3CX Firewallregeln

[Krathorias]

Servus liebe Community,

nachdem ich jetzt keinen Telekomanschluss mehr habe (Internet läuft über Starlink) wollte ich mir ne 3CX einrichten und darüber dann die Telefonie regeln.

Ich stehe aktuell aber vor dem Problem dass der Firewall Check von 3CX nicht sauber durchläuft.
Vermutlich habe ich irgendwo in den Regeln nen Fehler eingebaut aber finde ihn nicht wirklich.

Ich habe mich bei den Regeln an folgenden Walktrough gehalten:

https://www.3cx.com/docs/pfsense-firewall/

Hier Screenshots meiner Regeln:

https://imgur.com/a/2f4cQNV

Mein Netzaufbau sieht folgender Maßen auf:

Internet <--> Opnsense (192.168.1.1 /24) <--> (Switch 192.168.1.0/24) <--> Synology NAS mit 3CX als virt. Maschine (10.10.20.131 Adresse der 3CX)


Ich hoffe mir kann hier jemand den richtigen Denkanstoß geben.

[micneu]

Hat das synology zufällig auch eine Firewall?


Gesendet von iPhone mit Tapatalk Pro

[lfirewall1243]

Servus liebe Community,

nachdem ich jetzt keinen Telekomanschluss mehr habe (Internet läuft über Starlink) wollte ich mir ne 3CX einrichten und darüber dann die Telefonie regeln.

Ich stehe aktuell aber vor dem Problem dass der Firewall Check von 3CX nicht sauber durchläuft.
Vermutlich habe ich irgendwo in den Regeln nen Fehler eingebaut aber finde ihn nicht wirklich.

Ich habe mich bei den Regeln an folgenden Walktrough gehalten:

https://www.3cx.com/docs/pfsense-firewall/

Hier Screenshots meiner Regeln:

https://imgur.com/a/2f4cQNV

Mein Netzaufbau sieht folgender Maßen auf:

Internet <--> Opnsense (192.168.1.1 /24) <--> (Switch 192.168.1.0/24) <--> Synology NAS mit 3CX als virt. Maschine (10.10.20.131 Adresse der 3CX)


Ich hoffe mir kann hier jemand den richtigen Denkanstoß geben.

So weit ich weiß gibt es bei Starlink nur eine CGNAT IPV4 Adresse.
Würde also in die Richtung mal schauen. Vielleicht reicht es schon das STATIC-NAT für die IP der 3CX einzuschalten.
Und was meinst du mit "nicht sauber durch läuft"? Was funktioniert und was nicht?

[maclinuxfree]

Hallo,

bei meiner 3CX fällt mir noch dieser Tweak ein:

https://i.imgur.com/1kYsBIB.png

Könnte aber bei Starlink ggf. negative Effekte haben.

[trixter]

würde für die betreffenden Interfaces eine "Pass any any Log"-Regel bauen, um zu schauen welcher Traffic denn nötig ist ?
Oder sogar den Traffic direkt mitsniffen und per Wireshark analysieren - das hat mich schon oft weiter gebracht.

[Krathorias]

Entschuldigt meine späte Rückmeldung hatte ein bisschen was um die Ohren und kam deswegen noch nicht zum testen.

Mit nicht sauber durchlaufen mein ich das hier:

https://imgur.com/a/iMv7fDX

Interessanterweise funktioniert die Anmeldung bei Sipgate Basic aber.

Mit Wireshark wollte ich auch schon arbeiten muss aber gestehen dass ich noch nicht weiß wie ich den Traffic richtig sniffen kann weil ich ja im Prinzip alle Pakete die am LAN Port der opnsense ankommen sniffen muss.

Tu mich aber auch allgemein mit den Firewallregeln erstellen etwas schwer

[alex3003]

Da bei mir jetzt immer häufiger Verbindungsabbrüche vorkommen, habe ich bei mir den Firewalltest gemacht und das gleiche Problem festgestellt.

Im Anhang ein Bild der Fehlermeldung vom 3cx Firewalltest und der Firewall NAT Portweiterleitung.

Hat jemand eine Lösung für dieses Probelm?


Gruß
Alexander

[alex3003]

Hier das Bild der OPNsense Firewall NAT Portweiterleitung

[micneu]

Warum musst du NATen? Ich hatte damals b i mir nur outbound nat für meine FRITZ Box konfiguriert mit static Ports?


Gesendet von iPhone mit Tapatalk Pro

[alex3003]

Das heißt die Einträge nicht in NAT Portweiterleitung sondern in NAT Ausgehend?

[alex3003]

Ich habe gerade den Eintrag hinzugefügt wie hier beschrieben: https://docs.netgate.com/pfsense/en/latest/recipes/nat-voip-pbx.html
Aber es geht noch nicht.

[alex3003]

Problem gelöst!

Ich hatte zuerst durch das Klonen anstatt UDP TCP drin, dadurch konnte es nicht funktionieren.
Danach waren die SIP Trunk immer noch "rot", im 3cx Forum wird erwähnt das die Telekom das SIP Protokoll von TCP auf UDP umgestellt hat.
Nach der Änderung ist jetzt alles "grün". :D

[bimbar]

Ich würde es mal mit static-port versuchen.

[alex3003]

Hallo zusammen,

seit gestern funktioniert Registrierung der SIP Trunks nicht mehr.

Es kommt folgende Fehlermeldung:
Die Registrierung bei XXXX ist fehlgeschlagen.
Mögliche Ursachen: Das Ziel (sip:217.0.147.197:5060;lr) ist nicht erreichbar, bei der FQDN-Auflösung ist ein DNS-Fehler aufgetreten oder der Dienst ist nicht verfügbar.

Die Konfiguration von FQDN hatte ich bis jetzt nicht vorgenommen, weil ich bis jetzt nicht weis wie das funktioniert.
In dieser Anleitung wird es gezeigt wie es mit der pfsense funktioniert: https://www.3cx.com/docs/pfsense-firewall/
Aber die Menüs ,,Dienste"  > ,,DNS-Resolver" usw. gibt es bei der opnsense nicht.

Hat vielleicht jemand eine Anleitung wie das mit der opnsense eingestellt wird?
Es läuft auch noch AdGuard auf der opnsense.


Gruß
Alexander

[RES217AIII]

Die Konfiguration von FQDN hatte ich bis jetzt nicht vorgenommen, weil ich bis jetzt nicht weis wie das funktioniert.
In dieser Anleitung wird es gezeigt wie es mit der pfsense funktioniert: https://www.3cx.com/docs/pfsense-firewall/
Aber die Menüs ,,Dienste"  > ,,DNS-Resolver" usw. gibt es bei der opnsense nicht.

Hat vielleicht jemand eine Anleitung wie das mit der opnsense eingestellt wird?
Es läuft auch noch AdGuard auf der opnsense.


Gruß
Alexander

Vielleicht hilft das:
https://github.com/AdguardTeam/AdGuardHome/wiki/Configuration#upstreams-for-domains