VoIP su FritzBox 7530 dietro OPNSense

Xatu2

Salve, sono nuovo e quindi spero di aver azzeccato un po i tag.
Ho una connessione 30 mega mista fibra rame con Fastweb.

Come da titolo ho una rete strutturata come segue

DrayTek Vigor 167, in modalita bridge (only modem?)
- Una macchina custom su cui ho installato OPNSense che fa da IPS/IDS e server DHCP
  -FritzBox 7530, che mi fa da solo AP WiFi e mi gestisce il VoIP

Data la premessa, spero abbastanza precisa, passo al problema.
Da quando ho inserito il firewall OPNSense tutto funziona correttamente, tranne il VoIP.

La mia domanda è la seguende, qualcuno è in grado di aiutarmi o farmi capire come sistemare il VoIP affinche rifunzioni?

Grazie mille in anticipo!

fabio1999ita

Xatu2 il cavo dsl si collega al vigor? per usare il vigor quindi avevi chiesto il router personale?
se tutto si controlla qui

[cancellato]

Xatu2 tutto funziona correttamente, tranne il VoIP.

Non funziona nel senso che non si registra, non chiama, non riceve, ecc.? Come è configurato il firewall per il VoIP? Come è configurato il VoIP per funzionare dietro NAT/firewall?

Xatu2

fabio1999ita Si, ma questi parametri funzionavano correttamente e li gestiva tutti il fritz, per i primi 2 giorni che ho usato il fritz come modem/router.

Braccoz Fastweb, a me sembra molto un problema di port forwarding della porta 5060 e delle eventuali porte RTP(7077:7097) in uscita dal Fritz, ma vedendo il link di @fabio1999ita non parla di porte RTP, nomina solo la porta 5060.

[cancellato] Si registra! Questa è la cosa straissima, guarda questo screen

Ma nonostante dica che è registrato, non riceve e non chiama.
Il firewall è senza nessuna regola custom a parte quelle pre generate da OPNSense stesso, installato da 24 ore, è nuovo.

Braccoz

con che operatore? io ce l'avevo fatta con Tiscali, pero' era rognoso a ricollegarsi ai server voip in caso di cadute di linea o disservizi

[cancellato]

Xatu2

Guarda anche nei log del Fritz, nel caso di problemi ci dovrebbe essere qualche informazione un po' più dettagliata.

Le regole di default del firewall temo blocchino il traffico VoIP, specialmente se il Fritz non è configurato per NAT keepalive - ma con firewall stateful anche lo stato della connessione deve essere attivo.

DI solito si può fare in due modi, uno con STUN (per individuare IP e porta usati dal NAT) + NAT keepalive (va fatto sul Fritz), l'altro è quello di fare port forwarding esplicito + regole firewall, ma in questo caso bisogna assicurarsi che le connessioni in ingresso possano iniziare solo dai server VoIP Fastweb per evitare tentativi di accesso illeciti al VoIP locale.

Xatu2

[cancellato]

Guarda anche nei log del Fritz, nel caso di problemi ci dovrebbe essere qualche informazione un po' più dettagliata.

Non compare scritto nulla nei log, neanche nel registro delle chiamate in entrata e uscita, droppa prima di farla partire, penso...

Le regole di default del firewall temo blocchino il traffico VoIP, specialmente se il Fritz non è configurato per NAT keepalive - ma con firewall stateful anche lo stato della connessione deve essere attivo.

Il keep alive ce l'ho settato a 30 secondi, come da screen qui sotto

Stateful forse è quello del firewall opnsense e perciò mi blocca il tutto (?)

DI solito si può fare in due modi, uno con STUN (per individuare IP e porta usati dal NAT) + NAT keepalive (va fatto sul Fritz), l'altro è quello di fare port forwarding esplicito + regole firewall, ma in questo caso bisogna assicurarsi che le connessioni in ingresso possano iniziare solo dai server VoIP Fastweb per evitare tentativi di accesso illeciti al VoIP locale.

Come posso evetualmente configurare lo STUN? Lo devo fare sul firewall OPNSense immagino(?).
Eventuali regole di port forwarding andrebbero fatte solo su porta 5060 o anche sulle porte che riporta il fritzbox 7077-7097?

x_term

Xatu2 Come posso evetualmente configurare lo STUN?

STUN in pratica è un server che dice al Fritz qual’è il suo IP reale esterno, perché SIP non va d’accordo con NAT e l’IP è scritto anche dentro il payload dei pacchetti.
Puoi usare un server che risponde pubblicamente come stun.voip.eutelia.it, inseriscilo nella configurazione del Fritz.

[cancellato]

Xatu2 Il keep alive ce l'ho settato a 30 secondi, come da screen qui sotto

Se l'OPNSense tiene una sessiona NAT aperta per più di 30s quando non c'è traffico va bene. Il keepalive serve ad impedire che il router elimini la mappatura NAT e quindi i pacchetti in entrata siano bloccati perché non sanno dove andare. Dipende anche dal tipo di NAT, però (ce ne sono diversi tipi...)

