Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense

[His.Dudeness]

Hallo Zusammen,

ich hatte auch die ganze Zeit das Problem, dass es zwar gelingelt hat aber man nichts hören konnte und nach ca. 10 Sek ist das Gespräch abgebrochen.

Ich nutze die FritzBOX 7940 als reine TK-Anlage hinter der OPNSense an einem Telekom-VoIP-Magenta-Gedöns für zuhause. (An einem FTTH-Anschluss, aber ich glaube das spielt keine Rolle. Sollte am DSL genau so gehen)

Am Ende musste ich KEINE eingehenden Portforwardings für SIP oder RTP und auch keine eingehenden Firewall-Regeln anpassen. Der entscheidene Punkt war die source port randomization bei der Outbound-NAT Regel.

Unter Firewall -> NAT -> Outbound

1) Manual outbound NAT rule generation auswählen

2) Drei neue Regeln von Hand erstellen. Im Grunde habe ich die beiden Default-Regeln übernommen und eine eigene dazu gebaut. Der einzige Unterschied der Regeln ist der Punkt "Static Port"

a) Die eine default-Regel für ISAKMP (Zielport 500 UDP) = Static Port YES
b) Eine für die FritzBOX (Quell IP = IP der Fritzbox im LAN)  = Static Port YES
c) Die andere default Regel für alles andere = Static Port NO

Danach ging es sofort. 

Ich denke, dass das ein Bug in der OPNsense ist, weil es eigentlich auch _mit_ source port randomization gehen müsste. Der Punkt ist nämlich, dass falls die Fritzbox einen Port verwenden will, der zufällig schon von einem anderen Client für etwas anderes genutzt wird, würde das Telefonat wieder auf die Nase fallen, weil die OPNsense den Port ja dann nicht umschreiben kann. In meinem Heimnetz mit den paar Clients ist das aber eher unwahrscheinlich...
 
Gruß
Michael

[opnboi]

Das wird ja dann jetzt doch ein bisschen unklarer

Was wird denn jetzt genau aus dem ersten Post noch an Regeln benötigt?

Stehe vorm Umzug von ner FritzBox! inkl. DECT auf die OPNSense - die FritzBox! soll dann hinter der OPNSense als AP und DECT Station dienen...

[direx]

Also ich habe genau wie His.Dudeness für Drosselkom VoIP nur genau eine Outbound-NAT-Regel bei mir.

Setup ist wie folgt:

• FTTH-Modem -> OPNsense (per PPPoE) -> Fritz!Box (als DECT-Basis)
• Eine einzige Outbound-NAT-Regel mit Static-Port für die Fritz!Box (siehe Screenshot). Andere Regeln brauche ich für VoIP nicht, auch keinen SIP Proxy.

VG
direx

[His.Dudeness]

Ja, geht auch mit einer Regel.

Wenn man bei den Outbound-NAT Regeln die Auswahl oben auf "Hybrid" stellt. Also "Defaut Regeln + Eigene Regeln" reicht die eine.  Sonst braucht man nichts.

Ich frage mich aber trotzdem ob das irgednwann mal gefixt wird. Eigentlich müsste es ja auch ganz ohne Regel gehen. Naja, bis dahin kann man ganz gut mit dem Workaround leben, finde ich.

[opnboi]

Fragt sich ob es für 1und1 genauso funktioniert;)

[Amari]

Code: [Select]

