TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate 

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.
Benutzeravatar
__QT__
Übergabepunkt
Beiträge: 272
Registriert: 13.11.2010, 23:00

TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate

Beitrag von __QT__ » 11.06.2018, 12:40

Hi,

ich habe Probleme mit dem Unitymedia SIP in meiner Konstellation:

TC4400 - OPNsense - Fritzbox7490

Die 7490 ist als IP Client im Netz und derzeit per IPv4 angebunden. Ich habe 2 Sipgate und 1 Unitymedia SIP Konto eingerichtet. Die beiden Sipgate Konten nutze ich für eingehende Telefonate und das geht problemlos. Alles gut. Die Telefonie über das UM SIP Konto hat das Problem, dass ich den Gesprächspartner nicht hören kann (er mich aber schon). Dabei ist es egal, welche Seite den Anruf initiiert.

Habe übers Wochenende etliche Beiträge zu solchen Themen ergoogelt und bereits das eine oder andere in der OPNsense versucht, aber geholfen hat bisher nichts. Die meisten gefundenen Beiträge sind auch nicht für die gleiche Konstellation sondern oft für "DoppelNAT" Szenarien, wenn jemand OPNsense (oder pfSense) hinter einem UM Leihrouter betreibt.

Was mich dabei echt wundert ist, dass Sipgate einfach so geht ohne irgendwas an der OPNsense einzurichten.

Achja, vorher hatte ich einen OpenWRT basierten Router und dort gingen alle 3 Konten out-of-the-box problemlos.

In der Fritzbox hab ich eingestellt, dass die Portweiterleitung alle 30 Sekunden aufrecht erhalten werden soll. Ansonsten noch einige OPNsense Firewallregeln probiert, aber keine hat das Problem gelöst.

Vielleicht hat ja jemand von Euch noch ne gute bzw. am besten die richtige Idee, wie das mit dem Telefon klappen könnte. Ich wäre ja lieber bei Sipgate-only geblieben, da ich dort seit mehr als 10 Jahre immer zufrieden war, aber der 400er Tarif ist ja nur mit Zwangstelefon zu haben und dann will ich natürlich nicht doppelt für SIP bezahlen und mir noch ne Flatrate bei Sipgate buchen.

Danke für Hilfe.
Bild

Benutzeravatar
__QT__
Übergabepunkt
Beiträge: 272
Registriert: 13.11.2010, 23:00

Re: TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate  [GELÖST]

Beitrag von __QT__ » 11.06.2018, 14:44

Lach, wie es so oft ist. Da probiert paar Tage erfolglos rum, bevor man sich hilfesuchend an ein Forum wendet und kaum ist der Beitrag online, dann findet man einen guten Hinweis, macht nochmal ne Änderung und schon gehts :hammer:

Habe nun (nochmal) analog dem Beitrag hier Regeln eingetragen und nun gehts:

https://sighunter.wordpress.com/2014/08 ... r-pfsense/

Auch wenn es dort um Telekom SIP geht, ist das Problem nun auch an meinem Unitymedia SIP Konto gelöst. Ich habe bei der OPNsense allerdings "Hybrid outbound NAT rule generation" aktiviert statt manual wie in dem Beitrag beschrieben.
Bild

sch4kal
Übergeordneter Verstärkerpunkt
Beiträge: 833
Registriert: 15.02.2018, 12:15

Re: TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate

Beitrag von sch4kal » 11.06.2018, 18:27

__QT__ hat geschrieben:
11.06.2018, 14:44
Lach, wie es so oft ist. Da probiert paar Tage erfolglos rum, bevor man sich hilfesuchend an ein Forum wendet und kaum ist der Beitrag online, dann findet man einen guten Hinweis, macht nochmal ne Änderung und schon gehts :hammer:

Habe nun (nochmal) analog dem Beitrag hier Regeln eingetragen und nun gehts:

https://sighunter.wordpress.com/2014/08 ... r-pfsense/

Auch wenn es dort um Telekom SIP geht, ist das Problem nun auch an meinem Unitymedia SIP Konto gelöst. Ich habe bei der OPNsense allerdings "Hybrid outbound NAT rule generation" aktiviert statt manual wie in dem Beitrag beschrieben.
Jo die beiden *sense's scrambeln gerne beim NATten die src Ports, was RTP nicht schmeckt.
BildBild
VF Red Internet & Phone Business 200/50 | [email protected] | [email protected] | UAP AC-HD | SPA112

rv112
Kabelkopfstation
Beiträge: 3301
Registriert: 28.10.2014, 07:18

Re: TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate

Beitrag von rv112 » 11.06.2018, 18:28

Eine gute Firewall macht das so, ja :)
KabelBW Internet seit 2003

Bild
- 2 Play FLY 400 DS / VDSL 50 DS
- Technicolor TC4400 / DrayTek Vigor130
- pfSense 2.4
- Cisco SPA112

addicted
Kabelkopfstation
Beiträge: 4513
Registriert: 15.03.2010, 02:35

Re: TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate

Beitrag von addicted » 11.06.2018, 22:57

Gute Software passt sich immer an die Anforderung an (oder lässt sich einstellen). Schlechte Software (It's not a bug, it's a feature!) erfordert, dass sich Dein Prozess/Deine Anforderung anpasst.

Benutzeravatar
__QT__
Übergabepunkt
Beiträge: 272
Registriert: 13.11.2010, 23:00

Re: TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate

Beitrag von __QT__ » 12.06.2018, 08:50

Danke für Eure Beiträge.

Das mit dem Anpassen ist alles schön und gut, die Frage wäre hier wiederum, warum die SIP Verbindung zu Sipgate (einem langjährigen Anbieter von SIP am freien Markt) gleich out-of-the-box und ohne irgendwelches Zutun ging, die UM SIP Verbindung aber wiederum nicht. Vielleicht liegt hier auch Teil der "schlechte Software" und der Anbieter mit langjähriger Markterfahrung scheint da deutlich ausgereifter zu sein.

Aber egal, es geht ja nun :smile:
Bild

y0r
Kabelexperte
Beiträge: 239
Registriert: 11.12.2017, 11:20
Wohnort: Unitymedia BW // TC4400 // 400/20M DS // Sonicwall TZ300

Re: TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate

Beitrag von y0r » 13.06.2018, 11:57

Port 5060 (SIP) muss von außen an die Fritzbox gemappt sein,
damit eingehende Anrufe funktionieren
Der Satz stammt aus der Anleitung. Wieso muss das getan werden? Der SIP Client meldet sich doch auch direkt bei der Telekom an. Genau wie bei UM auch. Und da habe ich auch kein eingehendes NAT konfiguriert. (Stateful ist natürlich aktiv.)

Benutzeravatar
__QT__
Übergabepunkt
Beiträge: 272
Registriert: 13.11.2010, 23:00

Re: TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate

Beitrag von __QT__ » 13.06.2018, 12:16

Du hast ganz recht y0r! Ich habe gestern auch wieder alle gesetzten Regeln entfernt und kann UM SIP erfolgreich nutzen mit einer manuellen Regel unter Fireall - NAT - Outbound, wo ich für die Source IP meiner Fritzbox das "Static Port" auf "YES" setze.

Ich denke - wie in vielen anderen Fällen - sind einfach zu viele (teilweise veraltete) Anleitungen in Netz. Ich habe aber auch ungern nicht notwendige Löcher in meiner Firewall und habe daher alles wieder soweit dich gemacht wie es ging bis auf die Regel im Anhang.
Dateianhänge
Static.JPG
Bild

y0r
Kabelexperte
Beiträge: 239
Registriert: 11.12.2017, 11:20
Wohnort: Unitymedia BW // TC4400 // 400/20M DS // Sonicwall TZ300

Re: TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate

Beitrag von y0r » 13.06.2018, 13:32

Ja das ist doch eher gefährlich, wenn 5060 von außen offen ist. Wenn da SIP Konten angelegt sind, welche durch ein schwaches Passwort geschützt sind oder sonst ein Bug im VoIP Stack vorhanden ist, hängt ruck zuck ein Call"center" dran und telefoniert über diesen Anschluss.

sch4kal
Übergeordneter Verstärkerpunkt
Beiträge: 833
Registriert: 15.02.2018, 12:15

