Hallo,
ein paar Einstellungen sind notwendig, damit die Fritz!Box 7490 (6.80) hinter einer pfSense 2.3.2 funktioniert.
Inhaltsverzeichnis
Fritz!Box (als IP-Client)
Internet
Unter „Internet“ -> „Zugangsdaten“ öffnen
„Verbindungseinstellungen ändern“ aufklappen und „IP-Adresse manuell festlegen“
- IP-Adresse: 192.168.0.2
- Subnetzmaske: 255.255.255.0
- Standard-Gateway: 192.168.0.1
- Primärer DNS-Server: 192.168.0.1
Telefonie
STUN entfernen
Unter „Telefonie“ -> „Eigene Rufnummern“ -> „Bearbeiten“ -> „STUN-Server“ löschen und „OK“.
Bei allen Rufnummern prüfen und ggf. entfernen
Die benötigen Ports werden 1:1 weitergeleitet, daher ist kein STUN notwendig. STUN dient zur Erkennung und testen von NAT.
NAT „keep alive“
Unter „Telefonie“ -> „Eigene Rufnummern“ -> „Anschlusseinstellungen“ unten auf der Seite „Telefonieverbindung“ -> „Verbindungseinstellungen ändern“ öffnen.
Die Option „Portweiterleitung des Internet-Routers für Telefonie aktiv halten“ aktivieren und auf „30 Sek.“ setzen
pfSense (Router)
Aliases
Bei der pfsense „Firewall“ -> „Aliases“ -> „Ports“ öffnen.
Neuer Eintrag anlegen:
- Name: VoIP_ports
- Description: FritzBox VoIP Ports
- Type: Port(s)
- Port: 5060
- Description: SIP
- Port: 7078:7109
- Description: RTP
Port Forward
Bei der pfSense „Firewall“ -> „NAT“ -> „Port Forward“ öffnen
Neuer Eintrag anlegen:
- Interface: WAN
- Protocol: UDP
- Destination: WAN address
- Destination port range: VoIP_ports
- Redirect target IP: 192.168.0.2
- Redirect target port: VoIP_ports
- Description: VoIP WAN2FritzBox
- Filter rule association: Pass
Alle eingehende Verbindungen auf dem WAN Anschluss mit den Ports 5060 + 7078-7109 UDP gehen an die Fritz!Box.
Outbound
Unter „Firewall“ -> „NAT“ -> „Outbound“ einen neuen Eintrag anlegen:
- Interface: WAN
- Protocol: UDP
- Source: Network 192.168.0.2/32
- Port: VoIP_ports
- Translation – Port – „static Port“ ankreuzen
- Description: VoIP FritzBox2WAN
Alle ausgehende Verbindungen Richtung WAN Anschluss mit den Ports 5060 + 7078-7109 UDP von der Fritz!Box werden die eingestellten Ports behalten (keine Änderungs des Ports durch NAT).
technischer Hintergrund
Die Fritz!Box verwendet standardmäßig den Port 5060 UDP für SIP und 7078-7109 UDP für RTP.
Überprüfen kann man die Einstellungen indem man eine Sicherung der Fritz!Box macht. Diese Datei mit dem Editor/Notepad öffnen.
Folgende Werte sollten so aussehen:
voipcfg {
dnsport = 7077;
rtpport_start = 7078;
sip_srcport = 5060;
Mit den oben genannten Einstellungen ist die pfSense für die VoIP Dienste nicht sichtbar. Hat aber den Nachteil, dass die VoIP-Dienste der Fritz!Box somit direkt von „Außen“ erreichbar sind.
[Update]
Den Abschnitt NAT „keep alive“ eingefügt.
Hallo und vielen Dank für die wirklich verständliche und gute Schritt für Schritt Anleitung. 5 Minuten später war die Sache erledigt und alles hat funktioniert. Das wollte ich nur als nette Rückmeldung da lassen.
Gruß
Hallo,
vielen Dank für die Rückmeldung!
Das freut mich zu hören.
Danke für die Anleitung. Allerdings gehen faxe weder rein noch raus! Woran könnte das liegen?
Hallo,
steht etwas im Ereignisprotokoll der Fritz!Box?
Ich vermute mal das es mit der Fax Übertragung nach T.38 zusammenhängt.
https://avm.de/service/fritzbox/fritzbox-7390/wissensdatenbank/publication/show/275_Integrierter-Faxempfang-scheitert-gelegentlich-oder-immer/
Hallo,
vielen Dank für die gute Anleitung.
Die pfsense hat in der Version 2.3.4 etwas andere Bildschirmmasken, aber mit etwas Phantasie kann man die Sache lösen.
Ich bin froh diese Anleitung gefunden zu haben.
Pingback: VoIP mit Fritz!Box und pfSense absichern | root32 Blog
Hallo,
ich habe die obige Anleitung benutzt um mit PhonerLite welche mit meiner FirtzBox7490 zusammenarbeitet zu telefonieren. Danke erstmal für die gute Anleitung. Leider kann mich mein gegenüber nicht hören. D.h. ich kann mit PhonerLite angerufen werden, ich kann anrufen und ich kann auch meinen gegenüber hören. Aber dieser kann mich nicht hören.
Außerdem bricht das Telefonat nach 10-15s ab.
Meine Konstellation im Netzwerk ist ein wenig anders:
(Speedport Hybrid) –> ((WAN) pfSense ) –> ( (LAN)(FrtizBox 7490 + UbuntuServer + ClientPC mit PhonerLite))
Im LAN Bereich der pfSense befindet sich ebenfalls unser Ubuntu Server der DHCP, DNS bereitstellt. D.h. Die pfsense stellt keinen DHCP und DNS zur Verfügung.
Was ich sehr komisch finde, dass die augehende Tonübertragung nicht funktioniert. Die pfSense ist Firewalltechnisch so eingestellt dass von LAN –> WAN alles erlaubt ist.
Hat jemand einen Tipp oder Ansatzpunkt für mich?
Danke
Seit pfsense 2.4.0 geht es leider nicht mehr! 🙁
Hallo,
vielen Dank für die kurze und sehr präzise Anleitung, klappt auch mit 2.4.2-RELEASE !
Gruß
Tobias
Super! Hat mir sehr geholfen.
Hatte beim Inbetriebnehmen der pfSense nicht wirklich daran gedacht :/
In meinen Augen nicht der richtige Weg die SIP und RTP-Ports von außen zu öffnen, dies ist so nicht notwendig und ein unnötiges Sicherheitsrisiko. Die Fritzbox hält durch ihr keepalive die connection von innen offen.
Nutze selbst das Konstrukt mit PfSense 2.4.2 und Fritzbox 7490 (V6.93) ohne die Ports zu öffnen.
https://forum.pfsense.org/index.php?topic=120063.0
Mit pfsense 2.4.4-RELEASE-p2 geht es so nicht.
Das erste was fehlt ist, dass Outbound NAT Mode auf Hybrid gestellt werden muss.
Aber NOCH hab ich nicht raus woran es sonst noch hakt
Vielen Dank für diesen Artikel – er hat mich gerettet! Es funktioniert so wie beschrieben auch auf pfsense Version 2.6.
Es ist allerdings zu beachten, dass HD Telefonie im Endgerät deaktiviert werden muss:
Fritz Box -> Telefonie -> Telefoniegeräte -> Mobilteil auswählen und auf Bearbeiten klicken.
Dann Tab „Merkmale des Telefoniegerätes“ auswählen. Dort unter „HD-Telefonie“ dieses deaktivieren. Danach ging alles reibungslos. Vorher wurde der Ton nur einseitig übermittelt.