Site to Site via IPSec, Herausforderung im SIP

Started by kArAsAn, November 21, 2021, 09:27:29 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
November 21, 2021, 09:27:29 AM
Guten Morgen,

ich habe Herausforderung beim korrekten einbinden eines zweiten Standortes, um dort auch die Telefonie zu nutzen. Zu erst einmal der Aufbau:

Beide Standorte sind vom Grundaufbau her identisch. Die Standorte haben einen Internetanschluss mit fester IPv4-Adresse, kein IPv6 und haben als Modem ein Draytek Vigor 167, direkt dahinter eine OpnSense als Firewall, DHCP-Server und Einwahl ins Internet. Dahinter kommen verschiedene Geräte ( WLAN-Router, Anwenderclients, .......). Im Standort A wird eine FreePBX genutzt, die auch keine Probleme im Netzwerk macht. Das telefonieren nach ausgehende, eingehende und untereinander funktioniert tadellos. Standort A hat ein eigenes Netz 10.7.7.0 und Standort B hat 10.7.8.0, jeweils auch in den Einstellungen bei IPSec hinterlegt.

Nun kommen wir zum Standort B. Dieser wird via IPSec eingebunden, auch das funktioniert, die Verbindung wird hergestellt, und Verbindungen zu entsprechenden Seiten und Diensten ( z. B. DNS) funktioniert nach entsprechender Freischaltung der Ports.

Kommen wir nun zu den Herausforderungen:

Wenn ich vom Standort A die IP der Firewall vom Standort B aufrufe, lande ich auf der Firewall des Standortes A, störend aber kann ich erstmal mit Leben.

Nun stellt das Snom M300 die Verbindung mit der FreePBX her und das Telefon ist Abrufbereit und wartet auf Telefonate. Wenn ich jetzt das Telefon anrufe, klingelt es auch erfolgreich, aber es findet keine Übertragung der Sprache statt.

Hier habe ich ein paar Dinge getestet:

Ohne Eintrag eines Stun-Server: Die Verbindungen werden geblockt. In der LiveAnsicht des Standortes A erscheint jedoch die Verbindung mit beiden externen IP4V-Adressen, während Standort B die internen aufweißt.

Mit Eintrag eines Stun-Server: Hier werden die IPv4-Adressen beim Standort A mit den internen aufgewiesen, Standort B weiterhin die internen.

Bei beiden Verbindungen ist aber folgendes identisch: Bei Standort B werden die korrekten PTR als Quelle ausgewiesen, als Ziel jedoch andere, Ist dies normal?

Beim Standort B werden die Ports trotz Einträgen weiterhin blockiert durch die default deny rules, kann ich diese irgendwie deaktivieren? Würde gerne alle Regeln gerne selber setzen, so dass ich die Reihenfolge ändern kann.

Habe auch einmal zum testen die Firewall-Regeln vollständig bei beiden deaktiviert, dadurch funktioniert zwar der Verbindungsaufbau, die Telefonie von der Sprache klappt aber nur einseitig, dafür wird aber bei beiden Standorten das Internet weggenommen.

Hat jemand noch einen Gedanken wie ich das alles lösen kann?

Wäre WireGuard eine bessere alternative für Telefonie bei Site to Site?

Vielen Dank vorab.

LG
November 21, 2021, 10:46:14 AM #1
Quote from: kArAsAn on November 21, 2021, 09:27:29 AM
Wenn ich vom Standort A die IP der Firewall vom Standort B aufrufe, lande ich auf der Firewall des Standortes A, störend aber kann ich erstmal mit Leben.
ich schätze das da noch irgendwas nicht richtig ist, das ist nicht das normale verhalten.
bitte mal screenshots (immer beide seiten):
- ipsec konfig
- firewall regeln
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
November 21, 2021, 01:46:47 PM #2
Habe einmal Bilder von gemacht. Von der IPSec habe ich jedoch nur vom Standort B gemacht, da diese bis auf die Beschreibung als Namen sowie der IP-Adresse identisch sind. Passwörter und IP habe ich unkenntlich natürlich gemacht.

Die Regeln der Firewalls habe ich von beiden Seiten aus gemacht.

Habe die Bilder einmal hochgeladen:

https://www.magentacloud.de/share/rlxfhwntwt
November 21, 2021, 07:35:09 PM #3
warum hast du soviele floating rules?
ich bin da immer sehr sparsam mit.
ich habe im ipsec firewall regeln:
- icmp
- und eine alles erlaubt regel (zum testen ist das auf alle fälle meine empfehlung, deine ganzen anderen versuche würde ich mal entfernen)
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
November 21, 2021, 08:06:39 PM #4
Habe die Regeln einmal verschlankt und jetzt werden keine Ports mehr geblockt.

Habe jetzt nur noch die Herausforderung, zumindest wird mir das im PhonerLite ( Bilder sind in der Freigabe) angezeigt, dass kein Audiocodec übertragen wird.

Da hast du jetzt nicht zufällig auch noch eine Idee?

Aber erstmal vielen Dank.
November 21, 2021, 08:16:16 PM #5
P.S: Habe den Fehler denke ich gefunden, habe in der FreePBX noch einmal das Netzwerk ergänzt und jetzt wird mir ein Codec angezeigt. Werde es morgen einmal testen wenn jemand vor Ort ist.
Print
Go Up Pages1
User actions