMZ für VOIP) und die Portforwardings für eingehendes SIP einrichten brauchen. Das war alles.

Das wäre okay. Ich bin gespannt. Werde am kommenden Wochenende loslegen.

Ich habe mir das in Etappen eingerichtet. Erst mal die OpnSense umgestellt auf pppoe und dann jeweils immer Konfig sichern und ggf. auf alten Stand zurücksetzen

Guter Tipp! :)

Gruß Edi

Danke für Deine Antwort, Krümelmonster!

Ehrlich gesagt, bin ich kurz davor, das zu machen, da ich fast nirgendwo einigermaßen vollständige Information zu meinen Szenario mit PPPoE-Passthrough, OPNSense und Speedlink 5501 als VOIP-Verteiler finde. Ich hatte das Szenario bevorzugt, da doppeltes NAT immer Performance frisst. Aber auch mit einer DMZ und doppeltem NAT komme ich ohne Portforwarding nicht aus, wenn ich bspw. zu Wartungszwecken von draußen ins LAN will (Anydesk, Teamviewer oder Ähnliches), da ja dann nur die LAN-Adresse der OPNSense bekannt ist und nicht die maskierten Adressen der einzelnen Rechner, Server, etc. Die Alternative mit statischen Routen statt NAT finde ich auch nicht wirklich elegant und birgt wiederum Fehlerpotenzial. Daher finde ich aus das gewünschte Szenario mit PPPoE-Passthrough aus Gründen der Performance und Übersichtlichkeit/Wartbarkeit eigentlich besser.

Die DMZ-Variante hat aber natürlich den Charme, dass ich an der Telefonie praktisch nix rumdoktorn muss, sondern alles so lassen könnte wie es ist.

Gruß Edi

Auch auf die Gefahr, mich hier mit mir selbst zu unterhalten... Wenn man schreibt, wird einem ja manchmal einiges klarer ;-)

Ich habe mir hier aus dem Forum die Bilderanleitung zur Einrichtung des siproxd gezogen https://www.dropbox.com/sh/o5px7n1aww42tl6/AAA2rdF4Gul6NEc8dZmLQDhia?dl=0und auch den Link zu den Telekom-VoIP-Einstellungen https://www.telekom.de/hilfe/festnetz-internet-tv/ip-basierter-anschluss/einstellungen-fuer-die-ip-telefonie-mit-anderen-clients (beides am Anfang des VoIP & siproxd-Threads). Habe mir dann den sipproxd installiert und die Einstellungen laut Bilderstrecke angepasst.

Bei den Bildern/Einstellungen zum NAT/Portforwarding sind mir aber allerdings erste Zweifel gekommen. Eigentlich möchte ich kein Portforwarding von außen in mein LAN.

Ich habe auch keine Einstellungsmöglichkeiten im siproxd gefunden, wo ich meine Verbindungdaten der Telekom eintragen könnte? Ich lege lediglich diese outgoing-domain "tel.t-online.de" an?! Ist das so richtig? Ich dachte, der Proxy baut die Verbindung für mich auf und leitet dann nur an die Endgeräte weiter?! Muss ich die Verbindungsdaten (Telefonummer, Email-Adresse, Passwort, etc.) tatsächlich im zweiten/hinteren Speedlink (also der Telefonanlage) anlegen? Ich dachte ich lege dort nur die OPNSense/siproxd als Proxy an und gut ist?!

Wo ist denn eigentlich der Vorteil, wenn ich den siproxd nehme? "Nur" die dedizierte RTP-Portrange (7070-7079) für die einfachere Konfiguration der Firewall-Regeln oder? Was ja auch schon mal was wäre, zugegeben! :) Was wäre denn sonst noch der Benefit des siproxd?

Wenn ich das ohne den siproxd konfiguriere (also einfach ein outgoing NAT von 2. Speedlink zur WAN-Schnittstelle, dann würde ich ohne Portforwarding nach innen auskommen, richtig? Hat das irgendeiner auch ohne sidproxd gelöst?

Und wenn nicht (also doch mit siproxd), geht nach nicht auch ohne Portforwarding nach innen und vor allem: welche Eingaben muss ich im speedlink 5501/PBX eintragen, die ich im siproxd nicht machen kann? Bitte erbarmt sich einer meiner verwirrten Seele? ;-)))

Keiner eine Idee? Habe ich zuwenig Infos gegeben? Oder falsches Unterforum? Kann mir vielleicht jemand zumindest Infos zu den auf der OPNSense freizuschaltenden VoIP-Ports geben (bei dem genannten Telekom-Tarif)?

