[Problem] VDSL 50, IP-Telefonie/FritzBox und dedizierte Firewall

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
H

honk0504

Neuer User
Mitglied seit
17 Okt 2005
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

ich habe hier mal ein Problem und ich hoffe das jemand die gleiche Konstellation, aber nicht das Problem hat, weil er die Lösung kennt.
Ich nutze eine FB 7490 (OS 6.51) an einem VDSL Anschluss des Anbieters mit dem großen T.
An der Fritzbox angeschlossen sind analoge wie ISDN Endgeräte. Alle haben jeweils eine interne Rufnummer. Hier wähle ich mal als Beispiel das ISDN Haustelefon mit der **51
Hinter der Fritzbox steht eine dedizierte Firewall, welche in einem separaten Subnetz den WLAN AP stellt. Über den WLAN AP melden sich nun Smartphones ins WLAN und per Fritz!App Fon an der Fritzbox an.
Eines der Smartphones hat nun z.B. die **620 als interne Nummer.

Jetzt das Phänomen:
Rufe ich vom Smartphone aus raus (öffentliche Telefonummer; ein eingebuchtes Handy) -> klappt (hiermit ist Aufbau der Verbindung gemeint); keine Sprache!
Rufe ich vom Smartphone aus intern (ISDN Telefon **51) -> klappt; keine Sprache!
Rufe ich vom ISDN Telefon aus intern (Smartphone **620) -> klappt NICHT!
Rufe ich vom weiterem Smartphone (**621) aus intern (Smartphone **620) -> klappt NICHT!
Rufe ich vom Smartphone aus den FB Anrufbeantworter (AB **600) -> klappt NICHT!
Rufe ich vom öffentlichen Telefonnetz aus die Nummer an, die ich einem Smartphone zugewiesen habe -> klappt NICHT!

Wie kann das sein? Hat jemand schon die gleichen Erfahrungen gemacht und weiß hier Rat?!
 
Zuletzt bearbeitet:
Zuletzt bearbeitet:
Dass deines Firewall Routing macht, ist aus deiner Aussage anzunehmen, macht sie denn auch NAT? Dann musst du entweder Ports freigeben oder dem Gerät die IP der Firewall aus Sicht der Fritzbox verraten.

@koy: Wo siehst du denn zweimal NAT zwischen den beiden SIP-Endpunkten?
 
Insgesamt natürlich.
...ist die Erde eine Scheibe?

Wofür steht denn das N in NAT?
Ich zähl mal auf...

1. Internet
2. LAN
3. Separates Subnetz

Um vom 2. NAT ins 1. NAT zu gelangen, ist der einfachste Weg das 2. NAT abzuschaffen.
 
koyaanisqatsi schrieb:
Moinsen



:confused:
Doppel-NAT



Ja


Vielleicht das separate Subnetz abschaffen?
Immerhin bietet die Fritz!Box noch das Gastnetz (WLAN/Lan4) zur Trennung vom normalen LAN.
Zum Vergrößern anklicken....

Vielen Dank für Deine Antwort. Die separate Firewall, hinter der FB, hat schon Ihren Daseins-Berechtigung (Proxy, QoS, NTP-Server, diverse Subnetze, ...). In der FB ist die "öffentliche" Adresse der Firewall als "Exposed Host" eingerichtet. Clients innerhalb meines WLAN Subnetz lassen sich nicht in der FB eintragen; da es sich nicht um den Netzwerkbereich handelt nimmt er diesen Eintrag nicht an.
 
Welche Ports müsste ich denn weiterleiten?
 
honk0504 schrieb:
Hinter der Fritzbox steht eine dedizierte Firewall
Zum Vergrößern anklicken....
Die Position der Firewall ist vom Auge des Betrachters abhängig. Eigentlich steht sie daneben.
Es müssen sämtliche Ports in der Fritzbox eingehend freigegeben werden, die die benutzten SIP-Clients in den Smartphones für SIP und RTP verwenden.
 
Zuletzt bearbeitet:
hey..
ich weiß seit gestern, dass ich auch ein Doppel-Nat Problem habe.
Darum ist das hier in diesem Thread hoffentlich passend.
Ich sehe für mich leider auch keine anderen Möglichkeiten, da:
  • zum einen benötige ich eine anständige Firewall/pfsense mit Proxy, Load Balancing, CaptivePortal, etc..
  • muss aber auch für Telefonie die kastrierte Fritzbox nehmen -> Unitymedia


Simple_Neu.png
Würde man das trotz Doppel-Nat zum laufen bekommen?
Hatte auch hier etwas dazu geschrieben.

