Fritzbox telefonie hinter einer pfsense firewall

[faser]

Ich überlege mir eine pfsense firewall anzuschaffen.

modem > pfsense > fritbox DECT und WLAN

Konfiguriert und erfolgreich betrieben habe ich so etwas bereits.
Die Netzwerkfunktionalität schreckt mich nicht, aber die telefonie.
Was ich damals nicht gemacht habe ist der Betrieb einer Fritzbox hinter der pfsense als ip client.
Mein Stand ist hier das die erhebliche Probleme bereiten kann, wie ist der Stand heute?
Es gibt viele Anleitungen, aber auch um so mehr geschilderte Probleme im Netz.
Betreibt wer erfolgreich Telekom VOIP in o.g. Konfiguration mit einer Fritbox als DECT Basis?

 

[Fard Dwalling]

Hab Telekom VoIP, allerdings mit einer Gigaset Station und Vodafone VoIP, da mit Fritzbox.
Sind 2-3 Regeln und dann läuft das eigentlich. Kann dir gleich mal nen Screenshot von schicken.

 

[madmax2010]

Ich habe sowas noch nicht konfiguriert, schaut aber recht problemlos machbar aus. Lies dir mal den thread hier durch

https://administrator.de/forum/voip...en-und-auch-ohne-stun-und-sip-alg-541698.html

 

[cloudman]

Ja genau meine Config. Zwar nicht Telekom aber sollte egal sein
FB als IP Client für WiFi und DECT
In Pfsense müssen dann die Ports 5060 und 7078,7109 an die FB weitergeleitet werden

 

[faser]

das hört sich gut an, vor wenigen Jahren gab es da echt Probleme zumindest mit aktuellen Pfsense Versionen, mit älteren ging es.
Aber wenn es Grundsätzlich bei dir geht, schon mal sehr gut!

 

[TheHille]

Stichwort ist "outbound NAT"
Du brauchst eine NAT-Regel, bei denen die Anfragen des STUB-Servers auch wieder an die lokale IP zurückkommen, bzw. vom lokalen Gateway (pfsense) weitergereicht werden.

 

[faser]

Ja genau meine Config. Zwar nicht Telekom aber sollte egal sein
FB als IP Client für WiFi und DECT
In Pfsense müssen dann die Ports 5060 und 7078,7109 an die FB weitergeleitet werden

Das wäre recht easy, wenn es denn reicht.
Sehr erbaulich was Ihr hier so schreibt, will halt nachher nicht dastehen und das Telefon nicht zum laufen bekommen.

 

[cloudman]

Übrigens wäre Opnsense eine gute Alternative zu Pfsense

 

[TheHille]

Mach am Besten ein eigenes VLAN für die Telefonie, dann tust du dir evtl. leichter bei den Firewall-Regeln.
Die Firewall-Regeln brauchst du trotzdem zu meinen oben genannten outbound NAT Einstellungen.

 

[faser]

Stichwort ist "outbound NAT"
Du brauchst eine NAT-Regel, bei denen die Anfragen des STUB-Servers auch wieder an die lokale IP zurückkommen, bzw. vom lokalen Gateway (pfsense) weitergereicht werden.

Anhang anzeigen 1227907

Danke! guter Ansatz.

Ergänzung (14. Juni 2022)

Übrigens wäre Opnsense eine gute Alternative zu Pfsense

Da muss ich mich ehrlich gesagt erstmal wieder Schlau lesen, fand den pfblockerNG ganz nice damals.

 

[Fard Dwalling]

Bleib bei pfsense, die opnsense hat auch so ihre macken.
Outbond Regel ist eine ganz wichtige Komponente. Du musst aber auch in den Erweitern Einstellungen die Optimization Options auf Conservative setzen.

 

[faser]

Mach am Besten ein eigenes VLAN für die Telefonie, dann tust du dir evtl. leichter bei den Firewall-Regeln.
Die Firewall-Regeln brauchst du trotzdem zu meinen oben genannten outbound NAT Einstellungen.

macht Sinn, aber bin mir nicht so sicher ob das für mich aufgeht.
Würde die Fritte auch gerne auch als Wlan AP parallel nutzen wollen.
Im Grunde soll es ein seperates LAN werden mit WLAN AP und DECT Basis.
Des weiteren ein weiteres LAN mit WLAN AP ohne telefonie.
Fritzboxen sind vorhanden.

 

[Fard Dwalling]

Lass für den Anfang erstmal weg. Kannst du dir nachher immer noch überlegen.
Fürs Erste würde ich es so simple wie möglich machen. Sonst wird es bei der Fehlersuche unnötig schwer

Ergänzung (14. Juni 2022)

Hier noch kurz die Screenshots.

