[Problem] Vigor 167->OPNSENSE->COMpact 3000

carefull

Neuer User
Mitglied seit
4 Okt 2008
Beiträge
8
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

ich habe folgende Gerätekonfiguration Vigor 167->OPNSENSE->COMpact 3000
In der OPNSENSE habe ich folgende Firewallregeln:

1x Portfreigabe der Compact 3000
1638133826075.png

Zusätzlich ausgehende Regel für die Compact 3000
1638134117490.png

sowie die Freigabe des SIP-Ports 5060
1638134254802.png
[Edit Novize: Riesenbilder gemäß der Forumsregeln auf Vorschau verkleinert]

Damit funktionieren ein und ausgehende Anrufe problemlos, eingehende aber nur solange das IP-Telefon im Bereitschaftsodus ist.
Im Ruhemodus/Standby sind keine Anrufe möglich, es erfolgt die Ansage "Teilnehmer momentan nicht erreichbar"

Wenn ich den Hörer einmal kurz abnehme und auflege geht das Telefon in den Bereitschaftsmodus und eingehende Anrufe sind
während des Bereitschaftsmodus sofort wieder möglich.

Hat jemand eine Idee wie ich dieses störende Verhalten abstellen kann? ich finde dafür leider keine Erklärung

Danke
Gruß carefull
 

Anhänge

  • 1638134008706.png
    1638134008706.png
    18 KB · Aufrufe: 10
Zuletzt bearbeitet von einem Moderator:

sonyKatze

IPPF-Promi
Mitglied seit
6 Aug 2009
Beiträge
4,006
Punkte für Reaktionen
390
Punkte
83
Wie Du es abschaltest, weiß ich leider nicht, weil mir eine COMpact 3000 zum Testen fehlt. Aber eine mögliche Erklärung findet sich in diesem Thread … die Firewall könnte trotz Port-Forwarding nach einer Weile zugehen. An Deiner Stelle würde ich prüfen:
  1. Geht die Auerswald auf Port 5060 raus (statischer Port auf Bild 2) bzw. horcht sie eingehend überhaupt auf Port 5060?
  2. Verkraftet die Auerswald als Quell-IP-Adresse diese andere für sie unbekannte IP-Adresse?
Mein Tipp als Workaround: FRITZ!Box als IP-Client, Auerswald nicht direkt mit 1&1 verbinden sondern als IP-Telefon mit der FRITZ!Box. Eine FRITZ!Box macht bei 1&1 für Dich automatisch die Ports auf und hält automatisch die Firewall offen. Dadurch wird egal, wie die OPNsense konfiguriert ist und Du kannst das Port-Forwarding sogar löschen.
 

4r7ur

Neuer User
Mitglied seit
12 Nov 2010
Beiträge
58
Punkte für Reaktionen
2
Punkte
8
...die Firewall könnte trotz Port-Forwarding nach einer Weile zugehen.
Ich würde auch darauf tippen. Ich hatte eine Zeit lang die Kombination Vigor-OPNsense-GoBox laufen, auch Vigor-OPNsense-Freepbx, bei beiden reichte es nur den Telefonanlagen den Zugriff auf das Internet zu gestatten.
 

carefull

Neuer User
Mitglied seit
4 Okt 2008
Beiträge
8
Punkte für Reaktionen
0
Punkte
1
Hallo sonyKatze,

danke für die Motivation.
- die Auerswald geht auf Port 5060 raus und horcht auch eingehend auf Port 5060
- Die Quelladresse auf Bild 1 ist die der Auerwald. Über diese Regel darf sie alles.

Zusätzlich habe ich folgende Portweiterleitung:

1638196404828.png

Als Quelle habe ich hier die IP's (48 Stück) der 1&1 Telefonie-Server eingetragen. Ohne diese Filterung hatte ich viele
ungebetene Angreifer, die auf Port 5060 lauschen und rein wollen.

Leider fehlten ausgerechnet diese beiden IP's die scheinbar neu sind und aktuell genutzt werden :
212.227.124.129 und 212.227.124.130
Auf den anderen 48 IP's hatte ich bisher keinen Traffic

Es ist ganz lustig, jetzt brauche ich den Hörer nicht abnehmen vor dem Testanruf, jetzt reicht es wenn ich vorher einmal anrufe.

Da bei mir die FB 7490 als IP-Client läuft (WLAN) werde ich auf jeden Fall Deinen Vorschlag die Auerwald als LAN-Telefon anzubinden ausprobieren.
Ein neues Gerät habe ich bereits angelegt. Leider hat die Fritzbox dem LAN-Telefon eine bereits belegt IP aus meinem Netz zugeordnet, was für mich zunächst unschlüssig war:

1638197559843.png
[Edit Novize: Riesenbilder gemäß der Forumsregeln auf Vorschau verkleinert]

Die hier vorgegeben IP ist die meiner Homematic ???

Nach Überprüfung habe ich festgestellt, dass die Fritzbox mal eine statische IP mit dieser Nummer hatte. Da
ich die Fritzbox auf DHCP umgestellt hatte verblieb die statische IP in der FB und wurde hier dummerweise gezogen.
Deshalb habe ich wieder umgestellt auf statisch, das LAN-Telefon gelöscht und neu angelegt, jetzt bekommt es die
korrekte feste IP-Nummer der FB :cool: grrrr.

