[Problem] 02 VOIP mit Fritzbox 7490 hinter pfsense

Liebes ip-phone-forum,

Ausgangssituation:

• aktueller, neuer O2 vDSL 50Mbit Vertrag mit VOIP (O2 DSL All-in L)
• O2 Fritzbox 7490
• DrayTek Vigor 130 Router als DSL-Modem
• pfsense als Modem

Was ich erreichen will:
Unser(e) Netz(e) werden über pfsense (Firewall/Router) verwaltet. Die Fritzbox würde ich gerne hinter die Firewall nehmen und ausschliesslich für VOIP verwenden.

Was ich bisher geschafft habe:

• DrayTek Vigor ist als Modem konfiguriert
• pfsense stellt erfolgreich Verbindung über das Modem mit VLAN-ID 7 per PPPoE her
• Fritzbox auf IP-Client umgestellt
• Firewall/Port-Forwards auf pfsense so eingerichet, dass 5060 und die Ports 50000 - 50032 auf die Fritzbox geNATed sind (habe ich so aus der Fritzbox-Konfiguration entnommen).
• Die VOIP-Nummern werden erfolgreich angemeldet

Problem: Wenn man nun versucht, die VOIP-Nummern von aussen anzurufen, sind diese nicht erreichbar. Ein Anruf von innen nach draussen ist nur beim allerersten Mal erfolgreich. In diesem Fall können sich Anrufer und angerufener problemos verstehen. Nach dem Beenden des Anrufs von innen, hört der Angerufene endlos Stille - also nicht den üblichen Besetztton. Anschliessend sieht man beim erneuten Anrufversuch im Fritzbox Log:
Es ist danch kein Anruf mehr möglich.
Sipgate funktioniert grundsätzlich problemlos. Aktiviert man jedoch die O2-VOIP-Nummern, geht auch Sipgate nicht mehr. Es scheint, als wenn die O2-Nummern dauerhaft feste Ports zu blockieren.

Wir haben zusätzlich noch einen (alten) Alice-Anschluss. Dort läuft VOIP problemlos. Allerdings habe ich dort auch in der Konfiguration Login-Daten für eine separate, zusätzliche DSL-Verbindung gefunden. Dies sieht beim neuen O2-Anschluss anders aus.

Hat jemand eine Idee/einen Hinweis, wie man die VOIP-Verbindung zu O2 auch von einer Fritzbox hinter einer Firewall hinbekommt? Zugang zu ar7.cfg und voip.cfg der Fritzbox und damit zu den Zugangsdaten habe ich, um entsprechende Konfiguration zu prüfen, wie die Fritzbox als stand alone inkl. VOIP funktioniert.

Vielen Dank!

P.S.: s. auch https://forum.pfsense.org/index.php?topic=68182.msg583150

Ergänzug:
Das Problem taucht offensichtlich nicht auf, wenn man nur die O2-Nummern registriert. Sobald man zusätzlich sipgate registriert oder netzintern SIP (z.b. vom Handy) nutzt, kommt auf den O2-Nummern ein 403

Edit: Fehlinterpretation meinerseits: Der Fehler taucht erst auf, wenn die inititale Session abgelaufen ist. s.u.

Es handelt sich um einen Telefonica-Anschluß - also um one-session, auch wenn die Fritzbox-Konfiguration von O2 mit 2 sessions aufgebaut ist (allerdings ohne separates Login). In Konsequenz ist dies dann wohl eine one-session-Konfiguration. Ich habe mein Problem nun lösen können und es funktioniert endlich alles wie gewünscht.
Die Lösung waren:
* Anpassen der RTP-Port ranges auf der Fritzbox, da diese nach Umstellung auf "Einwahl über LAN/Router" die Standard-Ports (7078+32) öffnete, jedoch in der voip.cfg noch 50000+32 stand. Die Anpassen habe ich über Herunterladen und Anpassen der Fritzbox-Konfiguration vorgenommen (Checksum muss entsprechend angepasst werden).
* Anlegen einer Outbount NAT-Regel in pfsense mit statischem Port, um ein Port remapping für SIP (5060) zu verhindern. Mir war nicht klar, dass der SIP-Client den Port bestimmt. Da in meinem Fall eine interne / nicht erreichbare IP weiter gegeben wird, nutzt der O2-Server die IP/den Port, über den der initiale Request kam. Die pfsense nutzt standardmässig einen zufälligen Port > 1024, für den es dann jedoch keinen erreichbaren (geNATeten) Port für einen eingehenden Anruf gibt. Durch eine outbound NAT-Regel mit statischem Port 5060 funktioniert es nun.

s. auch https://forum.pfsense.org/index.php?topic=68182.msg583732#msg583732