Port Freigabe VoIP Telekom & Kameras SMTP

[High-Tower]

Guten morgen,
hab seit gestern die OPNsense firewall in betrieb (OPNsense 21.1-amd64).
OPNsense ist an einem Lan Port des Speedport Hybrid angeschlossen (ist das schnellste was zur Verfügung steht, noch..). Ansonsten ist am SPH nichts weiteres dran und Wlan ist deaktiviert.
SPH und die OPNsense Firewall (inkl. dem ganzem Netzwerk) haben 2 getrennte Netzwerkadressen.

SPH 192.168.1.1/24
Firewall und Netzwerk 192.168.100.1-255/24

Bis zum Umbau bzw. anbau der Firewall hat der Telekom Vo-IP Anschluss mit dem Gigaset C430 go wunderbar funktioniert (im VoIP Telefon sind die Server Daten direkt eingegeben, der SPH fungiert nicht als Telefonanlage). Seit der OPNsense gestern funktioniert das nicht mehr (war mir auch bewusst). Genauso wenig die Email funktion meiner Kameras (SMTP mit Port 587) auf ein googlemail Konto.

OK, nun versuche ich seit gestern zu kapieren, wie die Firewall "richtig" eingestellt werden will.

Zu dem Thema mit VoIP hab ich einen "alten" Thread aus 2018 gefunden:
https://forum.opnsense.org/index.php?topic=7663.0

Ich besitze aber keine FritzBox und "suche" nun die richtigen Einstellungen, damit das Telefon(meine Frau ist grad alles andere als verständlich) und meine email Alarmierung der Kameras wieder funktioniert.

Wie ich es verstanden habe, muss ich unter "Firewall: Aliases" erstmal die Ports anlegen, wo ich überhaupt mit "Arbeiten" möchte.
Danach muss ich in den "Firewall: Rules: LAN" diese Ports zur Freigabe (oder Weiterleitung?) einrichten.
Ist dies soweit korrekt?
Wenn ja, dann bin ich zu blöd das zu kapieren, da ich es nicht hinbekomme.

Könnte mir bitte jemand weiterhelfen (zumindest mit dem VoIP Anschluss), damit das Telefonieren wieder funktioniert?
Mein Problem dabie ist, dass ich es verstehen muss und die zusammenhänge kapieren muss, damit ich es dann auch zukünftig richtig umsetzen kann.

Bin damals auch von Synology auf Qnap dann auf Windows Server auf FreeNAS nun schlussendlich bei Unraid hängen geblieben.... Auch nach 3Monaten weis ich nicht alles, aber schon einiges mehr als am Anfang :-) *macht mir zumindest Spass*

Danke schon mal im Voraus.

Grüße

PS: Das mit meiner Frau ist kein Witz 

[lfirewall1243]

Hi,

erstmal bitte einen kurzen Netzwerkplane, dann wissen wir alle wie du was angeschlossen hast.

Außerdem einen Screenshot deiner FW Regeln.

[opnboi]

Hallo High-Tower,

gab es einen dringenden Grund komplett umzuziehen?
Bevor gerade wichtige Dinge wie Telefonie nicht laufen, würde ich mir immer die Option des Rollnacks offenlassen...

Zur Telefonie hilft dir vielleicht das weiter:

https://forum.opnsense.org/index.php?topic=4712.msg100299#msg100299

Du müsstet den Eintrag dann halt nur für dein Gigaset anpassen...

Des Weiteren wäre ein Netzwerkplan: https://forum.opnsense.org/index.php?topic=7216.0

 und eine Übersicht deiner Firewall-Regeln hilfreich

Was sagen denn die Logs der Firewall?

Beste Grüße

€dit: zu langsam
€dit2: Link korrigiert

[High-Tower]

Guten morgen,
sry.. gestern viel los zuhause.... :-)
Meine Frau kann nun über unser Wlan wenigstens mit dem Smartphone telefonieren (und auch WhatsApp).
Nun ist es soweit wieder ~normal~...


@opnboi,
danke für den Link der Android Hilfe, verstehe nur nicht, wie mir das weiterhelfen soll oder kann...

Die Regeln was ich erstellt habe, hab ich alle wieder gelöscht, weil es nicht funktioniert hat.
Würde das gerne richtig erstellen und nacheinander durchgehen, damit ich es auch richtig verstehe.
Im Anhang der "Netzwerkplan".

D.h. die Firewall Regeln sind alle "default", ausser ip v6 wurde komplett deaktiviert, da ich das nicht benötige.
Das Telefon klingelt zwar, aber keiner der Parteien hört etwas.

Code: [Select]

     

WAN / Internet
            :
            : Telekom Hybrid (DSL + LTE max. 16Mbit)
            :
      .-----+-----.
      |  Gateway  |  (Telekom Speedport Hybrid)
      '-----+-----'
            |
        WAN | 192.168.1.1/24
            |
      .-----+------.   
      |  OPNsense |
      '-----+------'   
            |
        LAN | 192.168.100.1/24
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)


[chemlud]

Wenn du "allow any-any" auf dem LAN hast, sollte es eigentlich funktionieren, ggf. könnte das doppelte NAT ein Problem sein, wenn Port 5060 "verloren geht".

https://forum.netgate.com/topic/80722/voip-client-behind-pfsense-on-german-telekom-isp

Da hat es einer zum Laufen gebracht, indem er STUN im Gigaset deaktiviert hat (aber auch ohne doppeltes NAT).

