Die Frage richtet wohl sich an jemanden mit opnsense Kenntnissen. Hat jemand da draussen Erfahrung mit Starface Appliance, opnsense, Homeoffice und mobilen UCC Clients?
Ich habe eine SF 6.7.1.20 am laufen in einem Firmennetz, Verbindung zu zwei Providern, interne Telefone (Yealink, Snom und UCC), Mobile Telefone mit UCC, und auch ein paar Homeoffices mit gleichen Tischtelefonen und/oder UCC, ohne VPN (VPN wär zwar besser, aber geht hier nicht). Das Ganze über eine Zyxel USG Firewall zwischen Firmennetz und Internet, sowie verschiedene Consumer Router/Modems in den Homeoffices.
Mit der Zyxel als Firewall (natürlich korrekt konfiguriert) funktioniert alles perfekt, keine Ausfälle, keine Timeouts, keine Sprachkanalprobleme, alles toll.
Nur leider ist die Zyxel Firewall ziemlich primitiv wenn Firewallbeschränkungen etwas enger geschnallt sein sollten. (Hauptproblem sind hier die wechselnden IP Adressen der Homeoffices und mobilen Clients).
Also habe ich eine opnsense (Firewall anstelle der Zyxel USG) konfiguriert. Die kann mit DynDNS umgehen (siehe Aliases und iptables) und beherrscht GeoIP Einschränkungen und dergleichen.
Dieser Setup funktioniert soweit auch gut, nur....
Nach einer Weile werden eingehende Verbindungen, vom Homeoffice oder vom mobilen UCC, nicht mehr durchgelassen. Beheben lässt sich das oft nur mit einem Neustart des Telefons.
Ich vermute das liegt an den (SIP) UDP timeouts. Leider finde ich in opnsense nicht wirklich eine Möglichkeit diesen Timeout zu steuern. Ich könnte an den Retries in den Telefonen rumschrauben, aber das würde bedeuten dass ich potentiell nach jedem Konfigurieren wieder Hand an die Telefone legen müsste. Geht sowieso nicht für das Starface Mobile UCC.
Am liebsten wäre mir eine Einstellung in der opnsense. Bei der Zywall USG funktionierts ja schliesslich auch...
Gemäss diversen Quellen soll bei der opnsense, "Firewall Optimization = conservative" (anstellen default "normal") die UDP timeouts etwas vergrössern, aber ich stelle keine Verbesserung fest.
Bei der Zyxel lässt sich der SIP UDP Timeout spezifisch festlegen ("SIP Media Inactivity Timeout" und "SIP Signalling Inactivity Timeout"), ist aber eigentlich gar nicht nötig da die Standardvorgaben meistens gut genug (sprich gross genug) sind.
Hat jemand eine Idee wie ich der opnsense abgewöhnen kann die UDP Sessions ständig abzuwürgen (wenn es denn wirklich dieses Problem ist), ohne dass ich die Retry-Zeiten bei jedem externen Endgerät manuell verkleinern muss? Vielleicht generell ein paar Tips im Zusammenhang mit Starface-Appliance/opnsense/Homeoffice/Mobile-Clients (OPNsense 20.1.3)?
Danke für alle Tips.
Dan