[gelöst] OPNSense - Fritzbox - VOIP Telekom (Pistole auf der Brust)

Started by Megamanwwh, June 20, 2024, 07:16:11 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
June 20, 2024, 07:16:11 PM Last Edit: June 30, 2024, 02:13:33 PM by Megamanwwh
Seit Woche bekomme ich das VOIP nicht richtig ans laufen. Vom Draytek Modem zur OPNSense zu Fritzbox ist der Weg, ich kann mit dem Mobilfunk auf dem Festnetz anrufen und umgekehrt kein Thema. Aber mit dem Festnetz auf dem Festnetz funktioniert nicht. Ich habe mir zahlreiche Dokus durchgelesen und bekomme es nicht zum Laufen.

Nun kommt noch die Chefin ist Spiel und sagt das wenn das nicht ans laufen kommt, muss OPNSense gehen.

Habt ihr mal nen guten Tipp wie ich da noch zu potte kommen kann?

DSL von der Telekom und die Fritzbox ist eine 7390, OPNSense ist vor der Fritzbox.
June 20, 2024, 07:33:30 PM #1
Firewall - NAT - Outbound
Static port rule für die Fritte konfiguriert?

Das war das einzige was ich extra für den gleichen use-case konfigurieren musste.
June 20, 2024, 07:40:39 PM #2
Alternativ kann man auch kurz eine 3cx VM zum troubleshooten nehmen, die hat einen super VOIP Firewall tester drin der einem alle falschen Einstellungen zeigt die VOIP kaputt machen.
Hardware:
DEC740
June 20, 2024, 08:27:47 PM #3 Last Edit: June 20, 2024, 08:30:16 PM by RES217AIII
Ich hoffe, ich trage keine Eulen nach Athen. Zumal Du schon viele Anleitungen gefunden hast.
Bei mir hat folgende Anleitung aus dem Forum sehr gut und seit Jahren stabil funktioniert. (nicht auf meinem Mist gewachsen).
Zwar geht es hier um 1und1. Ich nutze selber aber Telekom.

Zitat:
[Ich muss gestehen, das ich durch die Diskussion nicht mehr ganz durchsteige, daher beschreibe ich mal, wie ich die Internettelefonie seit längerer Zeit mit 1&1 bei mir laufen habe (läuft übrigens genauso gut mit Sipgate).

Die Konfiguration läuft bis auf ganz seltene Aussetzer recht stabil, wobei ich die seltenen Aussetzer bisher noch nicht eindeutig untersucht habe, aber erst mal ohne genauere Kenntnisse der Fritzbox zuordne. Die Probleme treten aber ausschließlich bei längerem Ausfall der Internetverbindung auf. Die Zwangstrennung der Internetverbindung nach 24 Stunden stellt kein Problem dar (Die Fritzbox stellt sich nach 5 Minuten darauf ein, nachts kein Problem).

Das grundlegende Setup baut ausschließlich Verbindungen von innen nach außen auf, so dass man keine eingehenden Portfreigaben benötigt, welche sich nur schwer auf IP-Adressbereiche im Internet eingrenzen lassen. Vorab ist zu sagen, das sich dieses Setup primär auf 1&1 bezieht und nicht unbedingt direkt auf andere Anbieter übertragen läßt, da die Implementierungen der Registrare durchaus unterschiedlich sein können. Weiterhin ist dieses Setup noch unoptimiert und gewährt der Fritzbox ausgehend weitreichende Zugriffe auf das Internet (ist aber nicht grundlegend problematisch, da die Fritzbox als primärer Router die gleichen Zugriffe hätte und der Hersteller zudem seinen guten Ruf zu verlieren hätte).

