[Siproxd & VOIP Support] Problem- und Lösungsthread

[mimugmail]

Als Portrange im Plugin die Range vom Provider rein und diese an der Firewall freischalten. Ports zwischen Tel und Plugin sind egal. Als Outbound Proxy am Tel die interne IP der Firewall. Wenn deine IP public ist brauchst du weder am Tel noch Plugin Stun.

[NicholasRush]

Hallo Zusammen, ich melde mich aus Wien mit einem Problem mit der richtigen Konfiguration von siproxd:
wir nutzen einen Kabelinternetzugang von UPC (250/20) sowie seit kurzem den VOIP-Provider Sipit / Sipnal in Wien, mit einer virtuellen PBX bei Sipnal sowie 3 VOIP-Anschlüssen hinter einer OPNSense (18.1.9).
Die 3 Telefone haben fixe IP-Adressen, ich schaffe es 1 Gerät ohne Siproxd erfolgreich laufen zu lassen, alle 3 klappt nicht da ich nicht die gleichen ports an 3 verschiedene IP-Adressen weiterleiten kann - hier wurde mir siproxd als Alternative empfohlen.
Der Provider verwendet in unserem Setup keinen Stunserver, alle 3 Geräte registrieren sich direkt am sipserver des Providers und benutzen den Outbound Proxy des Providers.

Was mir nicht klar ist: wie bekomme ich die 3 Geräte an siproxd zum laufen: ein Variante wäre wohl als Outbound-Proxy siproxd zu verwenden, aber wo trage ich die RTP-Ranges in siproxd richtig ein?
Der Provider verendet wohl Serverseitig die Portrange 8000-9000 das übersetzt dann an den Geräten zu der Range 5004-5204 (ist so erfolgreich bei dem ersten Anschluss als Weiterleitung eingetragen).
Mir fehlt da leider grundlegendes Knowhow wie ich siproxd richtig konfiguriere.
Ohne das Plugin habe ich an den beiden anderen Anschlüssen das Problem dass bei eingehenden Anrufen der Anrufer nicht gehört wird.
Kann  mich da jemand in die richtige Richtung leiten bitte?
Vielen Dank schon mal!

Hallo akironet,

bitte benutze zur Konfiguration diese Bilderanleitung: Anleitung Telekom

Du konfigurierst deine OPNsense genau so ähnlich. Bis auf den Telekom Outboundproxy. Und die RTP Port Range setzt du auf eine Portweite von 1000 Ports. RTP Port Low 7000, und RTP Port High auf 8000. Natürlich musst du dann die Port Range auch in den Firewall Freigaben genauso auch anpassen. Ganz im Gegensatz zu dem Hinweis von @mimugmail brauchst du allerdings nicht die gleiche RTP Port Range wie dein Provider benutzen, da die jeweiligen zu Benutzenden Ports beim Verbindungsaufbau über SIP mitgeteilt werden. Richtig ist allerdings, das sofern du eine echte Öffentliche IPv4 Adresse bekommen hast, du kein Stun Plugin im Siproxd eintragen brauchst. Deine Telefone kannst du im Prinzip so konfiguriert lassen wie sie sind. Den Outbound Proxy von deinem Provider, trägst du zusätzlich in dem Outbound Proxy Tab von Siproxd ein. Die Konfiguration wie in der Bilderanleitung hat den Vorteil, dass du keinen Outbound Proxy in deinen SIP Telefonen eintragen musst, Siproxd hängt in diesem Fall transparent dazwischen und verändert den SIP Header jedesmal so, das alles über Siproxd geroutet wird.

[akironet]

Hallo mimugmail, Hallo NicholasRush, danke für Eure Antworten. Ich habe gestern Abend / heute früh mal einen Versuch gestartet wie von NicholasRush empfohlen nach der Bildanleitung Telekom, war auf Anhieb so leider nicht erfolgreich.
Ich musste aber bald wieder abbrechen, da das Büro voll besetzt war und alle Telefonieren wollten. Ich werde am kommenden Montag Abend nochmal ein wenig testen.

Nur um sicherzugehen: bei der NAT-Umleitung laut Bild1 trage ich die interne IP-Adresse der OPNSense ein, auf der siproxd läuft, oder?
Und bei Outbound Domains im Plugin kann ich den Namen frei vergeben, bei Host habe die IP-Adresse des Proxys eingetragen, wie er auch bei den Telefonen eingetragen ist. Alles andere wurde von mir 1:1 übernommen, die RTP-Ports allerdings im Bereich 7000-8000.

