Unitymedia TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate

[__QT__]

Hi,

ich habe Probleme mit dem Unitymedia SIP in meiner Konstellation:

TC4400 - OPNsense - Fritzbox7490

Die 7490 ist als IP Client im Netz und derzeit per IPv4 angebunden. Ich habe 2 Sipgate und 1 Unitymedia SIP Konto eingerichtet. Die beiden Sipgate Konten nutze ich für eingehende Telefonate und das geht problemlos. Alles gut. Die Telefonie über das UM SIP Konto hat das Problem, dass ich den Gesprächspartner nicht hören kann (er mich aber schon). Dabei ist es egal, welche Seite den Anruf initiiert.

Habe übers Wochenende etliche Beiträge zu solchen Themen ergoogelt und bereits das eine oder andere in der OPNsense versucht, aber geholfen hat bisher nichts. Die meisten gefundenen Beiträge sind auch nicht für die gleiche Konstellation sondern oft für "DoppelNAT" Szenarien, wenn jemand OPNsense (oder pfSense) hinter einem UM Leihrouter betreibt.

Was mich dabei echt wundert ist, dass Sipgate einfach so geht ohne irgendwas an der OPNsense einzurichten.

Achja, vorher hatte ich einen OpenWRT basierten Router und dort gingen alle 3 Konten out-of-the-box problemlos.

In der Fritzbox hab ich eingestellt, dass die Portweiterleitung alle 30 Sekunden aufrecht erhalten werden soll. Ansonsten noch einige OPNsense Firewallregeln probiert, aber keine hat das Problem gelöst.

Vielleicht hat ja jemand von Euch noch ne gute bzw. am besten die richtige Idee, wie das mit dem Telefon klappen könnte. Ich wäre ja lieber bei Sipgate-only geblieben, da ich dort seit mehr als 10 Jahre immer zufrieden war, aber der 400er Tarif ist ja nur mit Zwangstelefon zu haben und dann will ich natürlich nicht doppelt für SIP bezahlen und mir noch ne Flatrate bei Sipgate buchen.

Danke für Hilfe.

 

[__QT__]

Lach, wie es so oft ist. Da probiert paar Tage erfolglos rum, bevor man sich hilfesuchend an ein Forum wendet und kaum ist der Beitrag online, dann findet man einen guten Hinweis, macht nochmal ne Änderung und schon gehts :hammer:

Habe nun (nochmal) analog dem Beitrag hier Regeln eingetragen und nun gehts:

https://sighunter.wordpress.com/2014/08/24/voip-mit-fritzbox-hinter-pfsense/

Auch wenn es dort um Telekom SIP geht, ist das Problem nun auch an meinem Unitymedia SIP Konto gelöst. Ich habe bei der OPNsense allerdings "Hybrid outbound NAT rule generation" aktiviert statt manual wie in dem Beitrag beschrieben.

 

[sch4kal]

Lach, wie es so oft ist. Da probiert paar Tage erfolglos rum, bevor man sich hilfesuchend an ein Forum wendet und kaum ist der Beitrag online, dann findet man einen guten Hinweis, macht nochmal ne Änderung und schon gehts :hammer:

Habe nun (nochmal) analog dem Beitrag hier Regeln eingetragen und nun gehts:

https://sighunter.wordpress.com/2014/08/24/voip-mit-fritzbox-hinter-pfsense/

Auch wenn es dort um Telekom SIP geht, ist das Problem nun auch an meinem Unitymedia SIP Konto gelöst. Ich habe bei der OPNsense allerdings "Hybrid outbound NAT rule generation" aktiviert statt manual wie in dem Beitrag beschrieben.

Jo die beiden *sense's scrambeln gerne beim NATten die src Ports, was RTP nicht schmeckt.

 

[rv112]

Eine gute Firewall macht das so, ja

 

[addicted]

Gute Software passt sich immer an die Anforderung an (oder lässt sich einstellen). Schlechte Software (It's not a bug, it's a feature!) erfordert, dass sich Dein Prozess/Deine Anforderung anpasst.

 

[__QT__]

Danke für Eure Beiträge.

Das mit dem Anpassen ist alles schön und gut, die Frage wäre hier wiederum, warum die SIP Verbindung zu Sipgate (einem langjährigen Anbieter von SIP am freien Markt) gleich out-of-the-box und ohne irgendwelches Zutun ging, die UM SIP Verbindung aber wiederum nicht. Vielleicht liegt hier auch Teil der "schlechte Software" und der Anbieter mit langjähriger Markterfahrung scheint da deutlich ausgereifter zu sein.

