Chaos 1und1 VoIP mit TK-Anlage hinter OPNsense

[rosemj]

Moin ins Forum,

irgendwie bin ich überfordert mit einem Thema, das hier schon oftmals behandelt wurde und habe dazu auch schon gefühlt ein paar Kilometer gelesen, aber irgendwie macht´s nicht klick…

Es geht um VoIP hinter der OPNsense, allerdings nicht mit dem oftmals behandelten Szenario, dass eine FritzBox VoIP macht, sondern ich habe eine TK-Anlage von TipTel, die auch VoIP können soll (Tiptel Com.Pact 42 IP). Der Aufbau ist: Zyxel-Modem VMG1312-B30A <-> OPNsense PPPoE <-> Tiptel-TK-Anlage. Für die TK-Anlage und die Telefone habe ich ein eigenes VLAN, also nicht das Standard-LAN, wo die Rechner usw. hängen. Ich bin bei 1und1. Intern sind Telefone an die TK-Anlage per SIP angebunden, die laufen vernünftig.
Ich habe irgendwie schon alles Mögliche an Firewall-Regeln durchprobiert, außerdem Dinge wie NAT Ausgehend und Portweiterleitung hinter mir, bin aber mittlerweile einfach verunsichert, weil sich manches in den Foreneinträgen aus meiner Sicht auch widerspricht oder verschieden gelöst ist. In der Anlage könnte ich grundsätzlich einen STUN-Server angeben, aber insgesamt schwirren mir immer mehr Fragen im Kopf herum:

1.   Brauche ich einen STUN-Server, wenn ich Nat Outbound nutze?
2.   Benötige ich die Weiterleitung von extern 5060 auf die Telefonanlage?
3.   Ist es richtig, dass alles zu dem Thema UDP ist oder sollte ich doch sicherheitshalber auch TCP zusätzlich freigeben?
4.   Bei ausgehend NAT habe ich auf manuell gestellt und 2 Regeln, die vorher automatisch angelegt worden waren, siehe Bild. Brauche ich die 2 Regeln oder kann ich einmal blank machen?
5.   In der TK-Anlage kann ich RTP-Ports einrichten. Den Standard-Port kann ich angeben und dann ist das eine Range von 32 Ports, wo auch bei steht, dass die weitergeleitet werden müssen. Kann ich den Portbereich frei wählen wegen NAT oder muss der zu 1und1-RTP-Ports passen?
6.   Es kommt auf jeden Fall kein Signalling rein, sprich an den Telefonen kommt nichts an, wenn ich von außen reintelefoniere. Wenn ich mit den Telefonen mein Handy anrufe, merkt das Handy das, ich habe aber keine Sprache.
7.   Hat jemand einen gesammelten Tip, was alles bei den Firewalleinstellungen zu setzen ist, wie z.B. konservativ bei erweitert, bei Dynamic State Reset oder auch bei der Normalisierung?
8.   Meine Hauptfrage ist: Wie trace, verfolge, logge ich am besten, was die Anlage raus und die Firewall rein macht, wenn die Anrufe versucht werden aufzubauen oder auf welche Ports RTP läuft bzw. was scheitert. Unter welche Punkt kann ich das am besten mitschneiden/beobachten oder läuft das besser über die SSH-Konsole.

Ich will keinen nerven, bin nur irgendwie am Verzweifeln und hoffe auf ein paar Hinweise, die mir etwas Licht ins Dunkel geben. Vielen Dank im Voraus!

Gruß, Jan

[rosemj]

Gar keiner irgendwie Hinweise? Wenn ich noch was liefern kann/soll, sagt´s mir gerne. Es muss auch nocht einer alles beantworten...

Danke!

[uneu]

Hallo Jan,

ich versuche mal ein paar Antworten zu geben, soweit ich es kann.

1.) Hängt wohl von deinem VOIP Provider ab. In meiner Konfiguration nutze ich es nicht.

2.) JA, woher soll die OPNsense denn wissen, was sie mit der ankommenden Verbindungsanfrage machen soll...

3.) Es gibt Provider, die 5060, 5064 UDP und 5061 TCP anbieten. Musst du aber mit deinem Provider klären.

