Tutorial: 1und1 VoIP mit Fritz!Box HINTER opnSense

Started by theq86, March 06, 2017, 08:40:04 AM

Previous topic - Next topic
Print
Go Down Pages 1 2 3 4
User actions
October 09, 2020, 07:22:57 PM #30
Korrektur...die Funktion Telefonate nach außen klappt nicht. Ich gebs jetzt auf...  :-\
October 09, 2020, 08:36:23 PM #31
Quote from: oekomat on October 09, 2020, 07:15:09 PM
Ein kleines Stück weiter bin ich: Gespräche kann ich nach außen tätigen mit folgenden Einstellungen in der Fritzbox und Sense. Jedoch kommen eingehende Gespräche nicht an.

Die Fritzbox ist im LAN mit der IP 192.168.10.122.
also ich habe bei mir einen alias auf meine Fritzbox. vergleich mal deine regel mit meiner, versuche es nochmal und passe deine regel an.
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
October 10, 2020, 08:27:10 AM #32
Quote from: micneu on October 09, 2020, 08:36:23 PM
Quote from: oekomat on October 09, 2020, 07:15:09 PM
Ein kleines Stück weiter bin ich: Gespräche kann ich nach außen tätigen mit folgenden Einstellungen in der Fritzbox und Sense. Jedoch kommen eingehende Gespräche nicht an.

Die Fritzbox ist im LAN mit der IP 192.168.10.122.
also ich habe bei mir einen alias auf meine Fritzbox. vergleich mal deine regel mit meiner, versuche es nochmal und passe deine regel an.

Welche Port hast du frei?
October 10, 2020, 09:41:38 AM #33
wie in meiner grafik zu sehen habe ich keinen bestimmten port freigegeben.
deshalb verstehe ich deine frage nicht, ist doch alles zu sehen.
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
October 11, 2020, 12:31:56 PM #34 Last Edit: October 11, 2020, 12:34:12 PM by oekomat
Quote from: micneu on October 10, 2020, 09:41:38 AM
wie in meiner grafik zu sehen habe ich keinen bestimmten port freigegeben.
deshalb verstehe ich deine frage nicht, ist doch alles zu sehen.

Sorry, war zu früh für mich. Hatte das tcp/udp als Port statt Protokoll verstanden.

Hab ich so eingestellt wie bei dir. Ergebnis:
- Ich kann Anrufe erhalten und auch telefonieren
- wenn ich jmd anrufe, klingelt es bei ihm, wenn er abnimmt, höre ich auch nichts und er hört mich auch nicht.
October 19, 2020, 01:27:12 PM #35
Hallo,

leider habe ich keine Lösung aber das identische Problem (allerdings mit einer Sophos XG Firewall und der Telekom). Ich dreh echt am Rad  :(

Hast Du schon eine Lösung gefunden?

BG
October 20, 2020, 12:30:03 PM #36 Last Edit: October 20, 2020, 12:34:58 PM by schnipp
    Ich muss gestehen, das ich durch die Diskussion nicht mehr ganz durchsteige, daher beschreibe ich mal, wie ich die Internettelefonie seit längerer Zeit mit 1&1 bei mir laufen habe (läuft übrigens genauso gut mit Sipgate).

    Die Konfiguration läuft bis auf ganz seltene Aussetzer recht stabil, wobei ich die seltenen Aussetzer bisher noch nicht eindeutig untersucht habe, aber erst mal ohne genauere Kenntnisse der Fritzbox zuordne. Die Probleme treten aber ausschließlich bei längerem Ausfall der Internetverbindung auf. Die Zwangstrennung der Internetverbindung nach 24 Stunden stellt kein Problem dar (Die Fritzbox stellt sich nach 5 Minuten darauf ein, nachts kein Problem).