Ich nutze Gigasets mit anderen VOIP Providern, alles was es braucht sind 3 Regeln auf dem LAN (! nix auf dem WAN, kein NAT)

1. allow gigaset UDP port 5060 to any (bei mir die entsprechenden Server des VOIP providers, die Telekom rückt glaube ich die Info nicht raus)

2. allow gigaset UDP port 15000 to 30000 to any (bei mir wieder die Server laut Provider)

3. block gigaset any any

Wenn du die default deny Regel loggen lässt, müsstest du sehen, ob Pakete geblockt werden. Aber du kannst nicht sehen, ob deine Pakete jemals das WAN von dem Telekom-Dings verlassen, da brauchst du einen Wireshark. Oder macht das Hybrid-dings Internet mit Telefondose und Händinetz parallel?

Für eine schnelle Lösung: Stöpsel das Gigaset direkt in den Speedport. Aber ob das auf Dauer sicher ist... ;-)

[opnboi]

@opnboi,
danke für den Link der Android Hilfe, verstehe nur nicht, wie mir das weiterhelfen soll oder kann...

Sorry, war natürlich der falsche Link, hier der korrekte:

https://forum.opnsense.org/index.php?topic=4712.msg100299#msg100299

[High-Tower]

Hi,

vielen Dank erst mal für die Hilfe.
Hab nun unter Firewall Rules, LAN mit Add, folgendes hinzugefügt (siehe Screenshots im Anhang).
Hab folgende möglichkeiten zu Telefonieren:
1: VoIP von der Telekom mit dem Gigaset Festnetzgerät
2: WLAN Call mit einer Telekom Sim Karte, da der Empfang bei mir sehr sehr schlecht ist
3: sipgate Telefonnummer (für die Arbeit)

sipgate und WLAN Call funktionieren einwandfrei, hier hab ich nichts machen müssen.

Wenn ich nun mit dem Gigaset (nach den Firewall einstellungen) meine Sipgate Telefonnummer anrufe, höre ich auf der Sipgate seite das Gigaset Mikrofon. Zum Gigaset von der Sipgate seite aber nicht.
Wenn das Gigaset auf mein Handy anruft (mit WLAN Call), höre ich genau einmalig das Mikro (z.B. einmal Hallo obwohl mehrmals hintereinander ausgesprochen) vom Gigaset am Handy und dann nichts mehr. Am Gigaset höre ich das Mikro vom Handy nicht.

Mach ich das überhaupt richtig?!

Das Gigaset kann ich schon an den SPH klemmen, aber das sollte nicht das Ziel sein =)
Meine Frau kann ja mit dem WLAN Call anrufe kostenlos tätigen... und wenn es noch mehrere Tage dauert, will das hinbekommen ^^

Danke nochmals.

[opnboi]

Hast du es denn mal mit Outbound NAT wie aus dem mittlerweile korrekten Link probiert?
Für SIP sind quasi keine FW-Regeln oder Portweiterleitungen notwending...

[chemlud]

...und eigentlich auch kein outbound NAT :-)

[High-Tower]

@opnboi,

hab es versucht, das Outbound NAT hinzuzufügen.. bekomme es aber nicht hin..
scheitere schon dabei, dass ich den Source Port wie z.B. von micneu angegeben gar nicht auswählen kann oder
hinzufügen kann.... tcp/udp/*   das gibt es nicht zur Auswahl und eingeben kann ich es auch nicht...

Das nächste ist, was muss ich dann als Source angeben? Eigentlich ja meine IP des VoIP Telefons, oder?
Sry... bei mir scheitert es schon an solchen Kleinigkeiten...

verstehe nicht die Aussage
...und eigentlich auch kein outbound NAT :-)

Bin einfach im Thema Firewall ein absoluter Anfänger, will mich da aber reinfuchsen, scheitere aber dann schon an solchen Kleinigkeiten...

PS: In dem SPH ist eingestellt, dass Telefonate über die DSL Leitung geht und nicht über die LTE Leitung. Das spielt aber eigentlich keine Rolle, da es direkt am SPH wunderbar funktioniert... Möchte aber alles "hinter" der Firewall haben.....

[chemlud]

Es braucht kein outbound NAT um ein Gigaset an der OPNsense zum laufen zu bringen. Und keine Regeln auf dem WAN. Nur ein paar Regeln auf dem LAN, falls es dort keine "allow any any" Regel gibt. ;-)

SIP ist keine Kleinigkeit und die Telekom WILL, dass du mit allem anderen als ihrem Plastikkram scheiterst, damit du gar nicht erst was anderes versuchst.

[opnboi]

@High-Tower

Hast du denn auf den Hybrid-Mode bei Outbound NAT gestellt?

Leg einen Alias mit der IP-Adresse des Telefons an und dann erstelle eine Regel wie im Anhang von mir...

@chemlud

Warum aber "nur ein paar Regeln auf dem LAN", wenn es mit einer Outbound-Regel schneller und einfacher geht?

[chemlud]

@chemlud

Warum aber "nur ein paar Regeln auf dem LAN", wenn es mit einer Outbound-Regel schneller und einfacher geht?

Wenn dir dein SIP-Provider seine IP/Port-Bereiche verrät kannst du damit den Zugang des Gigaset auf diese Server und die passenden IP-Ranges beschränken.

[opnboi]

Finde den Fehler;)

Wenn das Wörtchen wenn nicht wäre

Erstmal würde er die Ports vom Provider benötigen, dann die Aliase und dann die Regel anlegen - in der Zeit kann er locker die Outbound NAT Regel anlegen und testen ob es klappt oder nicht?

[micneu]

also, ich habe das setting für voip so schon bei der telekom und jetzt auch bei willytel am laufen, mehr habe ich nicht konfiguriert:
Firewall: NAT: Outbound