Unify Telefonanlage hinter OPNsense

[cklahn]

Hallo Forum,

ich habe bei einem Kunden eine FritzBox im Zuge einer Umstellung von VDSL auf Glasfasergegen eine OPNsense ersetzt, die nun auch PPPoE-Einwahl direkt macht. Soweit funktioniert auch alles, aber:

Im Netz des Kunden hängt eine Unify-TK-Anlage von der Telekom, die die externen Rufnummern selbst im SIP-Trunk-Portal der Telekom registriert. Wenn man nun die Telefonanlage frisch einschaltet, dann sind die internen Teilnehmer erreichbar und können auch raus telefonieren.

Nach einiger Zeit, gehen die internen Teilnehmer auf "besetzt" und man kann weder rein noch raus telefonieren. Mache ich die Anlage stromlos und nehme Sie wieder in Betrieb, klappt das Telefonieren wieder eine Weile.

Die SIP-Ports 5060/5061 und die RTSP-Ports habe ich von aussen an die TK-Anlage durchgereicht. Es scheint aber so, als würden sich nach einiger Zeit einige Ports schließen.

Bei der FritzBox gibt es eine Einstellung, dass gewisse Ports für VoIP-Telefonie länger geöffnet bleiben sollen. Gibt's sowas auch bei der OPNsense?

Oder hat jemand ein Patentrezept bzw. Einstellungen, die ich machen kann, damit die Anlage sauber funktioniert? Der Kunde will, dass ich wieder die FritzBox einbaue. Das will ich aber nicht und habe nun die letzte Chance bekommen, das Ganze zum Laufen zu bringen.

Danke für hilfreiche Tipps im Voraus.

[cklahn]

Hier noch meine Inbound NAT-Regel:

[Tuxtom007]

Hier noch meine Inbound NAT-Regel:

Ich hab ne Fritzbox für Telefonie ( Vodafone-SIP am Kabelinternet ) im VLAN hinter der OPNSense hängen und keinerlei Inbound Regel aktiv, aber eine Outbound-NAT Regel für UDP auf StaticPort war wichtig, ohne die ging garnichts.

[cklahn]

Ja, das habe ich bei einem Kunden auch, der Vodafone als Registrar hat.

Hier scheint es aber, als verbindet sich die TK-Anlage nach dem Einschalten mit der Telekom und deren SIP-Trunk antwortet. Die Pakete kommen durch, da die Firewall die eingehenden Ports offen hält. Diese werden aber scheinbar nach einer gewissen Zeit geschlossen und dann geht nichts mehr.

[meyergru]

Natürlich muss das SIP-Device einen Keepalive machen, insbesondere, wenn es UDP ist, sonst kommen natürlich die Antworten nicht mehr durch. In der Fritzbox ist das ja auch nur sichtbar, wenn man die erweiterten Einstellungen aufruft:

You cannot view this attachment.

Aber die Fritzbox macht das eben per Default, Deine Unify-Anlage eventuell nicht, je nachdem, wie Binding opening eingestellt ist.

Abgesehen davon kann man in der OpnSense die Firewall Optimization einstellen, die m.W. auch die Default-Zeit für das Offenhalten der Ports beeinflusst.

[_Daniel_]

Ich habe eine Firewall->NAT->Outbound Regel mit Source IP Telefonanlage sowie UDP/* und Static Port erstellt und zusätzlich die Firewall Optimization (Firewall->Settings->Advanced) auf conservative gestellt. Seitdem klappt die Telefonie Unifiy X5 (rein/raus) seit 2 Monaten einwandfrei an einem Telekom SIP Anschluß (Privattarif). Davor war das Problem keine Telefonie (rein/raus) nach einer gewissen Zeit oder Gesprächsabbrüche nach x-Minuten.

Port Forward ist nicht notwendig und würde ich aus Sicherheitsgründen nicht machen.

[meyergru]

Genau, das meinte ich mit der Firewall-Optimization: Es kann sonst sein, dass die Keepalives nicht ausreichen, die Rückrichtung offen zu halten (speziell bei UDP). Soweit ich in der Unify-Doku gelesen habe, ist der Keepalive aber eh auf 15s (WENN sie an sind), das sollte auch mit "normal" gehen. Die andere genannte Einstellung bestimmt aber, ob überhaupt Keepalives gemacht werden.

Ich sichere den Port-Forward über das ASN meines Providers ab - wenn man die IP-Bereiche kennt oder die Namen / IPs der SIP-Server bekannt sind, geht das auch mit einem geeigneten Firewall-Alias. Der Port-Forward wird teilweise für RTP benötigt.

Witzigerweise kann man auch da auf den ISP eingrenzen, weil bei "offiziellen" SIP-Providern RTP immer über einen Proxy und nie direkt geht - die TKÜV lässt grüßen.... ;-)