Opnsense 20.7.3 (primäre Firewall und Router, managt Internetverbindung über PPPoE, einzige NAT-Instanz)
Fritzbox 7490 (Firmware v.7.21, Client-Modus)

Setup Opnsense:
Firewall -> NAT -> Port Forward
nicht notwendig
Firewall -> NAT -> Outbound
Interface: WAN
TCP/IP Version: IPv4
Protocol: UDP
Client address: interne IP der Fritzbox
Source port: any
Destination address: any
Destination port: any
Translation target: interface address
Static port: yes (*)
Firewall -> Rules -> Client Net
Action: Pass
Interface: LAN Net
Direction: in
TCP/IP Version: IPv4
Protocol: TCP/UDP
Source: interne IP der Fritzbox
Source port range: (5060:5061, 7070:7109) [über Alias kapseln]
Destination: !RFC1918 (alle nicht privaten IPv4-Adressen)
Destination port range: any
Firewall -> Settings -> Advanced
Firewall optimization: conservative [unterbindet schnellen Timeout offener Verbindungen in Firewall — evtl. funktioniert "normal" auch, kann aber grenzwertig sein]

Setup Fritzbox:
Eigene Rufnummern:
Registrar: sip.1und1.de
STUN: stun.1und1.de
Internettelefonie-Anbieter kontaktieren über: IPv4
Telefonie -> Eigene Rufnummern -> Anschlusseinstellungen -> Telefonieverbindung
Portweiterleitung des Internet-Routers für Telefonie aktiv halten: aktiviert (*)
Portweiterleitung aktiv halten alle: 30 sek. (*)]
Supermicro M11SDV-4C-LN4F AMD EPYC 3151 4x 2.7GHz RAM 8GB DDR4-2666 SSD 250GB
June 20, 2024, 08:28:17 PM #4 Last Edit: June 20, 2024, 08:30:28 PM by Patrick M. Hausen
Ausgehendes NAT:


Eingehendes Port-Forward:


"Port_Phone" ist 5060 und 7078:7110

Funktioniert wie eine Eins. "Festnetz"-Anrufe über die Telekom, Kopplung mit der Starface meiner Firma, ...
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
June 20, 2024, 08:38:20 PM #5
Moin,

ich bin auch bei der Telekom und habe auch die Konstellation Vigor 167 -> opnsense -> fritzbox (Client für VoIP).
Ich habe unter Outbound die Regel aktiviert, die ich als Screenshot angehangen habe.
Zudem habe ich unter LAN folgende UDP Ports für die Fritzbox freigegeben:
3478, 3479, 5060, 7070:7089, 5061

Die Fritzbox habe ich wie folgt konfiguriert (siehe Anhang).
Seitdem habe ich keinerlei Probleme mehr und es funktioniert einwandfrei.


June 20, 2024, 10:01:22 PM #6
Ich glaube das ich das einfach nicht umgesetzt bekomme, weil ich die Punkte nicht finde.

Code Select
Firewall -> Rules -> Client Net [b] (damit ist das interne LAN gemeint in dem die Fritzbox ist?)[/b]
Action: Pass
Interface: LAN Net [b](also ein nur LAN?)[/b]
Direction: in
TCP/IP Version: IPv4
Protocol: TCP/UDP
Source: interne IP der Fritzbox
Source port range: (5060:5061, 7070:7109) [über Alias kapseln]  [b](Ich verstehe nicht was "über Alias kapseln" genau bedeutet)[/b]
Destination: !RFC1918 (alle nicht privaten IPv4-Adressen)
Destination port range: any
Firewall -> Settings -> Advanced
Firewall optimization: conservative [unterbindet schnellen Timeout offener Verbindungen in Firewall — evtl. funktioniert "normal" auch, kann aber grenzwertig sein]

June 20, 2024, 10:26:56 PM #7
Schau vielleicht mal bei mir rüber: https://forum.opnsense.org/index.php?topic=37187.msg201777#msg201777

Ich hatte das damals auch am Anfang nicht verstanden, nahm aber an, dass damit LAN gemeint sein muss. Über Alias gekapselt meint, dass er ein Alias angelegt hat, in dem die Ports definiert wurden. Wenn du Programmiererfahrung hast, kannst du dir ein Alias wie eine Variable vorstellen, in die du hinein Informationen wie Ports, IPs und andere Informationen schreibst. Hier: damit du nicht ständig die Portranges herunterschreiben musst. Auch bei Destination der !RFC1918 kann über ein Alias gelöst werden:







OptionValue
EnabledChecked
NamePrivateNetworks
TypeNetwork(s)
Content10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,(include your static IPv6 range if you have one)
DescriptionAll local networks
In dem Zusammenhang musst du dann von "Destination / Invert    Use this option to invert the sense of the match. " Gebrauch machen. Du sagst also "alles, was nicht in dem Alias steht".
June 20, 2024, 10:33:30 PM #8
Danke, für heute ist Schicht. Ich versuche es morgen weiter nach der Arbeit.

