1
German - Deutsch / Chaos 1und1 VoIP mit TK-Anlage hinter OPNsense
« on: November 26, 2019, 03:52:01 pm »
Moin ins Forum,
irgendwie bin ich überfordert mit einem Thema, das hier schon oftmals behandelt wurde und habe dazu auch schon gefühlt ein paar Kilometer gelesen, aber irgendwie macht´s nicht klick…
Es geht um VoIP hinter der OPNsense, allerdings nicht mit dem oftmals behandelten Szenario, dass eine FritzBox VoIP macht, sondern ich habe eine TK-Anlage von TipTel, die auch VoIP können soll (Tiptel Com.Pact 42 IP). Der Aufbau ist: Zyxel-Modem VMG1312-B30A <-> OPNsense PPPoE <-> Tiptel-TK-Anlage. Für die TK-Anlage und die Telefone habe ich ein eigenes VLAN, also nicht das Standard-LAN, wo die Rechner usw. hängen. Ich bin bei 1und1. Intern sind Telefone an die TK-Anlage per SIP angebunden, die laufen vernünftig.
Ich habe irgendwie schon alles Mögliche an Firewall-Regeln durchprobiert, außerdem Dinge wie NAT Ausgehend und Portweiterleitung hinter mir, bin aber mittlerweile einfach verunsichert, weil sich manches in den Foreneinträgen aus meiner Sicht auch widerspricht oder verschieden gelöst ist. In der Anlage könnte ich grundsätzlich einen STUN-Server angeben, aber insgesamt schwirren mir immer mehr Fragen im Kopf herum:
1. Brauche ich einen STUN-Server, wenn ich Nat Outbound nutze?
2. Benötige ich die Weiterleitung von extern 5060 auf die Telefonanlage?
3. Ist es richtig, dass alles zu dem Thema UDP ist oder sollte ich doch sicherheitshalber auch TCP zusätzlich freigeben?
4. Bei ausgehend NAT habe ich auf manuell gestellt und 2 Regeln, die vorher automatisch angelegt worden waren, siehe Bild. Brauche ich die 2 Regeln oder kann ich einmal blank machen?
5. In der TK-Anlage kann ich RTP-Ports einrichten. Den Standard-Port kann ich angeben und dann ist das eine Range von 32 Ports, wo auch bei steht, dass die weitergeleitet werden müssen. Kann ich den Portbereich frei wählen wegen NAT oder muss der zu 1und1-RTP-Ports passen?
6. Es kommt auf jeden Fall kein Signalling rein, sprich an den Telefonen kommt nichts an, wenn ich von außen reintelefoniere. Wenn ich mit den Telefonen mein Handy anrufe, merkt das Handy das, ich habe aber keine Sprache.
7. Hat jemand einen gesammelten Tip, was alles bei den Firewalleinstellungen zu setzen ist, wie z.B. konservativ bei erweitert, bei Dynamic State Reset oder auch bei der Normalisierung?
8. Meine Hauptfrage ist: Wie trace, verfolge, logge ich am besten, was die Anlage raus und die Firewall rein macht, wenn die Anrufe versucht werden aufzubauen oder auf welche Ports RTP läuft bzw. was scheitert. Unter welche Punkt kann ich das am besten mitschneiden/beobachten oder läuft das besser über die SSH-Konsole.
Ich will keinen nerven, bin nur irgendwie am Verzweifeln und hoffe auf ein paar Hinweise, die mir etwas Licht ins Dunkel geben. Vielen Dank im Voraus!
Gruß, Jan
irgendwie bin ich überfordert mit einem Thema, das hier schon oftmals behandelt wurde und habe dazu auch schon gefühlt ein paar Kilometer gelesen, aber irgendwie macht´s nicht klick…
Es geht um VoIP hinter der OPNsense, allerdings nicht mit dem oftmals behandelten Szenario, dass eine FritzBox VoIP macht, sondern ich habe eine TK-Anlage von TipTel, die auch VoIP können soll (Tiptel Com.Pact 42 IP). Der Aufbau ist: Zyxel-Modem VMG1312-B30A <-> OPNsense PPPoE <-> Tiptel-TK-Anlage. Für die TK-Anlage und die Telefone habe ich ein eigenes VLAN, also nicht das Standard-LAN, wo die Rechner usw. hängen. Ich bin bei 1und1. Intern sind Telefone an die TK-Anlage per SIP angebunden, die laufen vernünftig.
Ich habe irgendwie schon alles Mögliche an Firewall-Regeln durchprobiert, außerdem Dinge wie NAT Ausgehend und Portweiterleitung hinter mir, bin aber mittlerweile einfach verunsichert, weil sich manches in den Foreneinträgen aus meiner Sicht auch widerspricht oder verschieden gelöst ist. In der Anlage könnte ich grundsätzlich einen STUN-Server angeben, aber insgesamt schwirren mir immer mehr Fragen im Kopf herum:
1. Brauche ich einen STUN-Server, wenn ich Nat Outbound nutze?
2. Benötige ich die Weiterleitung von extern 5060 auf die Telefonanlage?
3. Ist es richtig, dass alles zu dem Thema UDP ist oder sollte ich doch sicherheitshalber auch TCP zusätzlich freigeben?
4. Bei ausgehend NAT habe ich auf manuell gestellt und 2 Regeln, die vorher automatisch angelegt worden waren, siehe Bild. Brauche ich die 2 Regeln oder kann ich einmal blank machen?
5. In der TK-Anlage kann ich RTP-Ports einrichten. Den Standard-Port kann ich angeben und dann ist das eine Range von 32 Ports, wo auch bei steht, dass die weitergeleitet werden müssen. Kann ich den Portbereich frei wählen wegen NAT oder muss der zu 1und1-RTP-Ports passen?
6. Es kommt auf jeden Fall kein Signalling rein, sprich an den Telefonen kommt nichts an, wenn ich von außen reintelefoniere. Wenn ich mit den Telefonen mein Handy anrufe, merkt das Handy das, ich habe aber keine Sprache.
7. Hat jemand einen gesammelten Tip, was alles bei den Firewalleinstellungen zu setzen ist, wie z.B. konservativ bei erweitert, bei Dynamic State Reset oder auch bei der Normalisierung?
8. Meine Hauptfrage ist: Wie trace, verfolge, logge ich am besten, was die Anlage raus und die Firewall rein macht, wenn die Anrufe versucht werden aufzubauen oder auf welche Ports RTP läuft bzw. was scheitert. Unter welche Punkt kann ich das am besten mitschneiden/beobachten oder läuft das besser über die SSH-Konsole.
Ich will keinen nerven, bin nur irgendwie am Verzweifeln und hoffe auf ein paar Hinweise, die mir etwas Licht ins Dunkel geben. Vielen Dank im Voraus!
Gruß, Jan