• Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
    Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate

Diskutiere TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate im Internet und Telefon über das TV-Kabelnetz Forum im Bereich Internet und Telefon bei Unitymedia; Hi, ich habe Probleme mit dem Unitymedia SIP in meiner Konstellation: TC4400 - OPNsense - Fritzbox7490 Die 7490 ist als IP Client im Netz und...
__QT__

__QT__

Beiträge
296
Reaktionen
4
Hi,

ich habe Probleme mit dem Unitymedia SIP in meiner Konstellation:

TC4400 - OPNsense - Fritzbox7490

Die 7490 ist als IP Client im Netz und derzeit per IPv4 angebunden. Ich habe 2 Sipgate und 1 Unitymedia SIP Konto eingerichtet. Die beiden Sipgate Konten nutze ich für eingehende Telefonate und das geht problemlos. Alles gut. Die Telefonie über das UM SIP Konto hat das Problem, dass ich den Gesprächspartner nicht hören kann (er mich aber schon). Dabei ist es egal, welche Seite den Anruf initiiert.

Habe übers Wochenende etliche Beiträge zu solchen Themen ergoogelt und bereits das eine oder andere in der OPNsense versucht, aber geholfen hat bisher nichts. Die meisten gefundenen Beiträge sind auch nicht für die gleiche Konstellation sondern oft für "DoppelNAT" Szenarien, wenn jemand OPNsense (oder pfSense) hinter einem UM Leihrouter betreibt.

Was mich dabei echt wundert ist, dass Sipgate einfach so geht ohne irgendwas an der OPNsense einzurichten.

Achja, vorher hatte ich einen OpenWRT basierten Router und dort gingen alle 3 Konten out-of-the-box problemlos.

In der Fritzbox hab ich eingestellt, dass die Portweiterleitung alle 30 Sekunden aufrecht erhalten werden soll. Ansonsten noch einige OPNsense Firewallregeln probiert, aber keine hat das Problem gelöst.

Vielleicht hat ja jemand von Euch noch ne gute bzw. am besten die richtige Idee, wie das mit dem Telefon klappen könnte. Ich wäre ja lieber bei Sipgate-only geblieben, da ich dort seit mehr als 10 Jahre immer zufrieden war, aber der 400er Tarif ist ja nur mit Zwangstelefon zu haben und dann will ich natürlich nicht doppelt für SIP bezahlen und mir noch ne Flatrate bei Sipgate buchen.

Danke für Hilfe.
 
__QT__

__QT__

Beiträge
296
Reaktionen
4
Lach, wie es so oft ist. Da probiert paar Tage erfolglos rum, bevor man sich hilfesuchend an ein Forum wendet und kaum ist der Beitrag online, dann findet man einen guten Hinweis, macht nochmal ne Änderung und schon gehts :hammer:

Habe nun (nochmal) analog dem Beitrag hier Regeln eingetragen und nun gehts:

https://sighunter.wordpress.com/2014/08/24/voip-mit-fritzbox-hinter-pfsense/

Auch wenn es dort um Telekom SIP geht, ist das Problem nun auch an meinem Unitymedia SIP Konto gelöst. Ich habe bei der OPNsense allerdings "Hybrid outbound NAT rule generation" aktiviert statt manual wie in dem Beitrag beschrieben.
 

sch4kal

Beiträge
882
Reaktionen
7
Lach, wie es so oft ist. Da probiert paar Tage erfolglos rum, bevor man sich hilfesuchend an ein Forum wendet und kaum ist der Beitrag online, dann findet man einen guten Hinweis, macht nochmal ne Änderung und schon gehts :hammer:

Habe nun (nochmal) analog dem Beitrag hier Regeln eingetragen und nun gehts:

https://sighunter.wordpress.com/2014/08/24/voip-mit-fritzbox-hinter-pfsense/

Auch wenn es dort um Telekom SIP geht, ist das Problem nun auch an meinem Unitymedia SIP Konto gelöst. Ich habe bei der OPNsense allerdings "Hybrid outbound NAT rule generation" aktiviert statt manual wie in dem Beitrag beschrieben.
Jo die beiden *sense's scrambeln gerne beim NATten die src Ports, was RTP nicht schmeckt.
 

rv112

Beiträge
3.644
Reaktionen
30
Eine gute Firewall macht das so, ja :)
 

addicted

Beiträge
4.613
Reaktionen
38
Gute Software passt sich immer an die Anforderung an (oder lässt sich einstellen). Schlechte Software (It's not a bug, it's a feature!) erfordert, dass sich Dein Prozess/Deine Anforderung anpasst.
 