rtpproxy1-ngn.1und1.de - 212.227.124.2
rtpproxy2-ngn.1und1.de - 212.227.124.3
rtpproxy3-ngn.1und1.de - 212.227.124.66
rtpproxy4-ngn.1und1.de - 212.227.124.67
rtpproxy5-ngn.1und1.de - 212.227.124.4
rtpproxy6-ngn.1und1.de - 212.227.124.68
stun.1und1.de - 212.227.67.34
stun.1und1.de - 212.227.67.33
sipbalance1-1.1und1.de - 212.227.67.131
sipbalance2-1.1und1.de - 212.227.67.132
sipbalance3-1.1und1.de - 212.227.67.133
sipbalance4-1.1und1.de - 212.227.67.134
sipbalance5-1.1und1.de - 212.227.67.135
sipbalance6-1.1und1.de - 212.227.67.136
sipbalance7-1.1und1.de - 212.227.67.137
sipbalance8-1.1und1.de - 212.227.67.138
sipbalance9-1.1und1.de - 212.227.67.139
sipbalance10-1.1und1.de - 212.227.67.140
sipbalance1-2.1und1.de - 212.227.67.201
sipbalance2-2.1und1.de - 212.227.67.202
sipbalance3-2.1und1.de - 212.227.67.203
sipbalance4-2.1und1.de - 212.227.67.204
sipbalance5-2.1und1.de - 212.227.67.205
sipbalance6-2.1und1.de - 212.227.67.206
sipbalance7-2.1und1.de - 212.227.67.197
sipbalance8-2.1und1.de - 212.227.67.198
sipbalance9-2.1und1.de - 212.227.67.199
sipbalance10-2.1und1.de - 212.227.67.200
sipbalance1-3.1und1.de - 212.227.18.131
sipbalance2-3.1und1.de - 212.227.18.132
sipbalance3-3.1und1.de - 212.227.18.133
sipbalance4-3.1und1.de - 212.227.18.134
sipbalance5-3.1und1.de - 212.227.18.135
sipbalance6-3.1und1.de - 212.227.18.136
sipbalance7-3.1und1.de - 212.227.18.137
sipbalance8-3.1und1.de - 212.227.18.138
sipbalance9-3.1und1.de - 212.227.18.139
sipbalance10-3.1und1.de - 212.227.18.140
sipbalance1-4.1und1.de - 212.227.18.201
sipbalance2-4.1und1.de - 212.227.18.202
sipbalance3-4.1und1.de - 212.227.18.203
sipbalance4-4.1und1.de - 212.227.18.204
sipbalance5-4.1und1.de - 212.227.18.205
sipbalance6-4.1und1.de - 212.227.18.206
sipbalance7-4.1und1.de - 212.227.18.197
sipbalance8-4.1und1.de - 212.227.18.198
sipbalance9-4.1und1.de - 212.227.18.199
sipbalance10-4.1und1.de - 212.227.18.200


Wie macht ihr das denn nun? Nur die IPs als Alias anlagen? Nur die Hostnamen? Oder alles so wie es im Code Block steht?

Beim 2. mal hat er es jetzt sogar so genommen. Beim 1. speichern klicken, wollte er es so nicht.

[donald24]

Hallo Zusammen,

ich hatte auch die ganze Zeit das Problem, dass es zwar gelingelt hat aber man nichts hören konnte und nach ca. 10 Sek ist das Gespräch abgebrochen.

Ich nutze die FritzBOX 7940 als reine TK-Anlage hinter der OPNSense an einem Telekom-VoIP-Magenta-Gedöns für zuhause. (An einem FTTH-Anschluss, aber ich glaube das spielt keine Rolle. Sollte am DSL genau so gehen)

Am Ende musste ich KEINE eingehenden Portforwardings für SIP oder RTP und auch keine eingehenden Firewall-Regeln anpassen. Der entscheidene Punkt war die source port randomization bei der Outbound-NAT Regel.

Unter Firewall -> NAT -> Outbound

1) Manual outbound NAT rule generation auswählen

2) Drei neue Regeln von Hand erstellen. Im Grunde habe ich die beiden Default-Regeln übernommen und eine eigene dazu gebaut. Der einzige Unterschied der Regeln ist der Punkt "Static Port"

a) Die eine default-Regel für ISAKMP (Zielport 500 UDP) = Static Port YES
b) Eine für die FritzBOX (Quell IP = IP der Fritzbox im LAN)  = Static Port YES
c) Die andere default Regel für alles andere = Static Port NO

Danach ging es sofort. 

Ich denke, dass das ein Bug in der OPNsense ist, weil es eigentlich auch _mit_ source port randomization gehen müsste. Der Punkt ist nämlich, dass falls die Fritzbox einen Port verwenden will, der zufällig schon von einem anderen Client für etwas anderes genutzt wird, würde das Telefonat wieder auf die Nase fallen, weil die OPNsense den Port ja dann nicht umschreiben kann. In meinem Heimnetz mit den paar Clients ist das aber eher unwahrscheinlich...
 
Gruß
Michael

Super-Lösung! Dank Dir!

