- Registriert
- 11. Juni 2010
- Beiträge
- 4.080
- Reaktionspunkte
- 2.847
- Punkte
- 373
Hallo Zusammen,
ich habe folgendes Szenario...
Site A: 192.168.10.0/24
Gateway: 192.168.10.253 ist ein Pi der eine Wireguard Verbindung zu Site B aufbaut, in welcher auch die TK Anlage OpenScape Business S bereit steht.
Site B: 192.168.88.0/24
TK Anlage: 192.168.88.120
VPN Server: 192.168.88.250
Ich kann alle Server und Clients von Site A aus in Site B anpingen. Das gleiche Szenario nur umgekehrt von B nach A funktioniert auch Problemlos.
Daher können wir das Thema Route und Wireguard Konfiguration direkt abhaken.
In Site A habe ich ein Unify Telefon welches auch eine Verbindung zur OpenScape Anlage aufbauen kann, allerdings diese wieder nach ca. 60 Sekunden verliert.
Hinzu kommt das auch kein Audio übertragen wird.
Das Masquerading ist deaktiviert
Hier die IPTABLES vom Wireguard Gateway Site A:
Die Conntrack Module nf_conntrack, nf_conntrack_sipsudo, nf_conntrack_h323 sind auf beiden Seiten geladen.
Der Fehlercode auf dem Telefon ist HS2.
Ich bedanke mich schon im Vorraus für Ideen....
ich habe folgendes Szenario...
Site A: 192.168.10.0/24
Gateway: 192.168.10.253 ist ein Pi der eine Wireguard Verbindung zu Site B aufbaut, in welcher auch die TK Anlage OpenScape Business S bereit steht.
Site B: 192.168.88.0/24
TK Anlage: 192.168.88.120
VPN Server: 192.168.88.250
Ich kann alle Server und Clients von Site A aus in Site B anpingen. Das gleiche Szenario nur umgekehrt von B nach A funktioniert auch Problemlos.
Daher können wir das Thema Route und Wireguard Konfiguration direkt abhaken.
In Site A habe ich ein Unify Telefon welches auch eine Verbindung zur OpenScape Anlage aufbauen kann, allerdings diese wieder nach ca. 60 Sekunden verliert.
Hinzu kommt das auch kein Audio übertragen wird.
Das Masquerading ist deaktiviert
Hier die IPTABLES vom Wireguard Gateway Site A:
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# Accept incoming traffic for the VPN and other necessary services
-I INPUT 1 -j LOG
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp --dport 51820 -j ACCEPT
-A INPUT -p tcp --dport 4060 -j ACCEPT
-A INPUT -p udp --dport 4060 -j ACCEPT
-A INPUT -p tcp --dport 18443 -j ACCEPT
-A INPUT -p tcp --dport 5060 -j ACCEPT
-A INPUT -p udp --dport 5060 -j ACCEPT
# Forwarding rules
-I FORWARD 1 -j LOG
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.10.0/24 -d 192.168.88.0/24 -i eth0 -o wg0 -j ACCEPT
-A FORWARD -s 192.168.88.0/24 -d 192.168.10.0/24 -i wg0 -o eth0 -j ACCEPT
# Allow all TCP and UDP traffic between the networks
-A FORWARD -s 192.168.88.0/24 -d 192.168.10.0/24 -i wg0 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.10.0/24 -d 192.168.88.0/24 -i eth0 -o wg0 -j ACCEPT
# SIP and RTP traffic
-A FORWARD -p udp --sport 5060 -j ACCEPT
-A FORWARD -p udp --dport 5060 -j ACCEPT
-A FORWARD -p udp --sport 4060 -j ACCEPT
