Gelöst: Fritz!Box mit VoIP HINTER OPNsense - VLAN je für Daten und VoIP

[meyergru]

1. Nein. Das FRITZ_LAN kann ein ganz normales Subnetz/VLAN sein. Das VLAN 201 wird ja nicht "durchgetunnelt", sondern ist nur der Träger für eine PPPoE-Verbindung in ein spezielles, nach außen sonst nicht gerouteten 10er Netzes beim Provider. Eine Netztrennung bei Dir wäre technisch nicht notwendig, aber möglich (ich mache es auch so, aber eher, weil die Fritzbox auch noch andere IoT-Geräte steuert, die bei mir alle im IoT-Netz landen). Die Fritte ist ein dummer LAN-Client, die im Wesentlichen nur noch VoIP macht. Wenn Du es anfangs nicht verkomplizieren willst, lasse sie zunächst im LAN!

2. Die Einstellungen der Fritzbox sind ein bisschen unlogisch. Es ist eben nicht "Zugang über LAN", sondern "anderer Internetanbieter". Das sieht dann so aus wie im Anhang. Sie zieht sich eine ganz normale IP für das jeweilige LAN oder IoT-Netz bei Dir. Die OpnSense sollte dann NAT dafür in das Telefonie-Netz des Providers machen. Die Fritzbox selbst macht hier kein NAT! Sämtliches Routing, NAT und Firewalling übernimmt die OpnSense.

Ich würde mal ausprobieren, welche IP hinter "versatel.sip" steht. Du sagst, das Gateway dort ist die 172.16.1.1, welche IP bekommt die OpnSense denn auf pppoe1 zugewiesen? Es kann sein, dass Du noch eine Route auf das 10er Netz von Versatel über das Gateway 172.16.1.1 einrichten musst, damit Du z.B. versatel.sip oder 10.0.0.4 aus Deinen Netzen erreichen kannst - wohlgemerkt: auf der OpnSense!

Eventuell reagieren die 10er IPs nicht auf Ping, man sollte aber feststellen können, ob UDP Port 5060 offen ist.
Ein Traceroute aus Deinem Netzwerk sollte dann über die OpnSense und 172.16.1.1 ins 10er Netz laufen und eben nicht über Dein Internet-Gateway.

[Baender]

Ich würde mal ausprobieren, welche IP hinter "versatel.sip" steht. Du sagst, das Gateway dort ist die 172.16.1.1, welche IP bekommt die OpnSense denn auf pppoe1 zugewiesen? Es kann sein, dass Du noch eine Route auf das 10er Netz von Versatel über das Gateway 172.16.1.1 einrichten musst, damit Du z.B. versatel.sip oder 10.0.0.4 aus Deinen Netzen erreichen kannst - wohlgemerkt: auf der OpnSense!

Für PPPoE1 bekomme ich bspw. die IP 172.16.33.68. Also in einem anderen Subnet. Ich habe mit Wireshark die Kommunikation mal angeschaut und es sieht so aus, als würde die Fritz!Box mit der IP 172.16.33.68 direkt die 10.0.0.4 über Port 5060 kontaktieren.
Ich würde also die Tage mal die OPNsense wieder anklemmen und eine Route bauen. Oder muss ich vorher noch etwas anderes beachten?

[Baender]

Hallo zusammen,

nach einem neuen Anlauf in 2024 habe ich nun auf beiden PPPoE eine IP.

• PPPoE0 (VLAN 101):
  
  • GW: 203.0.113.123
  • IP: 92.206.XX.XX
• PPPoE0 (VLAN 201):
  
  • GW: GW 172.16.XX.XX / SIP-Proxy 10.0.0.4
  • IP: 172.16.17.XX

Aktuell habe ich noch keine NATs oder sonstige Regeln eingestellt. Die FritzBox befindet sich im IP Client Modus und erhält von der OPNSense eine IP. Erwartungsgemäß kann die Fritzbox die Rufnummern nicht registrieren.