Ich merke einfach mit JEDEM Router-Geraffel, wo nicht AVM oder Telekom oder 1und1 draufsteht, muss man seine eigene workarounds finden.

Ich bin ja auch gern Hobby-Troubleshooter und frage mich, wie du darauf gekommen bist, dass es an der port-randomization liegt. Kannst du mir das vielleicht mal kurz erläutern?

Grüße
Don

[neofuxx]

Super Sache, hat soweit funktioniert, jetzt muss ich das Ganze nur noch auf mein DGA4132 umbauen.

Aber noch mal das Problem, wie bekommt ihr die Liste der 1und1 Verbindungen in die Hosts rein? Ich habe genau das selbe Probleme, dass er die nicht wirklich nimmt.

VG, neofuxx

[RicAtiC]

Guten Morgen allerseits,

Wer nutzt dieses Setup mit 1&1?

Müsst ihr auch zusätzlich die Highport-Range freigeben (für den direkten RTP-Strom von Punkt zu Punkt) 16384 bis 32767?

Danke für Rückmeldungen!

Gruß
Ric

[TheDJ]

Also ich habe genau wie His.Dudeness für Drosselkom VoIP nur genau eine Outbound-NAT-Regel bei mir.

Setup ist wie folgt:

• FTTH-Modem -> OPNsense (per PPPoE) -> Fritz!Box (als DECT-Basis)
• Eine einzige Outbound-NAT-Regel mit Static-Port für die Fritz!Box (siehe Screenshot). Andere Regeln brauche ich für VoIP nicht, auch keinen SIP Proxy.

VG
direx

Hallo zusammen,

ich habe seit gestern auch eine OPNsense 19.7 auf einem APU2.E4/D4 als NAT-Router hinter einer VDSL-Bridge und die FB als reinen IP-Client und DECT-Basis dahinter laufen (genau wie in dem obigen Aufbau).
Soweit so gut passt auch alles, was ich über die internen und auch WAN-Netze machen will. FB schafft es auch, die Internet-Rufnummern anzumelden und ich kann auch über die Nummern anrufen und angerufen werden. ABER: Nach ziemlich genau 15 Minuten problemlosem Telefonieren bricht das Gespräch plötzlich ab (teilweise asynchron - mein Gesprächspartner kriegt früher den Freizeichen/Abbruch-Ton als ich).
Ich habe das ganze über die Liveview der Firewall mit verfolgt und sehe kurz vor dem Verbindungsabbruch sehr viele, auf die WAN-IP EINGEHENDE :5060-Verbindungen, die durch die "default deny any" Regel gecatcht werden. Das sollte ja der problematische SIP-Port sein, durch den der Server der Telekom dann die Verbindung nicht mehr aufrecht halten kann.
Die oben angesprochene Outbound-NAT-Regel habe ich natürlich genauso gesetzt und wenn ich das richtig gesehen habe in der Liveview, gab es während des problemlosen Gesprächs auch einige :5060, die nach draußen gingen und ohne Probleme passiert haben. Eine eingehende 5060-Regel will/wollte ich bewusst (eben aufgrund der gleichen Sicherheitsbedenken vermeiden:

Sorry dass ich ggf. doof nachfrage, aber ist es wirklich ernst gemeint, dass die Weiterleitung auf den SIP Port und die Sprach/Fax Ports von ANY erlaubt werden
Das würde im Normalfall dazu führen, dass - so die Sense bei einem SIP Portscan irgendwem auffällt - man recht fix ungebetene Gäste hat die über einen telefonieren können - oder konfiguriert 1&1 seine FB so streng, dass das nicht möglich ist?

Funktioniert bei den Telekom-Nutzern hier im Thread das telefonieren auch länger als 15 Minuten? Muss ich doch eine andere Regel setzen?

Viele Grüße und schonmal vielen Dank,
TheDJ

[Bierfassl82]

Hallo zusammen,

habe auch hin und wieder das selbe Problem wie TheDJ, daher auch ebenfalls meine Frage nach einer Lösung für dieses Problem.
Außerdem kommt es bei mir von Zeit zu Zeit auch vor das niemand mehr anrufen kann und in der Firewall in diesem moment ebenfalls viele eingehende WAN:5060 anfragen kommen die per default deny abgelehnt werden.
Das Problem behebt sich nach einer weile von selbst, bzw. einmal kurz wegrufen geht auch.

