[gelöst] SIP Konfiguration

kosta · July 30, 2021, 12:38:46 PM

Hallo,

wir haben eine neue Tel-Anlage, und diesmal ist es eine komplette VOIP Anlage.
Gibt es etwas (außer Shaping) worauf man bei OPNsense achten muss?

JeGr · July 30, 2021, 12:41:55 PM

Generell - unabhängig von OPNsense bei jeder Firewall - ist zu beachten, das SIP extrem mies reagiert, wenn es die Ports nicht bekommt die es will. Somit sollte abgehend bspw. SIP (5060/5061) nicht random umgeschrieben werden, sondern via static port seine Zuweisung behalten. Andernfalls wird VoIP extrem unschön.

Besides that, kommt alles weitere stark auf Anlage und Provider an, die diktieren, welche Ports, welche IPs, welche Richtung und wohin.

Cheers

kosta · July 30, 2021, 12:49:02 PM

Wenn du schon Ports erwähnst... das ist genau das Thema aus dem anderen Thread, UC Server will ausgehend und eingehend die High-Ports für Voice. Bei UC kann man diese eingrenzen, und das haben wir auf 1000 Ports gemacht.
Und damit ein Port Forwarding mit Aliasen.

Was meinst du mit "static Ports"? Die Anlage ist eigentlich eine VM, daher gibt es keine Ports wirklich. Es läuft alles über einem 10Gbit Port auf der scope7 und das funkt sehr gut.

Sonst sind wir noch in der Umstellungsphase, 3CX haben wir aktuell, gewechselt wird auf Nfon, und wir haben auch die Besonderheit des Arbeitens lokal und auf der Citrix Farm, was uns die Sache umso schwieriger macht. VOIP via VPN hin und her.

lfirewall1243 · July 30, 2021, 12:52:19 PM

Quote from: kosta on July 30, 2021, 12:49:02 PM
Wenn du schon Ports erwähnst... das ist genau das Thema aus dem anderen Thread, UC Server will ausgehend und eingehend die High-Ports für Voice. Bei UC kann man diese eingrenzen, und das haben wir auf 1000 Ports gemacht.
Und damit ein Port Forwarding mit Aliasen.

Was meinst du mit "static Ports"? Die Anlage ist eigentlich eine VM, daher gibt es keine Ports wirklich. Es läuft alles über einem 10Gbit Port auf der scope7 und das funkt sehr gut.

Sonst sind wir noch in der Umstellungsphase, 3CX haben wir aktuell, gewechselt wird auf Nfon, und wir haben auch die Besonderheit des Arbeitens lokal und auf der Citrix Farm, was uns die Sache umso schwieriger macht. VOIP via VPN hin und her.

Ich habe so einige VOIP Anlagen hinter OPNsense am laufen und musste nirgends Portweiterleitungen anlegen.

Lediglich Outbound NAT auf Static setzen und dann klappte alles, teilw. sogar mit doppelten NAT...

kosta · July 30, 2021, 01:46:08 PM

Danke, werde am Montag ausprobieren.

JeGr · July 30, 2021, 02:16:55 PM

> Lediglich Outbound NAT auf Static setzen und dann klappte alles, teilw. sogar mit doppelten NAT...

Genau das war gemeint. Outbound NAT für die IP der Anlage oder für die IP + PortAlias auf static setzen, damit abgehend, wenn die Anlage rausredet der SIP oder RTP Port nicht geändert wird. Da SIP das (ungefähr) ähnlich wie FTP in der Kommunikation mit aushandelt, wäre sonst ein anderer ankommender Port fatal (ums einfach zu erklären). Darum ausgehend static Port NAT damit auch bspw. 5060 ausgehend ein 5060 bleibt und nicht plötzlich bei der Remote Seite mit 47523 ankommt :)

kosta · July 30, 2021, 02:44:56 PM

SIP ist für mich neu, daher danke für die Tipps. Mit 3CX hatten wir zwar intern VOIP aber extern ISDN. Daher war das nie ein Thema.

kosta · July 30, 2021, 04:08:58 PM

Outbound NAT ist mir klar, aber wenn ich einen Client habe, der von außen den Call initiiert, brauche ich dann nicht eingehend auch was, Port Forward? Static Outbound NAT macht quasi nur sicher, dass das was rausgeht am Port 5060 bleibt. zB. ein Rechner der nicht zwingend im VPN ist, aber vom Rechner aus die Verbindung aufbaut und anruft. Der hat die Firewall als IP und geht rein auf Port 7222, dieser muss auf Port Forward stehen, sonst geht gar nix. Und dabei muss die Firewall eigentlich eingehend erlauben, oder?

lfirewall1243 · August 02, 2021, 08:11:19 PM

Quote from: kosta on July 30, 2021, 04:08:58 PM
Outbound NAT ist mir klar, aber wenn ich einen Client habe, der von außen den Call initiiert, brauche ich dann nicht eingehend auch was, Port Forward? Static Outbound NAT macht quasi nur sicher, dass das was rausgeht am Port 5060 bleibt. zB. ein Rechner der nicht zwingend im VPN ist, aber vom Rechner aus die Verbindung aufbaut und anruft. Der hat die Firewall als IP und geht rein auf Port 7222, dieser muss auf Port Forward stehen, sonst geht gar nix. Und dabei muss die Firewall eigentlich eingehend erlauben, oder?

