OPNsense im Heimnetzwerk - Problem mit SIP

Started by LehTobi, December 14, 2021, 10:43:32 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
December 14, 2021, 10:43:32 AM
Hallo Zusammen,
liebe Grüße in die Runde,

ich durchstöbere jetzt schon seit gestern Abend das Forum zu meinem Problem, habe viel probiert, aber habe leider noch nichts passendes gefunden. Daher habe ich mich entschlossen mich im Forum anzumelden und selbst einen Beitrag aufzumachen.

Aber nun mal der Reihe nach. Ich habe mich dazu entschlossen, bei mir im Heimnetzwerk eine OPNsense zu integrieren. Die Inbetriebnahme und Grundeinrichtung hat auch wunderbar geklappt. Internetverbindung ist da. Portweiterleitung auf einen Webserver im Netzwerk steht und dieser kann von außen erreicht werde. Ansonsten habe ich erstmal alles beim Standardregelwerk belassen.

Womit ich allerdings ein Problem habe, ist die Nutzung eines SIP-Clients an den Rechnern.
Hier nutze ich MicroSIP. Telefoniegräte für Softphones sind in der Fritzbox eingetragen. Die Verbindung zur Fritzbox (diese ist vor der FW, also WAN-seitig und hat exposed host richtung FW eingestellt) ist grün und steht.
Anrufe initiieren kann ich vom Client, allerdings wird an beide Seiten kein Ton übertragen. Eingehende Anrufe kommen erst gar nicht am SIP-Client an. Das MicroSIP-log hat mir auch nichts aufregendes erzählt.
Auch das Live-Log der FW zeigt mir nichts was mir helfen könnte.


Nochmal kurz zum Aufbau des Netzwerkes:
WAN ---> Fritzbox ----> OPNsense ---> LAN


Die Fritzbox vorne ist nur noch für das Internet (inkl. DynDNS) und die Telefonie zuständig. Alle anderen Dienste habe ich hinter die FW ins LAN geholt (WLAN, DHCP, DNS usw.)

Geht das überhaupt ohne einen SipProxy?

Was ich bisher probiert habe um das Problem zu lösen:

- Route von FritzBox in das LAN-Netz über die OPNsense
- an der OPNsense: blockiere Private Netze an WAN Interface aus (testweise)
- Firewall Regeln am WAN Interface für SIP und Telefonie Ports kommend von der Fritzbox (*siehe Bild im Anhang)


Evtl. hat mir da jemand von Euch ja den ein oder anderen Tip, wie ich das Problem lösen kann.


Ich danke euch schon einmal im Voraus für Eure Hilfe.

Liebe Grüße
Tobi



December 14, 2021, 12:06:10 PM #1
Hallo Zusammen, ich bin es nochmal.

Ich habe etwas weiter getestet und nochmal das Blockieren privater Adressen am WAN-Interface deaktiviert.
Diese Änderung, PLUS das ich die Quell und Ziel Ports vertauscht habe in zwei weiteren WAN Regeln (*siehe Bild im Anhang (alte Regeln deaktiviert) ) sorgt dafür, dass eingehend jetzt die Anrufe auch am Client ankommen und ich den Anrufer sogar höre.
Nur ausgehend funktioniert es noch nicht. Der Anrufer hört mich nicht.
Dabei dachte ich, das Ausgehend durch die Standardregel alles erlaubt und offen ist.

Mein Problem ist jetzt zwar zur hälfte gelöst, aber leider noch nicht ganz.

Wenn mir hierzu evtl jemand einen Tip hätte, würde ich mich sehr freuen.

Liebe Grüße
Tobi
December 14, 2021, 12:33:16 PM #2
... so langsam ist es mir peinlich, dass ich immer erst hier Weine und dann richtig nachdenke bzw. Einfälle habe...

Klar, das Problem ausgehend war das ausgehende NAT.
Dieses deaktiviert und es läuft in sämtliche Richtungen so wie es soll.

Aber dann Trotzdem nochmal die Frage in die Runde. Soll / kann ich das ausgehende NAT deaktiviert lassen?
Habe ich dadurch irgendwelche Nachteile / Risiken?
Oder soll ich doch lieber Hybrid anschalten und eine Regel erstellen?

Evtl kann mir darauf ja jemand von Euch eine beruhigende Antwort geben.

(Was ich definitiv sagen muss, dass korrekte erstellen der Regeln in der OPNsense ist extrem kompliziert, wenn man davor nur mit Sophos UTM zu hatte. Steige hier mit der Reihenfolge der Ports absolut nicht durch, wie man in meinen ersten beiden Screenshots sehen kann.)

Vielen Dank schon mal und liebe Grüße
Tobi

December 14, 2021, 01:47:19 PM #3
Du hast doch eine Fritzbox vor der Sense? Diese macht doch schon NAT. Doppeltes NAT will man in der Regel vermeiden.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
December 14, 2021, 03:35:38 PM #4
Hallo @pmhausen

genau, da hast du recht.
Ich werde es deaktiviert lassen.

Hatte etwas Bedenken, ob die Fritzbox noch NATet wenn die OPNsense als exposed host drin ist. Da habe ich leider im Netz sehr widersprüchliche Aussagen gefunden. Aber an sich sollte sie es weiter tun.

Danke dir für die Antwort.
December 14, 2021, 03:39:46 PM #5
Quote from: LehTobi on December 14, 2021, 03:35:38 PM
Hallo @pmhausen

genau, da hast du recht.
Ich werde es deaktiviert lassen.

Hatte etwas Bedenken, ob die Fritzbox noch NATet wenn die OPNsense als exposed host drin ist. Da habe ich leider im Netz sehr widersprüchliche Aussagen gefunden. Aber an sich sollte sie es weiter tun.

Danke dir für die Antwort.

Eigentlich sollte doppeltes NAT kein Problem machen, außer die Clients machen da halt Mist.

Zum Thema NAT bei der FB. Diese macht auch weiterhin NAT, Exposed Host ist im Endeffekt nur eine weiterleitung aller Ports
(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
December 15, 2021, 08:08:53 AM #6
Hallo zusammen,
guten Morgen @lfirewall1243,

auch dir danke für deine Antwort.
Ich werde es jetzt alles erstmal so belassen und mich freuen das bisher alles funktioniert.

Liebe Grüße
Tobi
Print
Go Up Pages1
User actions