-A FORWARD -p udp --dport 4060 -j ACCEPT
-A FORWARD -p udp --sport 10000:20000 -j ACCEPT
-A FORWARD -p udp --dport 10000:20000 -j ACCEPT
-A FORWARD -p tcp --sport 18443 -j ACCEPT
-A FORWARD -p tcp --dport 18443 -j ACCEPT
COMMIT
*nat
REROUTING ACCEPT [420:44317]
:INPUT ACCEPT [330:38441]
:OUTPUT ACCEPT [35:2608]
OSTROUTING ACCEPT [112:7307]
# Enable NAT
-A POSTROUTING -o eth0 -j MASQUERADE
#-A POSTROUTING -o wg0 -j MASQUERADE
COMMIT
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# Accept incoming traffic for the VPN and other necessary services
-I INPUT 1 -j LOG
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp --dport 51820 -j ACCEPT
-A INPUT -p tcp --dport 4060 -j ACCEPT
-A INPUT -p udp --dport 4060 -j ACCEPT
-A INPUT -p tcp --dport 18443 -j ACCEPT
-A INPUT -p tcp --dport 5060 -j ACCEPT
-A INPUT -p udp --dport 5060 -j ACCEPT
# Forwarding rules
-I FORWARD 1 -j LOG
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.10.0/24 -d 192.168.88.0/24 -i eth0 -o wg0 -j ACCEPT
-A FORWARD -s 192.168.88.0/24 -d 192.168.10.0/24 -i wg0 -o eth0 -j ACCEPT
# Allow all TCP and UDP traffic between the networks
-A FORWARD -s 192.168.88.0/24 -d 192.168.10.0/24 -i wg0 -o eth0 -j ACCEPT
-A FORWARD -s 192.168.10.0/24 -d 192.168.88.0/24 -i eth0 -o wg0 -j ACCEPT
# SIP and RTP traffic
-A FORWARD -p udp --sport 5060 -j ACCEPT
-A FORWARD -p udp --dport 5060 -j ACCEPT
-A FORWARD -p udp --sport 4060 -j ACCEPT
-A FORWARD -p udp --dport 4060 -j ACCEPT
-A FORWARD -p udp --sport 10000:20000 -j ACCEPT
-A FORWARD -p udp --dport 10000:20000 -j ACCEPT
-A FORWARD -p tcp --sport 18443 -j ACCEPT
-A FORWARD -p tcp --dport 18443 -j ACCEPT
COMMIT
*nat
REROUTING ACCEPT [420:44317]:INPUT ACCEPT [330:38441]
:OUTPUT ACCEPT [35:2608]
OSTROUTING ACCEPT [112:7307]# Enable NAT
-A POSTROUTING -o eth0 -j MASQUERADE
#-A POSTROUTING -o wg0 -j MASQUERADE
COMMIT
*mangle
REROUTING ACCEPT [49710:12065823]
:INPUT ACCEPT [29040:7796189]
:FORWARD ACCEPT [16241:3667545]
:OUTPUT ACCEPT [24678:4486616]
OSTROUTING ACCEPT [40901:8152122]
COMMIT
*raw
REROUTING ACCEPT [49710:12065823]
:OUTPUT ACCEPT [24678:4486616]
COMMIT
*filter
:INPUT ACCEPT [16686:4237352]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [24660:4484577]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 53760 -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8888 -j ACCEPT
-A INPUT -p udp -m udp --dport 8888 -j ACCEPT
-A INPUT -p tcp --dport 4060 -j ACCEPT
-A INPUT -p udp --dport 4060 -j ACCEPT
-A INPUT -p tcp --dport 18443 -j ACCEPT
-A INPUT -p tcp --dport 5060 -j ACCEPT
-A INPUT -p udp --dport 5060 -j ACCEPT
# Forwarding rules
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# Allow all TCP and UDP traffic between the networks
-A FORWARD -s 192.168.88.0/24 -d 192.168.10.0/24 -i wgsitea -o eth0 -j ACCEPT
-A FORWARD -s 192.168.10.0/24 -d 192.168.88.0/24 -i eth0 -o wgsitea -j ACCEPT