Du musst Unterscheid.

Meinst du mit einem vom außen initiierten Ruf, einen Anruf auf deinen SIP Trunk?
Dann benötigst du keine Portweiterleitungen, da alles über den Provider ausgehandelt wird.

Möchtest du z.B. ein Softphone oder VOIP Telefon von außen direkt an die Anlage anbinden?
Dann brauchst du entweder Portweiterleitungen oder VPN. Aus Sicherheitsgründen würde ich die SIP Port nie direkt im Netz erreichbar machen, daher nur per VPN.
Entweder bietet die Telefonanlage selbst einen VPN Server oder du löst es mit openvpn, ipsec oder wireguard der OPNsense.

kosta · August 02, 2021, 08:42:58 PM

Danke, gute Tipps.
Aktuell bin ich dabei bei allen externen Benutzern die OpenVPN zu konfigurieren, und die sind alle immer an, verbinden auch automatisch bei der Anmeldung. Und die Handyapps benötigen die Portweiterleitungen nicht, da sie via STUN Server (UCConnect) funktionieren, ohne dass ich was machen muss.

Das schlechte dran, ich habe gestern versucht die Outbound NAT zu konfigurieren, und kam heute in die Firma, und niemand konnte Teln, weder in 3CX noch Nfon. War richtig geil. OK, alles retour und nach paar Minuten ginge wieder (schätze mal dass es wegen die States etwas gedauert hat, hätte auch States Reset machen können, aber damit kille ich alles, daher abgewartet).

Mein Outbound Rule sieht so aus:
Interface: WAN
Source: Tel_Server
Source Port: tcp/udp/ PortGrp_SIP (5060,5061,31000:32000)
Destination: *
Destination Port: tcp/udp/ PortGrp_SIP
NAT Address: WAN address
NAT Port: *
Static Port: YES

Dabei habe ich die Portweiterleitungen deaktiviert. Und damit war alles tot.

robgnu · August 02, 2021, 09:19:37 PM

Hallo kosta,

lass mal die Angabe der "Destination" weg und setze mal die Optionen wie folgt beim Outbound NAT:

Interface    WAN
Protocol    UDP
Source address    IP- oder Alias der TK-Anlage
Source port    Alias VoIP_ports
Static-port    aktiviert
Description    VoIP TK2WAN

Gruß
Robert

kosta · August 02, 2021, 09:23:15 PM

Leer lassen kann ich nicht. * ist any.
Und was du sagst, UDP impliziert nur die Voice-Ports. Nicht 5060, welches glaube ich ist TCP.

robgnu · August 02, 2021, 09:37:25 PM

Hi,
mit leer lassen meinte ich die Standardeinstellung.
SIP ist meist UDP, es sei denn dein SIP-Provider macht das explizit über TCP. Bei SIP-Trunk Anschlüssen ist das i.d.R. TCP, meistens jedoch UDP.

Gruß
Robert

kosta · August 06, 2021, 08:27:38 AM

Hallo,

mit "VOIP Ports" sind hier SIP (5060,5061) und RTP Ports (was auch immer, meistens custom)?

lfirewall1243 · August 06, 2021, 08:33:36 AM

Quote from: kosta on August 06, 2021, 08:27:38 AM
Hallo,

mit "VOIP Ports" sind hier SIP (5060,5061) und RTP Ports (was auch immer, meistens custom)?

Also die VOIP Ports sind erstmal nur die hinterlegten in deiner Telefonanlage.
Normalerweise sind dies 5060 für die SIP Pakete und 10000-20000 für die RTP Pakete.

[gelöst] SIP Konfiguration

kosta

July 30, 2021, 12:38:46 PM Last Edit: August 06, 2021, 10:38:12 AM by kosta

JeGr

July 30, 2021, 12:41:55 PM #1

kosta

July 30, 2021, 12:49:02 PM #2

lfirewall1243

July 30, 2021, 12:52:19 PM #3

kosta

July 30, 2021, 01:46:08 PM #4

JeGr

July 30, 2021, 02:16:55 PM #5

kosta

July 30, 2021, 02:44:56 PM #6

kosta

July 30, 2021, 04:08:58 PM #7 Last Edit: July 30, 2021, 04:11:15 PM by kosta

lfirewall1243

August 02, 2021, 08:11:19 PM #8

kosta

August 02, 2021, 08:42:58 PM #9 Last Edit: August 02, 2021, 08:45:31 PM by kosta

robgnu

August 02, 2021, 09:19:37 PM #10 Last Edit: August 02, 2021, 09:22:01 PM by robgnu

kosta

August 02, 2021, 09:23:15 PM #11

robgnu

August 02, 2021, 09:37:25 PM #12

kosta

August 06, 2021, 08:27:38 AM #13

lfirewall1243

August 06, 2021, 08:33:36 AM #14