ipfilter mit NATund VoIP - Freizeichen ja aber kein Ruf möglich

[manilo101]

Hallo,
ich möchte gern VoIP nutzen. Habe dazu Hardware (FritzFonBox 5010 von AVM) angeschlossen. Box läuft als IP-Client ohne eigene Benutzerdaten da ja mein BSD-Router das ganze macht. Internet und alles läuft prima. Nur mit der Telefonie will das nicht so richtig. Ich bekomme zwar ein Freizeichen aber ich kann werder anrufen noch kommen Anrufe an.
Nun hab ich mal ein wenig gegoogelt und festgestellt, dass VoIP die Ports 5070 - 5079 (UDP) und 30000-30019 (UDP) frei benötigt. Ich bin nicht der Firewall-Furu. Aber ich habe in der /etc/ipf.rules als erstes mal folgende Regel eingesetzt:

pass in log quick on tun0 from 10.12.23.50 to any
pass out log quick on tun0 from any to 10.12.23.50

Damit sollte die Box doch alles dürfen, oder?

Nun hat mir jemand der mit firewalls (aber leider nicht mit VoIP) vertrauter ist als ich den Tip gegeben, dass ja NAT auch noch eine Rolle spielen könnte.
Habe also folgendes in /etc/ipnat.rules eingefügt:

rdr tun0 0/0 port 5070-5079 udp -> 10.12.23.50 port 5070-5079 udp

rdr tun0 0/0 port 30000-30019 udp -> 10.12.23.50 port 30000-30019 udp

Trotzdem geht es nicht. Hat jemand Erfahrung damit und weiß was hier falsch läuft?

Danke
MfG
Manilo

 

[Yamagi]

Das mit der Firewall ist so eine Sache, da einige VoIP-Abieter (AOHell) meinen andere Ports verwenden zu müssen. Um die Firewall auszuschließen, würde ich sie mal abschießen und dann noch einmal probieren. Geht es dann immer noch nicht, ist NAT schuld. Dafür fragst du am besten aber jemand anders

 

[manilo101]

Wie schieß ich die ab? Und wie starte ich sie neu? Geht ja beim Start autom. Aber von der Konsole?

 

[teuk]

hi,

da du allem Anschein nach ipf verwendest, wuerde ich mit

# /etc/rc.d/ipfilter stop

versuchen ipfilter abzustellen und wenn du statt dem "stop" ein "start" mitgibst dann sollte ipfilter wieder starten.



teuk

 

[TCM]

ich hab hier nen asterisk auf einer kiste hinter nat laufen. damit voip einwandfrei funktioniert, hab ich folgendes:

1) asterisk muss die externe ip kennen, da die in sip-messages teilweise direkt eingebettet wird. deshalb zeigt hier ein hostname immer auf die aktuelle externe ip. inwiefern das auf die fritzbox zutrifft, weiss ich nicht.
2) ports 5060 udp und 10000-20000 udp sind in der pf.conf der nat-kiste folgendermassen speziell behandelt:

nat on $ext4_if inet proto udp from $voip4_host port { 5060, 10000:20000 } to any -> ($ext4_if) static-port
rdr pass on $ext4_if inet proto udp from any to ($ext4_if) port { 5060, 10000:20000 } -> $voip4_host

sprich, der asterisk sieht netzmaessig so aus, als wuerde er direkt am netz haengen. wichtig bei nat ist das static-port, damit die source ports fuer diesen speziellen traffic nicht veraendert werden.