Brauche Hilfe bei SIP/Siproxd

[pacman]

Hallo

Ich hoffe jemand kann mir weiter helfen.  8) Ich steige gerade von IPFire auf OpnSense um.

Ich hab folgenden Aufbau. Ich hab ein DSL Modem, welches selber nichts macht. Also keine Firewall, kein DHCP usw. wirklich ein reines Modem.

Dahinter war bis jetzt meine IPFire-Firewall und diese wird jetzt durch die neue OpnSense Firewall ersetzt. Hinter der OpnSense Firewall sind mehrere Netzwerke. In einem dieser Netzwerke sitzt meine AGFEO Telefonanlage.

Soweit so gut. Ich hab nun bei der OpnSense Firewall alle Regeln eingestellt die ich auch bei der IpFire-Firewall eingestellt habe. Die Agfeo Telefonanlage kann sich auch beim SIP-Provider anmelden.
Das Problem ist, das ich nur hinaus telefonieren kann aber nicht hinein. Und wenn ich hinaus telefoniere, dann höre ich am Telefon der Agfeo-Anlage nichts. Also meine Sprache geht raus auf mein Handy, aber die Sprache von meinem Handy kommt nicht rein.

Damals bei der IPFire-Firewall kann ich mich noch erinnern, das ich dieses Problem durch Anwählen der SIP Funktion beim ALG beheben konnte. Wie kann ich dieses Problem bei OpnSense lösen?

[lidynia.sven]

Hallo,

Dies ist kein grosses Problem und win bekanntes Phänomen bei SIP und NAT.

Ich denke das deine Firewall die Pakete vom SIP Provider schluckt.

Vielleicht postest du mal die entsprechenden Firewall uns NAT regeln, dann kann dir bestimmt geholfen werden.

Bei mir läuft eine Auerswald in einem VLAN hinter der Firewall und davor idt auch nur ein Modem.

Gruß

Sven

Gesendet von meinem SM-N960F mit Tapatalk

[micneu]

1. bitte einen grafischen netzwerkplan
2. Firewall Regeln als Bild
3. outbound regeln als Bild
4. welcher Provider (Telefonie und Internet)
5. siehe auch https://forum.opnsense.org/index.php?topic=12697.0 aber das hast du ja bestimmt gelesen wenn du neu hier im forum bist.


Gesendet von iPhone mit Tapatalk Pro

[robgnu]

Hi,

so ganz allgemein kann ich dir mal die Ports sagen, die unsere AGFEO-Firewall verwendet:

- 5064:5083 (SIP mit max. 10 SIP-Ports)
- 5004:5013 (RTP mit max 5 Kanälen)

Hier im Forum gibt es diverse Anleitungen, wie man VoIP hinter der OPNsense mit einer FRITZ!Box betreibt. Im Prinzip kannst du das genau so konfigurieren.
https://forum.opnsense.org/index.php?topic=4712.0

1. Port Forward auf die Ports (ggf. per Source Angabe auf die SIP-Server des Anbieters beschränken)
2. Outbound-NAT mit Static-Port konfigurieren.

Bei uns in der Firma läuft das soweit ohne Probleme.

Gruß
Robert

[pacman]

Mein Aufbau



                          Internet
                                 |
                                 |
                        --------------
                       |    Modem   |
                         --------------
                                  |
                                  |
                           --------------
                        |  OpnSense  |
                           --------------
                              |           |
                    |           |
10.95.100.0  Netzwerk     Netzwerk    10.95.102.0
                         Firma          Privat
                             |
                             |
                     ---------------
                     |   Agfeo     | 10.95.100.12
                      ---------------


Ziel ist es meine alte IPFire Firewall mit einem ALIX Board durch eine neue OpnSense-Firewall zu ersetzen. 1. Grund dafür ist einfach weil die IPFire mittlerweile zu wenig für mich kann und zweiten ist seit einem Blitzschaden, eine Netzwerkkarte von meinem ALIX-Board durch.

Alle Sachen die ich sonst brauche wir Mail-Server usw. funktioniert auch schon einzig die Telefonanlage funktioniert noch nicht richtig. Ich bin jetzt sogar schon weiter gekommen. Ich kann von extern anrufen und von innen nach aussen Telefonieren. Nur das ich in der Firma, also an den Telefonen die an der AGFEO-Telefonanlage hängen nichts höre. Egal ob ich von innen nach ausen auf mein Handy telefoniere oder umgekehrt.

Der Provider ist Magenta aus Österreich. Mit denen hab ich auch schon telefoniert. Sie sehen, das sich angemeldet bin. Der nett Herr am Telefon konnte aber selbst nicht auf die Routings und den Telegrammverkehr zugfreifen, da dies eine andere Abteilung macht. Von dieser Abteilung bekomme ich noch einen Rückruf. Aber vielleicht bekomme ich das mit eurer Hilfe auch noch hin.  8)

Nochmal zusammen gefasst, ich hoffe ich drücke mich richtig aus, der Audiostream der von meinem SIP-Provider zu mir kommt, also mein Hören, kommt noch nicht an.

[chemlud]

Die angehängten FW-Regeln sind auf deinem Firmen-LAN, korrekt?

Wenn nicht dein WAN offen steht wie ein Scheunentor (dort sollten keine (!) ALLOW Regeln stehen), dann dürften die Regeln nicht funktionieren, da die OPNsense den Traffic immer am ersten EINGEHENDEN Interface evaluiert. Und auf deinem LAN sitzen die öffentlichen IPs nicht als SOURCE....