Hallo liebes Forum,

zurzeit ist die Konfig so:
I-Net --> Zyxel Speedlink 5501
--> LAN-Port(s) (Speedlink) --> Switch/LAN
--> Analoge Ports (Speedlink) --> analoge Telefone

Nun möchte ich den Speedlink in den Bridge-Modus schalten und die OPNSense dahinterklemmen. Das sähe dann so aus:
I-Net --> WAN-Port: Zyxel Speedlink 5501 --> WAN-Port: OPNSense (PPPoE-Passthrough)
--> LAN-Port 1 (OPNSense): Switch/LAN
--> LAN-Port 2 (OPNSense): ZWEITER Speedlink 5501 als Anschluss für die analogen Telefone (bzw. als VoIP-Telefonanlage) in ggf. zweitem Subnetz/VLAN

Wichtig wäre mir jetzt an dieser Stelle:
1. wie sähen die Firewall-Regeln (Protokolle, Ports, incoming/outgoing) aus, wenn ich den zweiten Speedlink
o h n e Proxy/sipproxd für den VoIP-Verkehr konfigurieren würde? Natürlich vorausgesetzt, dass ich auf ein Default ALLOW ALL verzichte ;-) Möchte nur das erlauben (auch auf dem LAN-Interface), was wirklich sein muss.
2. Wie müsste ich den zweiten Speedlink konfigurieren, wenn ich den Proxy/sipproxd n u t z e n würde? Welche Regeln müsste ich dann noch händisch im OPNSense eintragen? Die nötigen NAT-Regeln erstellt er dann ja automatisch, richtig? Was müsste ich im Proxy/sipproxd für den Verbindungsaufbau, etc. einstellen? Eigentlich möchte ich diesen zweiten Ansatz vermeiden, aber ich lasse mich von euch auch gern eines besseren belehren ;-)

Denn: ich kenne mich bisher weder mit VoIP (SIP/RDP) noch mit dem sipproxd usw. aus, da bisher immer alles automatisiert durch den Speedlink an vorderster Front vorgenommen wurde. Das geht aber nicht mehr, wenn ich den vorderen Speedlink in den Bridge-Modus versetze. Das muss aber, wenn ich doppeltes NAT oder statische Routen vermeiden möchte.

Ich kann aufgrund meiner fehlenden VoIP-Kenntnisse auch nur schwer einschätzen, welche Dienste und Protokolle dafür wirklich verwendet werden und ob die Ports variieren, je nachdem welchen Anbieter man nutzt oder vielleicht sogar welchen Tarif man nutzt. Wir haben einen Telekom Magenta M All-Net-Tarif.

Ich finde im Internet oder auch hier im Forum keinen Ansatz, der einen zweiten Speedlink verwendet, sondern meist eine Fritzbox und auch die Fragen dazu (in den Threads mit der Fritzbox) sind dann meist sehr speziell und setzen schon etwas mehr Kenntnisse zum Thema "VoIP" voraus. Daher diese neue Anfrage, in der Hoffnung jemand kann mich ein wenig "an die Hand nehmen" wie ich das konfigurieren muss, wenn die analogen Telefone auch h i n t e r der OPNSense weiterhin funktionieren sollen. Vielen Dank im voraus!! :)

LG Editor

Oje, ich hab einfach nicht an die NAT-Regeln für jedes Subnetz gedacht *kopfschüttel*

Vielen Dank für Deine schnelle Hilfe!!  :)

Edit: wie kann ich den Thread auf "gelöst" setzen?

Hallo zusammen,
bisher habe ich mich mit der OPNSense ganz gut alleine durchgeschlagen. Habe mir eine eigene Appliance gebaut, drei VLANs und die entsprechenden Rules eingerichtet, den HTTP-Proxy eingerichtet und mich auch schon ein wenig mit dem IDS beschäftigt. Nun komme ich aber leider nicht mehr alleine weiter und hoffe auf eure Hilfe:

ich möchte eins meiner VLANs nicht mehr hinter dem (transparenten) Proxy betreiben, sondern einen direkten Zugriff auf die Internet-Websites ermöglichen. Ich dachte mir, das wäre eigentlich ganz einfach:

1. Unter Weiterleitungsproxy --> Allgemeine Weiterleitungseinstellungen --> Proxy Interface --> das entsprechende VLAN rausgenommen

2. Danach in den Regeln des VLANs die automatisch generierten "redirect to proxy"-Regeln deaktiviert und durch neu erstellte Allow-Regeln (VLAN to ANY) für die Ports 80 und 443 ersetzt

Wenn ich dann aus dem entsprechenden VLAN auf eine Website zugreifen möchte, bekomme ich eine Proxy-Access-Control-Fehlermeldung. Ich wüsste aber nicht, welche Einstellung da einen Zugriff verhindern sollte?!

Habe ich evtl. einen Denkfehler gemacht bzw. warum greift trotz der unter 1. und 2. beschriebenen Maßnahmen noch der Proxy überhaupt ein? Ich habe den Proxy sogar testweise komplett deaktiviert. Allerdings ging dann auch in den anderen VLANs nichts mehr (trotz entsprechenden ALLOW-Regeln).

Danke im Voraus für eure Hinweise!
Gruß Editor