[Siproxd & VOIP Support] Problem- und Lösungsthread

[norg]

Ich verzweifel auch noch Telekom VOIP. Danke für die Anleitung aber evtl. ist noch ein Wurm drin.

Kurz zu meinem Setup: Draytek Vigor VDSL Modem (250/40 Mbit/s Telekom Business) -> OPNSense -> Netzwerk (u.a. mit einer Fritzbox 7390 als Telefonanlage).

Ich hab es nun auch so wie in deinen Bildern eingerichtet, statt der 192.168.230.20 eben 127.0.0.1 eingetragen beim Port Forward.

Der Port Forward ist ja dazu da, dass transparent alle Anfragen ausm LAN an Port 5060 umgebogen werden und direkt auf der OPNSense landen und nicht rausgehen, korrekt?

Die LAN Firewall Reglen im zweiten Bild sollten nur notwendig sein wenn man sonst gewisse Zugriffe sperrt oder?
Zumal bei mir durch die Port Forward Regel auch noch eine weitere Regel mit Description NAT hinzugefügt wurde (automatisch):

Code: [Select]

IPv4 UDP LAN net * 127.0.0.1 5060 (SIP) * NAT
Bild 3 regelt, dass Anfragen auf die Ports SIP und RTP auch eingehend von der OPNSense akzeptiert werden.

Siproxd Settings 1:1 übernommen aber die DTAG Netze noch erweitert, da ich im tcpdump gesehen hab, dass auch mit anderne IPs aus 217.0.x.x kommuniziert wird per 5060.

In der Fritzbox hab ich "andere Anbieter" genommen.
Benutzername und Kennwort ausgefüllt. Registrat tel.t-online.de und Proxy und Stun Server freigelassen.
Laut Fritzbox auch registriert und ich kann raustelefonieren, komischerweise stürzt mein Android Phone nach dem 2. klingeln reproduzierbar ab.
Angerufen werden kann ich aber trotzdem nicht.

Hab ich evtl. noch irgendwas übersehen?

Wenn ich es ohne siproxd mache und ohne besondere Firewallregeln geht Anrufen und Angerufen werden, aber weder ich höre meinen Gegenüber noch er mich. Es  scheitern also aktuell bei mir noch beide Varianten.

Bin um jeden Hinweis dankbar.

[ojessie]

du bist zumindest schon um einige Schritte weiter ... ich schaffe es nicht, dass sich die FB VoIP registriert ... wie gesagt Registrierung ist nur möglich wenn die FB direkt hinter dem A1 Modem hängt.

[norg]

Ich hab nun erstmal doch wieder siproxd entfernt und lediglich folgendes getan:

- ein Alias RTP angelegt mit den Ports 7078-7097 (die nutzt die Fritzbox)
- ein Alias mit dem IP Range der Telekom SIP/RTP Server

- NAT Outbound eine Regel erstellt mit SIP und RTP (s.o.) die Static Port setzt, im Gegensatz zum Default
- NAT Port Forwards UDP mit den Protokollen SIP und RTP (s.o.), Quelle Telekom Range und leite das direkt zu meiner FB weiter.

Damit geht raus- und reintelefonieren und hab hier zwei Telefone seit 24 Minuten verbunden (das eine  ist mein Vodafone Anschluss mit eigenem Telefon).

Noch nicht ganz happy bin ich mit der Tatsache, dass das Port Forwarding meine Firewall etwas aufmacht und hoffe den IP Bereich noch weiter einzugrenzen, habe aber auch Angst, dass dann mal nix mehr geht wenn die Telekom die IPs anpasst.

Was mich noch wundert, dass bei meinem alten Arbeitgeber Sipgate genutzt wurde und mit Linphone SIP genutzt wurde ohne den ganzen Aufwand mit Port Forwarding.

Update: stellt sich raus ist evtl. alles nicht notwendig, seit ich bei der Fritzbox eingestellt habe, dass sie die Portweiterleitung aufrecht erhalten soll alle 30 sekunden geht es auch ohne die ganzen Einstellungen.

Update 2: Zu früh gefreut, heute morgen wurden die Pakete wieder  nicht korrekt weitergeleitet

[norg]

Habe nun mal die Firewall auf conservative gestellt und das Port Forwarding wieder raus. Tut aktuell, mal sehen ob doch mal ein Telefonat nicht reinkommt.

@ojessie: kannst mal nen Screenshot von deiner Konfiguration auf Seiten der FB posten oder auch mal mit tcpdump mitsniffen auf beiden Interfaces, der SIP traffic ist da gut zu erkennen.

[Maestro86]

Moin,

ich habe bei mir folgendes Konstrukt:

Telekom VDSL50 - Draytek Vigor 165 VDSL-Modem - OPNsense-Firewall - Cisco SG350 Switch - Gigaset N510 IP Pro DECT Basis mit einem Gigaset SL910.

Ich habe die OPNsense nach der Bilderanleitung für Telekom-Hometarife eingerichtet und es hat auch von Anfang an soweit geklappt. Seit ein paar Tagen habe ich jedoch das Problem, dass ausgehende Anrufe nach 30 Sekunden abgebrochen werden. Es scheint so, dass das Telefon vom siproxd keine Daten bekommt, wenn der Angerufene den Hörer abnimmt. Ich höre dann zwar den Angerufenen, aber das Telefon zeigt dabei noch an, dass gewählt wird. Nach 30 Sekunden bricht die Verbindung dann ab.

Wenn ich angerufen werde, gibt es das Problem nicht. Hier kann ich stundenlang telefonieren, ohne dass es zu Verbindungsabbrüchen kommt.

Hat jemand noch einen Tip für mich? Ich glaube, ich sehe den Wald vor lauter Bäumen nicht mehr.

PS: Sorry, wenn ich keine neuen Thread aufmache, aber ich habe mich an den Informationen in diesem Thread orientiert.

[chemlud]

Bei deiner Hardware braucht's keinen sip proxy. Einfach das Gigaset, ein paar ausgehend FW-rules auf dem LAN interface, je nach Provider und KEINE Regeln auf dem WAN, dann läuft das.

[Maestro86]

Stimmt schon, aber gibt es dennoch eine Möglichkeit, das Fehlerbild anderweitig zu beheben? Klar, ich selbst kann damit schon leben, aber ich möchte schon die "professionellere" Lösung, da die auch bei einem Kunden von mir eingesetzt werden soll (etwas andere Hardwarekonstellation, aber vom Prinzip her ähnlich, nur viel größer). Deshalb möchte ich selber auch ein paar Erfahrungswerte mit diesem Konstrukt sammeln.

[dva-b]

Hallo,

ich versuche schon 3 Tage einzurichten, aber bekomme es nicht hin. Auch so wie in der Bildanleitung. Registrierung von PhonerLite kommt nicht zustande. Auf dem Bild meine Situation. Es soll nur ein PC mit PhonerLite telefonieren können. Falls jemand ein vorschlag hat, bitte posten.

[mimugmail]

Wenn's nur ein Gerät ist geht's doch auch mit NAT oder nicht?

[dva-b]

NAT von den gleichen Ports, die in der Anleitung stehen, hat auch kein Erfolg gebracht.
Ich werde noch mal Versuchen NAT zu machen.
DigiBox NAT zu OPNsense (5060, 7070-7089)
OPNsense NAT zum PC (5060, 7070-7089)

Das sind etwas viele Ports. Gibt es eine möglichkeiten etwas sicherer zu machen?

[Maestro86]

Leider nein. Entweder mit siproxd, was bei mir auch nicht sauber funktioniert oder aber wenn es eine Telefonanlage/IP DECT-Basis wäre, mit einem eigenen VLAN und NAT. Letzteres habe ich nun im Einsatz und das läuft soweit. Wichtig ist, dass bei ausgehendem NAT Static-Port für VoIP-Verkehr genutzt wird, sonst klappen die Anrufe nicht.

[dva-b]

ich muss wirklich nur ein PC mit dem PhonerLite einrichten.

Kannst du mir kurz das ausgehende NAT mit Static-Port erklären?

[Maestro86]

Du musst zuerst unter "Firewall" - "NAT" - "Outbound" den Hybridmodus aktivieren. Danach kannst du manuelle NAT-Regeln erstellen. Anschließend erstellst du eine Regel ausgehend von deinem PC ins Internet über die verwendeten SIP/RTP-Ports als Quell-Ports und aktivierst dann weiter unten den Haken "Static Port". Dies dient dazu, dass die Firewall den ursprünglichen Quellport beibehält, wenn sie die Gegenstelle anspricht. Ohne diese Regel würde sich der Quellport durch das ausgehende NAT ändern.

[dva-b]

"Maestro86" Vielen Dank für deine Antwort. Ich habe leider bis jtzt überhaupt keine Zeit gehabt.
Ich habe noch eine Verständnis Frage. Die Portsweiterleitungen (5060, 7070-7089) von dem Router an die OPNsense müssen auch gemacht werden?

[telefonmann]

Hallo zusammen, und danke an NR dass er hier so einen Fundus zusammen geschrieben hat. Sehr hilfreich!
Meine Baustelle:
Ich habe zwei VoIP-Gigasets mit jeweils denselben Nummern bei der Telekom (tel.t-online.de) und Sipgate registriert, was auch wunderbar läuft (=man kann mit beiden raustelefonieren, bei ankommendem Anruf klingeln beide). Allerdings braucht man dafür spezifische Portweiterleitungen je Gerät auf der Firewall. Um flexibler zu sein wollte ich gern Siproxd einsetzen und habe das mit der von NR vorgeschlagenen Konfiguration probiert, allerdings scheint das nicht zu klappen, weil sich darüber immer nur ein Gerät je Nummer registrieren kann.
Habe irgendwo gelesen dass man die Siproxd-eigene Authentifizierung nutzen kann, um eine Registrierung mehrerer Geräte mit derselben Nummer zu ermöglichen. Ich sehe aber nicht, wie ich das den Endgeräten (Gigaset!!!) beibringen kann. Oder gibt es noch einen anderen Weg?
Für Eure Hinweise oder Ideen bin ich dankbar... Bleibt gesund!