4.) Ausgehendes NAT habe ich auf automatisch gelassen.

5.) Auch eine INFO die du von deinem VOIP-Provider bekommst, welche RTP-Ports er benötigt/akzeptiert.

6.) Liegt wohl an Punkt 2.

7.) Habe ich leider nicht, da die Konfiguration einer Firewall immer eine induviduelle Angelegenheit ist wie eine Maßanzug.
Es muss halt zu deinen Anforderungen und Gegebenheiten passen.

8.) Ich hatte mal den gesamten Traffic auf meine DS-Station gesichert. Es gibt aber sicherlich bessere Möglichkeiten.

Es gibt bestimmt noch mehr dabei zu beachten, damit alles reibungslos funktioniert. Wie eingeschränkt oder offen sind deine Regeln auf dem LAN/VLAN an der deine TK-Anlage angeschlossen ist.

Viele Grüße aus Bayern

[banym]

Hallo Jan,

hilfreich wäre auch noch was denn genau dein Problem ist?
Kommen Anrufe nicht an?
Hörst du einseitig nichts oder garnichts?

VG,

Dominik

[rosemj]

Danke für die Rückmeldungen!

Also, ich hatte nun schon diverse Phänomene und habe halt auch schon viel rumprobiert, deshalb müsste ich nachher nochmal den aktuellen Stand testen. Fakt ist aber auch im Moment, dass ich von außen nicht rein telefonieren kann. Ich sehe auf der OPNsense, dass da was ankommt und geblockt wird und kann mir das nicht erklären. Das letzte war dann, dass ich von innen zwar nach außen telefonieren kann, aber dann Sprache nicht zu hören ist, aber das muss ich, wie gesagt, nochmal testen.
Ich hänge zum Problem mit den geblockten Paketen mal einige Screenshots an... Mich wundert, dass die Default Deny Rule greift, ob wohl ich aus meiner Sicht extra dafür eine Regel gesetzt habe... Das Geschwärzte ist meine externe/öffentliche IP. Fangen wir vielleicht mal damit an:-)

Gruß, Jan

[rosemj]

Und noch die letzten Bilder zum vorigen Post...

[rosemj]

Noch ein paar Bilder und die weitere Frage, ob ich IPv6 deaktivieren sollte oder/muss oder was Ihr ratet?

[Quetschwalze]

Sieht ganz so aus als würde deine NAT Regel nicht greifen. Trage doch mal als Ziel die "WAN Adresse" mit ein.

[rosemj]

Meinst Du im Bereich der Portweiterleitungen? In den Logs sieht es mir ja so aus, als wenn das eine Firwallregel sein müsste, weil ja die Default Dany All greift, aber warum kapiert die Firewall nicht die Regel, dass das erlaubt ist?

[Quetschwalze]

Meinst Du im Bereich der Portweiterleitungen? In den Logs sieht es mir ja so aus, als wenn das eine Firwallregel sein müsste, weil ja die Default Dany All greift, aber warum kapiert die Firewall nicht die Regel, dass das erlaubt ist?

Ja genau.
NAT passiert vor dem Firewall Regelwerk. Nachdem in dem logs die WAN IP auftaucht hat NAT nicht funktioniert.

Gesendet von meinem MI 9 mit Tapatalk

[tom.goes.open]

Hallo rosemj,

zu deiner Hauptfrage, Punkt 8: Kann deine Telefonanlage vielleicht selbst mitschreiben, was so rein und raus geht? Bei meiner Auerswald versteckt sich diese hilfreiche Funktion hinter der Bezeichnung "Netzwerkdatenstrom".

Leider kann ich sonst keine Hilfe anbieten, da ich bei der Telekom bin und wie gesagt eine Auerswald nutze, da ist die Konfig aber wohl anders und der Rest würde nur wieder zur Verwirrung beitragen (hier werden z.B. definitiv keine Portweiterleitungen benötigt)

[banym]

Hallo Jan,

das hört sich für mich danach an, dass die UDP Ports eingehend nicht offen sind.

Die Ursache ist entweder der Kanal wird zu schnell von der OPnsenes geschlossen. Das kannst du verhindern wenn du die NAT optimierung auf conservative stellst.
Welche Timeouts deine Anlage und dein SIP Provider für eine Keep-Alive nutzen müsstest du erfragen.

Alternativ kannst du die Ports von der Cloud-Anlage auch permanent mit Firewall-Regeln auf deine Anlage öffnen. Wenn deine Gegenstelle feste und immer gleiche IPs hat, dann wäre das einfach für das Debugging. Die Ports haben die meisten Anbieter dokumentiert, das müsste eine große Range an UDP Ports sein + die SIP Ports für die Call-Signalisierung.

Mit den Ports eingehend offen sollte es dann klappen.

VG,

Dominik

[rosemj]

Die Sache mit den RTP-Ports ist mir noch nicht klar, vielleicht kann mir da nochmal jemand eine Richtugn geben, bitte?

Für das Signalling benötigte ich Port 5060, richtig?

Damit wird nach meinem Verständnis das Gespräch signalisiert/eingeleitet und das läuft dann weiter über RTP, oder? Bei den FritzBox-Anleitungen steht hier immer was von 7097-x, für 1und1 wurde hier von hoch liegenden Ports gesprochen und bei meiner Telefonanlage, die lieder kein logging besitzt, kann ich für einen RTP-Port-Bereich von 30 Ports den Startport frei angeben. Mir stellen sich dazu die folgenden Fragen:
1. Wer gibt die RTP-Ports vor; meine Anlage, der Provider oder noch was anderes?
2. Sind die 7097 -x Ports spezifische Ports der FirtzBoxen?
3. Sollten die RTP-Ports von Provider und TK-Anlage gleich oder unbedingt nicht gleich sein?
4. Reden wir wirklich rein über UDP-Ports oder sollte ich FirewallRules und Weiterleitungen sicherheitshalbe auf UDP/TCP stellen?
5. Bei mir scheitert es immer noch am Signalling, zumindest eingehend. Ich werde meine OPNsense heute Abend nochmal blank machen, weil ich langsam auch nicht mehr durchblicke, wie die Firewall-Einstellungen per Default waren...
6. Bin ich auf dem richtigen Dampfer, dass ich die beiden Haken zum Blocken von Bogon und privaten Netzwen aktiv habe uaf der WAN-Schnittstelle, die sich ja per PPPoE einwählt?

Bin weiterhin für alle Tips sehr dankbar!

Gruß, Jan

[banym]

Hallo,

also SIP kann TCP und UDP sein. Du kannst einfach beide freischalten. Das betrifft aber in der Regel nur Port 5060 und 5061 für TLS verschlüsseltes SIP.

Weiter hast du aber vom SIP Provider definierte Portrangens auf denen die Sprachkanäle und ähnliches aufgebaut werden. Das ist von SIP Provider zu SIP Provider unterschiedlich. Das sind unter Umständen große Bereiche von UDP Ports die da freigeschaltet werden müssen. Diese Freischaltung brauchst du normalerweise nur von extern nach intern.

Frag doch den Support deines Anbieters nach der Doku wie du das konfigurieren musst. Die haben in der Regel Dokumente mit den Ports die sie benutzen und die in deine Richtung auf deine Anlage offen sein müssen.

Die schaltest dann entweder manuell mit Regeln frei, oder sorgst dafür, dass deine Anlage sie offen hält.

zu 6. ja das ist so o.k auf dem PPPoE hast du keine privaten Netze wenn du die Einwahl direkt machst.


Bei SIP kochen viele Anbieter leider eigene Süppchen was benutze Port-Bereiche angeht und deswegen kann man keine generelle Antwort geben die für alle passt.

VG,

Dominik

[rosemj]

Danke Dominik für die schnelle Reaktion!

Die Daten bei 1und1 habe ich schon angefragt, bisher aber noch nichts zurückbekommen. Heißt das, dass ich die RTP-Ports vom Provider dann auf die RTP-Ports der Anlage weiterleiten/freischalten muss? Oder habe ich das falsch verstanden?

Gruß, Jan