Xatu2 Stateful forse è quello del firewall opnsense

Oltre al NAT poi ci sono gli "stati" del firewall. Quando apri una sessione dall'interno, il firewall crea uno "stato" della sessione che permette tra l'altro di sapere quali pacchetti dall'esterno sono autorizzati a passare il firewall verso l'interno. Anche lo stato dopo un certo periodo di inattività viene eliminato, e i pacchetti bloccati. Si può ovviamente fare una regola per il traffico in ingresso sull'interfaccia WAN.

Xatu2 o anche sulle porte che riporta il fritzbox 7077-7097?

In teoria la sessione RTP dovrebbe aprirla il Fritbox verso il server SIP - ma puoi anche provare ad aprire le porte RTP in ingresso verso l'IP del Fritz e solo dagli IP del server VoIP.

Xatu2

x_term Allora, intanto grazie infinite! Al momento riescono ad uscire le chiamate di casa verso qualsiasi numero, ho fatto ciò nelle impostazioni.

Ora resta da capire come farle entrare anche, in pratica, se chiamo dal mio cellulare a casa, non suona neanche.
Sai ancora come aiutarmi?

x_term

Xatu2 nono aspe, andava messo solo sotto server STUN, non registrar

Xatu2

Xatu2 rettifico, ha funzionato per un po, ora da come se occupato..

Xatu2

x_term Ok, l'ho fatto io come accorgimento magari entravano anche, ma anche con voip.fastwebnet.it non entrano

x_term

Xatu2 secondo me c’è ancora qualcosa relativo alle porte, anche se teoricamente dovrebbe suonare almeno.
In pratica la 5060 serve per le segnalazioni, le porte RTP poi sono le porte p2p per il flusso audio.

Xatu2

x_term Ok, provo ad applicare delle regole al NAT casomai...non so 🙈.
Sai dirmi di più sul fatto di quali mettere sull'OPNSense firewall?
Si tratta di una regola NAT di inoltro, NAT in uscita oppure di Regole floating o Regole WAN?

Grazie mille ancora!

Xatu2

[cancellato] Intanto grazie mille per le spiegazioni e le delucidazioni.

Allego qualche screen, magari mi sapete aiutare.
L'IP del FritzBox 7530 nella rete è 192.168.1.2

Potrei star facendo molte cazzate, ma non so veramente a cosa appigliarmi 😅

Grazie mille in anticipo a chi mi riesce ad aiutare..

[cancellato]

Mi sa che ci sono un po' troppe regole 😀 Usando STUN si può anche fare a meno di usare port forwarding. Tramite STUN il Fritboz rileva l'IP:porta esterno e il tipo di NAT, e modifica i messaggi SIP come necessario. L'importante è che il keepalive mantenga il mapping NAT, e che il firewall non blocchi i pacchetti in ingresso .

Elimina tutto e parti da una situazione pulita.

Io proverei prima con STUN, nessuna regola manuale di NAT o port forwarding. Se non funziona prova a creare una regola di firewall sulla WAN che permetta il traffico in ingresso UDP da voip.fastwebnet.it verso la porta 5060 del Fritz (192.168.1.2:5060)

Non so che regole di firewall hai sull'interfaccia LAN in uscita, se hai delle restrizioni devi ovviamente permettere al Fritz di raggiungere voip.fastwebnet.it:5060 (però non si sarebbe mai registrato nemmeno prima).

Se così chiama/riceve ma non c'è audio bisogna poi occuparsi di RTP.

Quando tutto funziona, come ciliegina sulla torta visto che sei in FTTC ti toccherà anche configurare un minimo di QoS per far sì che il VoIP non sia impattato magari da un download contemporaneo....

Xatu2

[cancellato] Intanto grazie mille, sono di nuovo alla situazione di prima, al che al momento non tocco nulla sul Frit, non si sa mai.

Questa è la situazione attuale, spero sia corretta.

Inoltre ho selezionato queste 2 caselle in Sicurezza, non so se siano utili o meno.

Anche questa parte l'ho lasciata cosi, dato che al momento riesco a chiamare da dentro casa a fuori, ma il telefono di casa non squilla durante la chiamata, non so..quando rispondo si sente la voce sull'altra linea(il mio smartphone).
Quindi credo che l'RTP non necessiti di configurazione (?)
Però resta il problema di prima, se chiamo da fuori casa a casa, non squilla e dopo 30 secondi riaggancia da solo.
Al che ho fatto come mi hai detto ed ho creato la seguente regola su OPNSense.

Ma ancora niente...fa come prima, riaggancia dopo 30 secondi..

[cancellato]

Xatu2

Nella regola di firewall per la sorgente usa any come porta - il server VoIP non ti chiamerà DALLA 5060, userà una porta qualsiasi. Altrimenti potrebbe chiamare un solo client per volta 😀

Xatu2

[cancellato] Il problema persiste, se chiamo da fuori casa (il mio smartphone), il telefono non da segnali di ricezione di una chiamata, tutto tace.

La regola fixata

Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile