Fritzbox hinter pfSense für VoIP

[Scampicfx]

Hi Leute,

ich hänge jetzt schon seit ein paar Tagen an einem eigentlich ganz simplen Vorhaben, aber komme einfach nicht weiter:

Mein Netzwerkaufbau ist folgender:

ADSL2+ Modem -> pfSense-Router -> Switch

An diesem Switch sind PCs, Radios, etc. angeschlossen... UND: die Fritzbox (im Client-IP-Modus).

An diese Fritzbox sind unsere Telefoniegeräte angeschlossen. Damit das Telefonieren funktioniert, denke ich mir nun, dass ich im pfSense-WebGUI die UDP Ports, die auf der Telekom Seite erwähnt werden (Link: https://www.telekom.de/hilfe/festne...telefonie-mit-anderen-clients?samChecked=true ), an die Fritzbox weiterleiten muss!

Also leite ich alle Ports weiter, sogar noch ein paar zusätzliche, die ich z.B. via http://matthias-schulz.de/einrichten-einer-speedport-hybrid/ und https://avm.de/service/fritzbox/fri...-FRITZ-Box-ueber-anderen-Router-telefonieren/ entdeckt habe.

Wenn ich nun mit meinem Handy auf der Festnetznummer anrufe, läuten zwar alle Telefone, aber es wird nach dem Abheben kein Sprachton übertragen.

Ich hänge an diesem Problem nun schon seit Tagen und kriege einfach keine Lösung hin. Ich frage mich einerseits, welche Ports konkret an die Fritzbox übertragen werden müssen und ob da der Fehler begraben liegt?

Aktuell leite ich folgende UDP-Ports an die Fritzbox weiter: 3478, 3479, 5004, 5060, 5070, 5080, 30000-31000, 40000-41000.
Für die eingehenden UDP-Ports 6078 - 6109 ist konfiguriert, dass diese an die UDP-Ports 7078-7109 der Fritzbox weitergeleitet werden.

Ich weiß echt nicht mehr weiter... :/

 

[KunterBunter]

Du hast also einen STUN-Server in der Fritzbox eingetragen, so wie in deinen Links angegeben?

 

[Scampicfx]

Hi,

die Konfiguration habe ich gemäß http://matthias-schulz.de/einrichten-einer-speedport-hybrid/ durchgeführt.

Ich vermute immer noch, dass es hier ein Problem mit Ports gibt oder dass bestimmte Sprachdaten geblockt werden... In pfSense habe ich alle Ports, die ich gefunden habe, für die Fritzbox weitergeleitet... Teilweise finde ich aber manche Anleitungen auch verwirrend, z.B.: https://avm.de/service/fritzbox/fri...-FRITZ-Box-ueber-anderen-Router-telefonieren/

Zitat: Statische Portweiterleitungen einrichten: Von beliebigen UDP-Ports >= 1024 (z.B. 6078-6097) auf die Ports 7078-7109 der FRITZ!Box

Der im Beispiel erwähnte Portbereich 6078-6097 (20 Ports) ist kleiner als 7078-7109 (32 Ports). Wie soll das funktionieren?

 

[koyaanisqatsi]

Moin

Mit STUN werden keine Freigaben benötigt, schafft aber neue Probleme, wenn z.B. der vorgelagerte Router eine neue IP bekommt (Neustart/Zwangstrennung).

Ohne STUN brauchst du die (tcp/udp) Portweiterleitungen: F!B - Diagnose -> Sicherheit - Fritz!Box-Dienste (SIP & RTP)

Im Router...
5060 (tcp) <--> F!B 5060 (tcp)
5060 (udp) <--> F!B 5060 (udp)
7078-7109 (udp) <--> F!B 7078-7109 (udp)

 

[sparkie]

den 5060 von extern nach intern zu forwarden ist aber generell eine schlechte Idee. Dieser Port sollte nur von intern nach aussen geoeffnet werden und das Connection-Tracking z.B. per OPTION Packets offen gehalten werden. Von aussen bleibt er so natuerlich weiterhin unsichtbar.

 

[woprr]

Ja, NAT- keepalive ist portforwarding vorzuziehen.

 

[rmh]

Und dann benötigt PFSENSE auch noch outbound nat rules.

 

[Scampicfx]

Vielen Dank, die fehlenden Outbound NAT Rules waren das Problem. Jetzt läufts, vielen Dank euch

 

[TheDAG]

Vielen Dank, die fehlenden Outbound NAT Rules waren das Problem. Jetzt läufts, vielen Dank euch

Hi.

könntest Du noch eine Zusammenfassung schreiben was Du alles gebastelt hast bis es lief?

Dank im Voraus.

 

[Scampicfx]

Hi,

ich habe mich an die Standard-Ports der Telekom gehalten. Siehe: http://klaus-rossteuscher.de/beschreibungen/voip-einrichtung-telekom-fremdrouter.html

Das bedeutet:
1.) Ich habe Firewall-Rules erstellt, die die UDP Ports 5070, 5080, 30000-31000, 40000-41000 erlauben
2.) Ich habe NAT Portweiterleitungen erstellt, die die UDP Ports 5070, 5080, 30000-31000, 40000-41000 an die Fritz Box weiterleiten
3.) Ich habe Outbound Rules erstellt, die alle TCP/UDP Ports nach draußen (also ins WAN) erlauben! Ich habe diese Regel für alle Netzwerkteilnehmer erstellt (Source: any)

Da es sich um ein Privatnetzwerk handelt, denke ich, dass Punkt 3.) so ok ist, oder gibt es hier eventuelle Sicherheitspunkte zu beachten?

Weitere Porteinstellungen habe ich nicht vorgenommen. Um die Konfiguration etwas zu vereinfachen habe ich mit Port-Aliase gearbeitet. Ich kann das nur weiterempfehlen!

 

[zwolle]

Hallo,

ich habe ein ähnliches Problem und habe die IP der Fritzbox testweise im Router als DMZ konfiguriert. Somit sollten doch alle Ports offen sein, es funktioniert aber trotzdem nicht. Anrufen geht (kommend und gehend), aber keine Sprache möglich.
Telekom VDSL 50000
Vigor 130 als Modem
Router TL ER5120 (TP LINK)
FB 7270 V.1 oder FB 7050 für VOIP wegen ISDN

Hänge ich die FB an eine als DSL-Router konfigurierte 7360 funktioniert alles einwandfrei auch ohne DMZ.

Gruß
zwolle

 

[rmh]

Dein Router hat vermutlich ein aktives SIP ALG. Das musst du abschalten. DMZ würde ich überdenken, die Ports die du für Telefonie weiterleiten musst sind schließlich recht überschaubar.

VG R.

 

[zwolle]

Vielen Dank für Deine Antwort.
SIP ALG habe ausgeschaltet.
Bei der DMZ dachte ich, ich mache ersteinmal einen Funktionstest mit allen Ports = offen. Dann wüßte ich das es funktioniert und würde dann die Portweiterleitung aktivieren. Da das aber schon nicht funktionert, weiß ich jetzt nicht wo ich suchen soll.
Oder ist das mit der DMZ ein Denkfehler?
Gruß zwolle

 

[sagenein]

Man kann eine Fritzbox (IP-Client) OHNE Portweiterleitung für VOIP an einem Anschluss der Telekom hinter einer Firewall betreiben.
Vorausetzung ist "disable source port rewriting" auf der Firewall.

Kann das der TP-Link?

 

[thtomate12]

Und STUN ist hilfreich, damit der externe Server nicht verwirrt ist

 

[sagenein]

Auf STUN kann man getrost verzichten bei einem Anschluss der Telekom.

Wichtig ist wie schon gesagt die korrekte Behandlung des "source port" für VOIP auf der Firewall.

 

[zwolle]

Die Funktion "disable source port rewriting" gibt es so im TP Link nicht.
Ich kann SIP.ALG deaktivieren, kann Ports weiterleiten, im Bereich Firewall Access-Regeln definieren und die IP der Fritzbox im TP Link als DMZ konfigurieren.
Deshalb habe ich ja die DMZ benutzt um somit (dachte ich) das Portproblem erst einmal zu umgehen.
Das alles habe ich getestet, aber ich bekomme keine Sprache übertragen.
Ich installiere jetzt wieder den alten Zustand und hoffe das irgendjemand eine Lösung hat.

Gruß
zwolle

 

[sagenein]

Ich kann zu den Möglichkeiten des TP-Link in dieser Netzwerkstruktur nichts sagen. Habe noch nie so ein Ding in der Hand gehabt.

Als Nutzer von pfSense gibt es mit einer FB (IP-Client) hinter der pfSense keine Probleme bzgl. VOIP an einem Anschluss der Telekom.
Ich habe keine Weiterleitungen von Ports definiert, nutze auch STUN nicht.

 

[zwolle]

Ich habe es erst einmal aufgegeben und beim Support von TP-Link nachgehakt.
Der antwortete ALG muss aktiviert sein.
Das habe ich aber alles schon getestet, leider ohne Erfolg.

 

[sagenein]

Betreibe die FB (IP-Client) als "virtual server" mit den für die Telekom erforderlichen Portweiterleitungen (UDP) für SIP und RTP.