.titleBar { margin-bottom: 5px!important; }

Telekom VOIP -> pfSense -> Fritzbox = keine Telefonie

Dieses Thema im Forum "Telekom VoIP" wurde erstellt von tkhSense, 13 Sep. 2017.

  1. tkhSense

    tkhSense Neuer User

    Registriert seit:
    13 Sep. 2017
    Beiträge:
    1
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Hallo Leute,

    zunächst: ich weiß es gibt zu diesem Problem etliche Topics, Threads, Artikel etc. Wir haben einige bis fast alle gelesen, umgesetzt und probiert. Unser ISDN Anschluss wurde gestern von der Telekom umgetsellt, sodass wir nun einen AllIP Anschluss besitzen. Internet und die feste IP funktionieren tadellos, Telefonie möchte nicht funktionieren.

    Setup:
    Telefon IP Anschluss (DeutschlandLAN...)
    pfSense 2.3.4-RELEASE-p1
    Fritzbox 7490 (Firmware kann nachgericht werden)

    In unserem Szenario spielt die FB 7490 ausschließlich Telefonanlage. Ansonsten besteht eine dauerhafte VPN-Verbindung zu einem anderen Standort.

    Wir haben u.a. folgende HowTos befolgt, leider ohne großen Erfolg:

    https://blog.freeprojekt.de/2017/01/voip-mit-fritzbox-und-pfsense/
    https://sighunter.wordpress.com/2014/08/24/voip-mit-fritzbox-hinter-pfsense/
    https://forum.pfsense.org/index.php?topic=112764.msg627865#msg627865
    https://telekomhilft.telekom.de/t5/Festnetz/Geraeteeinstellungen-fuer-IP-Telefonie/ta-p/1316012

    Port Forward
    http://www.bilder-upload.eu/show.php?file=73e192-1504782998.png

    Outbound:
    http://www.bilder-upload.eu/show.php?file=ef2ecd-1504783066.png

    Im Alias VoipPorts steht u.a. auch die 5060 drin. Wir haben die Fritzbox bereits zurückgesetzt und manuell neu konfiguriert. Wir zudem auch die Geschichte mit Static Port, NAT Timeouts auf pfSense und Fritzbox umgesetzt. Die Zugangsdaten haben wir so eingerichtet, wie es die Telekom möchte -> https://telekomhilft.telekom.de/t5/Festnetz/Geraeteeinstellungen-fuer-IP-Telefonie/ta-p/1316012 Sind die Ports 30000-31000 und 40000-41000 von Nöten?

    Wenn wir ein Call nach draußen initiieren und dann im pfSense bei "Diagnostics - States" nach der Fritzbox IP filtern, sehen wir, dass dort der SIP Server der Telekom mit Port 5060 kontaktiert wird.

    Im Packet Capture vom pfSense bekommen wir jedoch ein "SIP/2.0 403 Forbidden 0102301005001".

    Aktiv und registriert (grünes LED Symbol in FB) sind die Rufnummern. Telefonie geht in beide Richtungen nicht. Wenn wir ohne STUN Server Eintrag nach draußen telefonieren möchten, bleibt es still in der Leitung. Wenn wir den STUN Server rausnehmen, bekommen wir ein Besetztzeiten. Muss der denn generell drin stehen? Man liest da widersprüchliches. Leitung ist laut Telekom komplett umgestellt und auch funktionstüchtig.

    Ohne pfSense dazwischen geht es übrigens. Hat dazu jemand noch einen Denkanstoß?

    Beste Grüße
    tkhSense

    P.s.: ich hab das gleiche Thema bereits im pfsense Forum eröffnet. Dort konnte mir jedoch noch nicht geholfen werden. Da die Sache recht kritisch ist, möchte ich es hier nochmal probieren.
     
  2. Eisenfaust

    Eisenfaust Neuer User

    Registriert seit:
    26 Dez. 2006
    Beiträge:
    46
    Zustimmungen:
    0
    Punkte für Erfolge:
    6
    Beruf:
    Quertreiber
    Ort:
    Bundeshauptkloake (Berlin)
    Hallo.