[NicholasRush]

Nur um sicherzugehen: bei der NAT-Umleitung laut Bild1 trage ich die interne IP-Adresse der OPNSense ein, auf der siproxd läuft, oder?

Genau im Bild "NAT_REDR_RULE_Siproxd_Transparent.PNG" trägst du die Interne LAN Adresse von OPNsense ein. Solltest du mehrere VLANs für Intervlan Routing haben und möchtest nicht für jedes VLAN diese Regel erstellen, kannst du auch einfach "127.0.0.1" dort eintragen. Der Vollständigkeit halber, habe ich im Bild allerdings die LAN Adresse genommen.

Und bei Outbound Domains im Plugin kann ich den Namen frei vergeben, bei Host habe die IP-Adresse des Proxys eingetragen, wie er auch bei den Telefonen eingetragen ist. Alles andere wurde von mir 1:1 übernommen, die RTP-Ports allerdings im Bereich 7000-8000.

Im Bild "Sirpoxd_3_Outbound_Domains.PNG", also im Outbound Tab, kannst du den Namen nicht frei vergeben, wie ich sehe ist mir da wohl auch ein Fehler im Bild unterlaufen. Den ich natürlich sofort korrigieren werde. Aber erst einmal zu deiner Frage zurück. Du kannst in der Liste mehrere Provider Proxys angeben wenn du mehrere Provider nutzt oder dein Provider mehrere Proxys zur Verfügung stellt. Der richtige Proxy wird dann anhand des Namens ausgewählt und der ganze SIP Datenverkehr an diesen gesendet.

Beispielsweise werden die im Outbound Tab hinterlegten Proxys so in die Konfigurationsdatei geschrieben:

Code Select Expand


outbound_domain_name = tel.t-online.de
outbound_domain_host = tel.t-online.de
outbound_domain_port = 5060

outbound_domain_name = 1und1.de
outbound_domain_host = sip.1und1.de
outbound_domain_port = 5060



Der Name ist der sogenannte "Realm" und der Host der SIP-Proxy des Providers. Der Port erklärt sich hier ja von selbst. Da ich die Bilder auf die schnelle mal angefertigt habe ist mir dieser Fehler gar nicht aufgefallen, daher Danke für die Nachfrage.
So kann der Siproxd Dienst dann den Sip-Proxy dem Provider Realm zuordnen und das funktioniert dann auch so mit mehreren Providern, ich selbst habe da T-Online und so Sipgate drüber laufen.

[MAGIC]

Hallo,

Bin nun auf eine OPNSense zuhause umgestiegen, da ich diese schon auf meinen Servern laufen habe. Davor lief eine pfSense zuhause (APU)
Habe die Regeln 1:1 eingestellt, aber wenn ich via normales Telefon auf meinem PC anrufe, klingelt mein Phonerlite, doch ich kann nur die Sounds vom Telefon hören, aber das Telefon nicht die Sounds von Phonerlite...

Grob ist mein Netzwerk so aufgebaut:
ISP (Telekom) -> Fritzbox -> OPNSense -> Desktop
                                |                                       |
                      normales Telefon                Phonerlite



Hier nochmal detailiert:

Code Select Expand

WAN / Internet
             :
             : ISP (Telekom)
             :
       .-----+-----.                  .------------------.
       |  Fritzbox  +-----------------+ normales Telefon |
       '-----+-----'                  '------------------'
             |
LAN Fritzbox | 192.168.178.1
WAN OPNSense | 192.168.178.254
             |
       .-----+------.
       |  OPNSense
       '-----+------'
             |
         LAN | 10.88.0.0/24
             |
       .-----+------.       IP         .------------.
       | Desktop PC  +-----------------+ Phonerlite |
       '-----+------'    10.88.0.1     '------------'


Grüße
MAGIC

[mimugmail]

Dann musst du eine Regel einfügen auf dem Tab wo die Fritzbox ist mit Source Fritzbox und Destination dein Telefon

[MAGIC]

Habe ich


Sogar ein Outbound NAT habe ich erstellt:

[mimugmail]

Und geblockte Pakete gibt's nicht?