# SIP and RTP traffic
-A FORWARD -p udp --sport 5060 -j ACCEPT
-A FORWARD -p udp --dport 5060 -j ACCEPT
-A FORWARD -p udp --sport 4060 -j ACCEPT
-A FORWARD -p udp --dport 4060 -j ACCEPT
-A FORWARD -p udp --sport 10000:20000 -j ACCEPT
-A FORWARD -p udp --dport 10000:20000 -j ACCEPT
-A FORWARD -i eth0 -o wgsitea -j ACCEPT
-A FORWARD -i wgsitea -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o wg0 -j ACCEPT
-A FORWARD -i wg0 -o eth0 -j ACCEPT
COMMIT
# Completed on Sun Jul 7 08:50:54 2024
# Generated by iptables-save v1.8.7 on Sun Jul 7 08:50:54 2024
*nat
REROUTING ACCEPT [5721:729756]
:INPUT ACCEPT [1166:120446]
:OUTPUT ACCEPT [33:2553]
OSTROUTING ACCEPT [18:1805]
#-A POSTROUTING -o wgsitea -j MASQUERADE
-A POSTROUTING -o wg0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sun Jul 7 08:50:54 2024
REROUTING ACCEPT [49710:12065823]:INPUT ACCEPT [29040:7796189]
:FORWARD ACCEPT [16241:3667545]
:OUTPUT ACCEPT [24678:4486616]
OSTROUTING ACCEPT [40901:8152122]COMMIT
*raw
REROUTING ACCEPT [49710:12065823]:OUTPUT ACCEPT [24678:4486616]
COMMIT
*filter
:INPUT ACCEPT [16686:4237352]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [24660:4484577]
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 53760 -j ACCEPT
-A INPUT -p udp -m udp --dport 51820 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 8888 -j ACCEPT
-A INPUT -p udp -m udp --dport 8888 -j ACCEPT
-A INPUT -p tcp --dport 4060 -j ACCEPT
-A INPUT -p udp --dport 4060 -j ACCEPT
-A INPUT -p tcp --dport 18443 -j ACCEPT
-A INPUT -p tcp --dport 5060 -j ACCEPT
-A INPUT -p udp --dport 5060 -j ACCEPT
# Forwarding rules
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# Allow all TCP and UDP traffic between the networks
-A FORWARD -s 192.168.88.0/24 -d 192.168.10.0/24 -i wgsitea -o eth0 -j ACCEPT
-A FORWARD -s 192.168.10.0/24 -d 192.168.88.0/24 -i eth0 -o wgsitea -j ACCEPT
# SIP and RTP traffic
-A FORWARD -p udp --sport 5060 -j ACCEPT
-A FORWARD -p udp --dport 5060 -j ACCEPT
-A FORWARD -p udp --sport 4060 -j ACCEPT
-A FORWARD -p udp --dport 4060 -j ACCEPT
-A FORWARD -p udp --sport 10000:20000 -j ACCEPT
-A FORWARD -p udp --dport 10000:20000 -j ACCEPT
-A FORWARD -i eth0 -o wgsitea -j ACCEPT
-A FORWARD -i wgsitea -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o wg0 -j ACCEPT
-A FORWARD -i wg0 -o eth0 -j ACCEPT
COMMIT
# Completed on Sun Jul 7 08:50:54 2024
# Generated by iptables-save v1.8.7 on Sun Jul 7 08:50:54 2024
*nat
REROUTING ACCEPT [5721:729756]:INPUT ACCEPT [1166:120446]
:OUTPUT ACCEPT [33:2553]
OSTROUTING ACCEPT [18:1805]#-A POSTROUTING -o wgsitea -j MASQUERADE
-A POSTROUTING -o wg0 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sun Jul 7 08:50:54 2024
Die Conntrack Module nf_conntrack, nf_conntrack_sipsudo, nf_conntrack_h323 sind auf beiden Seiten geladen.
Der Fehlercode auf dem Telefon ist HS2.
Ich bedanke mich schon im Vorraus für Ideen....