Beim Anlegen einen neuen LAN-Telefons benötigt das neue Telefon also die statische IP der Fritzbox !!! :)

Viele Grüße
carefull
 
Zuletzt bearbeitet:

Novize

Moderator
Teammitglied
Mitglied seit
17 Aug 2004
Beiträge
21,707
Punkte für Reaktionen
342
Punkte
83
@carefull bitte beachte die bisherigen Forenhinweise sowie die Änderungen meinerseits an Deinen Beiträgen: Lade die Bilder zukünftig als Vorschau(!) in den Beitrag, niemals als Vollbild. Dies stört die Übersicht des Beitrags, den Lesefluss und ist gerade auf kleinen Bildschirmen (z.B. Smartphones) einfach nur ein Graus.
 

carefull

Neuer User
Mitglied seit
4 Okt 2008
Beiträge
8
Punkte für Reaktionen
0
Punkte
1
Ich würde auch darauf tippen. Ich hatte eine Zeit lang die Kombination Vigor-OPNsense-GoBox laufen, auch Vigor-OPNsense-Freepbx, bei beiden reichte es nur den Telefonanlagen den Zugriff auf das Internet zu gestatten.

Hallo,
meine Auerwald darf über die LAN-Regel alle Ports und alle Ziele nutzen, also auch Zugriff auf das Internet.
Hinter dem Alias VOIP-Server verbirgt sich die IP der Auerwald.

1638198529464.png

[Edit Novize: Beiträge zusammengefasst - siehe Forumsregeln]

[Edit Novize: Überflüssiges Fullquote des Beitrags direkt darüber gelöscht - siehe Forumsregeln]

bitte entschuldige, ich werde das künftig berücksichtigen
 
Zuletzt bearbeitet von einem Moderator:

sonyKatze

IPPF-Promi
Mitglied seit
6 Aug 2009
Beiträge
4,006
Punkte für Reaktionen
390
Punkte
83
Nur falls es untergegangen ist: 1&1 ruft Dich von zwei unterschiedlichen IP-Adressen an (welche genau, siehe DNS-A), mal von der einen, mal von der anderen IP-Adresse. Ich denke nicht, dass Auerswald für beide IP-Adressen:ports das NAT-Bindung aufrecht erhält. Daher ist ein Port-Fowarding nötig. Aber die erste Frage ist, ob die Auerswald seine Nachrichten von udp/5060 aus schickt, also die Anrufe seitens 1&1 auch sieht.
 

carefull

Neuer User
Mitglied seit
4 Okt 2008
Beiträge
8
Punkte für Reaktionen
0
Punkte
1
[Edit Novize: Überflüssiges Fullquote des Beitrags direkt darüber gelöscht - siehe Forumsregeln]
die IP-Adressen (DNS-A) für rtpproxy1-ngn.1und1.de, stun.1und1.de und sipbalance1-1.1und1.de habe ich unter dem Alias SIP_IP. Das ganze siehst Du unter dem Bild Portforwarding. Somit funktionieren alle
Weiterleitungen für rein und raus.

Der VoIP-Registrar nutzt eingehend 5060, der SIP-Port nutzt eingehend 5070 und der Outbound-Proxy ausgehend 5070.
Unter dem Alias SIP habe ich jetzt die Ports 5060 und 5070.

Nachdem ich die Auerwald in der Fritzbox als LAN-Telefon betreibe funktioniert Dank Deiner Empfehlung alles tadelos,
jedenfalls soweit ich es momentan überblicken kann.

Es ging echt einfach, ich brauchte nur den Registrar in der Auerwald ändern:
Registrar ALT : sip.1und1.de
Registrar NEU : 192.168.178.2

:)
 
Zuletzt bearbeitet:

sonyKatze

IPPF-Promi
Mitglied seit
6 Aug 2009
Beiträge
4,006
Punkte für Reaktionen
390
Punkte
83
sipbalance1-1.1und1.de
Nur damit kein Missverständnis entstand: Du müsstest alle Adressen von sip.1und1.de eintragen (DNS-A). Wenn Deine Telefonanlage bzw. SIP-Client bereits DNS-SRV, musst Du alle Adresse die unter 1und1.de für SIP auflösen eintragen. Bei mir sind das aktuell vier IP-Adressen, von den zwei die selben sind. Aber diese IP-Adressen können sich nach jeder Zwangstrennung ändern (oder sogar noch häufiger?), es muss nicht einmal bei zwei bleiben. Das macht das ganze kniffelig, weil man in einer Firewall selten alle IP-Adresse abbilden kann, die die Telefonanlage hätte nutzen können.

Wenn es dann immer noch nicht klappt(e), liegt die Vermutung nahe, dass die Auerswald je Anrufe von ihr fremden IP-Adressen ignoriert.
Das ganze siehst Du unter dem Bild Portforwarding.
Irgendwie übersehen.
Nachdem ich die Auerwald in der Fritzbox als LAN-Telefon betreibe funktioniert […] alles tadelos
Suppi.
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
239,918
Beiträge
2,135,914
Mitglieder
363,525
Neuestes Mitglied
behre
Erhalten Sie 3CX für 1 Jahr kostenlos!

Gehostet, in Ihrer privaten Cloud oder on-Premise! Ganz ohne Haken. Geben Sie Ihren Namen und Ihre E-Mail an und los geht´s:

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
oder via