.titleBar { margin-bottom: 5px!important; }

Fritzbox hinter pfSense für VoIP

Dieses Thema im Forum "Telekom VoIP" wurde erstellt von Scampicfx, 3 Okt. 2016.

  1. Scampicfx

    Scampicfx Neuer User

    Registriert seit:
    3 Okt. 2016
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi Leute,

    ich hänge jetzt schon seit ein paar Tagen an einem eigentlich ganz simplen Vorhaben, aber komme einfach nicht weiter:

    Mein Netzwerkaufbau ist folgender:

    ADSL2+ Modem -> pfSense-Router -> Switch

    An diesem Switch sind PCs, Radios, etc. angeschlossen... UND: die Fritzbox (im Client-IP-Modus).

    An diese Fritzbox sind unsere Telefoniegeräte angeschlossen. Damit das Telefonieren funktioniert, denke ich mir nun, dass ich im pfSense-WebGUI die UDP Ports, die auf der Telekom Seite erwähnt werden (Link: https://www.telekom.de/hilfe/festne...telefonie-mit-anderen-clients?samChecked=true ), an die Fritzbox weiterleiten muss!

    Also leite ich alle Ports weiter, sogar noch ein paar zusätzliche, die ich z.B. via http://matthias-schulz.de/einrichten-einer-speedport-hybrid/ und https://avm.de/service/fritzbox/fri...-FRITZ-Box-ueber-anderen-Router-telefonieren/ entdeckt habe.

    Wenn ich nun mit meinem Handy auf der Festnetznummer anrufe, läuten zwar alle Telefone, aber es wird nach dem Abheben kein Sprachton übertragen.

    Ich hänge an diesem Problem nun schon seit Tagen und kriege einfach keine Lösung hin. Ich frage mich einerseits, welche Ports konkret an die Fritzbox übertragen werden müssen und ob da der Fehler begraben liegt?

    Aktuell leite ich folgende UDP-Ports an die Fritzbox weiter: 3478, 3479, 5004, 5060, 5070, 5080, 30000-31000, 40000-41000.
    Für die eingehenden UDP-Ports 6078 - 6109 ist konfiguriert, dass diese an die UDP-Ports 7078-7109 der Fritzbox weitergeleitet werden.

    Ich weiß echt nicht mehr weiter... :/
     
  2. KunterBunter

    KunterBunter IPPF-Urgestein

    Registriert seit:
    12 Okt. 2005
    Beiträge:
    21,999
    Zustimmungen:
    30
    Punkte für Erfolge:
    48
    Du hast also einen STUN-Server in der Fritzbox eingetragen, so wie in deinen Links angegeben?
     
  3. Scampicfx

    Scampicfx Neuer User

    Registriert seit:
    3 Okt. 2016
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi,

    die Konfiguration habe ich gemäß http://matthias-schulz.de/einrichten-einer-speedport-hybrid/ durchgeführt.

    Ich vermute immer noch, dass es hier ein Problem mit Ports gibt oder dass bestimmte Sprachdaten geblockt werden... In pfSense habe ich alle Ports, die ich gefunden habe, für die Fritzbox weitergeleitet... Teilweise finde ich aber manche Anleitungen auch verwirrend, z.B.: https://avm.de/service/fritzbox/fri...-FRITZ-Box-ueber-anderen-Router-telefonieren/
    Der im Beispiel erwähnte Portbereich 6078-6097 (20 Ports) ist kleiner als 7078-7109 (32 Ports). Wie soll das funktionieren?
     
  4. koyaanisqatsi

    koyaanisqatsi IPPF-Urgestein

    Registriert seit:
    24 Jan. 2013
    Beiträge:
    10,190
    Zustimmungen:
    78
    Punkte für Erfolge:
    48
    #4 koyaanisqatsi, 5 Okt. 2016
    Zuletzt bearbeitet: 5 Okt. 2016
    Moin

    Mit STUN werden keine Freigaben benötigt, schafft aber neue Probleme, wenn z.B. der vorgelagerte Router eine neue IP bekommt (Neustart/Zwangstrennung).

    Ohne STUN brauchst du die (tcp/udp) Portweiterleitungen: F!B - Diagnose -> Sicherheit - Fritz!Box-Dienste (SIP & RTP)
    Screenshot_2016-10-05-16-50-53.png
    Im Router...
    5060 (tcp) <--> F!B 5060 (tcp)
    5060 (udp) <--> F!B 5060 (udp)
    7078-7109 (udp) <--> F!B 7078-7109 (udp)
     
  5. sparkie

    sparkie Aktives Mitglied

    Registriert seit:
    13 Nov. 2005
    Beiträge:
    1,501
    Zustimmungen:
    10
    Punkte für Erfolge:
    38
    Beruf:
    Rentner
    den 5060 von extern nach intern zu forwarden ist aber generell eine schlechte Idee. Dieser Port sollte nur von intern nach aussen geoeffnet werden und das Connection-Tracking z.B. per OPTION Packets offen gehalten werden. Von aussen bleibt er so natuerlich weiterhin unsichtbar.
     
  6. woprr

    woprr Aktives Mitglied

    Registriert seit:
    10 Juni 2007
    Beiträge:
    2,876
    Zustimmungen:
    1
    Punkte für Erfolge:
    38
    #6 woprr, 5 Okt. 2016
    Zuletzt bearbeitet: 5 Okt. 2016
    Ja, NAT- keepalive ist portforwarding vorzuziehen.
     
  7. rmh

    rmh Aktives Mitglied

    Registriert seit:
    6 Juli 2008
    Beiträge:
    1,803
    Zustimmungen:
    6
    Punkte für Erfolge:
    38
    Beruf:
    R&D
    Ort:
    BY
    Und dann benötigt PFSENSE auch noch outbound nat rules.
     
  8. Scampicfx

    Scampicfx Neuer User

    Registriert seit:
    3 Okt. 2016
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Vielen Dank, die fehlenden Outbound NAT Rules waren das Problem. Jetzt läufts, vielen Dank euch :)
     
  9. TheDAG

    TheDAG Neuer User

    Registriert seit:
    29 Okt. 2016
    Beiträge:
    1
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi.

    könntest Du noch eine Zusammenfassung schreiben was Du alles gebastelt hast bis es lief?

    Dank im Voraus.
     
  10. Scampicfx

    Scampicfx Neuer User

    Registriert seit:
    3 Okt. 2016
    Beiträge:
    4
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi,

    ich habe mich an die Standard-Ports der Telekom gehalten. Siehe: http://klaus-rossteuscher.de/beschreibungen/voip-einrichtung-telekom-fremdrouter.html

    Das bedeutet:
    1.) Ich habe Firewall-Rules erstellt, die die UDP Ports 5070, 5080, 30000-31000, 40000-41000 erlauben
    2.) Ich habe NAT Portweiterleitungen erstellt, die die UDP Ports 5070, 5080, 30000-31000, 40000-41000 an die Fritz Box weiterleiten
    3.) Ich habe Outbound Rules erstellt, die alle TCP/UDP Ports nach draußen (also ins WAN) erlauben! Ich habe diese Regel für alle Netzwerkteilnehmer erstellt (Source: any)

    Da es sich um ein Privatnetzwerk handelt, denke ich, dass Punkt 3.) so ok ist, oder gibt es hier eventuelle Sicherheitspunkte zu beachten?

    Weitere Porteinstellungen habe ich nicht vorgenommen. Um die Konfiguration etwas zu vereinfachen habe ich mit Port-Aliase gearbeitet. Ich kann das nur weiterempfehlen!
     
  11. zwolle

    zwolle Neuer User

    Registriert seit:
    12 Okt. 2015
    Beiträge:
    51
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    Ort:
    Bad Vilbel
    Hallo,

    ich habe ein ähnliches Problem und habe die IP der Fritzbox testweise im Router als DMZ konfiguriert. Somit sollten doch alle Ports offen sein, es funktioniert aber trotzdem nicht. Anrufen geht (kommend und gehend), aber keine Sprache möglich.
    Telekom VDSL 50000
    Vigor 130 als Modem
    Router TL ER5120 (TP LINK)
    FB 7270 V.1 oder FB 7050 für VOIP wegen ISDN

    Hänge ich die FB an eine als DSL-Router konfigurierte 7360 funktioniert alles einwandfrei auch ohne DMZ.

    Gruß
    zwolle
     
  12. rmh

    rmh Aktives Mitglied

    Registriert seit:
    6 Juli 2008
    Beiträge:
    1,803
    Zustimmungen:
    6
    Punkte für Erfolge:
    38
    Beruf:
    R&D
    Ort:
    BY
    Dein Router hat vermutlich ein aktives SIP ALG. Das musst du abschalten. DMZ würde ich überdenken, die Ports die du für Telefonie weiterleiten musst sind schließlich recht überschaubar.

    VG R.
     
  13. zwolle

    zwolle Neuer User

    Registriert seit:
    12 Okt. 2015
    Beiträge:
    51
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    Ort:
    Bad Vilbel
    Vielen Dank für Deine Antwort.
    SIP ALG habe ausgeschaltet.
    Bei der DMZ dachte ich, ich mache ersteinmal einen Funktionstest mit allen Ports = offen. Dann wüßte ich das es funktioniert und würde dann die Portweiterleitung aktivieren. Da das aber schon nicht funktionert, weiß ich jetzt nicht wo ich suchen soll.
    Oder ist das mit der DMZ ein Denkfehler?
    Gruß zwolle
     
  14. sagenein

    sagenein Neuer User

    Registriert seit:
    26 Feb. 2017
    Beiträge:
    30
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    #14 sagenein, 14 Apr. 2017
    Zuletzt bearbeitet: 14 Apr. 2017
    Man kann eine Fritzbox (IP-Client) OHNE Portweiterleitung für VOIP an einem Anschluss der Telekom hinter einer Firewall betreiben.
    Vorausetzung ist "disable source port rewriting" auf der Firewall.

    Kann das der TP-Link?
     
  15. thtomate12

    thtomate12 IPPF-Promi

    Registriert seit:
    28 Okt. 2010
    Beiträge:
    5,168
    Zustimmungen:
    6
    Punkte für Erfolge:
    38
    Ort:
    NRW
    Und STUN ist hilfreich, damit der externe Server nicht verwirrt ist
     
  16. sagenein

    sagenein Neuer User

    Registriert seit:
    26 Feb. 2017
    Beiträge:
    30
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Auf STUN kann man getrost verzichten bei einem Anschluss der Telekom.

    Wichtig ist wie schon gesagt die korrekte Behandlung des "source port" für VOIP auf der Firewall.
     
  17. zwolle

    zwolle Neuer User

    Registriert seit:
    12 Okt. 2015
    Beiträge:
    51
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    Ort:
    Bad Vilbel
    Die Funktion "disable source port rewriting" gibt es so im TP Link nicht.
    Ich kann SIP.ALG deaktivieren, kann Ports weiterleiten, im Bereich Firewall Access-Regeln definieren und die IP der Fritzbox im TP Link als DMZ konfigurieren.
    Deshalb habe ich ja die DMZ benutzt um somit (dachte ich) das Portproblem erst einmal zu umgehen.
    Das alles habe ich getestet, aber ich bekomme keine Sprache übertragen.
    Ich installiere jetzt wieder den alten Zustand und hoffe das irgendjemand eine Lösung hat.

    Gruß
    zwolle
     
  18. sagenein

    sagenein Neuer User

    Registriert seit:
    26 Feb. 2017
    Beiträge:
    30
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich kann zu den Möglichkeiten des TP-Link in dieser Netzwerkstruktur nichts sagen. Habe noch nie so ein Ding in der Hand gehabt.

    Als Nutzer von pfSense gibt es mit einer FB (IP-Client) hinter der pfSense keine Probleme bzgl. VOIP an einem Anschluss der Telekom.
    Ich habe keine Weiterleitungen von Ports definiert, nutze auch STUN nicht.
     
  19. zwolle

    zwolle Neuer User

    Registriert seit:
    12 Okt. 2015
    Beiträge:
    51
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    Ort:
    Bad Vilbel
    Ich habe es erst einmal aufgegeben und beim Support von TP-Link nachgehakt.
    Der antwortete ALG muss aktiviert sein.
    Das habe ich aber alles schon getestet, leider ohne Erfolg.
     
  20. sagenein

    sagenein Neuer User

    Registriert seit:
    26 Feb. 2017
    Beiträge:
    30
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Betreibe die FB (IP-Client) als "virtual server" mit den für die Telekom erforderlichen Portweiterleitungen (UDP) für SIP und RTP.