    Das grundlegende Setup baut ausschließlich Verbindungen von innen nach außen auf, so dass man keine eingehenden Portfreigaben benötigt, welche sich nur schwer auf IP-Adressbereiche im Internet eingrenzen lassen. Vorab ist zu sagen, das sich dieses Setup primär auf 1&1 bezieht und nicht unbedingt direkt auf andere Anbieter übertragen läßt, da die Implementierungen der Registrare durchaus unterschiedlich sein können. Weiterhin ist dieses Setup noch unoptimiert und gewährt der Fritzbox ausgehend weitreichende Zugriffe auf das Internet (ist aber nicht grundlegend problematisch, da die Fritzbox als primärer Router die gleichen Zugriffe hätte und der Hersteller zudem seinen guten Ruf zu verlieren hätte).


    • Opnsense 20.7.3 (primäre Firewall und Router, managt Internetverbindung über PPPoE, einzige NAT-Instanz)
    • Fritzbox 7490 (Firmware v.7.21, Client-Modus)

    Setup Opnsense:

    • Firewall -> NAT -> Port Forward

      • nicht notwendig
    • Firewall -> NAT -> Outbound

      • Interface: WAN
      • TCP/IP Version: IPv4
      • Protocol: UDP
      • Client address: interne IP der Fritzbox
      • Source port: any
      • Destination address: any
      • Destination port: any
      • Translation target: interface address
      • Static port: yes (*)
    • Firewall -> Rules -> Client Net

      • Action: Pass
      • Interface: LAN Net
      • Direction: in
      • TCP/IP Version: IPv4
      • Protocol: TCP/UDP
      • Source: interne IP der Fritzbox
      • Source port range: (5060:5061, 7078:7109) [über Alias kapseln]
      • Destination: !RFC1918 (alle nicht privaten IPv4-Adressen)
      • Destination port range: any
    • Firewall -> Settings -> Advanced

      • Firewall optimization: conservative [unterbindet schnellen Timeout offener Verbindungen in Firewall — evtl. funktioniert "normal" auch, kann aber grenzwertig sein]

    Setup Fritzbox:

    • Eigene Rufnummern:
    • Telefonie -> Eigene Rufnummern -> Anschlusseinstellungen -> Telefonieverbindung

        •  
      • Portweiterleitung des Internet-Routers für Telefonie aktiv halten: aktiviert (*)
      • Portweiterleitung aktiv halten alle: 30 sek. (*)

(*) = wichtig
OPNsense 24.7.11_2-amd64
February 09, 2021, 10:01:48 AM #37
    Quote from: opnboi on March 31, 2019, 11:42:09 AM
    Fragt sich ob es für 1und1 genauso funktioniert;)

    Ich zitiere mich mal selbst  :D

    Ja es geht 8)

    Quote from: direx on March 28, 2019, 07:40:23 PM
    Also ich habe genau wie His.Dudeness für Drosselkom VoIP nur genau eine Outbound-NAT-Regel bei mir.

    Setup ist wie folgt:


    • FTTH-Modem -> OPNsense (per PPPoE) -> Fritz!Box (als DECT-Basis)
    • Eine einzige Outbound-NAT-Regel mit Static-Port für die Fritz!Box (siehe Screenshot). Andere Regeln brauche ich für VoIP nicht, auch keinen SIP Proxy.

    VG
    direx

    Habe es genauso am laufen - Outbound NAT auf Hybrid und dann eine manuelle Regel für die FritzBox! hinter der OPNsense angelegt und in den VoIP Settings der FritzBox! noch wie hier angepasst:

    Quote from: schnipp on October 20, 2020, 12:30:03 PM

    • Firewall optimization: conservative [unterbindet schnellen Timeout offener Verbindungen in Firewall — evtl. funktioniert "normal" auch, kann aber grenzwertig sein]


    Habe ich auf "normal" gelassen..
    Quote from: schnipp on October 20, 2020, 12:30:03 PM
    Setup Fritzbox:

    • Eigene Rufnummern:
    • Telefonie -> Eigene Rufnummern -> Anschlusseinstellungen -> Telefonieverbindung

        •  
      • Portweiterleitung des Internet-Routers für Telefonie aktiv halten: aktiviert (*)
      • Portweiterleitung aktiv halten alle: 30 sek. (*)
    [/list]

    (*) = wichtig

    Habe ich erstmal so übernommen...


