MobileHub-Einrichtung

Hallo zusammen,

ich würde mir gerne den MobileHub anschauen und ihn testen. Ich habe für den Anfang die frei 2-User-Version. Geht es damit überhaupt?

Im Desktop-Client heißt es unter “Meine Geräte” beim Mobiltelefon “Konfig durch Admin gesperrt”

Viele Grüße
Sven

Ja, funktioniert auch mit der Free-Lizenz.

“Konfig durch Admin gesperrt” liegt an den FollowMe-Einstellungen des Telefons. Schau mal unter Benutzer -> zugewiesene Geräte. Auf der rechten Seite können die FollowMe-Einstellungen freigegeben werden (Doppelklick).

Ok, prima. Jetzt kommt zumindest der Barcode aber das Pairing klappt nicht … “Keine Logindaten vorhanden”

Was ich in Bezug auf MobileHub alles gemacht habe:

  • Einen A-Recorde beim Profider gesetzt der auf die fixe WAN-IP meines loaklen PFSense zeigt
    pbx01.mydomain.de → 10.20.30.40

Die Ports für MD weitergeleitet:

Den MD installiert mit:
-NIC1 (LAN) 192.168.24.8
-NIC2 (für MobileHub) 192.168.24.9

Im Pascom Server-Manager war “Mobile Client Pairing” der auf der NIC1 (LAN) lief deaktiviert und an der NIC2 aktiviert.

Habe ich da einen Fehler drin?

Schau dir mal den QR-Code als Klartext an, das müsste eine URL mit Daten deines pbx01.mydomain.de sein.

Die NAT-Regeln sollten vmtl. Ports UPD 30000 (anstatt 3000) bis 35000 sein, das sollte aber ein Pairing nicht behindern.

Ja, ist UDP. Ich habe vergessen Anfragen die von extern pbx01.mydomain.de mit Port 443 aufrufen am HA-Proxy auf den MD zu leiten. Jetzt geht es.

Vielen Dank für Deine Geduld!!!

Was natürlich nicht klappt ist wenn ich am Handy im gleichen WLAN bin wie die MD. Dann kann er sich nicht anmelden. Weiß nicht ob sich das auch irgendwie machen lässt.

Stichwort Hairpin-NAT, die pfSense sollte das können.

Habe hier eine zweite Regel eingebaut, etwa so (VLAN99 ist unser WLAN).

Unter pfSense → Advanced → NAT ist PureNAT eingestellt. Ob das Auswirkungen hat kann ich so nicht sagen.

Gruß,
Rapha

Danke, so funktioniert es :slight_smile:

Seltsam, jetzt funktioniert es wieder nicht mehr wenn das Handy im WLAN ist. An der PFSense wurde nichts verändert …

Habe den QR mal ausgelesen:
m6-ifgwe6_15m3bjhsafhsfkcpam3w@[Instanzname] pbx01.mydomain.de vPBAmjhdsfjgsfsafSEgXuEzMr6 0049174224654718

die langen Zeichenketten habe ich zum posten willkürlich verändert da ich nicht weiß was sie beinhalten aber vom Inhalt her sie das für mich korrekt aus.

Habe heute am DM lediglich eine ausgehende Regel für Rufweiterleitung hinzugefügt:
Quelle: _XXXX.
Ziel: *
CallerID: ${CALLERID(num)}

Die Rufumleitung sollte damit nichts zu tun haben, der QR-Code-Inhalt sieht erstmal auch OK aus, zumindest ist der FQDN und deine Mobilnummer enthalten.

Kannst du an der Firewall schauen ob die Pakete vom WLAN zur pascom und zurück durchkommen (TCP/5222, Diagnostics -> Packet Capture)?

ich hoffe es ist so richtig:

Mitschnitt gestartet und Handy versucht über Barcode zu pairen. Im Mitschnitt wird nichts angezeigt.

Das ist die NAT-Regel:

wobei die 10.20.30.40 die feste IP vom WAN ist und diese wieder zu pbx01.mydomain.de aufgelöst wird

Schalte mal bitte NAT Reflection auf Ja/Enable mit PureNAT (in der NAT-Regel). Dies sollte das Hairpin-NAT aktivieren.

Referenz: https://docs.netgate.com/pfsense/en/latest/book/nat/nat-reflection.html

ok, habe ich gemacht. Sowohl PFSense wie auch MD komplett neu gestartet aber noch immer die gleiche Fehlermeldung:

ich versuch noch immer dieses Problem zu lokalisieren. Die NAT-Regel sollte so ja passen:

das bedeutet doch alles was auf der Schnittstelle LAN aus dem Netzwerk 192.168.24.0/24 mit dem Ziel 10.20.30.40:5222 ankommt wird auf die 2.NIC am MD mit der IP 192.168.24.9 umgeleitet.

Jetzt schaue ich mir den Inhalt des QR an. Dieser hat doch den Aufbau:

[Benutzername]@[Instanz] pbx01.[meinedomain].de [Passwort] [Handynummer]

oder? Wo kann ich in der MD diese Benutzerdaten (User/Passwort) prüfen?

Ganz dumm gesprochen versucht doch die App nun eine Verbindung zu pbx01.meinedomain.de:5222 mit den genannten Benutzerdaten zu der angegebenen Instanz aufzubauen, richtig?

Das Handy an sich ruft doch dann nicht den DNS-Namen auf sondern die IP die matcht, also: 10.20.30.40:5222

Stimmt eventuell an der Schnittstellen-Konfiguration etwas nicht:

Hier ist als “Schnittstellen-DNS-Name (FQHN)” pbx01.meinedomain.de eingetragen. Muss hier eventuell die feste WAN-IP rein?

Wenn die App die Verbindung aufbaut. Benutzt sie dann neben 5222 noch weitere Ports?

Bei der 1. NIC ist eine Umleitungs-URL eingetragen, bei dieser nicht. Weiß nicht ob das relevant ist.

Ich kann mich ja per SSH mit dem Benutzer “admin” auf der MD anmelden. Kann ich hier ein Protokoll oder Debug starten um zu sehen ob überhaupt etwas ankommt?

Auf der PFSense → System → Erweiterte Einstellungen → Firewall & NAT gibt es zum “NAT-Reflection” noch die Einstellungen:

sind diese eventuell relevant?

Habe jetzt einfach mal wagemutig:

Automatische Erstellung ausgehender NAT Regeln, die Traffic zurück in das gleiche Subnetz leiten, aus dem er entstanden ist.

aktiviert. Nun geht es :slight_smile: Ist es sinnvoll die erste Option:

Automatische Erstellung zusätzlicher NAT Umleitungsregeln von innerhalb der internen Netzwerke.

ebenfalls zu aktivieren?