Aber egal, es geht ja nun :smile:

 

[y0r]

Port 5060 (SIP) muss von außen an die Fritzbox gemappt sein,
damit eingehende Anrufe funktionieren

Der Satz stammt aus der Anleitung. Wieso muss das getan werden? Der SIP Client meldet sich doch auch direkt bei der Telekom an. Genau wie bei UM auch. Und da habe ich auch kein eingehendes NAT konfiguriert. (Stateful ist natürlich aktiv.)

 

[__QT__]

Du hast ganz recht y0r! Ich habe gestern auch wieder alle gesetzten Regeln entfernt und kann UM SIP erfolgreich nutzen mit einer manuellen Regel unter Fireall - NAT - Outbound, wo ich für die Source IP meiner Fritzbox das "Static Port" auf "YES" setze.

Ich denke - wie in vielen anderen Fällen - sind einfach zu viele (teilweise veraltete) Anleitungen in Netz. Ich habe aber auch ungern nicht notwendige Löcher in meiner Firewall und habe daher alles wieder soweit dich gemacht wie es ging bis auf die Regel im Anhang.

 

[y0r]

Ja das ist doch eher gefährlich, wenn 5060 von außen offen ist. Wenn da SIP Konten angelegt sind, welche durch ein schwaches Passwort geschützt sind oder sonst ein Bug im VoIP Stack vorhanden ist, hängt ruck zuck ein Call"center" dran und telefoniert über diesen Anschluss.

 

[sch4kal]

Ja das ist doch eher gefährlich, wenn 5060 von außen offen ist. Wenn da SIP Konten angelegt sind, welche durch ein schwaches Passwort geschützt sind oder sonst ein Bug im VoIP Stack vorhanden ist, hängt ruck zuck ein Call"center" dran und telefoniert über diesen Anschluss.

IMHO ist das auch ein Fehler in der bisherigen VoIP-Architektur, die Signalisierung von der Sprachdatenübertragung zu trennen...das verursacht nur Probleme (NAT, Firewall) und ist Altlast (s. SS7/ISDN).

 

[Wechseler]

IMHO ist das auch ein Fehler in der bisherigen VoIP-Architektur, die Signalisierung von der Sprachdatenübertragung zu trennen...das verursacht nur Probleme (NAT, Firewall) und ist Altlast (s. SS7/ISDN).

Die VoIP-Architektur ist eben flexibel für alle möglichen Anwendungsfälle entworfen worden.

Daß man an Endkundenanschlüssen am besten sämtliche Protokolle auf eine einzelne abgehende TCP-Verbindung (Port 80/443) multiplext, weil Endkundenanschlüsse inzwischen so kaputt sind, daß sie nichts mehr anderes können, ist natürlich eine andere Sache.

 

[sparkie]

normalerweise sollten nur die benoetigten RTP Ports von aussen durch die Firewall hindurch zum SIP Geraet geforwarded werden. Mit denen kann ein Angreifer zudem wenig anfangen. Der SIP Port 5060 sollte hingegen tunlichst von aussen nicht geoeffnet werden koennen. Eine bestehende Verbindung kann von aussen hoechstens weiterhin offengehalten werden (z.B. mit keepalive packets). Das macht z.B. Sipgate.

Zudem gibt es eben Anbieter, die mit typischen Fehlkonfigurationen auf Kundenseite (z.B. umgemappte Ports) gut umgehen koennen. Weil sie Interesse an funktionierender Telefonie mit beliebigem Equipment auf Kundenseite haben.

Unitimedia gehoert sicher nicht zu dieser Gruppe. Die wollen stattdessen, dass man Unitimedia-Router fuer Telefonie nutzt. Alles andere interessiert die nicht wirklich.

 

[F-orced-customer]

Was mich dabei echt wundert ist, dass Sipgate einfach so geht ohne irgendwas an der OPNsense einzurichten.

sipgate.de bietet SBC (Session Border Controller).

 

[__QT__]

sipgate.de bietet SBC (Session Border Controller).