Re: TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate

Beitrag von sch4kal » 13.06.2018, 14:24

y0r hat geschrieben:
13.06.2018, 13:32
Ja das ist doch eher gefährlich, wenn 5060 von außen offen ist. Wenn da SIP Konten angelegt sind, welche durch ein schwaches Passwort geschützt sind oder sonst ein Bug im VoIP Stack vorhanden ist, hängt ruck zuck ein Call"center" dran und telefoniert über diesen Anschluss.
IMHO ist das auch ein Fehler in der bisherigen VoIP-Architektur, die Signalisierung von der Sprachdatenübertragung zu trennen...das verursacht nur Probleme (NAT, Firewall) und ist Altlast (s. SS7/ISDN).
BildBild
VF Red Internet & Phone Business 200/50 | [email protected] | [email protected] | UAP AC-HD | SPA112

Wechseler
Übergeordneter Verstärkerpunkt
Beiträge: 724
Registriert: 06.02.2018, 03:54

Re: TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate

Beitrag von Wechseler » 13.06.2018, 14:39

sch4kal hat geschrieben:
13.06.2018, 14:24
IMHO ist das auch ein Fehler in der bisherigen VoIP-Architektur, die Signalisierung von der Sprachdatenübertragung zu trennen...das verursacht nur Probleme (NAT, Firewall) und ist Altlast (s. SS7/ISDN).
Die VoIP-Architektur ist eben flexibel für alle möglichen Anwendungsfälle entworfen worden.

Daß man an Endkundenanschlüssen am besten sämtliche Protokolle auf eine einzelne abgehende TCP-Verbindung (Port 80/443) multiplext, weil Endkundenanschlüsse inzwischen so kaputt sind, daß sie nichts mehr anderes können, ist natürlich eine andere Sache.
Bild
Hardware: Speedport Smart 2 (Modem) | Linksys WRT1200AC (OpenWrt 18.06.2) | Gigaset C430 IP | Cisco SPA112

sparkie
Übergeordneter Verstärkerpunkt
Beiträge: 517
Registriert: 06.03.2018, 04:33

Re: TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate

Beitrag von sparkie » 13.06.2018, 20:52

normalerweise sollten nur die benoetigten RTP Ports von aussen durch die Firewall hindurch zum SIP Geraet geforwarded werden. Mit denen kann ein Angreifer zudem wenig anfangen. Der SIP Port 5060 sollte hingegen tunlichst von aussen nicht geoeffnet werden koennen. Eine bestehende Verbindung kann von aussen hoechstens weiterhin offengehalten werden (z.B. mit keepalive packets). Das macht z.B. Sipgate.

Zudem gibt es eben Anbieter, die mit typischen Fehlkonfigurationen auf Kundenseite (z.B. umgemappte Ports) gut umgehen koennen. Weil sie Interesse an funktionierender Telefonie mit beliebigem Equipment auf Kundenseite haben.

Unitimedia gehoert sicher nicht zu dieser Gruppe. Die wollen stattdessen, dass man Unitimedia-Router fuer Telefonie nutzt. Alles andere interessiert die nicht wirklich.

F-orced-customer
Glasfaserstrecke
Beiträge: 1484
Registriert: 11.09.2012, 12:54

Re: TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate

Beitrag von F-orced-customer » 13.06.2018, 23:15

__QT__ hat geschrieben:
11.06.2018, 12:40
Was mich dabei echt wundert ist, dass Sipgate einfach so geht ohne irgendwas an der OPNsense einzurichten.
sipgate.de bietet SBC (Session Border Controller).
UM Internet Premium 120/6 IPv4, Casa CMTS, UM ConnectBox, TP-Link Gb Switch, Compaq T1000h UPS, sflphone, CallWeaver Faxserver, VDR 2.x

Code: Alles auswählen

iperf3
[  5]   0.00-30.00  sec   465 MBytes   130 Mbits/sec    0             sender
[  5]   0.00-10.00  sec  7.44 MBytes  6.24 Mbits/sec    4             sender
--- www.google.de ping statistics ---
244 packets transmitted, 244 received, 0% packet loss, time 24463ms
rtt min/avg/max/mdev = 8.463/14.668/39.232/3.995 ms

Benutzeravatar
__QT__
Übergabepunkt
Beiträge: 272
Registriert: 13.11.2010, 23:00

Re: TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate

Beitrag von __QT__ » 14.06.2018, 08:03

F-orced-customer hat geschrieben:
13.06.2018, 23:15
sipgate.de bietet SBC (Session Border Controller).
Danke! Davon hab ich noch nie gehört, macht aber nun Sinn. Seit Ewigkeiten nutze ich Sipgate und hatte mit denen noch nie irgendwelche der typischen VoIP Probleme. Lief immer out-of-the box. Leider missbrauchen die ISPs ihre Marktstellung und bündeln Telefonzugänge mit ihren Internettarifen und drängen dadurch solche Anbieter eher vom Markt. Wie einst Microsoft es mit den Browsern machte. Das hier nicht mal jemand einschreitet. Ich weiss, das man bei UM auch 1play buchen kann (hatte ich ja lange genug so), aber der schnellste Tarif für 1play scheint (offiziell) der 120er zu sein.
Bild

sch4kal
Übergeordneter Verstärkerpunkt
Beiträge: 833
Registriert: 15.02.2018, 12:15

Re: TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate

Beitrag von sch4kal » 14.06.2018, 08:05

__QT__ hat geschrieben:
14.06.2018, 08:03
F-orced-customer hat geschrieben:
13.06.2018, 23:15
sipgate.de bietet SBC (Session Border Controller).
Danke! Davon hab ich noch nie gehört, macht aber nun Sinn. Seit Ewigkeiten nutze ich Sipgate und hatte mit denen noch nie irgendwelche der typischen VoIP Probleme. Lief immer out-of-the box. Leider missbrauchen die ISPs ihre Marktstellung und bündeln Telefonzugänge mit ihren Internettarifen und drängen dadurch solche Anbieter eher vom Markt. Wie einst Microsoft es mit den Browsern machte. Das hier nicht mal jemand einschreitet. Ich weiss, das man bei UM auch 1play buchen kann (hatte ich ja lange genug so), aber der schnellste Tarif für 1play scheint (offiziell) der 120er zu sein.
Vielleicht ändert sich das auch mit der Übernahme, bei VF hast du die Möglichkeit, die selben Geschwindigkeiten ohne Telefonie für 5 € weniger im Monat zu buchen. Vorteil ist das zumindest bei den Geschäftstarifen auch, das du ein WLAN-Router bekommst, der sich per VF-Webinterface in den Bridgemode schalten lässt, bei den Internet&Phone Tarifen bekommst da ne Fritzbox 6490 aufgedrückt, bei der der Bridgemode nur so lala funktioniert.
BildBild
VF Red Internet & Phone Business 200/50 | [email protected] | [email protected] | UAP AC-HD | SPA112

y0r
Kabelexperte
Beiträge: 239
Registriert: 11.12.2017, 11:20
Wohnort: Unitymedia BW // TC4400 // 400/20M DS // Sonicwall TZ300

Re: TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate

Beitrag von y0r » 14.06.2018, 09:51

sparkie hat geschrieben:
13.06.2018, 20:52
...
Unitimedia gehoert sicher nicht zu dieser Gruppe. Die wollen stattdessen, dass man Unitimedia-Router fuer Telefonie nutzt. Alles andere interessiert die nicht wirklich.
Genauso wenig wie SRTP. :(
Ich mein, wegen HTTP gab es #Aufschrei und Let's Encrypt hat sich formiert. Aber bei SIP/RTP juckt es keine Sau. Dabei finde ich das ehrlich gesagt noch kritischer. Am Telefon bespricht man dann ja doch eher heikle Dinge oder tauscht ein Passwort.

