Hallo Leute, in der letzten Zeit habe ich mich längere Zeit mit der Umstellung meiner Firewall beschäftigt. Da ich an der ein oder anderen Stelle einige Probleme hatte, wollte ich diese anderen einmal zugänglich machen.
Aber kommen wir nun zu dem Hauptthema.
Was mich bei der Umstellung mit Abstand am meisten Zeit gekostet hat war, die Einrichtung des VOIP (Voice over IP) an meiner Fritzbox 7490.
Vielleicht noch eine kleine Anmerkung an dieser Stelle – Bei mir hat es insgesamt ca. 2 Tage gedauert, bis das Telefon wieder lief. Also wenn Ihr noch weitere Personen im Haushalt habt, solltet ihr dies Berücksichtigen. 🙂 Diesen Punkt hatte ich in meinem Fall vernachlässigt und somit hing der Haussegen teilweise schief.
-> Was war das Problem ?
Nun ja das Hauptproblem bestand darin, dass ich keine Verbindung nach außen bzw. keine Verbindung ins Haus bekommen habe. Selbst die Erstellung einer “ANY >> ANY” Rule brachte hier keine Abhilfe.
Somit fing ich an zu recherchieren und kam auf das Plugin, SIPROXD, welches dann als Proxy zwischen meinem Provider und mir dienen sollte.
==> Nach einigen Stunden hat es letztendlich doch nicht geklappt und ich machte mich weiter auf die Suche nach einer akzeptablen Lösung das Telefon wieder zum laufen zu bekommen.
Nach unzähligen Versuchen und die Suche in diversen Foren hatte ich endlich einen Durchbruch und möchte diesen an dieser Stelle gerne mit euch teilen. Vorweg, es werden keine Plugins benötigt. Es ist standardmäßig alles an Board, was ihr benötigt.
Lösungsvorschlag:
- Wir legen uns einen Neuen Alias in der Firewall an. ( Dieser wird nur dafür benötigt, damit die Regeln Übersichtlicher werden):
- Firewall
- Aliases
- View
2. Add a new alias
-> Hier legen wir nun den Alias “VOIP_ports” an. (Dieser Name kann frei gewählt werden)
-> Anschließend legen wir noch einen weiteren Alias “VOIP_Server” an, welcher auf die IP der Fritzbox zeigt.
Also nun haben wir die Grundlage geschaffen und müssen nun noch Portweiterleitungen und Firewall Regeln erstellen
Wir legen die Portweiterleitungen in der Firewall an
- Firewall
- NAT
- Port Forward
Interface: WAN
Protokoll: TCP/UDP
Source: ANY
Source Port: ANY
Destination: ANY
Destination Port Range: SIP (5060)
Redirect target IP: VOIP_Server (Achtung! Das ist ein ALIAS, welchen wir in den vorherigen Schritten festgelegt hatten. Hier ist die IP Adresse der Fritzbox hinterlegt.
Wir legen eine Portweiterleitung für Ausgehenden Traffic an
1. Firewall
2. NAT
3. Outbound
=> Wichtig hier wählen wir nun den Modus “Hybrid outbound NAT rule generation” aus
Anschließen muss dies mit “Save” gespeichert werden.
Wir legen eine Portweiterleitung für Ausgehenden Traffic an
=> Bitte auf ADD klicken
Interface: WAN
Protokoll ANY
Source address: VOIP_Server
Source Port: any
Destination Port: ANY
Translation / target: Interface Address
Static Port: YES Dieser Punkt ist wichtig!
Static Port: YES Dieser Punkt ist wichtig!
Wir legen eine WAN Firewall Regel an
1. Firewall
2. Rules
3. WAN
In dieser Regel sind nun beide zuvor angelegen Aliase aktiv
Interface: WAN
Protocol: TCP/UDP
Source: ANY
Destination: VOIP_Server
Destination port range: SIP
Wir legen eine LAN Firewall Regel an
1. Firewall
2. Rules
3. WAN
Diese Regel wird bei mir lediglich benötigt, das ich nur die benötigten Ausgangsport in der Firewall freigegeben habe. Sollte Ihr hier sowieso eine ANY to ANY Rule einsetzen könnte dieser Schritt überflüssig sein.
Interface: LAN
Protokoll: TCP/UDP
Source: VOIP_Server
Source Port Range: VOIP_ports
Destination: ANY
Destination port range: ANY
Dies sollte es nun gewesen sein, nun sollte eure Fritzbox die Rufnummer wieder Registrieren können.
Bitte beachtet, dass die Einstellungen an der Frittzbox nicht verändert werden müssen. Diese sollten eins zu eins so sein, wie ihr diese ohne Firewall konfiguriert habt.
Sprich ihr Loggt euch nun auf der Fritzbox ein und könnt als Telefonanbieter weiterhin Telekom auswählen und einfach die Rufnummer angeben. Es ist kein Proxy oder sonstiges notwendig.
Sollte ihr noch Fragen oder Anregungen haben bitte Melden. Entweder über die Kommentar Funktion oder direkt per E-Mail
Gruß Mario Andrick
10 Responses
Moinsen Mario,
hm, also ich versuch das auch gerade mal. Leider kann man die Bilder nicht sehen, weder in Chrome, FF noch IE……
Ich hab versucht die Anleitung so umzusetzen wie ich aus der Beschreibung entnehmen konnte.
Bei mir ist es allerdings so, der WAN Port meiner OpnSense geht auf nen LAN Port der FritzBox.
LAN Port der OPNSense geht auf einen Switch und von dort an alle Clients.
Es gibt eine NAT Regel die es mir erlaubt per ‘Fritz.Box’ auf die FritzBox zu kommen (6490 Cable) und die Box hat 192.168.0.1, während der Rest in einem anderen Netzwerk ist.
Sollte deine Anleitung in diesem Szenario dann auch funktionieren??
Übrigens, super das du die Anleitung hier zur Verfügung stellst, versuch das auch seit ein paar Tagen hier hinzubiegen.
gruß,
Andreas
PS: Wenn Telefon/Internet nicht geht ist man am besten entweder weit, weit weg oder nicht verantwortlich für die Störung 🙂
Ich habe das gleiche Szenario. Fritzbox -> OpnSence -> switch-> IPphone
leider kann sich mein Telefon nicht an der FB anmelden mit den Registrierungsdaten. Wenn ich das Telefon direkt an die FB hänge geht es.
Ich habe deine Anleitung versucht. Leider hat dann mein Fritzphone nicht mehr geklingelt.
Hallo Sven, das ist sehr interessant, könntest du eventuell etwas mehr über dein Setup informieren? Hier wäre interessant den Unterschied zu sehen. Gruß Georg
tja, nice aber funktioniert nicht mit sip.vitroconnect.de
Hallo Herr Jähnigen,
das ist schade, dass es bei ihnen nicht geht. Können Sie mir ihr Problem vielleicht etwas genauer beschreiben ? Vielleicht kann man einen anderen Lösungsansatz finden.
Gruß Mario
Super das sie so zeitnah geantwortet haben: nun, anhand der Logs hatte ich schon die Vermutung das noch etliche Ports freigegeben werden müssen, bei einer anderen Quelle gab es den Hinweis die Ports 10000-20000 frei zu geben. Dies scheint die Lösung für den SIP Provider sip.vitroconnect.de zu sein. Aber wie man öfters lesen durfte, so sicher sollte man sich nicht sein da die Provider sehr variabel mit ihren Vorgaben sind aber auch das schnell passieren kann das man “zu wenig” freigegeben hat (das irgendwann mal außerhalb der freigegebenen Portsrange agiert). Mein Fazit: das SIP/VoIP ist konzeptioneller Müll, entschuldigen sie das ich das so harsch sagen muss, aber da hat man echt eine Katastrophe konstruiert die gegen alle Regeln des Urväter des Internet verstösst. Im Grunde habe ich nicht nur Löcher in meiner FW gebohrt sondern gleich riesige Durchbrüche. Besonders ärgerlich ist dann, das man die notwendigen Informationen für jeden Provider mühselig recherchieren muss. Der einzige Standard scheint zu sein, das man seine Kunden am liebsten im Dunklen stehen lassen will.
Zum Abschluss will ich ihnen nochmals danken für ihre Mühe. Die Dokumentation ist bisher die ausführlichste die ich im Netz gefunden habe. An die, die sich damit als Neulinge beschäftigen folgende Tipps: sich in das Thema einlesen, sich intensiv mit der opnsense beschäftigen, Backups machen (von den Einstellungen) und dann ganz in Ruhe Schritt für Schritt die Punkte durchgehen. Ich brauchte 2 Versuche, mein erster Versuch hat meine opnsense so verrammelt (falsche Einstellung versehentlich vorgenommen) so das fast nichts mehr ging.
