Unitymedia TC4400 - OPNsense - Fritz7490 SIP UM + Sipgate

[Wechseler]

ach FreeBSD. Damit kenne ich mich nicht aus. Gibt es dort vielleicht wenigstens 'conntrack -L'?

Netfilter ist Linux-spezifisch und die conntrack-tools dementsprechend auch. FreeBSD nutzt pf(4) und dementsprechend fragt man States mit pfctl(8) oder pftop(8) ab.

 

[sparkie]

ok, danke im Namen von __QT__

 

[__QT__]

Danke @sparkie, dass Du Dich in meinem Namen bedankst

"pfctl" hatte ich auch schon über ne andere Suche gefunden, aber aktuell hab ich Handwerker im Haus und hat nicht mal ne Minute Zeit übers WoE, mich weiter damit zu beschäftigen :traurig:

Die SIP Verbindung mit UM über IPv6 war aber nach einer Weile wieder "tot" und daher hab ich fürs erste Mal auf IPv4 only umgestellt, wobei das NAT conntrack funktioniert und Anrufe auch wieder ankommen. Mit dem IPv6 werde ich mich nochmal beschäftigen, sobald wieder mehr Zeit ist. Falls jemand noch ne Idee hat, nur her damit

 

[sparkie]

Die SIP Verbindung mit UM über IPv6 war aber nach einer Weile wieder "tot" und daher hab ich fürs erste Mal auf IPv4 only umgestellt

ein Problem, das ich mit IPv6 hatte:

mein Router haengt nicht direkt am Modem sondern ueber einen simplen Switch. Da ich bei Bedarf 2 unabhaengige Router am Modem betreiben moechte. Die 2 Modemports kann ich hierfuer leider nicht verwenden, da bei mir nur 1 Kabel zwischen Router und Modem liegt. Soweit so gut.

Diese Konstruktion hat jetzt den Nachteil, dass z.B. ein Modemreboot an den Router per link-down/up nicht mehr mitgeteilt wird. Und somit Veraenderungen seitens des Modems (IP Adressen IPv6-Prefixe et.al.) vom Router erst mal nicht wahrgenommen werden. Auf diese Weise kamen bei mir nach einem Modemreboot die Rechner im internen Netz nicht mehr ueber das PRefix ins Internet. Ich habe das durch diverse Kontrollen fuer mich gefixt.

nur so als Beispiel was mit eigenen Konstrukionen alles passieren kann (wenn man nicht aufpasst) :smile:

 

[__QT__]

Sorry, ich hätte das präziser schreiben sollen. Es war nicht generell alles tot, was über IPv6 geht, aber es wurden keine ankommenden Telefonanrufe per SIP IPv6 mehr am Fritzbox IP Client empfangen und signalisiert. Warum dies nur eine bestimmte Zeit lang (paar Stunden?) geht und dann nicht mehr, kann ich mir noch nicht erklären.

 

[THX1138]

Sorry, ich hätte das präziser schreiben sollen. Es war nicht generell alles tot, was über IPv6 geht, aber es wurden keine ankommenden Telefonanrufe per SIP IPv6 mehr am Fritzbox IP Client empfangen und signalisiert. Warum dies nur eine bestimmte Zeit lang (paar Stunden?) geht und dann nicht mehr, kann ich mir noch nicht erklären.

Zu mindestens bei meiner Fritzbox 7390 erzeugt die FB bei IPv6 keine Keep-alive-Pakete. D.h. bei der Registrierung an dem SIP-Server wird zwar eine Inbound-Connection in der OPNsense angelegt, die es dem SIP-Server erlaubt, Anrufe zu signalisieren, nach einiger Zeit wird diese aber wieder entfernt, wenn kein Traffic (z.B. durch Keep-alive-Pakete) erkannt wird.

Ich habe in meiner Firewall folgende statische Regel hinzugefügt:

ip6tables -I FORWARD 8 -i eth0 -o br0 -p udp -m udp -s 2001:DB8::1 -d ::xxxx:xxff:fexx:xxxx/::ffff:ffff:ffff:ffff --sport 5060 --dport 5060 -m state --state NEW -j ACCEPT

Dies ist genauso sicher, wie eine dynamische Connection, bleibt aber dauerhaft erhalten. (Dabei sind die Adressen nach "-s" und "-d" natürlich anzupassen.)

 

[addicted]

daher hab ich fürs erste Mal auf IPv4 only umgestellt, wobei das NAT conntrack funktioniert

Connection Tracking gibt es auch bei IPv6. Das ist ja kein NAT-Ding, sondern gehört einfach zu einer Staful Firewall dazu.