    Wenn Peers via SIP ihre Kommunikation aushandeln, und Du A und die TKom B ist, dann muß der PBX Server auf dem Port, auf welchem er SIP Anfragen entgegennehmen will, erreichbar sein. Standardmäßig ist das 5060/UDP (SIP). Die Firewall bzw. NAT muß auch diesen Port INBOUND(!) an den Zielhost weiterleiten. pfSense kenne ich nicht - ich kenne das darunterliegende Betriebssystem sehr gut, weil wir es selbst einsetzen, allerdings arbeiten wir "hardcore" damit und konfigurieren NAT, Firewall (wenn man unter FBSD die in-Kernel NAT und netgraph verwendet) händisch und ohne diese dämlichen klicki-bunti GUI. Kurzum: NAT sollte inbound eine Portweiterleitung 5060/udp an den TK Server machen dürfen. Der pfSense Paketfilter ist in der Regel die OpenBSD "pf" und meines Wissens ist sie in der Grundkonfiguration "stateful", so daß Egress kein Portforwarding gemacht werden muß/sollte. Meine Aussage ist bezogen auf die Screenshots - ich nehme an, sie stammen von pfSense (nicht von diesem Ding "FritzBox", kenne ich auch nicht ...). NAT/Port Forwarding ist im Screenshot "outbound", aber die falsche Richtung wäre, wenn ich richtig liege.

    Im SIP wird von beiden Peers u.a. ausgehandelt, auf welchen Ports RTP stattfinden soll. Welches Intervall Dein(!) PBX annehmen(!) will/darf, definierst Du in der TK Anlage (FritzBox?). Für eine Telephonleitung/VoIP Leitung werden duplex 2 UDP Ports benötigt, wenn RTCP hinzukommt, eventuell noch zwei weitere. Asterisk kann aber auch multiplexen (FreeSwitch auch), aber das geht wohl jetzt zu weit. Für 10 Telephonleitungen, die gleichzeitig bedient werden müssen, definiert man somit ein Intervall von 4 * 10 = 40 (ich nehme jetzt die RTCP ports hinzu). Weil eine NAT Firewall aber UDP Ports nicht sofort schließt, wenn die Verbindung abbricht oder ein Verbindungsversuch fehlgeschlagen ist, gibt man noch ein paar Ports dazu (allerdings immer durch zwei teilbar, also gerade). So würden dann 100 Ports ausreichend sein, um 10 Leitungen zu bedienen. Diese Portrange konfiguriert man in Asterisk in rtp.conf, in der Fritz Dose muß es ein Äquivalent geben. Und genau das ist dann das Port-Intervall, was die Firewall INBOUND auch zulassen muß und das ist auch das Port-Intervall, was INBOUND von NAT an den PBX Server per "Forwarding" weitergeleitet werden muß - und zwar Inbound!

    Wenn Dein PBX aus einem Pool von, sagen wir, 10000-10100/UDP RTP Verbindungen bedienen soll, signalisiert der PBX via SIP der Gegenstelle im Protokollbody, daß die Gegenstelle eben auf einem Port aus diesem Pool antworten soll. Der TKom Peer allerdings erzählt Deinem PBX, daß er gerne Verbindungen aus seinem Pool ankommend (für die Telekom, abgehend für Dich) haben will. Abgehend muß man nur dann die Firewall durchlässig per Port-Intervall machen, wenn man eine statische Firewall-Konfiguration benutzt, d.h. Du explizit angibst, daß Dein PBX im Portintervall 30000-31000 und 40000-41000 UDP zu einem bestimmten IP Intervall oder einer einzelnen IP Verbindungen durchlassen (Egress) darf.

    In Deinen Regeln sollte also Port 5060/UDP Inbound/eingehend auf den PBX (TK der Fritzbox) weitergeleitet werden (Port 5060/UDP bei ihr oder einen anderen, die NAT übersetzt das schon ...). Zusätzlich müssen die von Deiner TK Anlage benutzten RTP Ports für ankommende Verbindungen ebenfalls INBOUND an die TK weitergeleitet werden. Das ist überhaupt kein Hexenwerk.

    Wenn das pfSense Forum nicht weiterhelfen kann, vielleicht mal in einem der guten BSD Foren nachsehen (http://www.bsdforen.de/).

    Ich bin noch relativ "neu" in Sachen VoIP unterwegs, mich hat die Sache leider kalt erwischt. Es kann sein, daß mein Kenntnisstand bzgl. des genauen Protokollablaufes bzgl. SIP nicht ganz korrekt ist. Die obig erwähnten RTP Ports/Portintervalle werden im SDP (Session Description Protocol) transportiert. Hoffe, das hilft über die ersten Hürden hinweg.