Nachdem nun die Einwahl mit Hilfe eines Draytek 167 Modems über PPOe erfolgt, liegt meine Fritzbox 7590 logisch hinter der Firewall, was dann aber vielleicht zu einem Problem mit der Internettelefonie führt.
Einleitung
Wenn man sich die Netzwerkstruktur vor Augen hält, dann sind zwar die Netze, also LAN und WLAN säuberlich getrennt und sogar eine DMZ konnte ich einrichten. Da aber die Fritzbox nunmehr nicht mehr für den Internetverkehr zuständig ist, sondern nur noch als Client im Netz hängt, musste ich natürlich dafür sorgen, dass auch die Internettelefonie (VoIP) mit der OPNSense abgewickelt wird.
Erschwerend kommt hinzu, dass es keine einheitlichen Regeln gibt, wie ein Provider dass abwickelt und noch problematischer ist die Tatsache, dass kaum Dokumentationen darüber zu finden sind, wie welche Provider welche Ports benutzen.
Und das hat mir bei der Umstellung des Netzes auch die meisten Sorgen gemacht, daß dass der Punkt ist, den ich vielleicht nicht konfiguriert bekomme.
Implementierung
Ich habe wirklich die Suchmaschinen bemüht und bin dann teilweise im Forum von OPNSense aber administrator.de fündig geworden. Zunächst müssen wir uns um SIP kümmern, ein Protokoll mit eine Sitzung für die Internettelefonie erstellt wird.
Hier wird Netzwerkverkehr von FritzBox auf die VoIP_Server zugelassen. Das ist mit Alaiasen geregelt, die man in der OPNSens unter dem Abschnitt Firewll definieren kann. Das macht die Regeln einfach lesbarer. Der Traffic geht dann auf die VoIPServer. Ich bin bei 1&1 und leider gibt es keine Doku, welche Server bzw. welche IP hier involviert sind.
Ich war hier gezwungen mehr oder minder teile von Netzen freizugeben, damit das funktioniert. Und den Port 5006 kennt die OPNSense eben auch mit mit SIP. Das ist aber eigentlich nur der erforderliche Eintrag, dass sich die Telefone bzw. das die vom Provider zugewiesenen Rufnummern registriert sind und Verbindung aufbauen können.
Nur mit dieser Regel ist die Registrierung erfolgreich und der Part wird grün gekennzeichnet.
Die eigentliche Verbindung
Das SIP Protokoll dient zur Registrieung der Rufnummer, aber auch dazu, die eigene IP-Adresse im Internet dem Gesprächspartner bzw. dessen Telefon mitzuteilen. Dazu muss das WAN Interface an der OPNSense diesen Netzverkehr direkt an die FritzBox weiterleiten mit einer entsprechenden NAT Regel.
Und auch hier werden für die Port und die Serverdefinitionen die Aliases benutzt, die wirklich sehr praktisch sind.
Mit diesen knappen Einstellungen funktioniert VoIP bei mir, wenn die Fritzbox hinter einer OPNSense Firewall operiert. Einzig bei einem längeren Anruf, bei dem keine Wartemusik abgespielt wurde, da hatte ich einmal das Problem, dass die Verbindung abbrach. Aber das ist bis jetzt das einzige Problem, dass ein einziges Mal aufgetaucht ist.
Fazit
Die Umstellung war an einigen Stellen nicht so ganz einfach, aber es hat sich unterm Strich gelohnt. Wenn ich jetzt alleine sehe wieviel Anfragen aus dem Internet geblockt werden und ich zudem jetzt die Netze getrennt habe, ist die Sicherheit einfach gestiegen. Man muss natürlich trotzdem immer ein waches Auge auch auf Logfiles haben.
ciao tuxoche