Verständnisfrage: FritzBox - OPNsense - MicroSIP VoIP

Started by DeltaJan, January 29, 2025, 02:00:05 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
January 29, 2025, 02:00:05 PM Last Edit: January 29, 2025, 02:17:27 PM by DeltaJan
Hallo zusammen!

Ich habe im Home-Office folgenden Aufbau:
Internetzugang per DSL mit öffentlicher, fester IP-Adresse, als DSL-Router eine FritzBox 7590, dahinter eine OPNsense Firewall und dahinter wiederum mein Office LAN mit diversen Clients. Auf einem dieser Clients betreibe ich ein MicroSIP als Softphone. Die FritzBox agiert dabei quasi als SIP-Provider/Server und stellt ein entsprechendes Telefoniegerät bereit. Die Einrichtung ist den Screenshots zu entnehmen. An der OPNsense wurden KEINE Firewall- oder NAT-Regeln definiert. Alles funktioniert einwandfrei, die MicroSIP-Applikation kann Rufe nach Extern aufbauen und auch Rufe von Extern empfangen.

Nun zu meiner Verständnisfrage: WARUM funktioniert das?
Müsste die OPNsense Firewall nicht zumindest die Rufe von Extern blockieren?
Vielleicht kann mir jemand den genauen Flow erklären, warum die FW hier quasi ,,durchtunnelt" wird?

Danke & viele Grüße

You cannot view this attachment.

You cannot view this attachment.

You cannot view this attachment.

You cannot view this attachment.


January 29, 2025, 03:07:45 PM #1
Du hast ja nicht gezeigt, wie Deine OpnSense konfiguriert ist. Das kann entweder ein routed-Setup sein, bei dem die Fritzbox die Route zu 192.168.0.0/24 kennt oder die OpnSense macht outbound NAT von 192.168.0.0/24 auf ihre WAN-IP.

Wie auch immer, Deine LAN-Clients haben Internet-Zugriff und auch Zugriff auf 172.16.0.0/24, somit auch auf den SIP-Server 172.16.0.1. Damit funktioniert zumindest die SIP-Registrierung ziemlich sicher. Es stellt sich nur die Frage, wie/warum eingehende RTP-Pakete per UDP durch die OpnSense kommen. Die entsprechenden Ports können per UPnP, über entsprechende Regeln oder mittels eines SIP proxy geöffnet werden.

Es ist übrigens auch so, dass ausgehende UDP-Pakete in der Gegenrichtung immer beantwortet werden können. Wenn Dein MicroSIP also die RTP-Ports nutzt, können umgekehrt auch eingehende Verbindungen durch.

Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
January 29, 2025, 03:59:11 PM #2
QuoteDu hast ja nicht gezeigt, wie Deine OpnSense konfiguriert ist. Das kann entweder ein routed-Setup sein, bei dem die Fritzbox die Route zu 192.168.0.0/24 kennt oder die OpnSense macht outbound NAT von 192.168.0.0/24 auf ihre WAN-IP.

In der Tat, die OPNsense macht Outbound NAT (Automatische ausgehende NAT Regelgenerierung).

QuoteEs stellt sich nur die Frage, wie/warum eingehende RTP-Pakete per UDP durch die OpnSense kommen. Die entsprechenden Ports können per UPnP, über entsprechende Regeln oder mittels eines SIP proxy geöffnet werden.

Und genau das war meine eigentliche Frage. Es sind m.E.n. keine deartige Regeln in der OPNsense definiert und ein SIP Proxy existiert auch nicht. Ich habe lediglich Regeln für den OpenVPN-Server auf Port 1194 definiert.

QuoteEs ist übrigens auch so, dass ausgehende UDP-Pakete in der Gegenrichtung immer beantwortet werden können. Wenn Dein MicroSIP also die RTP-Ports nutzt, können umgekehrt auch eingehende Verbindungen durch.

Dann sollte das am Ende die Erklärung sein?
January 29, 2025, 04:12:03 PM #3
Höchstwahrscheinlich.
Intel N100, 4 x I226-V, 16 GByte, 256 GByte NVME, ZTE F6005

1100 down / 800 up, Bufferbloat A+
Print
Go Up Pages1
User actions