__QT__

__QT__

Beiträge
296
Reaktionen
4
Danke für Eure Beiträge.

Das mit dem Anpassen ist alles schön und gut, die Frage wäre hier wiederum, warum die SIP Verbindung zu Sipgate (einem langjährigen Anbieter von SIP am freien Markt) gleich out-of-the-box und ohne irgendwelches Zutun ging, die UM SIP Verbindung aber wiederum nicht. Vielleicht liegt hier auch Teil der "schlechte Software" und der Anbieter mit langjähriger Markterfahrung scheint da deutlich ausgereifter zu sein.

Aber egal, es geht ja nun :smile:
 

y0r

Beiträge
259
Reaktionen
1
Port 5060 (SIP) muss von außen an die Fritzbox gemappt sein,
damit eingehende Anrufe funktionieren
Der Satz stammt aus der Anleitung. Wieso muss das getan werden? Der SIP Client meldet sich doch auch direkt bei der Telekom an. Genau wie bei UM auch. Und da habe ich auch kein eingehendes NAT konfiguriert. (Stateful ist natürlich aktiv.)
 
__QT__

__QT__

Beiträge
296
Reaktionen
4
Du hast ganz recht y0r! Ich habe gestern auch wieder alle gesetzten Regeln entfernt und kann UM SIP erfolgreich nutzen mit einer manuellen Regel unter Fireall - NAT - Outbound, wo ich für die Source IP meiner Fritzbox das "Static Port" auf "YES" setze.

Ich denke - wie in vielen anderen Fällen - sind einfach zu viele (teilweise veraltete) Anleitungen in Netz. Ich habe aber auch ungern nicht notwendige Löcher in meiner Firewall und habe daher alles wieder soweit dich gemacht wie es ging bis auf die Regel im Anhang.
 

Anhänge

y0r

Beiträge
259
Reaktionen
1
Ja das ist doch eher gefährlich, wenn 5060 von außen offen ist. Wenn da SIP Konten angelegt sind, welche durch ein schwaches Passwort geschützt sind oder sonst ein Bug im VoIP Stack vorhanden ist, hängt ruck zuck ein Call"center" dran und telefoniert über diesen Anschluss.
 

sch4kal

Beiträge
882
Reaktionen
7
Ja das ist doch eher gefährlich, wenn 5060 von außen offen ist. Wenn da SIP Konten angelegt sind, welche durch ein schwaches Passwort geschützt sind oder sonst ein Bug im VoIP Stack vorhanden ist, hängt ruck zuck ein Call"center" dran und telefoniert über diesen Anschluss.
IMHO ist das auch ein Fehler in der bisherigen VoIP-Architektur, die Signalisierung von der Sprachdatenübertragung zu trennen...das verursacht nur Probleme (NAT, Firewall) und ist Altlast (s. SS7/ISDN).
 

Wechseler

Beiträge
725
Reaktionen
0
IMHO ist das auch ein Fehler in der bisherigen VoIP-Architektur, die Signalisierung von der Sprachdatenübertragung zu trennen...das verursacht nur Probleme (NAT, Firewall) und ist Altlast (s. SS7/ISDN).
Die VoIP-Architektur ist eben flexibel für alle möglichen Anwendungsfälle entworfen worden.

Daß man an Endkundenanschlüssen am besten sämtliche Protokolle auf eine einzelne abgehende TCP-Verbindung (Port 80/443) multiplext, weil Endkundenanschlüsse inzwischen so kaputt sind, daß sie nichts mehr anderes können, ist natürlich eine andere Sache.
 

sparkie

Beiträge
643
Reaktionen
12
normalerweise sollten nur die benoetigten RTP Ports von aussen durch die Firewall hindurch zum SIP Geraet geforwarded werden. Mit denen kann ein Angreifer zudem wenig anfangen. Der SIP Port 5060 sollte hingegen tunlichst von aussen nicht geoeffnet werden koennen. Eine bestehende Verbindung kann von aussen hoechstens weiterhin offengehalten werden (z.B. mit keepalive packets). Das macht z.B. Sipgate.