Wenn ich mir im Firewall Live View die Verbindungen der Fritzbox nach deren Neustart anschaue, habe ich den Verdacht, dass das Interface falsch ist. Da die meisten Tutorials jedoch nur mit einem WAN arbeiten und eben nicht ein WAN_INT und ein WAN_VoIP haben, weiß ich aktuell nicht weiter. Ich vermute, dass ich den Verkehr umleiten muss, und das er aktuell auf dem WAN_INT landet, weil die Automatik-Regeln dafür verantwortlich sind. Was in diesem Fall falsch ist.

Code: [Select]

Interface Time Source Destination Proto Label
WAN_INT 2024-01-15T21:36:49 92.206.XX.XX:49044 10.0.0.4:5060 udp let out anything from firewall host itself (force gw)
Verwendete Einstellungen des Live View:

Code: [Select]

src=169.254.1.1
dst=169.254.1.1
dst=192.168.1.101
src=192.168.1.101
src=10.0.0.4
dst=10.0.0.4
srcport=5060
dstport=5060


[Patrick M. Hausen]

Interface: LAN
Source: die feste IP deiner Fritzbox
Destination: any
Action: permit
Gateway: der Gateway deines VoIP WAN

Wenn das dann mal so weit funktioniert, dass wenigstens das Signaling/Registrierung klappt, dann in den NAT-Regeln auf dem WAN für VoIP noch eine Regel speziell für die Fritzbox mit "Static Ports: YES" anlegen.

[Baender]

Hallo Patrick,

ich habe unter Firewall > Rules > LAN eine neue Regel angelegt:

• Action: Pass (Ich finde kein Permit)
• Interface: LAN
• Direction: in
• Protocol: any
• Source: 192.168.1.5/32
• Destination: any
• Gateway: WAN_VOIP_PPPOE

Bevor ich jedoch mich an die NAT gewagt habe, schaute ich erst einmal in den Live View. Mir fiel wieder auf, dass meine öffentliche WAN_INT IP eine Anfrage an den SIP-Proxy sendete. Von daher greift bei der Fritzbox die Default NAT der "Datenleitung". Das sieht man auch schon im vorangegangenen Post. Ich habe daher erst einmal eine DO NOT NAT für das WAN_INT Interface, für die Fritzbox IP eingestellt:

• Do not NAT: Check
• Interface: WAN_INT
• Procol: UDP
• Source address: 192.168.1.5/32
• Source port: any

Jetzt geht die Fritzbox immerhin schon mal mit Ihrer IP in Richtung SIP-Proxy. Wenngleich das Interface noch falsch ist.

Code: [Select]

Interface Time Source Destination Proto Label
WAN_INT 2024-01-16T08:11:42 192.168.1.5:5060 10.0.0.4:5060 udp let out anything from firewall host itself
Kann es sein, dass ich bei deiner Regel statt dem Interface LAN, das Interface WAN_INT nehmen muss? Andernfalls greift die Regel doch nie, wenn ich sage, dass auf dem LAN Interface eine 192.168.1.5 bitte den VoIP Gateway benutzen solle?

Wenn ich nach dem DO not NAT jetzt einfach die WAN_VoIP NAT Regel erstelle, ändert sich natürlich die Source IP der Fritzbox nicht. Sie bleibt auf 192.168.1.5 stehen.

[meyergru]

Auch beim NAT kommt es auf die Reihenfolge der Regeln an. Du musst selbstverständlich die speziellere Regel für die Fritzbox vor die Default-Regeln stellen. Außerdem solltest Du NAT entweder auf Manual oder Hybrid Modus stellen, damit keine automatischen Regeln vorgezogen werden.

Kann sein, dass Du noch eine spezielle Route für die Fritzbox über das VoIP-GW brauchst. Das DO NOT NAT hilft m.E. nicht.

[Baender]

Hallo Ihr beiden,

ich habe große Fortschritte gemacht.

