OPNsense
  • Home
  • Help
  • Search
  • Login
  • Register

  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • SIP + FW-Regeln
« previous next »
  • Print
Pages: [1]

Author Topic: SIP + FW-Regeln  (Read 3938 times)

Mikka

  • Newbie
  • *
  • Posts: 3
  • Karma: 0
    • View Profile
SIP + FW-Regeln
« on: January 29, 2019, 08:53:22 pm »
Hallo zusammen,

ich hätte da eine Verständnisfrage zu SIP und der FW-Regeln. Ich habe zwei Anwendungsfälle die zwar funktionieren, jedoch verstehe ich den einen nicht wieso das so ist  >:(

Der folgende Netzaufbau ist gegeben:
1: Internet <-> FritzBox <-> OPNsense <-> Ubiquiti UniFi WLAN <-> MacBook (IP-DHCP) mit dem SIP-Programm Telefon https://www.64characters.com/telephone/
bzw.
2: Internet <-> FritzBox <-> OPNsense <-> LAN <-> Ubuntu 18.04 (IP-DHCP) mit FHEM welches per Net::SIP eine SIP-Verbindung aufbaut

Die FritzBox kann über ein SIP-Konto bei 1&1 ohne Probleme beliebige Nummern (Festnetz/Handy) anrufen.

Alle Rechner aus dem LAN bzw. WLAN können jede Adresse auf jedem Port im Internet erreichen.

Beim Anwendungsfall 2 muss ich jedoch zusätzlich eine weitere FW-Regel unter Firewall -> NAT -> Port Forward erstellen, damit der Teilnehmer (Festnetz bzw. Handy) erreicht werden kann. Die Regel hänge ich als Screenshot an.
Und genau das verstehe ich nicht, da es beim Anwendungsfall 1 auch ohne der NAT-Regel geht.
Tausche ich die Firewall-Distribution OPNsense gegen IPFire aus, wird die FW-NAT-Regel bei beiden Fällen nicht benötigt.

Evtl. hat hier einer von euch eine Idee woran das liegen könnte oder wie man dieses Problem weiter einkreist und kann somit meine Schlaflosen Nächte beenden  :o

Viele Grüße
Mikka
Logged

MBG

  • Jr. Member
  • **
  • Posts: 52
  • Karma: 1
    • View Profile
Re: SIP + FW-Regeln
« Reply #1 on: January 30, 2019, 07:26:30 am »
Hi

Die Angaben sind jetzt zwar ohne Gewähr, aber es gibt mehrere Möglichkeiten...

- Hast in Fall 1 alles geöffnet (sprich All:All in der Firewall). Das würde erklären, warum die keine Regel brauchst
- Oder hast du im Regel UPNP aktiviert? Dadurch würden die Ports automatisch weitergeleitet weil der Client der sich im SIP anmeldet der Firewall die Ports mitgibt, die er benötigt.

Gruss


Gesendet von iPhone mit Tapatalk
Logged

Mikka

  • Newbie
  • *
  • Posts: 3
  • Karma: 0
    • View Profile
Re: SIP + FW-Regeln
« Reply #2 on: January 30, 2019, 09:40:13 pm »
Hallo MBG,

bei Fall 1 und 2 ist die LAN-FW jeweils gleich eingestellt (siehe Screenshot).

Habe keine UPNP Regel.

Danke für deine Hilfe!

Mikka
Logged

OPNFox

  • Newbie
  • *
  • Posts: 20
  • Karma: 0
    • View Profile
Re: SIP + FW-Regeln
« Reply #3 on: January 31, 2019, 09:58:05 am »
Findet eventuell bei Anwendung 1 ein "No-NAT" statt vom MAC Book zur FritzBox und beim 2. Anwendungsfall ein SNAT/Masq.?

Die SIP Clients wenden sich an die FB als Zugang, richtig? Und ei FB baut dann die weitere Verbindung auf?
Oder bauen alle Clients eine Verbindung direkt zu 1und1 auf?

Wenn über die FB:
Generell würde ich für die eingehende Verbindungen/Telefonate empfehlen, dass zur FB ein Routing stattfindet und in der FB die entsprechende Route über die OPNSense einstellen in ein internes LAN für den Port, damit du mehrere interne "Telefone" benutzen kannst, wenn ein Anruf reinkommt.

Also [SIP-Clients] -> [FB] NO-NAT
Danach die Regel alles andere normalerweise (LAN) -> * mit SNAT mit der "WAN-IP" der OPNsense.

Dann bei der FB eine statische Route für ein LAN Netz über GW "WAN-IP" der OPNsense.

Und die entsprechende FW Regeln noch einstellen.
Logged

Mikka

  • Newbie
  • *
  • Posts: 3
  • Karma: 0
    • View Profile
Re: SIP + FW-Regeln
« Reply #4 on: January 31, 2019, 02:13:58 pm »
Hallo Teemoe,

Quote
Findet eventuell bei Anwendung 1 ein "No-NAT" statt vom MAC Book zur FritzBox und beim 2. Anwendungsfall ein SNAT/Masq.?

Das sind gute Fragen ;-) Müsste ich mal nachforschen. Hast du evtl. eine Idee wie man dies am einfachsten macht? TCPDUMP?

Quote
Die SIP Clients wenden sich an die FB als Zugang, richtig?

Ja.

Quote
Und ei FB baut dann die weitere Verbindung auf?

Ja.

Quote
Oder bauen alle Clients eine Verbindung direkt zu 1und1 auf?

Nein.

Quote
Wenn über die FB:
Generell würde ich für die eingehende Verbindungen/Telefonate empfehlen, dass zur FB ein Routing stattfindet und in der FB die entsprechende Route über die OPNSense einstellen in ein internes LAN für den Port, damit du mehrere interne "Telefone" benutzen kannst, wenn ein Anruf reinkommt.

Also [SIP-Clients] -> [FB] NO-NAT
Danach die Regel alles andere normalerweise (LAN) -> * mit SNAT mit der "WAN-IP" der OPNsense.

Dann bei der FB eine statische Route für ein LAN Netz über GW "WAN-IP" der OPNsense.

Und die entsprechende FW Regeln noch einstellen.

Ziel war es eigentlich nur, dass ich eine Anrufsignalisierung habe. Zum Beispiel wenn ein Feuermelder aktiv wird ruft das System mein Handy an. Anhand der Nummer kann ich erkennen, das Rauchmelder XYZ aktiv ist.

Mit dem MacBook Programm habe ich zunächst nur den Rufaufbau probiert. Funktionierte auch. Mit gleichen Zugangsdaten und dem gleichen Weg Richtung FritzBox jedoch nicht mit Net::SIP. Da benötige ich die zusätzliche NAT-Regel.

Viele Grüße
Mikka

Logged
  • Print
Pages: [1]
« previous next »
  • OPNsense Forum »
  • International Forums »
  • German - Deutsch »
  • SIP + FW-Regeln
 

OPNsense is an OSS project © Deciso B.V. 2015 - 2024 All rights reserved
  • SMF 2.0.19 | SMF © 2021, Simple Machines
    Privacy Policy     | XHTML | RSS | WAP2