Zudem gibt es eben Anbieter, die mit typischen Fehlkonfigurationen auf Kundenseite (z.B. umgemappte Ports) gut umgehen koennen. Weil sie Interesse an funktionierender Telefonie mit beliebigem Equipment auf Kundenseite haben.

Unitimedia gehoert sicher nicht zu dieser Gruppe. Die wollen stattdessen, dass man Unitimedia-Router fuer Telefonie nutzt. Alles andere interessiert die nicht wirklich.
 
__QT__

__QT__

Beiträge
296
Reaktionen
4
sipgate.de bietet SBC (Session Border Controller).
Danke! Davon hab ich noch nie gehört, macht aber nun Sinn. Seit Ewigkeiten nutze ich Sipgate und hatte mit denen noch nie irgendwelche der typischen VoIP Probleme. Lief immer out-of-the box. Leider missbrauchen die ISPs ihre Marktstellung und bündeln Telefonzugänge mit ihren Internettarifen und drängen dadurch solche Anbieter eher vom Markt. Wie einst Microsoft es mit den Browsern machte. Das hier nicht mal jemand einschreitet. Ich weiss, das man bei UM auch 1play buchen kann (hatte ich ja lange genug so), aber der schnellste Tarif für 1play scheint (offiziell) der 120er zu sein.
 

sch4kal

Beiträge
882
Reaktionen
7
sipgate.de bietet SBC (Session Border Controller).
Danke! Davon hab ich noch nie gehört, macht aber nun Sinn. Seit Ewigkeiten nutze ich Sipgate und hatte mit denen noch nie irgendwelche der typischen VoIP Probleme. Lief immer out-of-the box. Leider missbrauchen die ISPs ihre Marktstellung und bündeln Telefonzugänge mit ihren Internettarifen und drängen dadurch solche Anbieter eher vom Markt. Wie einst Microsoft es mit den Browsern machte. Das hier nicht mal jemand einschreitet. Ich weiss, das man bei UM auch 1play buchen kann (hatte ich ja lange genug so), aber der schnellste Tarif für 1play scheint (offiziell) der 120er zu sein.
Vielleicht ändert sich das auch mit der Übernahme, bei VF hast du die Möglichkeit, die selben Geschwindigkeiten ohne Telefonie für 5 € weniger im Monat zu buchen. Vorteil ist das zumindest bei den Geschäftstarifen auch, das du ein WLAN-Router bekommst, der sich per VF-Webinterface in den Bridgemode schalten lässt, bei den Internet&Phone Tarifen bekommst da ne Fritzbox 6490 aufgedrückt, bei der der Bridgemode nur so lala funktioniert.
 

y0r

Beiträge
259
Reaktionen
1
...
Unitimedia gehoert sicher nicht zu dieser Gruppe. Die wollen stattdessen, dass man Unitimedia-Router fuer Telefonie nutzt. Alles andere interessiert die nicht wirklich.
Genauso wenig wie SRTP. :(
Ich mein, wegen HTTP gab es #Aufschrei und Let's Encrypt hat sich formiert. Aber bei SIP/RTP juckt es keine Sau. Dabei finde ich das ehrlich gesagt noch kritischer. Am Telefon bespricht man dann ja doch eher heikle Dinge oder tauscht ein Passwort.
 

Edding

Beiträge
902
Reaktionen
5
Bei IPv6 da kein NAT braucht man noch nicht mal mehr den Port aufzumachen.
 

rv112

Beiträge
3.644
Reaktionen
30
Natürlich müssen auch bei IPv6 Ports geöffnet werden.
 
__QT__

__QT__

Beiträge
296
Reaktionen
4
"auch"?

Bei IPV4 hab ich den 5060 port auch nicht geöffnet oder weitergeleitet. Das macht doch das NAT keepalive...

Habe den UM Zugang fürs erste in der 7490 nun auf "IPv4 only" gestellt und damit läuft es nun auch zuverlässig. 5060 will ich eigentlich nicht generell öffnen. Wie hast Du das denn für IPv6 in Deiner pfSense?
 

rv112

Beiträge
3.644
Reaktionen
30
Korrekt. Sieht mir aber nach einem Outbound Block aus.
 