Danke! Davon hab ich noch nie gehört, macht aber nun Sinn. Seit Ewigkeiten nutze ich Sipgate und hatte mit denen noch nie irgendwelche der typischen VoIP Probleme. Lief immer out-of-the box. Leider missbrauchen die ISPs ihre Marktstellung und bündeln Telefonzugänge mit ihren Internettarifen und drängen dadurch solche Anbieter eher vom Markt. Wie einst Microsoft es mit den Browsern machte. Das hier nicht mal jemand einschreitet. Ich weiss, das man bei UM auch 1play buchen kann (hatte ich ja lange genug so), aber der schnellste Tarif für 1play scheint (offiziell) der 120er zu sein.

 

[sch4kal]

sipgate.de bietet SBC (Session Border Controller).

Danke! Davon hab ich noch nie gehört, macht aber nun Sinn. Seit Ewigkeiten nutze ich Sipgate und hatte mit denen noch nie irgendwelche der typischen VoIP Probleme. Lief immer out-of-the box. Leider missbrauchen die ISPs ihre Marktstellung und bündeln Telefonzugänge mit ihren Internettarifen und drängen dadurch solche Anbieter eher vom Markt. Wie einst Microsoft es mit den Browsern machte. Das hier nicht mal jemand einschreitet. Ich weiss, das man bei UM auch 1play buchen kann (hatte ich ja lange genug so), aber der schnellste Tarif für 1play scheint (offiziell) der 120er zu sein.

Vielleicht ändert sich das auch mit der Übernahme, bei VF hast du die Möglichkeit, die selben Geschwindigkeiten ohne Telefonie für 5 € weniger im Monat zu buchen. Vorteil ist das zumindest bei den Geschäftstarifen auch, das du ein WLAN-Router bekommst, der sich per VF-Webinterface in den Bridgemode schalten lässt, bei den Internet&Phone Tarifen bekommst da ne Fritzbox 6490 aufgedrückt, bei der der Bridgemode nur so lala funktioniert.

 

[y0r]

...
Unitimedia gehoert sicher nicht zu dieser Gruppe. Die wollen stattdessen, dass man Unitimedia-Router fuer Telefonie nutzt. Alles andere interessiert die nicht wirklich.

Genauso wenig wie SRTP.
Ich mein, wegen HTTP gab es #Aufschrei und Let's Encrypt hat sich formiert. Aber bei SIP/RTP juckt es keine Sau. Dabei finde ich das ehrlich gesagt noch kritischer. Am Telefon bespricht man dann ja doch eher heikle Dinge oder tauscht ein Passwort.

 

[Edding]

Bei IPv6 da kein NAT braucht man noch nicht mal mehr den Port aufzumachen.

 

[__QT__]

Bei IPv6 da kein NAT braucht man noch nicht mal mehr den Port aufzumachen.

Ne Weile her das Thema, aber wenn ich in der 7490 (IP-Client Modus) den UM SIP Zugang auf IPv6 einstelle, dann seh ich ein DENY in der Firewall. Was fehlt denn da bzw. muss geändert werden? Den Port per se öffnen, wollte ich eigentlich nicht.

 

[rv112]

Natürlich müssen auch bei IPv6 Ports geöffnet werden.

 

[__QT__]

"auch"?

Bei IPV4 hab ich den 5060 port auch nicht geöffnet oder weitergeleitet. Das macht doch das NAT keepalive...

Habe den UM Zugang fürs erste in der 7490 nun auf "IPv4 only" gestellt und damit läuft es nun auch zuverlässig. 5060 will ich eigentlich nicht generell öffnen. Wie hast Du das denn für IPv6 in Deiner pfSense?

 

[rv112]

Korrekt. Sieht mir aber nach einem Outbound Block aus.

 

[__QT__]

Wenn ich den UM SIP Zugang auf IPv6 only in der 7490 stelle, dann kommen eingehende Anrufe erstmal an, aber nach einer Weile X kommt dann nichts mehr an. Ruft man die Nummer an, hört man ein normales Klingelzeichen, aber zur 7490 (und an die Telefone) wird nichts mehr signalisiert...

 

[sparkie]

schau halt im '/proc/net/nf_conntrack' nach ob im Fall von IPv6 die Verbindung auch wirklich gehalten wird. Den 5060 sollte man von extern -> intern natuerlich *nicht* oeffnen/forwarden

 

[__QT__]

$ cat /proc/net/nf_conntrack
cat: /proc/net/nf_conntrack: No such file or directory

$ uname -rs
FreeBSD 11.2-RELEASE-p14-HBSD

 

[sparkie]

ach FreeBSD. Damit kenne ich mich nicht aus. Gibt es dort vielleicht wenigstens 'conntrack -L'?