 

[__QT__]

Ja, connection tracking gibts ja auch, aber wenn keine keep-alive Pakete geschickt werden, dann wird die Verbindung irgendwann aus der Liste gestrichen und ist weg. So auch meine Erfahrung mit SIP Telefonie via IPv6 der AVM 7490 als IP-Client. Daher hab ich den UM SIP Client vorerst auf "IPv4 only" eingerichtet und dann kommen wohl auch keep-alive Pakete von der Box und halten das connection tracking aktiv und Anrufe werden dauerhaft signalisiert.

 

[__QT__]

FreeBSD nutzt pf(4) und dementsprechend fragt man States mit pfctl(8) oder pftop(8) ab.

Um das auch noch abzurunden. Mit "pfctl -s states" sieht man die Verbindungen, die die Firewall behandelt. Dann kann man auch sehen, dass bei IPv6 nach einer Weile die Verbindung zum UM SIP Registrar aus der Liste verschwindet, bei IPv4 aber nicht. Der Einfachheit halber belasse ich den UM SIP Client daher nun fix auf IPv4 und das Problem ist auch gelöst.

 

[__QT__]

5 Jahre später habe ich (seit längerem bereits) wieder VoIP Probleme bei meinem Setup (FritzBox hinter OPNsense).

Ausgehende/Eingehende Anrufe gehen, der Gesprächspartner kann mich auch hören, ich aber ihn nicht. Im OPNsense Firewall log finde ich immer geblockte UDP Verbindungen vom UM VoIP Server zu den Ports 7078, 7079 oder 7080 (Port variiert je Anruf):



Habe heute nun einiges probiert, krieg es aber einfach nicht hin, dass 1 Gespräch möglich ist. Vielleicht kann mich nochmal jemand in die richtige Richtung schicken

Bisher hatte ich immer nur die OUTBOUND NAT Regel für Traffic von der Fritzbox zum UDP port 5060 mit STATIC port:



Das hat auch lange so geklappt, aber irgendwann gingen dann oben beschriebene Probleme los, dass man den Gesprächspartner nicht mehr hörte. Wollte das nun mal wieder iO bringen, da ich gerne die (GigaKombi) Euroflat nutzen möchte.

EDIT: Im "pfctl" der OPNsense sehe ich auch die NAT Einträge für die entsprechenden Ports gesetzt, aber trotzdem scheint der Traffic von der FW geblockt (siehe oben das Log):

# pfctl -s states | grep 80.69.110.103
all udp 80.69.110.103:5060 <- 192.168.1.5:5060 MULTIPLE:MULTIPLE
all udp 178.xxx.xx.xx:5060 (192.168.1.5:5060) -> 80.69.110.103:5060 MULTIPLE:MULTIPLE
all udp 80.69.110.103:40978 <- 192.168.1.5:7078 NO_TRAFFIC:SINGLE
all udp 178.xxx.xx.xx:34433 (192.168.1.5:7078) -> 80.69.110.103:40978 SINGLE:NO_TRAFFIC
all udp 80.69.110.103:40979 <- 192.168.1.5:7079 NO_TRAFFIC:SINGLE
all udp 178.xxx.xx.xx:22446 (192.168.1.5:7079) -> 80.69.110.103:40979 SINGLE:NO_TRAFFIC
all udp 80.69.110.103:42608 <- 192.168.1.5:7080 NO_TRAFFIC:SINGLE
all udp 178.xxx.xx.xx:49816 (192.168.1.5:7080) -> 80.69.110.103:42608 SINGLE:NO_TRAFFIC
all udp 80.69.110.103:42609 <- 192.168.1.5:7081 NO_TRAFFIC:SINGLE
all udp 178.xxx.xx.xx:4280 (192.168.1.5:7081) -> 80.69.110.103:42609 SINGLE:NO_TRAFFIC

Die Einträge für die 70xx Ports verschwinden nach einer Weile, der Eintrag für 5060 bleibt erhalten, da die Fritzbox den ja alle paar Minuten (durch das entsprechende Setting im Menu) erneuert.

Der eingehende Traffic auf einen der 70xx Ports müsste doch dynamische zur Fritzbox erlaubt sein. Warum wird das im Log bloß als geblockt notiert?

EDIT:

den eingehenden UDP Traffic vom UM VoIP Server explizit auf dem Interface zu erlauben, brachte auch kein Erfolg:



Jemand Ideen?

EDIT (hoffentlich finales EDIT ):

Durch Erstellen dieser 4 NAT Regeln für UDP 7078-7081 scheint das Problem tatsächlich gelöst. Nur verstehe ich nicht, dass hierfür explizite Regeln notwendig sind, wenn sonst alle LAN Clients ganz normal geNATet werden...