VoIP mit Telekom und Zyxel Speedlink 5501 als Telefonanlage hinter der OPNSense

[Editor]

Hallo liebes Forum,

zurzeit ist die Konfig so:
I-Net --> Zyxel Speedlink 5501
--> LAN-Port(s) (Speedlink) --> Switch/LAN
--> Analoge Ports (Speedlink) --> analoge Telefone

Nun möchte ich den Speedlink in den Bridge-Modus schalten und die OPNSense dahinterklemmen. Das sähe dann so aus:
I-Net --> WAN-Port: Zyxel Speedlink 5501 --> WAN-Port: OPNSense (PPPoE-Passthrough)
--> LAN-Port 1 (OPNSense): Switch/LAN
--> LAN-Port 2 (OPNSense): ZWEITER Speedlink 5501 als Anschluss für die analogen Telefone (bzw. als VoIP-Telefonanlage) in ggf. zweitem Subnetz/VLAN

Wichtig wäre mir jetzt an dieser Stelle:
1. wie sähen die Firewall-Regeln (Protokolle, Ports, incoming/outgoing) aus, wenn ich den zweiten Speedlink
o h n e Proxy/sipproxd für den VoIP-Verkehr konfigurieren würde? Natürlich vorausgesetzt, dass ich auf ein Default ALLOW ALL verzichte ;-) Möchte nur das erlauben (auch auf dem LAN-Interface), was wirklich sein muss.
2. Wie müsste ich den zweiten Speedlink konfigurieren, wenn ich den Proxy/sipproxd n u t z e n würde? Welche Regeln müsste ich dann noch händisch im OPNSense eintragen? Die nötigen NAT-Regeln erstellt er dann ja automatisch, richtig? Was müsste ich im Proxy/sipproxd für den Verbindungsaufbau, etc. einstellen? Eigentlich möchte ich diesen zweiten Ansatz vermeiden, aber ich lasse mich von euch auch gern eines besseren belehren ;-)

Denn: ich kenne mich bisher weder mit VoIP (SIP/RDP) noch mit dem sipproxd usw. aus, da bisher immer alles automatisiert durch den Speedlink an vorderster Front vorgenommen wurde. Das geht aber nicht mehr, wenn ich den vorderen Speedlink in den Bridge-Modus versetze. Das muss aber, wenn ich doppeltes NAT oder statische Routen vermeiden möchte.

Ich kann aufgrund meiner fehlenden VoIP-Kenntnisse auch nur schwer einschätzen, welche Dienste und Protokolle dafür wirklich verwendet werden und ob die Ports variieren, je nachdem welchen Anbieter man nutzt oder vielleicht sogar welchen Tarif man nutzt. Wir haben einen Telekom Magenta M All-Net-Tarif.

Ich finde im Internet oder auch hier im Forum keinen Ansatz, der einen zweiten Speedlink verwendet, sondern meist eine Fritzbox und auch die Fragen dazu (in den Threads mit der Fritzbox) sind dann meist sehr speziell und setzen schon etwas mehr Kenntnisse zum Thema "VoIP" voraus. Daher diese neue Anfrage, in der Hoffnung jemand kann mich ein wenig "an die Hand nehmen" wie ich das konfigurieren muss, wenn die analogen Telefone auch h i n t e r der OPNSense weiterhin funktionieren sollen. Vielen Dank im voraus!! :)

LG Editor

[Editor]

Keiner eine Idee? Habe ich zuwenig Infos gegeben? Oder falsches Unterforum? Kann mir vielleicht jemand zumindest Infos zu den auf der OPNSense freizuschaltenden VoIP-Ports geben (bei dem genannten Telekom-Tarif)?