Edit: Wenn dieser Beitrag ein Crossposting darstellt,
kann der Beitrag gelöscht werden (Thx @KunterBunter)
 
Zuletzt bearbeitet:
Ich habe einen ähnlichen Aufbau. Allerdings habe ich aus Kompatibilitätsgründen und gelegentlichen Problemen mit dem doppelten NAT mein VoIP-Telefon direkt an der ProviderFritzBox angeschlossen (umgehe also für VoIP die pfSense). Unter anderem habe ich das Telefon nicht nur am Registrar der FritzBox, sondern auch noch an ein paar echten VoIP-Accounts bei anderen Providern angemeldet. Den VoIP-Trafic noch zusätzlich durch die pfSense zu jagen machte für mich keinen Sinn. An der ProviderFritzBox (bei mir eine 6360) ist noch zusätzlich das WLAN für Gäste mit einem GästeAccount aktiviert. Ich möchte keine Gäste in meinem Netzwerk haben, da auch öfter der Nachwuchs zum Zocken Besuch bekommt, und die auch ihre Rechner ans Netz hängen wollen/müssen.

Die pfSense ist in der ProviderFritzBox als exposed host eingetragen. Ich habe bisher noch keine Nachteile bemerkt. Auch terminiere ich ein VPN an meiner FritzBox und leite von dort aus den Trafic für meine Hausautomation per Portweiterleitung mit dedizierter Quelladresse an meine Homematic weiter. Am originalen WLAN der Providerbox hängen noch WLAN-IP-Cams, auf die ich aus meinem Netz sowie per VPN Zugriff habe. Auch diese wollte ich nicht in meinem internen Netz haben.

Eine kleine Bemerkung noch zu dem von Dir benutzten 10er-Netz. Es gab in der weiteren Vergangenheit mal Effekte im Zusammenhang mit den FritzBoxen (allerdings nur, wenn diese als Router konfiguriert waren), deren Ursache vielleicht eine interne Nutzung des Adressbereichs durch die FritzBox zu erklären waren. Ich persönlich meide diesen Adressbereich, wenn im betreffenden Netz FritzBoxen zum Einsatz kommen. Das nur für den Hinterkopf, falls es mal zu Netzwerkfunktionsproblemen mit der FritzBox kommt.

Gruß Telefonmännchen
 
Telefonmännchen schrieb:
Eine kleine Bemerkung noch zu dem von Dir benutzten 10er-Netz. Es gab in der weiteren Vergangenheit mal Effekte im Zusammenhang mit den FritzBoxen (allerdings nur, wenn diese als Router konfiguriert waren), deren Ursache vielleicht eine interne Nutzung des Adressbereichs durch die FritzBox zu erklären waren.
Zum Vergrößern anklicken....
Anmerkung dazu für eventuelle spätere Leser: Dies liegt nicht an der FB an sich, sondern an dem Netz des Providers.
 
just for the record, falls jemand mal ein ähnliches Problem hat:
Mein Problem konnte ich tatsächlich lösen, in dem ich das doppelte Natting abgeschaltet habe. Ein Natting gibt es jetzt nur noch am Endgerät/Schnittstelle zum Internet - also der Fritzbox 7490.
Die Firewall, pfsense nattet nicht mehr. Zusätzlich musste ich eine statische Route in der Fritzbox hinterlegen, damit die Pakete auch wieder ihren Weg hinter die pfsense finden.
In diesem Beitrag habe ich das auch erwähnt - incl. einer detaillierten -Showing-Off-Drawing :D
 
Viele Probleme lassen sich ohne Verzicht an Sicherheit umgehen, wenn man einfach den internen ISDN-Bus der Fritzbox mit DSL-Anschluss mit dem ISDN-Eingang der zweiten Box verbindet. Beschränkt zwar die Anzahl gleichzeitiger Gespräche auf 2, dies betrifft aber nur die über den Internetanbieter geführten Gespräche. In der zweiten Box kann (und sollte) man ja weitere Anbieter einrichten. Nur so als einfache Alternative...

Gesendet von meinem X5 mit Tapatalk
 
Nein, es betrifft nicht die Gespräche, die über den Internetanbieter geführt werden, sondern über den S0-Bus.
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 654 (Mitglieder: 18, Gäste: 636)

Neueste Beiträge

Statistik des Forums

Themen
244,868
Beiträge
2,219,776
Mitglieder
371,585
Neuestes Mitglied
PauSchmitz
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück