Firewall Probleme mit VOIP und Datenverkehr zwischen VLANs

Started by greby, August 19, 2020, 03:32:24 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
August 19, 2020, 03:32:24 PM
Servus, Moin und Hallo in die Runde,

ich suche mich jetzt schon mit einem VOIP Thema und nun zusätzlich auch Datenverkehr zwischen VLANs zu tode. Folgende Installation ist vorhanden:

Deutsche Telekom FTTH <--> Astaro 425 mit OPNsense 20.1.9-amd64 <--> Cisco Switch <--> Fritzbox 7590

Den LAN Port habe ich mit dem Netzwerk 10.1.1.0/24 konfiguriert. Zusätzlich habe ich auf diesem LAN Port noch weitere VLANs konfiguriert. Für VOIP ist es das VLAN 25 mit 10.1.25.0/24.

- Die Fritzbox hat eine feste IP 10.1.25.11 und auf der FW einen Alias
- Für die Telekom VOIP Server habe ich auch einen Alias festgelegt und darin ist das Netzwerk 217.0.0.0/16 definiert.
- für die eingehenden und ausgehenden VOIP Ports der Telekom existieren auch 2 Aliase (mitlerweile habe bei beiden Aliase alle Ports für eingehend und ausgehend rein gepackt)

Unter NAT habe ich eine Portweiterleitung von den Telekom Servern zur Fritzbox mit allen benötigten Ports eingerichtet

Auf der WAN Schnitstelle habe ich testweise von den Telekom Servern zur Fritzbox eine Regel definiert, die alle TCP/UDP Ports von Außen auf die FB zuläst.

Ausgehend funktionieren mitlerweile alle Telefonate. Eingehend habe ich Probleme. Wenn ich einen neuen Anruf von Extern starte, kann ich iim Live Protokoll der FW sehen, das die Standard Deny Any Regel der WAN Schnittstelle greift und Pakete, die von 217.0.x.x mit dem Port 5060 anfragen, verworfen werden. Auch wenn ich mehrmals den Ruf neu starte, bekomme ich das gleiche Problem. Irgendwann baut dann die Fritzbox von intern nach extern die Verbindung auf dem Port 5060 auf, auch wenn kein Anruf von intern getätigt wird. Danach ist es für ca. 1 Minute möglich, dass man von extern anrufen kann. Mit jedem Anruf von extern, werden die 60 Sekunden neu angetriggert. Sind die 60 Sekunden ohne eine Aktivität abgelaufen, wird das Paket erneut von der FW wieder verworfen.

Ein ähnliches Problem hat sich heute bei einer internen Kommunikation ergeben. Mein Client befindet sich im normalen LAN ohne VLAN ID. Der Switch befindet sich im Management VLAN. Wenn ich jetzt eine ssh Verbindung vom Client zum Switch herstelle, funktioniert diese im ersten Moment, dann reißt die Verbindung ab und im FW Log erscheinen plötzlich wieder DENY Meldungen. Aktuell ist noch eine weitere IP aus dem normalen LAN Netzwerk auf dem Switch konfiguriert, wo der ssh Zugriff ohne Probleme funktioniert.

Ich hoffe, jemand hat dazu noch eine Idee. Das ist mein erster Versuch mit OPNsense. Vorher habe ich immer nur mit Lancom Geräten gearbeitet.

Viele Grüße aus dem warmen Dortmund

Andreas
August 19, 2020, 04:41:16 PM #1
bitte mal einen grafischen netzwerkplan, so können wir deine beschreibung besser verstehen
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
August 19, 2020, 05:51:44 PM #2
Hab mal schnell eine Übersicht zusammen gebastelt.
August 19, 2020, 05:59:19 PM #3
Anbei noch einmal 3 Bilder zu dem SSH Thema
August 19, 2020, 07:36:22 PM #4
danke für den netzwerkplan.
bitte mal ein bild deiner konfigurierten firewall regeln.
zusätzlich bitte deine nat regeln
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
August 20, 2020, 08:14:21 AM #5
Hallo,

versuch bitte mal die Telekom VoIP-Server als 217.0.0.0/13 im Alias zu hinterlegen.

Gruß
Robert
August 20, 2020, 11:29:59 AM #6
Moin Zusammen,

anbei die Bilder zu den Firewallregeln. Bei den VOIP Regeln habe ich im Moment TCP/UDP eingestellt, nachdem ich vorher alles andere getestet habe.
August 20, 2020, 11:30:50 AM #7
Hier noch NAT und Alias
August 20, 2020, 11:31:40 AM #8
...und das Log beim VOIP Problem
August 20, 2020, 11:51:56 AM #9 Last Edit: August 20, 2020, 11:54:31 AM by lebernd
Ich habe ein ähnliches Setup wie Du:

- probier mal bei deinem Outbound-NAT die Einschränkung auf UDP rauszunehmen. (Ich habe als NAT-Adresse WAN genommen - aber vielleicht spielt es keine Rolle)

Letztlich habe ich genau 2 Definitionen:
1) den Outbound-NAT mit static Port
2) Netzwerk von Fritzbox darf über die Schnittstelle überall hin.

D.h. es gibt keinen offenen WAN-Port, kein Portforwarding zur Fritzbox.
Die Fritzbox (bei mir eine alte 7270) hat bei den Einstellungen ein Keep-alive ("Portweiterleitung des Internet-Routers für Telefonie aktiv halten") von 30 sec. bei mir.

Ich hatte zuerst auch lediglich UDP eingestellt, ohne die Einschränkung funktioniert es nun bei mir.

Grüße,
Bernd
IPU451, 16GB RAM, 120GB SSD:
OPNsense 22.7.11_1-amd64
FreeBSD 13.1-RELEASE-p5
OpenSSL 1.1.1s 1 Nov 2022

IPU441, 8GB RAM, 120GB SSD:
OPNsense 23.1.1_2-amd64
FreeBSD 13.1-RELEASE-p6
OpenSSL 1.1.1t 7 Feb 2023
August 20, 2020, 12:41:34 PM #10
Hallo Bernd,

danke für Deinen Input. Inbound NAT habe ich deaktiviert, Outbound NAT angepasst und auf der Fritzbox die Einstellung vorgenommen. Und siehe da, mein VOIP Problem scheint sich erledigt zu haben.

Vielen Dank noch einmal auch im Namen meiner Eltern ;-)

Gruß
Andreas
August 20, 2020, 05:42:01 PM #11
Hallo noch einmal,

bei meinem zweiten Problem mit dem SSH zwischen LAN und VLAN bin ich scheinbar auch weiter gekommen. Ich hatte den folgenden Foren Beitrag gefunden:

Default Deny Rule, obwohl Regel vorhanden  https://forum.opnsense.org/index.php?topic=7406.0

Daraufhin habe ich bei Firewall: Regeln: LAN --> Default allow LAN to any rule (IPv4) in den Erweiterten Einstellungen den Statustype auf "Sloopy-Status" gestellt. Danach funktioniert der Zugriff wie gewünscht.

Frage ist nun, ob es Sinn macht, dies so zu belassen oder sollte ich mein Problem auf einem anderem Weg umgehen.

Gruß aus Dortmund
Andreas
Print
Go Up Pages1
User actions