Fritzbox -> OPNsense -> FreePBX => keine eingehenden Anrufe

[andreas84]

Hallo zusammen,

ich kämpfe seit ein paar Tagen mit einer FreePBX, bei der ich zwar ausgehende Telefonieren kann, eingehend aber keine Anrufe erhalte.
Im Livesystem habe ich seit ca. 1,5 Jahren eine OPNsense in Betrieb, welche einwandfrei funktioniert.
Da die ISDN-Telefonanlage schon älter als 10 Jahre ist, soll diese gegen ein modernes VoIP-System (FreePBX) ausgetauscht werden.

Hab mir das Ganze mal im Labor nachgebaut.
Betreibe ich die FreePBX direkt an FritzBox, funktioniert alles einwandfrei.

Schalte ich die Firewall (OPNsense) mit dazwischen, dann funktionieren zwar ausgehende Anrufe, eingehende Anrufe funktionieren nicht.
Auch wenn externe Anrufer zuerst auflegt bekommt diese die FreePBX gar nicht mit.

Aufbau ist folgender:
FritzBox (192.168.184.1) --> OPNsense (192.168.184.115 (WAN) + 192.168.99.1 (LAN)) -> FreePBX (192.168.99.12)

Für die Rufnummer ist in der FritzBox ein LAN/WLAN-Telefoniegerät eingerichtet.
In der FritzBox ist ein exposed-Host eingerichtet, das alles an die OPNsense schickt.


Die Asterisk-SIP-Settings habe ich auch entsprechend angepasst:

=> Anhang

In der Firewall habe ich mir hierzu folgende NAT-Regeln angelegt (Port-Forward):
Anhang: 1615133925613.png

Die OPNsense hat dann automatisch folgende Firewallregeln erstellt:
=> Anhang


Zusätzlich eine statische Outbound-Route gesetzt und vorher den Mode auf Hybrid gesetzt:
=> Anhang


Hier noch die Alias-Übersicht:
=> Anhang


Ausgehende Anrufe funktionieren einwandfrei inkl. Audio.
Eingehende Anrufe kommen gar nicht in der FreePBX an.
Zudem ist mir aufgefallen, das es das interne Telefon gar nicht mitbekommt, wenn der externe Teilnehmer aufgelegt hat.
Legt das interne Telefon auf, dann funktioniert das ganze schon.

Hab aktuell irgendwie den Eindruck, das die FritzBox eingehende Aktivitäten (neuer externer Anruf, externer Teilnehmer hat aufgelegt) überhaupt nicht an die FreePBX weitergibt.

Hat evtl. jemand schon mal eine FreePBX mit dazwischengeklemmter Firewall hinter einer FritzBox in Betrieb genommen?
Ich vermute das das Problem am doppelten NAT liegt (externe DTAG-IP -> NAT -> FritzBox -> Forwarding OPNSense -> NAT -> FreePBX)

Ich könnte zwar die FreePBX direkt hinter die FritzBox setzen und dort dann die FreePBX-Firewall zum Schutz einschalten - schöner wäre aber die Lösung mit der eh schon vorhandenen (zentralen Firewall).

Evtl. hat das gleiche Konstrukt schon in Betrieb und kann mir Tipps geben, wie ich das Ganze zum Laufen bekomme.

Vielen herzlichen Dank schon mal im Voraus für die Unterstützung und Tipps!

Viele Grüße:
Andreas

[lfirewall1243]

Glaube da musst du erstmal ins freepbx Forum oder schauen was ein SIP Trace so sagt.
Vielleicht kannst du den auch hier schicken, nutze selbst viel freepbx

[andreas84]

Vielen Dank schon mal für Deine Antwort.

Leider sehe ich auf der OPNsense keine geblockten Pakete.
Kommt ein Anruf rein, sehe ich auf der OPNsense und auch in der FreePBX gar nichts.

Hab irgendwie den Eindruck, das die FritzBox schon gar nichts in Richtung OPNsense schickt.