Edding
Übergeordneter Verstärkerpunkt
Beiträge: 835
Registriert: 13.12.2009, 23:22

Re: TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate

Beitrag von Edding » 14.06.2018, 11:42

Bei IPv6 da kein NAT braucht man noch nicht mal mehr den Port aufzumachen.
Bild
Meine Bitcoin-Adresse: 1BPVf25GT7WWpBAhuv5m4hAR9Q63kaR78i
Meine Ether-Adresse: 0xf841b13449a3db0D4C2EFa2FFAFDAB537308A5C0

Benutzeravatar
__QT__
Übergabepunkt
Beiträge: 272
Registriert: 13.11.2010, 23:00

Re: TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate

Beitrag von __QT__ » 05.09.2019, 12:30

Edding hat geschrieben:
14.06.2018, 11:42
Bei IPv6 da kein NAT braucht man noch nicht mal mehr den Port aufzumachen.
Ne Weile her das Thema, aber wenn ich in der 7490 (IP-Client Modus) den UM SIP Zugang auf IPv6 einstelle, dann seh ich ein DENY in der Firewall. Was fehlt denn da bzw. muss geändert werden? Den Port per se öffnen, wollte ich eigentlich nicht.
Dateianhänge
5060-DENY.JPG
Bild

rv112
Kabelkopfstation
Beiträge: 3301
Registriert: 28.10.2014, 07:18

Re: TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate

Beitrag von rv112 » 05.09.2019, 12:37

Natürlich müssen auch bei IPv6 Ports geöffnet werden.
KabelBW Internet seit 2003

Bild
- 2 Play FLY 400 DS / VDSL 50 DS
- Technicolor TC4400 / DrayTek Vigor130
- pfSense 2.4
- Cisco SPA112

Benutzeravatar
__QT__
Übergabepunkt
Beiträge: 272
Registriert: 13.11.2010, 23:00

Re: TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate

Beitrag von __QT__ » 05.09.2019, 13:07

"auch"?

Bei IPV4 hab ich den 5060 port auch nicht geöffnet oder weitergeleitet. Das macht doch das NAT keepalive...

Habe den UM Zugang fürs erste in der 7490 nun auf "IPv4 only" gestellt und damit läuft es nun auch zuverlässig. 5060 will ich eigentlich nicht generell öffnen. Wie hast Du das denn für IPv6 in Deiner pfSense?
Bild

rv112
Kabelkopfstation
Beiträge: 3301
Registriert: 28.10.2014, 07:18

Re: TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate

Beitrag von rv112 » 05.09.2019, 13:11

Korrekt. Sieht mir aber nach einem Outbound Block aus.
KabelBW Internet seit 2003

Bild
- 2 Play FLY 400 DS / VDSL 50 DS
- Technicolor TC4400 / DrayTek Vigor130
- pfSense 2.4
- Cisco SPA112

Benutzeravatar
__QT__
Übergabepunkt
Beiträge: 272
Registriert: 13.11.2010, 23:00

Re: TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate

Beitrag von __QT__ » 05.09.2019, 13:23

Wenn ich den UM SIP Zugang auf IPv6 only in der 7490 stelle, dann kommen eingehende Anrufe erstmal an, aber nach einer Weile X kommt dann nichts mehr an. Ruft man die Nummer an, hört man ein normales Klingelzeichen, aber zur 7490 (und an die Telefone) wird nichts mehr signalisiert...
Bild

sparkie
Übergeordneter Verstärkerpunkt
Beiträge: 517
Registriert: 06.03.2018, 04:33

Re: TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate

Beitrag von sparkie » 05.09.2019, 13:32

schau halt im '/proc/net/nf_conntrack' nach ob im Fall von IPv6 die Verbindung auch wirklich gehalten wird. Den 5060 sollte man von extern -> intern natuerlich *nicht* oeffnen/forwarden

Benutzeravatar
__QT__
Übergabepunkt
Beiträge: 272
Registriert: 13.11.2010, 23:00

Re: TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate

Beitrag von __QT__ » 05.09.2019, 13:34

Code: Alles auswählen

$ cat /proc/net/nf_conntrack
cat: /proc/net/nf_conntrack: No such file or directory

Code: Alles auswählen

$ uname -rs
FreeBSD 11.2-RELEASE-p14-HBSD
Bild

sparkie
Übergeordneter Verstärkerpunkt
Beiträge: 517
Registriert: 06.03.2018, 04:33

Re: TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate

Beitrag von sparkie » 05.09.2019, 13:36

ach FreeBSD. Damit kenne ich mich nicht aus. Gibt es dort vielleicht wenigstens 'conntrack -L'?

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 8 Gäste