[pacman]

Nein die Firewall-Regeln sind auf der WAN-Schnittstelle. Dort kommt ja der Verkehr von aussen an.

[micneu]

@pacman, mein tipp:
1. alle firewall regeln was mit deiner telefonie zu tun hat mal deaktivieren
2. versuch mal die einstellungen aus meinem bild für deine telefonalage (am besten einen alias erstellen)
3. und mit für mich persönlich ein wichtiger punkt. nach dem du die einstellungen gemacht hast, starte mal deine sense neu (aus meiner erfahrung, wenn gefühlt meine änderungen kein ergebnis liefern, einfach mal neustarten)

ich hatte es damals auch mit irgendwelchen firewall regeln versucht. und mit dieser geht jetzt alles bei mir.

[pacman]

Interssant ist ja, wenn ich bei der Telefonanlage mit einem STUN-Servera arbeite, dann kann ich von innen nach aussen Telefonieren und alles funktioniert. Nur ich kann nicht rein telefonieren.

Wenn ich bei meiner Telefonanlage mit der Option RPORT anstatt STUN-Server fahre, kann ich zwar rein und raus telefonieren, ABER ich höre eben den einen Kanal nicht.

Das Problem hatte ich bei der IPFire-Firewall auch und dort hab ich es dann mit dem ALG und SIP gelöst. Aber ALG gibt es ja bei OpnSense glaub ich nicht. Zumindest finde ich nichts

[lidynia.sven]

Hallo pacman,

Als erstes erstellst du dir mal ein paar Alias in der Firewall.

1. Telefonanlage auf die interne IP der Telefonanlage

2. Registrar auf den DNS Name deines Registrats ( z.b. sip.t-offline.de)

3. Erstelle noch jeweils ein Alias mit den SIP Ports und einen mit den RTP Ports.

Im Anschluss daran musst du nur 2 Portweiterleitungen in der Firewall konfigurieren.


Einmal IPv4/UDP vom Registrar an die Telefonanlage mit dem Alias der SIP Ports

Und einmal IPv4/UDP vom Registrar an die Telefonanlage mit dem Alias der RTP Ports

Die Firewall muss natürlich auf dem WAN interface die Pakete von deinem Registrar auf dem SIP und UDP Port durch lassen.

Fertig ist die Kiste

[pacman]

Danke für die Inputs.  8)

Das hab ich alles aber schon gemacht. Ich vermute, dass das Problem bei mir folgendes ist.



        Via: SIP/2.0/UDP 10.95.100.12:5060;branch=z9hG4bK-524287-1---08eb37a95287207b;rport

Hier eine Auszug aus dem Telegrammverkehr. Wenn sich meine Telefonanlage mit der Sip-Provider anmeldet ist im Via-Header die Lokale IP-Adresse der Telefonanlage drinnen und nicht die WAN-Adresse. Wenn jetzt natürlich der Provider versucht den RTP-Stream auf diese Adresse zu senden, kann es nicht funktionieren. Die Frage ist, wie kann ich das ändern. Ich bin schon am versuchen, das irgendwie mit Siproxd zu lösen. Hat ihr jemand schon erfahrung?

[Gauss23]

Kannst Du bei der Agfeo einen STUN Server eintragen?

[pacman]

Kann ich. Aber auf der Agfeo-Seite wird ganz klar gesagt bei UPC Austria bzw. jetzt Magenta darf der STUN-Server nicht verwendet werden.

Interessant ist ja, wenn ich mit dem STUN Server arbeite funktionieren zwar beide Audio-Streams, also hören und sprechen. Aber ich kann nur von innen nach aussen Telefonieren. Wenn ich von aussen nach innen Telefonieren will, funktioniert das nicht.

Wenn ich ohne STUN Server arbeite, kann ich rein und raus telefonieren. Aber ich bekomme keinen Audio-Stream von SIP-Provier   :'(

[lidynia.sven]

Hallo Pacman,

dann funktioniert dein NAT nicht richtig. Denn die Firewall sollte die interne Adresse auf die Externe IP umschreiben und zurück.

Was mich allerdings etwas stutzig macht ist die Tatsache das du offensichtlich surfen kannst.

Wie sieht es denn mit der Konfiguration der Telefonanlage aus? Hast du da mal geschaut was zum Thema NAT einzustellen ist?

Gruß
Sven

Gesendet von meinem SM-N960F mit Tapatalk pro

[Gauss23]

Hallo Pacman,

dann funktioniert dein NAT nicht richtig. Denn die Firewall sollte die interne Adresse auf die Externe IP umschreiben und zurück.

Was mich allerdings etwas stutzig macht ist die Tatsache das du offensichtlich surfen kannst.

Wie sieht es denn mit der Konfiguration der Telefonanlage aus? Hast du da mal geschaut was zum Thema NAT einzustellen ist?

Gruß
Sven

Gesendet von meinem SM-N960F mit Tapatalk pro

Zur Ermittlung der externen IP ist der STUN Server ja zuständig.
Die Agfeo kennt nur die interne Adresse.

Warum man allerdings keinen STUN in der Kombination verwenden darf ist mir schleierhaft.

Siehst Du im Live view der Firewall was da so passiert wenn Du telefonieren willst? Irgendwelche Blocks?

Ich habe mit meiner Gigaset VOIP Basis in Verbindung mit Easybell die Verbindung zu einem STUN Server und ausgehend für UDP Ports 5060-5064 und 10.000-50.000 zu den entsprechenden Server von Easybell zugelassen. Eingehend nichts. Kein spezielles NAT.