Folgende Regeln habe ich erstellt, jedoch sind nicht alle aktiv:

Firewall > Rules > LAN

• Action: Pass)
• Disable this rule: YES
• Interface: LAN
• Direction: in
• Protocol: UDP
• Source: 192.168.1.5/32
• Source port range: SIP_Port (5060:5061)
• Destination: any
• Gateway: WAN_VOIP_PPPOE

Firewall > NAT > Outbound

• Hybrid outbound NAT rule generation
• Interface: WAN_INT
• Protocol: UDP
• Source address: 192.168.1.5/32
• Source port: SIP_Port (5060:5061)
• Destination address: any
• Destination port: any
• Translation / target: WAN_VoIP address
• Log: YES (Log packets that are handled by this rule)
• Static-port: YES

Das Ziel war es ja, dass die Rufnummern wieder registriert sind. Sprich: die grüne Lampe wieder leuchtet.
Patrick, ich hatte dich so verstanden, dass die alleinige Regel unter Rules > LAN schon dafür sorgen würde, dass die Registrierung erfolgen kann. Dem ist nicht so. Vielleicht habe ich dich auch falsch verstanden. Erst die Anlage der NAT-Outbound Regel sorgte dafür, dass die Registrierung wieder erfolgen konnte. Da musste ich auch explizit angeben, dass das Target die WAN_VoIP Adresse sein soll. Das Deaktivieren der LAN Regel bringt auch, was die Registrierung angeht, keine negativen Konsequenzen mit sich. Aktuell frage ich mich daher, was deren Aufgabe ist.

Was mich aktuell etwas irritiert ist der Live View:
1. Wieso wird als Interface WAN_INT angezeigt, wenn gleich der Traffic über das WAN_VoIP verläuft.
2. Liegt das an meinem Haken bei LOG, dass ich zwei Einträge sehe? Wenn ich auf das i drücke beim oberen (let out anything ..) und klicke auf die rid, bringt er mich zu Firewall > Settings > Advanced > "Disable automatic rules which force local services to use the assigned interface gateway.". Das ist wohl gemerkt nicht angehakt.

Code: [Select]

Interface Time Source Destination Proto Label
▷ WAN_INT 2024-01-17T22:01:04 172.16.XXX.XXX:5060 10.0.0.4:5060 udp let out anything from firewall host itself (force gw)
↔ WAN_INT 2024-01-17T22:01:04 192.168.1.5:5060 10.0.0.4:5060 udp nat rule
Natürlich habe ich dann auch gleich das Raustelefonieren ausprobiert. Ich habe mein Handy angerufen. Es klingelte und ich ging ran. Die Verbindung stand, jedoch hörte ich nichts. Was anhand des Live Views natürlich klar war:

Code: [Select]

Interface Time Source Destination Proto Label
🛇 WAN_VoIP 2024-01-17T21:26:59 10.0.0.4:12992 172.16.XXX.XXX:7078 udp Default deny / state violation rule
▷ WAN_INT 2024-01-17T21:26:47 203.23.107.15:57036 10.0.0.4:12993 udp let out anything from firewall host itself (force gw)
🛇 WAN_VoIP 2024-01-17T21:26:35 10.0.0.4:12992 172.16.XXX.XXX:7078 udp Default deny / state violation rule
▷ WAN_INT 2024-01-17T21:26:35 203.23.107.15:57631 10.0.0.4:12992 udp let out anything from firewall host itself (force gw)
🛇 WAN_VoIP 2024-01-17T21:26:35 10.0.0.4:12992 172.16.XXX.XXX:7078 udp Default deny / state violation rule
🛇 WAN_VoIP 2024-01-17T21:26:35 10.0.0.4:12992 172.16.XXX.XXX:7078 udp Default deny / state violation rule
🛇 WAN_VoIP 2024-01-17T21:26:35 10.0.0.4:12992 172.16.XXX.XXX:7078 udp Default deny / state violation rule
🛇 WAN_VoIP 2024-01-17T21:26:35 10.0.0.4:12992 172.16.XXX.XXX:7078 udp Default deny / state violation rule
▷ WAN_INT 2024-01-17T21:25:34 172.16.XXX.XXX:5060 10.0.0.4:5060 udp let out anything from firewall host itself (force gw)
↔ WAN_INT 2024-01-17T21:25:34 192.168.1.5:5060 10.0.0.4:5060 udp nat rule
Etwas irritiert hat mich an der Stelle jedoch das Auftauchen der IP 203.23.107.15, hinter der sich meine öffentliche IP der Datenverbindung verbirgt. Ich kann das jedoch noch nicht einordnen. Klar, der Port führt dazu, dass über die WAN_INT genattet wird und nicht über die WAN_VoIP, ob ich das pauschal auf Any umstellen soll, daran habe ich so meine Zweifel. Immerhin ruft die Fritzbox auch ab und an Verbindungen auf, die nicht in das VoIP Netz gehören.