Die Hoffnung stirbt zuletzt, dann ich durch die Pistole meiner Frau XD
June 21, 2024, 09:17:09 AM #9
Quote from: Megamanwwh on June 20, 2024, 10:33:30 PM
Danke, für heute ist Schicht. Ich versuche es morgen weiter nach der Arbeit.

Die Hoffnung stirbt zuletzt, dann ich durch die Pistole meiner Frau XD

Sexualisierte Gewalt gegen Servicepersonal? Ich würde da mal mit der Polizei sprechen...
kind regards
chemlud
____
"The price of reliability is the pursuit of the utmost simplicity."
C.A.R. Hoare

felix eichhorns premium katzenfutter mit der extraportion energie

A router is not a switch - A router is not a switch - A router is not a switch - A rou....
June 21, 2024, 03:29:04 PM #10 Last Edit: June 21, 2024, 03:47:28 PM by Megamanwwh
Was sagt ihr denn zu dieser Anleitung?

Eine Detaillierte Anleitung für die Konfiguration von OPNSense 24.1.6-amd64, um sicherzustellen, dass Ihre Fritzbox als Telefonanlage korrekt mit der Telekom als Anbieter funktioniert:

Schritt 1: Ports freigeben
WAN-Firewall-Regeln
Gehe zu: Firewall > Rules > WAN.

Erstelle eine neue Regel:

Action: Pass
Interface: WAN
TCP/IP Version: IPv4
Protocol: UDP
Source: any
Source Port Range: any
Destination: WAN Address
Destination Port Range: 5060-5061 (für SIP)
Description: Allow SIP
Erstelle eine weitere Regel:

Action: Pass
Interface: WAN
TCP/IP Version: IPv4
Protocol: UDP
Source: any
Source Port Range: any
Destination: WAN Address
Destination Port Range: 5004-5005, 16384-32768 (für RTP)
Description: Allow RTP
Schritt 2: NAT Outbound Regeln anpassen
Gehe zu: Firewall > NAT > Outbound.
Wähle Modus: Hybrid Outbound NAT rule generation oder Manual Outbound NAT rule generation.
Erstelle eine neue Regel:
Interface: WAN
Source: Das Netzwerk der Fritzbox (z.B. 192.168.178.0/24)
Source Port Range: any
Destination: any
Destination Port Range: any
Translation / target: Interface address
Translation Port: any
Description: NAT for Fritzbox SIP/RTP
Schritt 3: Firewall Regeln für LAN Interface
Gehe zu: Firewall > Rules > LAN.

Erstelle eine neue Regel:

Action: Pass
Protocol: UDP
Source: Fritzbox IP (z.B. 192.168.178.1)
Source Port Range: any
Destination: any
Destination Port Range: 5060-5061 (für SIP)
Description: Allow SIP from Fritzbox
Erstelle eine weitere Regel:

Action: Pass
Protocol: UDP
Source: Fritzbox IP (z.B. 192.168.178.1)
Source Port Range: any
Destination: any
Destination Port Range: 5004-5005, 16384-32768 (für RTP)
Description: Allow RTP from Fritzbox
Schritt 4: Floating Rules erstellen (optional)
Gehe zu: Firewall > Rules > Floating.
Erstelle eine neue Regel:
Action: Pass
Interface: WAN
Direction: in
Protocol: UDP
Source: any
Source Port Range: any
Destination: Fritzbox IP (z.B. 192.168.178.1)
Destination Port Range: 5060-5061, 5004-5005, 16384-32768
Description: Allow SIP/RTP to Fritzbox
Schritt 5: QoS (Quality of Service) einrichten
Gehe zu: Firewall > Traffic Shaper > Settings.
Erstelle Regeln, um den VoIP-Traffic zu priorisieren. Setzen Sie eine höhere Priorität für die oben genannten Ports:
Gehe zu: Firewall > Traffic Shaper > Pipe.
Erstelle eine neue Pipe:
Bandwidth: Entsprechend der verfügbaren Bandbreite (z.B. 1Mbit für VoIP)
Description: VoIP Pipe
Gehe zu: Firewall > Traffic Shaper > Queue.
Erstelle eine neue Queue:
Parent: VoIP Pipe
Weight: 100 (Höhere Priorität)
Description: VoIP Queue
Gehe zu: Firewall > Traffic Shaper > Rules.
Erstelle eine neue Regel:
Interface: LAN
Protocol: UDP
Source Port Range: 5060-5061, 5004-5005, 16384-32768
Destination: any
Target: VoIP Queue
Description: QoS for VoIP
Schritt 6: Überprüfung und Fehlerbehebung
Firewall Logs: Überprüfen Sie die Firewall-Logs (Firewall > Log Files > Live View), um sicherzustellen, dass keine relevanten Pakete blockiert werden.
Packet Capture: Verwenden Sie die Packet Capture Funktion (Interfaces > Diagnostics > Packet Capture), um den Netzwerkverkehr zu analysieren und sicherzustellen, dass die SIP-Pakete korrekt durchgeleitet werden.
Mit diesen Einstellungen sollten Sie in der Lage sein, Ihre Telefonie über die Fritzbox hinter der OPNSense-Firewall korrekt zu betreiben.
June 22, 2024, 09:45:21 PM #11
Also ich kann Dir nur eins empfehlen, wenn Dich in diesen Bereich begeben und Spaß haben möchtest - und damit meine ich sämtliche Bereiche in der IT:
Eigne Dir an, Log-Dateien aufzusuchen, diese zu teilen, wenn Du Dir sicher bist, dass sie den Fehler aufzeigen. Nutze das Logging, um Dich darüber zu informieren, wie sich Deine jetzt gesetzte Einstellung auswirkt - hier in dem Fall der Live View.

Ich vermute mal nicht, dass Dir Deine Frau gesagt hat, dass Du jetzt bitte die OPNsense einbauen sollst, die sie gerade von ihrer Freundin geschenkt bekommen hat. Daher wirst Du das vermutlich tun, weil Du es entweder als reines Hobby oder mit einem beruflichen Hintergrund Dir anschauen/erarbeiten möchtest. Und zu letzterem solltest Du systematischer vorgehen, um hier weiterzukommen. Soll heißen, kopiere nicht einfach kopflos von jemand anderem, sondern schaue Dir an, wieso er das so gemacht hat, und hinterfrage, wieso gerade das jetzt für Dich Sinn ergibt. Klar, letzteres wirst Du erst ab einem gewissen Level beantworten können, doch wenn Du einfach nur sinnfrei Konfigurationen auf Deine Sense schmeißt, wird es sehr wahrscheinlich nicht irgendwann funktionieren. Das oben geschriebene lässt mal außer Acht, dass sich mit dem Thema bereits andere befasst haben und dafür eine Lösung gefunden haben.

Das mag jetzt sehr harsch geschrieben sein und ich bitte um Entschuldigung, aber es ist ehrlich und spiegelt meinen Weg mit der Sense wider.

Ich kann Dir empfehlen, dass Du zu bestimmten Zeiten an Deinem Thema arbeitest. Als ich nur eine Fritz!Box hatte, habe ich am Abend ein Backup der gesamten Box erstellt, die dann in den IP-Client Modus gesetzt, alles Weitere auf ihr eingestellt und meine OPNsense angeschlossen und getestet. Wenn sich der Abend dem Ende neigte und ich war nicht am Ziel mit VoIP, habe ich die Box mit dem Backup zurückgesetzt und die Sense abgezogen. Damit war meine Frau glücklich, denn sie konnte wie gewohnt über die Fritz!Box telefonieren und ich in aller Ruhe meinem Ziel näher kommen. Jetzt bin ich am Ziel, meine Frau ist immer noch glücklich und ich jetzt auch, weil meine Sense endlich in Dienst gestellt ist und VoIP über die Fritz!Box funktioniert,
June 30, 2024, 02:12:34 PM #12
Ich möchte mich noch einmal herzlichst bedanken, ich bin noch in der Kennlernphase mit OPNSense und nicht weniger begeistert als zum Anfang. Ich glaube wenn ich mit mehr Informationen aufgetreten wäre, hättet ihr mir sofort gesagt ,,schieb die Regel die, die Portfreigabe erlaubt, nach oben".

Damit schieße ich das Thema als gelöst.
Print
Go Up Pages1
User actions