Sehr geehrter Herr Jähningen,
ein ähnliches Problem mit der Großen Portrange hatte ich bei Placetel. Dieser verfügen jedoch über eine deutlich bessere Dokumentation.
Leider bekomme ich für Ihren Provider keinen gute Doku zur Verfügung. Allerdings würde ich einmal folgenden Ansatz testen.
Einen Alias mit IP Adressbereichen anlegen, worin ich die Server von vitroconnect.de hinterlege.
Im Anschluss würde ich die sehr große Port Range ausschließlich für deren Server freigeben.
Folgende Adressbereiche konnte ich finden:
AS57353 IPv4 Address Subnets
5.183.84.0/22 DE Frankfurt am Main, Hesse vitroconnect GmbH Celle-Uelzen Netz GmbH77.73.108.0/22 DE Reutlingen, Baden-Württemberg vitroconnect GmbH FairNetz GmbH
81.173.6.0/24 DE Bochum, North Rhine-Westphalia vitroconnect GmbH Telekommunikation Mittleres
89.187.208.0/21 DE Gütersloh, North Rhine-Westphalia Vitroconnect GmbH
134.0.120.0/21 DE Gütersloh, North Rhine-Westphalia Vitroconnect GmbH
134.19.0.0/17 DE Gütersloh, North Rhine-Westphalia Vitroconnect GmbH
134.19.112.0/20 DE Gütersloh, North Rhine-Westphalia Vitroconnect GmbH
185.46.128.0/22 DE Troisdorf, North Rhine-Westphalia vitroconnect GmbH Litewave Access1
185.95.32.0/22 DE Dreieich, Hesse vitroconnect GmbH Breitbandversorgung Rhein-Neckar
185.96.196.0/22 DE Monheim am Rhein, North Rhine-Westphalia Mega-Monheim
185.254.124.0/22 DE Hilden, North Rhine-Westphalia vitroconnect GmbH Stadtwerke Hilden GmbH
193.176.120.0/22 DE Nümbrecht, North Rhine-Westphalia vitroconnect GmbH Gemeindewerke Nuembrecht GmbH
213.32.192.0/20 DE Monheim am Rhein, North Rhine-Westphalia MEGA Monheim Vitroconnect GmbH
AS57353 IPv6 Address Subnets
2a00:5f80::/32 DE Monheim am Rhein, North Rhine-Westphalia Mega-Monheim2a00:e180::/32 DE Gütersloh, North Rhine-Westphalia vitroconnect GmbH
2a05:5a00::/29 DE Nümbrecht, North Rhine-Westphalia vitroconnect GmbH Gemeindewerke Nuembrecht GmbH
2a05:8240::/29 DE Dreieich, Hesse vitroconnect GmbH Breitbandversorgung Rhein-Neckar
2a09:a540::/29 DE Reutlingen, Baden-Württemberg vitroconnect GmbH FairNetz GmbH
2a0c:4d40::/29 DE Hilden, North Rhine-Westphalia vitroconnect GmbH Stadtwerke Hilden GmbH
2a0f:280::/29 DE Frankfurt am Main, Hesse vitroconnect GmbH Celle-Uelzen Netz GmbH
Vielen Dank für ihre Mühen… und danke für die Liste…
Ich habe alles versucht und letztendlich hat es gereicht die Outbound Regel zu erstellen und meinen FritzBox 7272 Client neuzustarten, die Box routet nur über Vodafone raus und nutzt auch den Vodafone DNS. Hab noch eine 2. Leitung von Telekom. Ich hoffe es läuft jetzt dauerhaft gut. Dankesehr! 🙂
Aktuelles Setup:
Telekom DSL 100 -> Vigor 165 -> HP 8300 SFF i7-3770K 8GB RAM Proxmox+OPNsense -> 2.5G LAN Ports und ein gigabit switch -> AX6000 WLAN -> 7272 nur für Telefonie
Vodafone Gigabit Kabel -> TC4400 ^
Die Anleitung hat bei mir funktioniert, vielen Dank!
Konfiguration:
GF -> Modem -> Opensense –> LAN1 (192.168.0.0/24) -> Clients
|
|
Fritbox (192.168.2.6) –> IP-Telefone