Hallo liebe Swisscömmler
Seit einigen Jahren verwende ich einen IPFire hinter den Internet-Boxen (DMZ-Modus), die bereits mehrere Generationen hinter sich haben. Kürzlich wollten wir auf VoIP-Telefone umsteigen, jedoch gestaltet sich das Setup offenbar schwierig. Ich habe bereits Wochen des Googelns hinter mir, jedoch komme ich auf keine verträgliche Lösung, die sowohl Sicherheit als auch Stabilität berücksichtigt.
Kontext: Wir besitzen neu ein Gigaset S850A und haben dort die lokalen SIP-Credentials der IB2 hinterlegt (IB2 als SIP-Proxy, Outbound etc.). Das SIP-ALG in den Firewall-Optionen des IPFire ist aktiv und aus dem GREEN (LAN)-Netzwerk kann jederzeit richtung RED (WAN) eine TCP/UDP-Verbindung initiiert werden. Leider führt dies dazu, dass lediglich Telefonate innerhalb des GREEN bidirektional Ton übertragen.
Phänomen: Sobald aber z.B. 0800 800 800 gewählt wird, hört man nichts. Wenn ich mit Wireshark die VoIP-Session des IPFire abfange, kann ich jedoch sowohl meine Stimme als auch den Jingle der Swisscom hören. Auch funktioniert es teilweise, wenn man uns von extern anruft oder auf ein Mobile angerufen wird. Irgendwie scheint der IPFire den eingehenden RTP-Traffic der IB2 nicht durchzulassen, wenn ein gewisser Zustand eintritt (der mir nicht ganz einleuchtet).
"Lösungen": Nach intensiven Sessions mit Wireshark und SIP-Protokollen habe ich einen Lösungsansatz ausmachen können: Wenn ich in der IPFire-Firewall vom RED jeglichen UDP-Traffic mit D-NAT Richtung Basisstation im GREEN zulasse, funktionieren alle Anrufe. Schön und gut, jedoch eröffne ich damit ein klaffendes Loch in mein Netzwerk, ganz zu schweigen davon, dass RTP-Verkehr unauthentifiziert ist und möglicherweise von einem Angreifer abgehört werden könnte. Bedingung: SIP-ALG muss aktiviert bleiben, ansonsten geht gar nichts, obwohl in vielen Foren dazu geraten wird, die ALG auszuschalten.
Die ominöse RTP-Regel:
RED to GREEN RTP
Meine Frage nun ist, ob jemand mit einem VoIP + PfSense/ IPFire-Setup Erfolg hatte? Ich würde die Basis ja gerne an die IB2 stöpseln, jedoch steht die im Luftschutzkeller und es gibt die Option nicht...
Seltsamerweise sieht der IPFire den Anrufer als seine eigene externe IP, weshalb ich wohl nicht mal einen Swisscom VoIP-Server whitelisten kann. (Konfigurations-Fehler/ NAT?)
Zusammengefasst: Durch externe Firewall: SIP-Handshake funktioniert, RTP-Traffic nur one-Way bis auf günstige Konstellationen (interne Anrufe, Mobiles).