[Baender]

Hallo zusammen,

es geht gemütlich voran. Nach etwas weiterer Recherche konnte ich das Problem, dass das Interface mit WAN_INT angezeigt wird lösen. Weil ich OPNSense mehr oder weniger Out-of-the-Box nutze, waren natürlich unter Firewall: Rules: LAN Default Regeln hinterlegt. Die beiden Default Regeln "Default allow LAN to any rule" und "Default allow LAN IPv6 to any rule" habe ich deaktiviert. Anschließend habe ich zwei neue Regeln erstellt:

Action   Pass
Interface   LAN
TCP/IP Version   IPv4
Protocol   TCP/UDP
Source   LAN net
Source Port   any
Destination   LAN address
Destination Port   DNS (53)
Description   Allow access to the LAN DNS server

Action   Pass
Interface   LAN
TCP/IP Version   IPv4
Protocol   any
Source   LAN net
Source Port   any
Destination / Invert   checked
Destination   PrivateNetworks (alias containing: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
Destination Port   any
Description   Allow access to Internet and block access to all local networks

Dazwischen habe ich zwei Regeln einmal für den SIP-Proxy und einmal für die RTP-Ports angelegt. Während die RTP-Ports noch nicht im Live View erscheinen, werden nun endlich die Verbindungen zum SIP-Proxy mit dem richtigen Interface (WAN_VOIP) angezeigt.

Live View:

Code: [Select]

Interface Time Source Destination Proto Label
LAN > 2024-01-24T22:07:45 192.168.1.5:53805 255.255.255.255:53805 udp Allow access to Internet and block access to all local networks
WAN_VoIP < 2024-01-24T22:06:49 172.16.XXX.XXX:2281 10.0.0.4:5060 udp let out anything from firewall host itself (force gw)
LAN > 2024-01-24T22:06:49 192.168.1.5:5060 10.0.0.4:5060 udp [VoIP] Allow access from Fritzbox to SIP proxy

Bisher habe ich keine weiteren Regeln hinzugefügt. Wie du richtig vorausgesagt hast Patrick M. Hausen registriert damit die Fritzbox die Nummern. NAT habe ich noch nicht aktiviert.

Jetzt wüsste ich jedoch gerne, wie es weitergehen muss. Denn wenn ich bspw. von meinem Handy aus das Festnetz anrufe, dann bleibe ich in der Firewall hängen.