    May 19, 2021, 11:19:02 PM #38
    Hallo Leute,

    vielen Dank für die Anleitung und die IP-Adressliste. Dadurch war ich innerhalb kürzester Zeit mit meiner Basis N510 erreichbar. Das Setup läuft jetzt seit 2 Monaten, aber seit ein paar Wochen beschweren sich meine Anrufer, dass meine Nummer ab und an als "nicht erreichbar" gemeldet wird. Bei Wiederwahl gehts dann meist.

    Heute hab ich mir (endlich) die Zeit genommen und hab in die Firewall-Logs geschaut und dabei ist mir eine IP mit 239 Blocks aufgefallen, die 212.227.124.8, die gehört natürlich auch zu 1&1. Hab die jetzt mit in die Liste gepackt und hoffe, dass die Beschwerden aufhören.

    Gibt es von 1&1 eigentlich Auskunft oder eine Liste, welche Server in use sind bzw. wenn die selbst etwas ändern?

    Viele Grüße!
    November 27, 2021, 02:49:51 AM #39 Last Edit: November 29, 2021, 11:56:27 AM by Wired Life
    Hey, hat hier noch jemand seit ein paar Wochen Probleme mit 1und1?
    An den Settings wurde nichts geändert, trotzdem gehen einige Anrufe (vor allem vom Festnetz aus) nicht rein.

    Edit:
    So, Problem gefunden.
    Für alle die Probleme mit nicht eingehenden Anrufen haben:
    Entweder hat es 1und1 geändert oder ein Fritzbox Update, und zwar...
    1und1 nutzt (jetzt?) wohl 2 unterschiedliche SIP Server unter sip.1und1.de,
    212.227.124.129 und 212.227.124.130.
    Das Problem besteht darin, dass die Fritzbox nur zu einem der beiden eine Verbindung aufbaut und somit auch nur ein State für die Rückverbindung besteht.
    Wenn jetzt die Fritzbox mit 212.227.124.129 verbunden ist, aber der Anruf von 212.227.124.130 rein kommt,
    verwirft die Firewall der OPNsense logischerweise den INVITE, da ja kein State offen ist.
    Meine Lösung: NAT Portforwarding
    Interface: WAN
    Protocol: UDP
    Source: die beiden SIP Server IP's
    Source port range: from SIP to SIP
    Destination: WAN address
    Destination port range: from any to any
    Redirect target IP: IP Fritzbox
    Redirect target port: SIP

    Falls jemand eine elegantere Lösung hat, lasst es mich wissen.
    December 05, 2021, 10:37:53 AM #40
    Hi,

    Quote from: Wired Life on November 27, 2021, 02:49:51 AM
    Hey, hat hier noch jemand seit ein paar Wochen Probleme mit 1und1?

    [...]
    Falls jemand eine elegantere Lösung hat, lasst es mich wissen.

    ja, ich wurde gestern darauf aufmerksam gemacht, dass ich über das Festnetz (1&1) nur noch sporadisch erreichbar bin. Meine Untersuchung deckt sich genau mit Deiner Schilderung. 1&1 scheint entweder einen weiteren Server hinzugefügt oder an seinem Loadbalancer geschraubt zu haben. Zumindest scheinen eingehende SIP-Pakete (UDP) gelegentlich von der alternativen IPv4-Adresse zu kommen, wofür kein Eintrag in der State-Table von Firewall und NAT enthalten ist.

    Folglich muss auch ich wieder eingehende Verbindungen zur Fritzbox zulassen. Das Dilemma ist eigentlich, eine restriktive funktionierende Konfiguration zu erstellen, welche auch gegenüber Änderungen des Telefonieanbieters robust ist. Kleine Anmerkung, Du kannst die "Destination Port Range" fest auf "SIP" einstellen.

