OPNsense Portrange, VOIP keine Sprache

Hallo zusammen,
bin gerade dabei mich in die OPNsense einzuarbeiten.
So weit läuft auch alles ausser die VOIP telefonie.

Der Anschluss ist erreichbar, aber es wir keine Sprache übertragen:

Anlage ist eine Compact 5000 von Auerswald.

Hier ist in der Konfig als RTP Port´s folgendes angegeben:

49152 - 50175

Ich habe jetzt eine Firewallregel auf dem Lan erstellt in folgender From:

screenshot_2019-10-13 lan regeln firewall opnsense localdomain

Den Portrange habe ich als Alias erstellt und in folgender Form eingegeben:

49152:50175

Leider wird der Sprachkanl nicht aufgebaut.

Wenn ich eine Any Regel erstelle und alle Ports auf dem Lan freigeben funktioniert alles.

Hat mir jemand hierzu eine Hilfestellung?

Schöne Grüße

Please also mark the comments that contributed to the solution of the article

Content-Key: 504522

Url: https://administrator.de/contentid/504522

Printed on: April 23, 2024 at 11:04 o'clock

11 Comments

Latest comment

Moin,

Du hast den Port 5060 überdehen... der muss auch ein-/ ausgehend verwendet werden dürfen...

Gruß
em-pie

Den Port 5060 habe ich auf dem WAN auch nochmal freigegeben.
Ach und das Siproxed habe ich natürlich auch noch entsprechende eingerichtet.

Also Port 5060 und die entsprechende Portrange gemäß der Auerswald 5000

Zitat von @gubbele:

Den Port 5060 habe ich auf dem WAN auch nochmal freigegeben.
Ach und das Siproxed habe ich natürlich auch noch entsprechende eingerichtet.

Also Port 5060 und die entsprechende Portrange gemäß der Auerswald 5000

Wenn das siproxed, dann ist die ganze Freigabe unnötige. Das ist der sind von dem tool.

Ich habe jetzt eine Firewallregel auf dem Lan erstellt in folgender From:

Firewall Regel im lokalen LAN ist ja normalerweise das falsche Ende. Generell erlaubst du da ja alles mit einer any zu any Scheunentorregel. Ist ja DEIN lokales Netz dem du vertraust. Warum also dort Regeln ??
Kann das sein das du da einen Denkfehler machst ?!
Richtung Internet ist das Regelwerk relevant !
Das hiesige Tutorial beschreibt dir in den weiterführenden Links im Kapitel: "
VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall" wie der WAN/Internet Port dazu einzustellen ist.
SIP Protokoll und RTP musst du hier passieren lassen.

Also ich habe jetzt eine Woche lang hin und her probiert.
Ich kriege es einfach nicht hin.

Sobald ich im Lan die foglende Regel entferne geht die Telefonie nicht mehr.

screenshot_2019-10-20 lan regeln firewall opnsense localdomain

Ich habe auf der Lan-Schnitstelle schon die Ports der Auerswald eingerichtet.

Die wären:

SIP 5070
RTP 49152-50175

Folgende Regelen habe ich in den anderen Schnitstellen konfiguriert:

WAN:

screenshot_2019-10-20 wan regeln firewall opnsense localdomain

Ausgehend NAT:

Portweiterleitung:

Ich kapiere nicht wo das der Fehler liegt.

hast du dir die Logs schon mal angesehen? Dann wird das doch sofort klar..

Ja habe ich, da sehe ich auch das es geblockt wird.
Aber wie stelle ich das blocken ab.

screenshot_2019-10-20 liveansicht protokolldateien firewall opnsense localdomain

screenshot_2019-10-20 liveansicht protokolldateien firewall opnsense localdomain(1)

Aber wie stelle ich das blocken ab.

Indem du den UDP Traffic von 192.168.0.240 auf 217.0.5.180 erlaubst in den Regeln !
Ist aber so oder so verwunderlich das das eingeschränkt ist, denn normal gibt man ja im eigenen lokalen LAN (hier wohl 192.168.0.0 /24) den Traffic aufs Internet generell frei. Insofern ist es schon komisch das dieser Traffic geblockt ist.
Wenn du es dennoch dediziert machen willst dann:
PASS, Protocoll: UDP, Source: IP 192.168.0.240, Port:any, Destination: IP 217.0.5.180, Port: any
Fertisch...
Dazu müsste man aber mal dein gesamtes Regelwerk an diesem 192.168.0.0er Port kennen...?!

Macht es keinen Sinn den Verkehr von Lan nach Wan zu reglementieren?

So sieht meine Lan Schnittstelle aktuell aus.

Macht es keinen Sinn den Verkehr von Lan nach Wan zu reglementieren?

Normal nicht. Das ist ja dein eigenes internes LAN und da willst du ja eigentlich erstmal keinerlei Einschränkungen.
Macht dann nur Sinn wenn die Kinder Rechner nur auf bestimmte Ziele dürfen oder man andere Geräte hat denen man den Zugriff einschränken will.
Letztlich hängt das immer von der eigenen Security Policy ab, deshalb kann man sowas logischerweise niemals pauschal beurteilen.
Deine obigen Regeln sind aber auch unsinnig....
Die ersten beschränken den Zugang noch auf einige Ziele, dann hast du aber weiterhin die klassische Scheunentor Regel drin die alles mit allem erlaubt.
Danach dann nochmal vollig sinnfreie SIP und RTP Regeln die gar nicht mehr ausgeführt werden wegen der Scheunentor Regel davor.
Beim Regelwerk gilt immer "First match wins !". Das hast du wohl scheinbar vergessen. Der erste Positive Hit im Regelwerk bedingt das die nachfolgenden Regeln gar nicht mehr ausgeführt werden.
Alle Regeln nach der "Scheunentorregel" sind somit eh überflüssig. Wenn man schon restriktiv ist dann müsste man diese Regel löschen oder zumindest auf inaktiv setzen.
Damit zählt auch die Rehenfolge der Regeln. Auch die ist etwas wirr und unlogisch bei dir.
Du kannst die Voice Funktion ja ganz einfach testen indem du NUR mal die Scheunentor Regel "PASS, LAN_network any any" aktiv lässt.
Dann darf ja jeder alles und dann sollte dein Voice auch sauber funktionieren.
Indiz das dann dein altes Regelwerk falsch oder fehlerhaft ist