Firewall Optimization Options:


NAT Regel:


Outbond NAT Regel:

 

[faser]

Lass für den Anfang erstmal weg. Kannst du dir nachher immer noch überlegen.
Fürs Erste würde ich es so simple wie möglich machen. Sonst wird es bei der Fehlersuche unnötig schwer

du meinst den pfblocker weglassen?
ja, das sind nachher die spielereien, haha.
QOS und Loadballancing stehen auch auf der Liste, aber nichts ist wirklich wichtig, ausser das das Festnetz geht.

Hab mich auch noch nicht entschlossen, jedoch scheint für das Vorhaben mir ein kleiner pfsense router immer recht passend, wobei ich mein Vorhaben wohl auch mit Fritzbox Boardmitteln hinbekommen würde, müsste da aber noch eine weitere Fritte kaufen und das läge eh im Rahmen eines wesentlich flexibleren Pfsense Routers der derweil sogar schon mehrere 2.5gb Ports hat.

Und vielen Dank für die SEHR konkreten Infos.
Ich kann derzeit nix testen, jedoch scheint der Weg möglich, werde wenn ich so was aufsetze mich an deine Infos halten Fard und Hille.

 

[0-8-15 User]

Hier gibt es eine vollumfängliche Anleitung: [HowTo] Telekom Voip Einstellungen

In Pfsense müssen dann die Ports 5060 und 7078,7109 an die FB weitergeleitet werden

Nein.

 

[Fard Dwalling]

Hier gibt es eine vollumfängliche Anleitung: [HowTo] Telekom Voip Einstellungen

Nein.

Vollumfängliche Anleitung, naja. Vieles nur mit Anmeldung zu sehen. Und man muss auch alle Antworten querlesen, aber egal.
Ja ich habe auch schon gelesen das es ohne Portweiterleitungen gehen soll, gibt aber auch immer mal wieder Probleme. Zumindest was ich so mitbekommen.
Daher kann man es erstmal ohne testen, und bei Problemen macht man sie dann.

Bei der Optimization hatte ich ohne Conservative das Problem, das die Verbindungen teilweise getrennt wurden. Kann man auch erstmal offen lassen und nur mit Outbond NAT testen. Aber so weiß man wenigestens alle 3 Stellpunkte um Probleme los zu werden.

Ergänzung (14. Juni 2022)

du meinst den pfblocker weglassen?
ja, das sind nachher die spielereien, haha.

Den auch, aber eigentlich meinte ich das ganze VLAN Gedöns. Kann man nachher noch machen.
Kannst am Anfang auch erstmal eine * ausgehende Firewall Regel setzen und dann nachher nach und nach eingrenzen.
Ich bin übrigens vom pfBlocker irgendwie wieder weg und beim piHole im Docker geblieben.

 

[0-8-15 User]

habe auch schon gelesen das es ohne Portweiterleitungen gehen soll, gibt aber auch immer mal wieder Probleme

Auf gut Glück eine Portweiterleitung einzurichten und zu hoffen, dass es funktioniert, ist jedenfalls definitiv der falsche Weg.

Bei der Optimization hatte ich ohne Conservative das Problem, das die Verbindungen teilweise getrennt wurden.

Einfach das Keep-Alive Intervall entsprechend anpassen, siehe: Automatische Portweiterleitung einrichten

 

[Fard Dwalling]

Kann man so machen und sich ab und an wundern warum keiner mehr anrufen kann.
Es hat schon komische Phänomene gegeben, wenn man keine Portweiterleitung einrichtet. Ja, hier und da kann man das Keep-Alive anpassen, nicht alle bieten das aber an. Und wenn von Ihnen nix versucht die Verbindung aufzuhalten, kommt auch kein Anruf mehr an.

Nicht umsonst haben fast alle Provider und Hardwareanbieter das Thema Portweiterleitung mit drin.

Wie gesagt, ja kann man ohne mal versuchen und machen. Aber wenn Probleme da sind, macht man sie eh auf.

 

[0-8-15 User]

Vollumfängliche Anleitung, naja.

Kritik akzeptiert, dann die hier: Eine FRITZBox ... zur Telefonie an einer Firewall nutzen, wobei es in der ursprünglichen Anleitung auch genügen würde den ersten und die letzten beiden Posts zu lesen.

wenn von Ihnen nix versucht die Verbindung aufzuhalten

Dann ist das nicht die Schuld der Firewall.

wenn Probleme da sind, macht man sie eh auf.

Wenn Probleme da sind, diagnostiziert man sie und öffnet nicht wahllos Ports.

 

[Fard Dwalling]

Ist ja nicht wahllos wenn man die Ports auf macht, die der Provider und Gerätehersteller vorgibt oder?