Evtl. hat auch jemand das gleiche Szenario und kann mir mal seine erstellten Firewallregeln/Port-Forwardings sagen, vielleicht habe ich hier noch einen falschen Port drin  - oder die Fritte hat noch einen weiteren Port...
Aktuell stehe ich irgendwie am Schlauch... :-(

Viele Grüße:
Andreas

[lfirewall1243]

Hast du in der FB irgendwas mit VOIP aktiv oder Mal aktiv gehabt ?

[andreas84]

Aktuell habe ich für eine Nummer einen LAN/WLAN-Anschluss angelegt, den ich für den aktuellen Test nutze.

Ich hatte früher schon mal ein Yealink-Telefon als LAN/WLAN-Telefon an der FritzBox hängen, dieses aber vor längerer Zeit schon gelöscht.

Zudem habe ich aktuell noch folgende weitere Geräte an der Box hängen:
- integrierte Faxfunktion
- integrierter AB für 2 weitere Telefonnummern
- Telefon am Port FON1
- DECT-Telefon

[lfirewall1243]

Aktuell habe ich für eine Nummer einen LAN/WLAN-Anschluss angelegt, den ich für den aktuellen Test nutze.

Ich hatte früher schon mal ein Yealink-Telefon als LAN/WLAN-Telefon an der FritzBox hängen, dieses aber vor längerer Zeit schon gelöscht.

Zudem habe ich aktuell noch folgende weitere Geräte an der Box hängen:
- integrierte Faxfunktion
- integrierter AB für 2 weitere Telefonnummern
- Telefon am Port FON1
- DECT-Telefon

Okay also ist was mit VOIP in der FB aktiv.
Dann blockt die FB automatisch die VOIP Ports.

Vielleicht kannst du versuchen andere zu verwenden (je nach dem was dein Provider unterstützt)

[andreas84]

Mein VoIP-Provider ist die FritzBox selber, da dort alle Rufnummern registriert sind.
Dahinter liegt für den Test ein Deutschland-LAN-Anschluss.

Bei der Live-Installation sitzt dann ein Vodafone/Arcor-Anschluss dahinter.

Ich hab fast die gleiche Vermutung, das hier die FritzBox gar nichts rausschickt.
Evtl. muss ich mal ne andere (jungfräuliche) Fritte ranhängen, dort die Rufnummern registrieren und sonst nichts einstellen.

[lfirewall1243]

Mein VoIP-Provider ist die FritzBox selber, da dort alle Rufnummern registriert sind.
Dahinter liegt für den Test ein Deutschland-LAN-Anschluss.

Bei der Live-Installation sitzt dann ein Vodafone/Arcor-Anschluss dahinter.

Ich hab fast die gleiche Vermutung, das hier die FritzBox gar nichts rausschickt.
Evtl. muss ich mal ne andere (jungfräuliche) Fritte ranhängen, dort die Rufnummern registrieren und sonst nichts einstellen.

Wenn dein Telefon(die PBX) in der FB registriert ist sollte aber zumindest schon die Signalisierung laufen.

Spiel doch sonst Mal mit den NAT Einstellungen der PBX herum.

[andreas84]

Hallo zusammen,

hab die letzten Tage weiter debugged...
Von Seiten der FritzBox kommt überhaupt keine Signalisierung bei der OPNsense an, da kann die OPNsense überhaupt nichts dafür.

Die FritzBox sitzt vmtl. selber auf dem Port 5060.
Hab jetzt mal die Rufnummern direkt bei der DTAG registriert (über STUN), dann gehts einwandfrei.
Mit Vodafone sollte es dann genauso auf diese Variante klappen...

Vielen Dank nochmal an alle!

Viele Grüße:
Andreas

[andreas84]

Hallo zusammen,

vielen herzlichen Dank für eure Hilfe.

Hab das Problem gefunden.
Lösung: Ich musste als externe IP-Adresse nicht die FritzBox, sondern das Firewall-Interface vom Uplink angeben.