[Editor]

Auch auf die Gefahr, mich hier mit mir selbst zu unterhalten... Wenn man schreibt, wird einem ja manchmal einiges klarer ;-)

Ich habe mir hier aus dem Forum die Bilderanleitung zur Einrichtung des siproxd gezogen https://www.dropbox.com/sh/o5px7n1aww42tl6/AAA2rdF4Gul6NEc8dZmLQDhia?dl=0und auch den Link zu den Telekom-VoIP-Einstellungen https://www.telekom.de/hilfe/festnetz-internet-tv/ip-basierter-anschluss/einstellungen-fuer-die-ip-telefonie-mit-anderen-clients (beides am Anfang des VoIP & siproxd-Threads). Habe mir dann den sipproxd installiert und die Einstellungen laut Bilderstrecke angepasst.

Bei den Bildern/Einstellungen zum NAT/Portforwarding sind mir aber allerdings erste Zweifel gekommen. Eigentlich möchte ich kein Portforwarding von außen in mein LAN.

Ich habe auch keine Einstellungsmöglichkeiten im siproxd gefunden, wo ich meine Verbindungdaten der Telekom eintragen könnte? Ich lege lediglich diese outgoing-domain "tel.t-online.de" an?! Ist das so richtig? Ich dachte, der Proxy baut die Verbindung für mich auf und leitet dann nur an die Endgeräte weiter?! Muss ich die Verbindungsdaten (Telefonummer, Email-Adresse, Passwort, etc.) tatsächlich im zweiten/hinteren Speedlink (also der Telefonanlage) anlegen? Ich dachte ich lege dort nur die OPNSense/siproxd als Proxy an und gut ist?!

Wo ist denn eigentlich der Vorteil, wenn ich den siproxd nehme? "Nur" die dedizierte RTP-Portrange (7070-7079) für die einfachere Konfiguration der Firewall-Regeln oder? Was ja auch schon mal was wäre, zugegeben! :) Was wäre denn sonst noch der Benefit des siproxd?

Wenn ich das ohne den siproxd konfiguriere (also einfach ein outgoing NAT von 2. Speedlink zur WAN-Schnittstelle, dann würde ich ohne Portforwarding nach innen auskommen, richtig? Hat das irgendeiner auch ohne sidproxd gelöst?

Und wenn nicht (also doch mit siproxd), geht nach nicht auch ohne Portforwarding nach innen und vor allem: welche Eingaben muss ich im speedlink 5501/PBX eintragen, die ich im siproxd nicht machen kann? Bitte erbarmt sich einer meiner verwirrten Seele? ;-)))

[kruemelmonster]

...
Bei den Bildern/Einstellungen zum NAT/Portforwarding sind mir aber allerdings erste Zweifel gekommen. Eigentlich möchte ich kein Portforwarding von außen in mein LAN.
...

Warum richtest du dir keine DMZ ein? Dann hast du keinerlei offene Ports bzw. Forwarings vonn außen in dein LAN. Nur in die DMZ und dort hänt nur der Router für VOIP. Die DMZ hat dann ohnehin einen eigenen IP-Bereich und ist mit einer einfachen Regel von jedem anderen Netz aus zu sperren.
Sobald du am LAN mehr als ein Gerät anschließen willst, brauchst du ohnenhin einen Switch.

Gruß Krümelmonster

[Editor]

Danke für Deine Antwort, Krümelmonster!

Ehrlich gesagt, bin ich kurz davor, das zu machen, da ich fast nirgendwo einigermaßen vollständige Information zu meinen Szenario mit PPPoE-Passthrough, OPNSense und Speedlink 5501 als VOIP-Verteiler finde. Ich hatte das Szenario bevorzugt, da doppeltes NAT immer Performance frisst. Aber auch mit einer DMZ und doppeltem NAT komme ich ohne Portforwarding nicht aus, wenn ich bspw. zu Wartungszwecken von draußen ins LAN will (Anydesk, Teamviewer oder Ähnliches), da ja dann nur die LAN-Adresse der OPNSense bekannt ist und nicht die maskierten Adressen der einzelnen Rechner, Server, etc. Die Alternative mit statischen Routen statt NAT finde ich auch nicht wirklich elegant und birgt wiederum Fehlerpotenzial. Daher finde ich aus das gewünschte Szenario mit PPPoE-Passthrough aus Gründen der Performance und Übersichtlichkeit/Wartbarkeit eigentlich besser.

Die DMZ-Variante hat aber natürlich den Charme, dass ich an der Telefonie praktisch nix rumdoktorn muss, sondern alles so lassen könnte wie es ist.

Gruß Edi

[kruemelmonster]

Die DMZ-Variante hat aber natürlich den Charme, dass ich an der Telefonie praktisch nix rumdoktorn muss, sondern alles so lassen könnte wie es ist.

Gruß Edi

Ganz ohne "rumdoktern" wird es wohl mit VOIP in der DMZ auch nix werden. Da liegt auch NAT drauf und du musst für den Provider die Portfreigaben mittels Forwarding auf die VIOP-Box entsprechend umleiten. Dazu findest du aber im Forum was. Abgesehen davon stellen die Provider eigentlich die notwendigen Ports etc. für VOIP ins Netz.

Ich habe nur ausgehendes NAT für meine FritzBox (in der DMZ für VOIP) und die Portforwardings für eingehendes SIP einrichten brauchen. Das war alles. Ging eigentlich recht fix, nachdem die Hütte einmal lief (hatte auf Grund älterer Konfigurationsänderungen ein falsches Standardgateway in der DMZ).

Ich habe mir das in Etappen eingerichtet. Erst mal die OpnSense umgestellt auf pppoe und dann jeweils immer Konfig sichern und ggf. auf alten Stand zurücksetzen und am nächsten Tage wieder auf Modem umklemmen und weiter bis es alles geht. Dann klemmst du zwar notfalls mehrfach um, hast aber keine elend langen Ausfälle bei VOIP.

Gruß Krümelmonster

[Editor]

Ganz ohne "rumdoktern" wird es wohl mit VOIP in der DMZ auch nix werden. Da liegt auch NAT drauf und du musst für den Provider die Portfreigaben mittels Forwarding auf die VIOP-Box entsprechend umleiten.

Ich habe mittlerweile in einem anderen Forum gelesen, dass es ohne Portforwarding gehen soll, wenn Du bei ausgehendem NAT eine manuelle Regel mit einer statischen IP-Adresse der VoIP-Box anlegst.

Abgesehen davon stellen die Provider eigentlich die notwendigen Ports etc. für VOIP ins Netz.

So richtig kann ich das bei der Telekom leider nicht finden. Es ist scheinbar 5060 für STP und für RTP habe ich lediglich eine Portrange von 10000 bis 19000 UDP (lt. Handbuch des Speedlink) gefunden?! Bei Letzterem hoffe ich, dass es nicht stimmt. Ich will nicht wirklich tausende von Ports freigeben für den Zugriff auf die VoIP-Box.

Ich habe nur ausgehendes NAT für meine FritzBox (in der DMZ für VOIP) und die Portforwardings für eingehendes SIP einrichten brauchen. Das war alles.

Das wäre okay. Ich bin gespannt. Werde am kommenden Wochenende loslegen.

Ich habe mir das in Etappen eingerichtet. Erst mal die OpnSense umgestellt auf pppoe und dann jeweils immer Konfig sichern und ggf. auf alten Stand zurücksetzen

Guter Tipp! :)

Gruß Edi

[kruemelmonster]

Ganz ohne "rumdoktern" wird es wohl mit VOIP in der DMZ auch nix werden. Da liegt auch NAT drauf und du musst für den Provider die Portfreigaben mittels Forwarding auf die VIOP-Box entsprechend umleiten.

Ich habe mittlerweile in einem anderen Forum gelesen, dass es ohne Portforwarding gehen soll, wenn Du bei ausgehendem NAT eine manuelle Regel mit einer statischen IP-Adresse der VoIP-Box anlegst.

Da habe ich mich vielleicht etwas missverständlich ausgedrückt. Portforwarding brauchst du zwangsläufig eingehend, damit die Ports auf dein VOIP-Zyxel weitergeleitet werden. Verpasse dem Gerät in der DMZ eine feste Adresse (am besten dhcp dort gar nicht aktivieren). Dann kannst du für das VOIP-Zyxel einen Alias anlegen. Und für meine alte Fritte habe ich genau so eine statische NAT-Regel angelegt

Abgesehen davon stellen die Provider eigentlich die notwendigen Ports etc. für VOIP ins Netz.

So richtig kann ich das bei der Telekom leider nicht finden. Es ist scheinbar 5060 für STP und für RTP habe ich lediglich eine Portrange von 10000 bis 19000 UDP (lt. Handbuch des Speedlink) gefunden?! Bei Letzterem hoffe ich, dass es nicht stimmt. Ich will nicht wirklich tausende von Ports freigeben für den Zugriff auf die VoIP-Box.

Da kann ich dir nicht wirklich helfen. Bei easybell ist das sehr gut dokumentiert. Da konnte ich bei mir auch verschlüsseltes VOIP anstandslos einrichten. Außerdem haben die nur einen einzigen SIP-Server. Den habe ich nach einen Tipp von JeGr ebenfalls als Alias eingerichtet (Laut JeGr ermittelt  die OpnSense dann selbständig die IP-Adresse - beim mir tut sie es auch absolut anstandslos.) und die Ports nur von dieser Domain aus erreichbar gemacht. Vermutlich geht das auch bei der Telekom. Da wirst du einfach probieren müssen. Ich kann mir nicht vorstellen, das die alle Nase lang die DNS-Namen der SIP-Server ändern.

....
wenn ich bspw. zu Wartungszwecken von draußen ins LAN will (Anydesk, Teamviewer oder Ähnliches)
...

Bisher habe ich nur mit dem TeamViewer gearbeitet. Dafür brauchte ich noch nie irgendwelche Ports auf irgendeiner Firewall öffnen. Der TeamViewer baut offensichtlich immer eine ausgehende Verbindung auf. Nix mit eingehendem Datenverkehr. Ausgehend dürfte ssl sein, also per se ohnehin offen. Abgesehen davon habe ich da hinsichtlich Datenschutz Bauchschmerzen. Die Sitzungen vom "Geholfenen" UND vom Helfer "treffen" sich mittels der ID's auf einem System bei Teamviewer...
Die andere Software kann ich nicht beurteilen.

Gruß Krümelmonster

[JeGr]

> Laut JeGr ermittelt  die OpnSense dann selbständig die IP-Adresse - beim mir tut sie es auch absolut anstandslos.

Jup tut sie. -> https://wiki.opnsense.org/manual/aliases.html#hosts
--> "When using a fully qualified domain name, the name will be resolved periodically (default is each 300 seconds)."

Wird also im Normalfall alle 5min neu aufgelöst. Ist nur wenig hilfreich wenn die IP auf nem CDN ausgelagert ist und dieses immer wieder andere IPs rückliefert, bei VoIP Gegenstellen aber seltenst der Fall daher kann man das da durchaus machen. Schöner ist natürlich wenn Hersteller/Provider ihren Kram ordentlich dokumentieren, dann weiß man genau, welche IP / IPranges man öffnen muss, kann diese in ein Alias packen und hat dann ggf. nur eingehende WAN Regeln oder Forwardings vom VoIP Anbieter Netz aus und muss das nicht für die Welt aufmachen (BAD idea!)
BTW: schön dass es dir geholfen hat @Krümi

> Die Sitzungen vom "Geholfenen" UND vom Helfer "treffen" sich mittels der ID's auf einem System bei Teamviewer...
> Die andere Software kann ich nicht beurteilen.

Kann ich first hand bestätigen von anderer Software die es leider nun nicht mehr gibt, da sie in einem US Konkurrenten aufging. Der Conn-Server war da für die Verbindung zuständig um Clients und Server zu vermitteln. Jedes Tool das über FWLs laufen möchte, baut sich hier oft sein eigenes "Hole-Punching". Wenn der Service Provider ein Guter ist, läuft dann nur der initiale Aufbau (wenn's geht) darüber und danach gibt er die Verbindung ab, oder er vermittelt den Traffic verschlüsselt. Wenn's kein guter ist - tjoa. Man in the Middle. :)

Cheers