__QT__

__QT__

Beiträge
296
Reaktionen
4
Wenn ich den UM SIP Zugang auf IPv6 only in der 7490 stelle, dann kommen eingehende Anrufe erstmal an, aber nach einer Weile X kommt dann nichts mehr an. Ruft man die Nummer an, hört man ein normales Klingelzeichen, aber zur 7490 (und an die Telefone) wird nichts mehr signalisiert...
 

sparkie

Beiträge
643
Reaktionen
12
schau halt im '/proc/net/nf_conntrack' nach ob im Fall von IPv6 die Verbindung auch wirklich gehalten wird. Den 5060 sollte man von extern -> intern natuerlich *nicht* oeffnen/forwarden
 
__QT__

__QT__

Beiträge
296
Reaktionen
4
Code:
$ cat /proc/net/nf_conntrack
cat: /proc/net/nf_conntrack: No such file or directory
Code:
$ uname -rs
FreeBSD 11.2-RELEASE-p14-HBSD
 

sparkie

Beiträge
643
Reaktionen
12
ach FreeBSD. Damit kenne ich mich nicht aus. Gibt es dort vielleicht wenigstens 'conntrack -L'?
 
Thema:

TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate

TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate - Ähnliche Themen

  • Technicolor TC4400 - 1 Mbit/s Downloadgeschwindigkeit statt 400

    Technicolor TC4400 - 1 Mbit/s Downloadgeschwindigkeit statt 400: Hallo, Aufgrund hoher und instabiler Latenzzeiten (20 bis 100 ms) habe ich den ConnectBox durch TC4400 heute ersetzt. Das TC4400 habe ich über...
  • TC4400 DS-Lite Firmware Bug wie möglich?

    TC4400 DS-Lite Firmware Bug wie möglich?: Hallo, ich habe hier mehrfach von einem Bug in der Firmware des TC4400 gelesen, dass DS-Lite beeinträchtigt, aber keine Beschreibung dazu finden...
  • vodafone Kabel mit TC4400 aktivieren

    vodafone Kabel mit TC4400 aktivieren: Hallo, ich hab' mir ein technicolor TC4400 besorgt und bekomme das bei Vodafone nicht aktiviert. Die Aktivierungsseite lädt, ich kann...
  • Offline - lt. Techniker angeblich TC4400 kaputt

    Offline - lt. Techniker angeblich TC4400 kaputt: Hallo Community, schön bei Euch zu sein! Ich hoffe ihr könnt mir helfen! Ich muss leider kurz ausholen mit meiner Geschichte... Ich betreibe...
  • [Lösung] TC4400 - OPNsense - Gigaset Go UM SIP

    [Lösung] TC4400 - OPNsense - Gigaset Go UM SIP: Hallo, da ich lange gebraucht habe meine Konfiguration zum laufen zu bekommen, wollte ich hier nun mal meine Ergebnisse zeigen, vielleicht hilft...
  • [Lösung] TC4400 - OPNsense - Gigaset Go UM SIP - Ähnliche Themen

  • Technicolor TC4400 - 1 Mbit/s Downloadgeschwindigkeit statt 400

    Technicolor TC4400 - 1 Mbit/s Downloadgeschwindigkeit statt 400: Hallo, Aufgrund hoher und instabiler Latenzzeiten (20 bis 100 ms) habe ich den ConnectBox durch TC4400 heute ersetzt. Das TC4400 habe ich über...
  • TC4400 DS-Lite Firmware Bug wie möglich?

    TC4400 DS-Lite Firmware Bug wie möglich?: Hallo, ich habe hier mehrfach von einem Bug in der Firmware des TC4400 gelesen, dass DS-Lite beeinträchtigt, aber keine Beschreibung dazu finden...
  • vodafone Kabel mit TC4400 aktivieren

    vodafone Kabel mit TC4400 aktivieren: Hallo, ich hab' mir ein technicolor TC4400 besorgt und bekomme das bei Vodafone nicht aktiviert. Die Aktivierungsseite lädt, ich kann...
  • Offline - lt. Techniker angeblich TC4400 kaputt

    Offline - lt. Techniker angeblich TC4400 kaputt: Hallo Community, schön bei Euch zu sein! Ich hoffe ihr könnt mir helfen! Ich muss leider kurz ausholen mit meiner Geschichte... Ich betreibe...
  • [Lösung] TC4400 - OPNsense - Gigaset Go UM SIP

    [Lösung] TC4400 - OPNsense - Gigaset Go UM SIP: Hallo, da ich lange gebraucht habe meine Konfiguration zum laufen zu bekommen, wollte ich hier nun mal meine Ergebnisse zeigen, vielleicht hilft...