Code: [Select]

Interface Time Source Destination Proto Label
WAN_VoIP > 2024-01-24T21:16:16 10.0.0.4:5060 172.16.XXX.XXX:5060 udp Default deny / state violation rule
WAN_VoIP > 2024-01-24T21:16:01 10.0.0.4:5060 172.16.XXX.XXX:5060 udp Default deny / state violation rule
WAN_VoIP > 2024-01-24T21:15:53 10.0.0.4:5060 172.16.XXX.XXX:5060 udp Default deny / state violation rule


[Baender]

Hallo zusammen,

in der Zwischenzeit konnte ich noch ein paar Tests durchführen und habe nun endlich die OPNsense offiziell in Dienst gestellt. Die Herausforderungen und die nötigen Regeln für die sense, habe ich unten zusammen gefasst:

Der anfängliche, schwere Einstieg:

• Aus dem Informationsblatt des Providers, das dem Willkommensbrief beilag, wurde nicht ersichtlich, welche Anmeldeinformationen für den VoIP-Zugang verwendet werden müssen.
• In der Sense schaffte ich es anfänglich nicht, dass die Fritz!Box auf WAN_VoIP und nicht auf WAN_INT den SIP Proxy kontaktiert
• mir war nicht klar, wie ich die Fritz!Box einrichten müsste, hinsichtlich der Rufnummer-Einstellungen

Die nun funktionierenden Regeln:

• Firewall>Rules>LAN:
• Allow external RTP Port for VoIP
  
  • Action: Pass
  • Interface: LAN
  • Direction: in
  • TCP/IP Version: IPv4
  • Protocol: TCP/UDP
  • Source: Fritzbox
  • Source port range from: RTP_Ports to: RTP_Ports
  • Destination: SIP_Proxy
  • Destination port range: from: any to: any
  • Gateway: WAN_VOIP_PPPOE
• Allow external SIP Proxy for VoIP
  
  • Action: Pass
  • Interface: LAN
  • Direction: in
  • TCP/IP Version: IPv4
  • Protocol: TCP/UDP
  • Source: Fritzbox
  • Source port range from: SIP_Port to: SIP_Port
  • Destination: SIP_Proxy
  • Destination port range: from: SIP_Port to: SIP_Port
  • Gateway: WAN_VOIP_PPPOE
• NAT>Outbound>
  
  VoIP Fritzbox
  
  • Interface: WAN_VOIP
  • TCP/IP Version: IPv4
  • Protocol: UDP
  • Source address: Fritzbox
  • Source port : any
  • Destination address: any
  • Destination port: any
  • Translation/target: WAN_VOIP address
  • Static-port: yes
• Firewall: NAT: Outbound: Hybrid outbound NAT rule generation
  (automatically generated rules are applied after manual rules)
• Aliases:
• FritzBox: 192.168.1.5
• SIP_Port: 5060:5061
• RTP_Ports: 7078:7109
• SIP_Proxy: 10.0.0.4

Die Fritzbox habe ich entsprechend eingerichtet:

• Box auf IP-Client Modus umgestellt und ihr eine Adresse via DHCP zugewiesen. Die IP fixiere ich über OPNsense
• Eigene Rufnummern>Anschlusseinstellungen
Telefonieverbindungen:

• Portweiterleitung des Internet-Routers für Telefonie aktiv halten: yes
• Portweiterleitung aktiv halten alle: 30 Sek.
• VLAN für Internettelefonie wird benötigt: no
• Für Internettelefonie eine separate Verbindung nutzen (PVC): yes
• Werden Zugangsdaten benötigt?: yes
• Benutzername: vt-*******@adsl-versatel.voip
• Passwort des Internet-Zugangs, welcher unter vt-*******@adsl-versatel.int zu finden ist

Was bei meiner Fritz!Box vielleicht noch hilfreich zu wissen ist: ich habe keine Möglichkeit in die Menüs der Fritz!Box zu kommen, in der der Registrar, STUN, usw. eingestellt werden kann. Das Menü wurde entweder durch die Ersteinrichtung der Box so konfiguriert oder die Box wird bereits so ausgeliefert. Macht jedoch nichts, denn man muss die Box nur einmalig über den vom Provider gewollten Weg einrichten und kann dann die Box auf IP-Client umstellen. Das Einzige, was dann noch zu tun ist, man muss die Zugangsdaten unter Telefonieverbindungen wieder neu eintragen, weil die dabei gelöscht werden. Fertig.