    Das größere Risiko aus Sicht der Verfügbarkeit ist, ob man sich darauf verlassen kann, dass der Quellport bei 5060 bleibt. Der SIP-Quellport muss eigentlich den Vorgaben des SRV-Records im DNS für SIP entsprechen. Dies lässt sich in der Opnsense mit einem Firewallalias leider nicht automatisieren.

    Weiterleitungen müssen eigentlich für folgende Endpunkte (IP-Adressen und Ports) des Telefonieanbieters eingerichtet werden.

    Code Select

    $ dig _sip._udp.sip.1und1.de SRV

    [...]
    ;; ANSWER SECTION:
    _sip._udp.sip.1und1.de. 86400 IN SRV 0 0 5060 1und1-2.sip.1und1.de.
    _sip._udp.sip.1und1.de. 86400 IN SRV 0 0 5060 1und1-1.sip.1und1.de.
    [...]

    =================
    $ dig 1und1-1.sip.1und1.de

    [...]
    ;; ANSWER SECTION:
    1und1-1.sip.1und1.de. 6903 IN A 212.227.124.130
    1und1-1.sip.1und1.de. 6903 IN A 212.227.124.129
    [...]

    =================
    $ dig 1und1-2.sip.1und1.de

    [...]
    ;; ANSWER SECTION:
    1und1-2.sip.1und1.de. 6889 IN A 212.227.124.129
    1und1-2.sip.1und1.de. 6889 IN A 212.227.124.130
    [...]


    Sprich die von Dir genannten IP-Adressen sind korrekt, inkl. des Ports 5060. Analog müsste man auch noch das TCP-Pendant einrichten, wird aber von 1&1 derzeit nicht unterstützt.
    OPNsense 24.7.11_2-amd64
    December 12, 2022, 10:30:39 PM #41
    Hi, diese Anleitung funktioniert bei mir gut.
    Leider kann ich bei manchen ausgehenden Telefonaten den Gegenüber nicht hören. Ein erneuter Anruf behebt das Problem.
    Woran kann das liegen?

    Gibt es generell Updates hierzu?

    Danke
    OPNsense 23.7 VM  <=  DrayTek Vigor 165 (vDSL2 35b 250/50)
             \/
    on Proxmox 8.0
             \/
    on Minisforum HM90
    December 13, 2022, 09:29:42 PM #42
    Tritt das Problem nur bei ausgehenden Gesprächen auf?
    OPNsense 24.7.11_2-amd64
    December 15, 2022, 09:48:20 PM #43
    Ich habe es jetzt mehrmals von außen probiert, mit unterschiedlichen Handys und das hat bisher immer geklappt.
    Scheint nur ausgehende Gespräche zu betreffen.
    Habe auch die Logs angeschaut und kann keine blocks feststellen.
    Ein Anruf der geht und einer wo ich nichts höre sehen für mich in der Firewall identisch aus.
    Könnte es sein das irgendwelche Logs (blocks) nicht angezeigt werden?
    Oder ist es ein anderes Problem?
    OPNsense 23.7 VM  <=  DrayTek Vigor 165 (vDSL2 35b 250/50)
             \/
    on Proxmox 8.0
             \/
    on Minisforum HM90
    December 16, 2022, 06:19:48 PM #44
    Eventuell liegt es daran, dass sich aufgrund von NAT der Quellport ändert. Über Details kann ein Paketmitschnitt Aufschluss geben. Ich empfehle, für SIP/RTP/RCTP die Option ,,Static Port" zu aktivieren (Firewall -> NAT -> Outbound).

    Ansonsten schreibe hier bitte mal das gesamte Voip-Regelwerk für die Fritzbox hinter der Opnsense rein (Firewall-Regeln, Outbound NAT, Portweiterleitung).
    OPNsense 24.7.11_2-amd64
    Print
    Go Up Pages 1 2 3 4
    User actions