Telekom-VoIP mit Fritzbox 7490 hinter opnSense

[Emma2]

Hallo, leider bekomme ich meine Konfiguration nicht "auf Anhieb" zum Laufen und weiß auch nicht so richtig, wie und wo ich noch drehen muss. Mit anderen Worten: Hilfe! (Hilfe, bitte! natürlich ;-)

Ich habe eine Fritzbox 7490 im lokalen Netz, und "eigentlich" funktionierte es ganz gut... bis die Telekom kam :-o

Klartext: Ich habe DREI VoIP-Anschlüsse: einen von SIPGATE, einen von TELEKTEK (Schweden) sowie seit einiger Zeit auch den der Telekom. Und der von der Telekom - und nur der! - will nicht so richtig.

Was ist passiert?

- Alle Telefonnummer sind auf der Fritzbox eingetragen und erfolgreich registriert.
- Ich habe auf der Firewall den Port 5060 auf die Fritzbox ge-forward-et.
- Ich kann anrufen und angerufen werden, aber am Telekom-Anschluss kommen keine Sprachdaten durch.
- "Ulkigerweise" funktioniert es mit den Nicht-Telekom-Anschlüssen, OBWOHL ich für RTP noch keine Ports auf die Fritzbox weitergeleitet habe. Wieso kann das denn sein? Und was muss ich jetzt tun?

(Hintergrund:
Nach meinem Verständnis wird RTP auf fast beliebigen Ports gesendet, und welche Ports das sind, wird in der Eingangsphase zwischen beiden Teilnehmern ausgehandelt. Stimmt das so?
Und ich nehme an, dass dann das SIPROXD-Plugin die notwendigen Ports "on-the-fly" für die Fritzbox öffnet. Korrekt?
BTW: Auf dem MS-TMG gab es hierfür den "SIP-Filter"... der aber leider nicht korrekt funktioniert hat.)

Muss ich nun noch Ports manuell freischalten (wie und wo?) oder auf die Fritzbox weiterleiten?
Oder macht das der SIPROXD? Gibt es dazu vielleicht ein HOWTO oder Doku-für-Dummies?

Sorry, aber ich bin für dieses Thema kein Spezialist und frage deshalb vielleicht etwas wirr...

Schon jetzt: Vielen lieben Dank für alle Tips und Hinweise!!!

Nachtrag: Die Threads https://forum.opnsense.org/index.php?topic=6482.msg27874#msg27874 und https://forum.opnsense.org/index.php?topic=6112.0 habe ich gelesen, werde aber nicht so ganz richtig warm damit... :-(

Vermutlich ist die einzige Frage, die ich wirklich stellen will: welche Ports muss ich wie auf die Fritzbox weiterleiten, und (oder oder?) was muss ich dazu im SIPROXD eintragen? Macht der die Weiterleitung "on-the-fly", oder brauche ich die separat?
Und was muss ich auf der Fritzbox ändern? Ist meine opnSense nun ein "Outbound-Proxy" für die Fritzbox? Oder kann oder sollte ich die Fritzbox alles allein machen lassen?
Ich bin verwirrt...

[Emma2]

Ich will zum Abschluss für heute noch einen genervten Report abgeben:
Egal, was ich wie auf der opnSense einstelle, es hat KEINERLEI Auswirkungen auf mein VoIP-Erlebnis  :(

Ich habe den Port 5060 und die Ports 7070-7079 eingehend freigeschaltet und auf die Fritzbox ge-NAT-tet.
Meine Telefonnummern werden beim Provider registriert, ich kann anrufen und angerufen werden, Sprache geht bei SIPGATE durch, bei der Telekom nicht. Das gleiche Verhalten habe ich auch OHNE freigeschaltete/ge-NAT-tete Ports 7070-7079.

Ich habe dann SIPROXD aktiviert, die NAT-Regel herausgenommen und die Ports 5060 und 7070-7079 einfach nur eingehend auf der WAN-Adresse erlaubt. Auf der Fritzbox habe ich die opnSense als SIP-Proxy eingetragen. Und, was soll ich sagen, das Verhalten ist GANZ GENAU DAS GLEICHE. Irgendwie kann ich auf der opnSense "machen, was ich will" - immer kann ich Gespräche in beiden Richtungen aufbauen, aber Sprache geht nur bei SIPGATE und TELETEK durch, bei der TELEKOM aber niemals.

Da muss ich doch etwas falsch machen, oder? Einen Fehler in der Fritzbox will ich nicht argwöhnen, denn "viele" andere haben ja die gleiche Konfiguration ans Laufen gebracht, oder?

Ich werde morgen mal einen SIP-Client auf dem PC ausprobieren und sehen, was dann passiert.  :o

Update: Es hat mir jetzt doch keine Ruhe gelassen, und ich habe noch ZOIPER ausprobiert.
Egal, ob ich SIPROXD nutze oder meine Telekom-Nummer direkt registriere, bleibt das Ergebnis das selbe. Ich kann raus und rein telefonieren, aber Sprache geht nur nach draußen, kommt nicht herein.
Mir gehen nun die Ideen aus :-(

[NicholasRush]

Lieber pichocki,

wenn du das Siproxd Plugin nutzen möchtest, dann musst du in der Firewall auch die Ports Freigeben, die zum Siproxd Plugin gehören. Ich weiß es gibt bisher noch keine vernünftige Anleitung dazu, die kommt aber noch.

Hier die Bilderanleitung zu Siproxd für die Telekom: Dropbox

Natürlich sind die IP-Netze in meiner Beispielkonfig auf deine Lokale Konfiguration anzupassen.
Und in den Accounts deiner Fritz Box musst du jetzt bei allen Rufnummern den Proxy und den Stun-Server entfernen. Dann sollte Telekom Telefonie auch funktionieren. Um NAT Traversal kümmert sich jetzt vollständig Siproxd, daher würden die Einstellungen in der FritzBox nur stören. Um die Werte in der FritzBox löschen zu können, musst du auf, Rufnummer bearbeiten gehen und im Auswahlfeld bei "Telefonieanbieter": "weitere Anbieter" auswählen, dann sollten die entsprechenden Einträge angezeigt werden.

[Emma2]

Guten Morgen, Nicholas.

Zunächst nochmal danke für die Hilfe und Geduld.  :)

Mein Problem ist vielleicht zusätzlich,  dass ich auch neu bei der opnSense bin und einfach manche Einstellungen technisch falsch vornehme.

Deshalb meine Bitte:
Ich schreibe nachher mal im Detail, was ich mache - und Ihr kritisiert und korrigiert das.
Das kann dann ja später als Kern eines geeigneten Howto dienen...

Lieben Gruß, Ralf "Pi" Pichocki.

[Emma2]

Wie versprochen meine Rückmeldung als Dank für die genossene Unterstützung:

Wir haben jetzt endlich unser Telekom-VoIP zum Laufen gebracht, und zwar mit den Tips aus dem Forum hier!

Letztlich war es recht simpel, wir mussten "nur" das Port-Rewrite im Outbound-NAT deaktivieren,
also "Static Port" auf "Yes" setzen. Für alle, die das gleiche Problem lösen wollen:
Hierzu müssen die automatischen Regeln abgeschaltet werden, denn diese lassen sich nicht editieren (sonst wären sie ja auch nicht automatisch).

- Gehe zu Firewall - NAT - Outbound
- Schalte den Mode auf "Hybrid..."
- Dupliziere eventuelle automatische Regeln als manuelle Regeln
- In der Regel für das WAN-Interface das Häkchen für "Static Port" setzen
- Schalte den Mode auf "Manual..."

Vielen Dank an alle, die mich dabei unterstützt haben!

[Emma2]

Nachtrag/Update:

In der Hoffnung (oder eher: Befürchtung), dass nicht nur ich solche Probleme habe, möchte ich mein neuestes Abenteuer mit den Telekomikern schildern...  ::)

Nachdem unsere VoIP-Konfiguration
(FB 7490 als TK-Anlage hinter opnSense als Firewall hinter Zyxel vmg1312-b30a als DSL-Modem)
nun seit April klaglos gefunzt hat (s.o.), war am Freitag auf einmal Schluss damit.

• Wir konnten urplötzlich über unsere Telekom-VoIP-Nummern nicht mehr raustelefonieren.
• Von außen waren diese Nummern aus dem Festnetz nicht erreichbar.
• Aus dem Mobilfunknetz waren die Nummern erreichbar.
• Die anderen VoIP-Nummern, SIPGATE und TELETEK, funktionierten nach wie vor tadellos.
• Gestern morgen ging dann auf den Telekom-Nummern nichts mehr, sie waren auch vom Handy aus "nicht erreichbar"

Der telefonische Business(!)-Support bei der Telekom war - leider wieder einmal - ratlos, musste ständig das Gespräch pausieren und bei Kollegen nachfragen (ok, immerhin war er bemüht), konnte aber nicht wirklich zur Lösung beitragen:

• "Haben Sie schon Ihre Fritzbox neu gestartet?" - "Ja, aber das hilft nicht, meine anderen Nummern funktionieren."
• "Welches Modem verwenden Sie?" - "Das Zyxel... das ist von Ihnen unterstützt, und außerdem funktionieren meine anderen Nummern."
• "Dann löschen Sie die Nummern in der Fritzbox und tragen diese neu ein." - "Was soll das bringen, nach einem Neustart registriert die Box die Nummern doch sowieso neu." - "Ja, aber trotzdem." - "Ok, neu eingetragen, nun ist die eine Nummer besetzt und nicht mehr 'nicht erreichbar'." - "Das ist ja wohl ein Zeichen, dass es an Ihren Geräten liegt." - "Ach, ja?"
• ">D>ann stelle ich Sie jetzt zum nächsten Level Support durch."

Dort konnte man mir auch nicht weiterhelfen, aber wenigstens war die Dame am Telefon nicht bemüht, IRGEND ETWAS zu tun, sondern sah schnell ein, dass sie nicht weiterkam. Auf meine (wohl doch falsche) Vermutung hin, es könnte vielleicht irgend etwas mit dem Routing der Gespräche auf meine IP zu tun haben, versprach sie, den Fall an das "VoIP-Management" weiterzugeben, aber sie wisse nicht, wie viel die zu tun hätten und wann die sich melden würden. Bis jetzt (24 Stunden später haben die sich nicht gemeldet) - na ja, ist eben nur der Business-Support...

Letztenendes habe ich zufällig herausgefunden, dass EINE meiner zehn Telekom-MSNs sehr wohl noch funktionierte, und die Einstellungen in der Fritzbox verglichen: diese Nummer war die einzige, bei der NICHT der Telekom-STUN-Server eingetragen war!
Dieses Verhalten ist reproduzierbar: mit STUN keine Verbindung, ohne STUN-Eintrag alles in Ordnung. Seltsam!
Bis Freitag gab es doch keinerlei Probleme. Ich gebe zu, dass wir am Freitag die opnSense aktualisiert haben - aber das kann ja wohl kaumder Grund sein. Oder doch?
Meine anderen VoIP-Nummern haben übrigens sehr wohl ihren STUN-Server nach wie vor eingetragen - nur bei den Telekom-Nummern ist dieser Eintrag aktuell - seit Freitag - der Showstopper.

Falls jemand eine Erklärung(sidee) dazu hat, würde mich das interessieren.
Falls jemand ähnliche Probleme hat und sie mit dieser Schilderung löst, freue ich mich.

[NicholasRush]

Der Stun Server liefert der FritzBox nur deine Externe WAN IP Adresse, damit diese als Absender in den SIP Paketen gesetzt wird. Denn eine NAT Firewall wie die OPNsense arbeitet kann ohne Proxy (Siproxd) die SIP Pakete nicht verändern. Und würde jetzt deine LAN IP Adresse als Absender im SIP Paket stehen, sollte Telefonieren normalerweise unmöglich sein, es sei denn der Proxy bei der Telekom ignoriert das und sendet dir trotzdem an deine Adresse das ACK zurück. Die ändern ja auch andauernd etwas an ihrer Servern, sodass man sich mit der Anpassung seiner Systeme ran halten kann.

Normalerweise sollte das ohne Stun Server gar nicht funktionieren denn die FritzBox kann deine Externe IP so gar nicht kennen.

[Emma2]

Normalerweise sollte das ohne Stun Server gar nicht funktionieren denn die FritzBox kann deine Externe IP so gar nicht kennen.

Ja, das weiß ich... deshalb hatte ich den ja eingetragen und bin jetzt verwirrt, dass es trotzdem - nein: nur so! - funktioniert. Da die Telekomiker ja aber immer eigene Lösungen haben, empfehlen die sogar teilweise, keinen STUN-Server einzutragen. Vielleicht kennt deren Server meine IP ja auch "einfach so" - schließlich ist die "nomadische Nutzung" ja nicht mehr möglich, der Telekom-Server kennt also die IP, von der ich telefonieren will. (Weiß man's, ob die solch eine Bastellösung verwenden?)

Außerdem habe ich noch zwei andere Nummern, SIPGATE und TELETEK, und dort ist nach wie vor der STUN-Server eingetragen. Vielleicht reicht der Fritzbox ja ein einziger Eintrag bei einer Nummer... ich glaube kaum, dass die Box pro Telefonnummer eine IP speichert... hoffe es zumindest. Na ja, auf alle Fälle funktioniert es aktuell.

Der Telekomiker jedenfalls, der gestern (nach etwa 30 Stunden - das ist echter Business-Support!) angerufen hat und sich freute, dass er mich nun - auf der zuvor nicht funktionierenden Nummer - erreichen konnte, hat mir zugesagt, den Fall "nochmal weiterzugeben"... bin gespannt, ob und was sich da noch tut. Ich werde das berichten, denn eigentlich kann ich ja nicht der Einzige mit diesem Problem sein.

[karl047]

Ich hatte solche Problem auch mit Telefonie hinter opnSense, aber zum Glück läuft es jetzt wunderbar.
Ich habe ein paar Bilder für dich gemacht, hoffentlich wird es dir helfen.

Die Einstellungen waren ein bisschen schwierig, bis ich verstanden habe wie es weiter funktionieren sollte. Es hängt am Ende von Ports am FritzBox, kein STUN nötig, sondern Port 5060 (SIP) und die Ports 7078:7109 (RTP), mehr nicht.

1. FritzBox Verbindung zur Internet ändern: unter Internet -> Zugangdaten  (Bilder 1,2,3)

2. Unter Telefonie > Eigene Rufnummern > Anschlusseinstellungen : (Bild 4)

3. Unter Telefonie > Eigene Rufnummern > Rufnummern : unter jede Telefonnummer sei sicher dass die Einstellung genauso wie im Bild 5 ist.

* So sind wir fertig mit dem FritzBox, und jetzt weiter zum opnSense:

4. Alias mit dem Ports 5060 und 7078:7109 anlegen : Bild 6

5. Unter Firewall > NAT > Port Forward : Bild 7 (was wichtig ist: UDP Protokoll , weil die alle Ports einfach über UDP laufen).

6. Total WICHTIG: Firewall > NAT > Outbound : auf Manuell einstellen. Hier soll ich was dazu sagen: ich habe mein FritzBox auf ein eigenes Interface isoliert: was wichtig in der ganzen Geschichte ist, dass die IP Adresse von meinem FritzBox liegt vor der Netzwerkadresse: z.B. FritzBox gehört zum Interface 192.168.168.1 , und hat die IP Adresse 192.168.168.168 , dann kommt im Outbound mein FritzBox an erster Stelle mit der Einstellung im Bild 8,9 -pass auf: static Port- und danach 192.168.168.0 .


Wie ich sagte, seit 6 Monaten oder mehr läuft alles ohne Probleme.

Ich hoffe dass ich dir geholfen habe, und Danke für alle Tutorials im Netz.

[karl047]

Bilder 4,5,6

[karl047]

Bilder 7,8,9

[Emma2]

Normalerweise sollte das ohne Stun Server gar nicht funktionieren denn die FritzBox kann deine Externe IP so gar nicht kennen.

Es hat mir keine Ruhe gelassen, und ich habe es gefunden: und es ist - leider wieder mal - unverschämterweise - so, dass die Telekomiker bei sich irgend etwas geändert haben - und zwar so, dass es irgendwo kracht:

Bis letzten Freitag hat es ganz prima funktioniert mit dem STUN-Server tel.t-online.de. Das funktioniert jetzt - reproduzierbar! - nicht mehr. Eine schnelle Suche ergab, dass der STUN-Server stun.t-online.de heißt. Damit funktioniert es wieder. (siehe Screenshot)

Ist aber auch irgendwie klar: wenn es keine Adresse zurückgibt, kann im SIP-Teil auch nichts vernünftiges passieren. Warum die Telefonnummern dann trotzdem noch "gültig registriert" werden können, weiß wohl wieder nur die Telekom. Wieso man überhaupt einen solchen Blödsinn macht, die funktionierende Adresse ohne Not abzuschalten, will ich besser gar nicht fragen (hätte doch niemanden geschmerzt, deren STUN-Server weiterhin zusätzlich auf der alten Adresse antworten zu lassen). Mann, das ist ganz schön nervig.

Ach ja: Dass es daran liegt ist wohl ein Indiz dafür, dass die Fritzbox sehr wohl für jede Telefonnummer eigene STUN-Infos, also die eigene externe IP, speichert. Womit aber wieder unklar wäre, wieso es ganz ohne STUN-Eintrag funktioniert.

[Emma2]

Wie ich sagte, seit 6 Monaten oder mehr läuft alles ohne Probleme.

Ich hoffe dass ich dir geholfen habe, und Danke für alle Tutorials im Netz.

Hallo, Karl.

Vielen Dank für die Mühe, die Du Dir mit Deiner Beschreibung gemacht hast!
Ich nutze die gern zur Kontrolle, sobald wieder etwas nicht mehr funktionieren sollte.

Für dieses Mal war das jedoch unnötig: es HATTE ja bei mir bis Freitag funktioniert, aber dann eben plötzlich nicht mehr. Und die Ursache ist ja jetzt auch gefunden :-\ Jetzt klappt es wieder wie vorher.

[Emma2]

Richtig schlimm finde ich jedoch in diesem Zusammenhang wieder einmal die Kenntnisse des Telekom-Supports:

- Der erste Ansprechpartner (oben ausführlich) konnte gar nicht helfen und hatte, nachdem ich auf seine Anweisung hin erfolglos die Nummer neu registriert hatte, sein Pulver verschossen.

- Seine Kollegin (nächstes Level?) gab wenigstens zu, nicht weiterhelfen zu können, und leitete mein Ticket weiter.

- Der Anrufer, der mich 30 Stunden später auf der eigentlich nicht funktionierenden Nummer (!) anrief, freute sich, dass es klappte, und bei ihm machte es nicht einmal "Klick", als ich ihm meine "Lösung" (Löschen des STUN-Eintrags) schilderte. Aber auch er versprach, das "nochmal weiterzugeben".

- Ich bin gespannt, ob ich davon noch einmal etwas hören werde...

[karl047]

@Emma2: es freut mich auch dass alles wieder funktionierte. Ich habe keine Ahnung warum es mit STUN konfiguriert werden sollte! wie ich dir beschrieben habe, läuft es bei mir bis heute einwandfrei.