Bitte um Hilfe, das lässt mich echt langsam verzweifeln, da ich nicht weiß was daran Schuld sein kann.

P.S.: FritzBox steht auf 30sek bei Port-Refresh

[Wired Life]

Also ich habe das Problem, dass nach einer Zwangstrennung nur noch weniger als die Hälfte der Anrufe rein kommen und nach der zweiten Zwangstrennung gar keine mehr.
Dann hilft nur noch ein Neustart der Fritzbox oder der sense.
Ich hatte alles mögliche ausprobiert von Keepalive der Fritzbox über Firewall Modus der sense auf conservative ändern usw.
Bis mir eingefallen ist dass ich "Disable State Killing on Gateway Failure" aktiviert habe, was wohl dazu führt dass die States über die Zwangstrennung hinaus bestehen bleiben.

pftop -f 'port 5060'

PR        DIR SRC                                           DEST                                                   STATE                AGE       EXP     PKTS    BYTES
udp       In  192.168.10.2:5060                             212.227.67.33:3478                               MULTIPLE:MULTIPLE     00:08:52  00:00:48      106     9116
udp       Out 87.123.137.224:5060                           212.227.67.33:3478                               MULTIPLE:MULTIPLE     00:08:52  00:00:48      106     9116
udp       In  192.168.10.2:5060                             212.227.124.130:5060                             MULTIPLE:MULTIPLE     52:06:30  00:00:49    14543  1821202
udp       Out 87.122.91.93:5060                             212.227.124.130:5060                             MULTIPLE:MULTIPLE     52:06:30  00:00:49    14539  1821026
udp       In  192.168.10.2:5060                             212.227.124.129:5060                             MULTIPLE:MULTIPLE     34:02:12  00:00:49     8878   582146
udp       Out 87.123.137.224:5060                           212.227.124.129:5060                             MULTIPLE:MULTIPLE     34:02:12  00:00:49     8878   582146

Ich vermute, dass sowas nach Deaktivieren der Option nicht mehr passiert, allerdings killt er dann halt auch immer States die nichts mit der WAN Seite zu tun haben.
Drum werde ich mir nun einen Cronjob anlegen, der kurz nach der Zwangstrennung die VoIP States killt.
pfctl -k 0.0.0.0/0 -k 212.227.0.0/16

[TheDJ]

Hallo Bierfassl82,

hast du eine Lösung für dein Problem gefunden?
Ich hatte eine Phase, in der zwischenzeitlich alles mal ganz gut funktioniert hat, aber mittlerweile häufen sich sowohl die Telefonabbrüche als auch Probleme beim Raustelefonieren immer mal wieder.
Ich bin noch auf FW 20.1, wollte aber in nächster Zeit dann mal auf 20.7 gehen und schauen, ob das was ändert. Vielleicht hilft ja auch die 7.20er FW für die FB dann, wenn sie für die 7490 dann mal rauskommt.

Viele Grüße,
TheDJ

[oekomat]

Unter Firewall -> NAT -> Outbound

1) Manual outbound NAT rule generation auswählen

2) Drei neue Regeln von Hand erstellen. Im Grunde habe ich die beiden Default-Regeln übernommen und eine eigene dazu gebaut. Der einzige Unterschied der Regeln ist der Punkt "Static Port"

a) Die eine default-Regel für ISAKMP (Zielport 500 UDP) = Static Port YES
b) Eine für die FritzBOX (Quell IP = IP der Fritzbox im LAN)  = Static Port YES
c) Die andere default Regel für alles andere = Static Port NO

Danach ging es sofort. 

Hallo zs, Ist das so noch möglich?

Ich hab die Version 20.7 mit einer FB 7390 im LAN hinter der opnsense. Ist ja seitdem etwas Zeit vergangen.
Anbieter ist 1und1

Gruß oekomat

[oekomat]

Ein kleines Stück weiter bin ich: Gespräche kann ich nach außen tätigen mit folgenden Einstellungen in der Fritzbox und Sense. Jedoch kommen eingehende Gespräche nicht an.

Die Fritzbox ist im LAN mit der IP 192.168.10.122.