[NicholasRush]

Das Problem ist in dem Fall NAT zwischen FritzBox und Phonerlite. Damit das funktioniert musst du Static NAT bei der OPNsense für den Phoner Client einstellen, mit den Ports die in Phoner festgelegt sind. Denn diese müssen eben statisch auf die Adresse des "WAN"-Interfaces gemappt werden. Oder du benutzt Siproxd  ;), dann musst du das alles nicht.

[MAGIC]

Und geblockte Pakete gibt's nicht?

Nein, die Liveview gibt keine roten Zeilen aus.

Das Problem ist in dem Fall NAT zwischen FritzBox und Phonerlite. Damit das funktioniert musst du Static NAT bei der OPNsense für den Phoner Client einstellen, mit den Ports die in Phoner festgelegt sind. Denn diese müssen eben statisch auf die Adresse des "WAN"-Interfaces gemappt werden.

Habe ich doch eigentlich gemacht oder?

Oder du benutzt Siproxd  ;), dann musst du das alles nicht.

Wie wird der dann eingerichtet?

[NicholasRush]

Habe ich doch eigentlich gemacht oder?

Oder du benutzt Siproxd  ;), dann musst du das alles nicht.

Wie wird der dann eingerichtet?

Wie er eingerichtet wird findest du hier: https://www.dropbox.com/sh/o5px7n1aww42tl6/AADGtRWHAeW-ap3ptt_t4ZO9a/Deutsche_Telekom_Privatkunden?dl=0

Allerdings brauchst du keine "Outbound Domains" und keinen STUN-Server eintragen. Den rest aber bitte so wie auf den Bildern dargestellt konfigurieren.

Zu dem "Statischen"-NAT: Wenn du kein "Static" konfigurierst ist es auch kein Statisches NAT. Lässt sich in der Einstellungseite bei Outbound NAT nämlich anhaken.

Nachtrag: Entschuldige, ich habe jetzt erst gesehen das du es angehakt hast, aber funktionieren kann das erst wenn du auch Ports dort definierst die 1:1 durchreicht werden sollen.

Mit Siproxd bist du aber flexibler, weil du so viele VOIP Clients ins LAN der OPNsense hängen kannst wie du möchtest ohne etwas umkonfigurieren zu müssen. Du musst bei Phonerlite so auch keinen Outboundproxy einstellen, denn der wird automatisch auf Port 5060 umgeleitet.

[MAGIC]

Hi,

Danke schonmal, aber jetzt kann das normale Telefon hören, aber nicht senden. Logs geben noch blocks aus.

Habe die Siproxd Bilder angeschaut und bei mir eingetragen.

Mir ist aber aufgefallen, dass du eine NAT Regel in Bild 1 anlegst, aber diese nicht in Bild 2 auftaucht. Außerdem nehme ich an, dass 192.168.230.20 die OPNSense WAN Adresse ist oder?

[NicholasRush]

@Magic

Nein, bei mir ist 192.168.230.20 die LAN Adresse. Das ganze habe ich für die Bilder virtuell nachsimuliert. An der WAN Adresse würde die NAT Regel ja auch keinen Sinn machen. Denn es geht ja um die Telefone im LAN. Bild Nr.2 zeigt die Firewallregeln des LAN Interfaces. Bild 3 die des WAN Interfaces. Die NAT Regel in Bild 1 könnte auch als IP 127.0.0.1 eingetragen bekommen. Würde damit auch funktionieren.

Alles in allem scheinst du einen Denkfehler zu machen. Konfiguriere doch einfach alles mal exakt nach den Bildern, mit Ausnahme der Outbound Domains und dem STUN Server. Und in Bild 1, die NAT Regel, legst du exakt so an mit der Zieladresse 127.0.0.1.

Wetten es funktioniert dann?  ;)

Dafür habe ich ja eine Bilderanleitung gemacht damit jeder die Schritte einfach nachvollziehen kann.

[MAGIC]

Hi,

Also habe die IP auf 127.0.0.1 geändert, ging erst nicht, dann mal die Firewall rebooted, weil 'reboot tut gut' und siehe da es geht

[NicholasRush]

Hi,

Also habe die IP auf 127.0.0.1 geändert, ging erst nicht, dann mal die Firewall rebooted, weil 'reboot tut gut' und siehe da es geht

Dann wünsche ich dir einen schönen Sonntag mit dem neuen Spielzeug.  ;D