Hallo zusammen,
derzeit verwenden wir die OPNsense 21.7.1 und haben 5 Yealink-Telefone im Einsatz (Modelle: T53, T42s, W73H).
Unsere Telefonanlage befindet sich im Rechenzentrum des Telefonanbieters, und wir führen Telefonate über SIP über das Internet.
Nun zum Problem: Wenn externe Personen von außen versuchen, uns anzurufen, erhalten sie die Ansage, dass der Teilnehmer nicht verfügbar ist. Erst wenn ich von einem internen Telefon aus nach außen anrufe, funktioniert es wieder, und externe Anrufe können eingehen.
Es scheint, als ob die Verbindung nach einer bestimmten Zeit blockiert bzw ablauft (Keep Alive).
Ich habe alle Optionen an den Telefonen überprüft, jedoch keine Einstellung gefunden, um einen Keep-Alive-Timer zu setzen. In der Firewall habe ich von der WAN-Seite aus die Ports 5060 sowie 9000–10999 geöffnet, aber ohne Erfolg.
Könnte es sein, dass die Firewall einen anderen Port mit der Gegenstelle austauscht? Es sollte doch zuerst immer über Port 5060 erfolgen und dann erst mit einem anderen Port.
Habt ihr hier vielleicht einen Rat?
Vielen herzlichen Dank.
Grüße,
Syosse
Wenn ein SIP User Agent hinter einem NAT betrieben wird, dann sollten SIP Keep Alives gesendet werden.
Das hält den "State" der Firewall offen sodass Verbindungen von außen auf den gleichen (upper) Port initiiert werden können.
Einer der am häufigsten benutzten ist der "STUN" Keepalive, dafür muss in jedem Telefon ein STUN Server hinterlegt sein. https://datatracker.ietf.org/doc/html/rfc5626#section-3.5
Durch die SIP Registrierung und dem STUN Server, sollte der Registrar (TK Anlage im Rechenzentrum) immer den richtigen Socket (öffentliche IP Adresse+Port) haben, um das Telefon zu erreichen.
Am besten wäre es natürlich wenn die Yealink Telefone sowie das Rechenzentrum IPv6 hätten. Wobei viele Yealink Telefone mit IPv6 Probleme haben (hab ich mehrfach getestet).
Quote from: Monviech on January 24, 2024, 02:48:30 PM
Wenn ein SIP User Agent hinter einem NAT betrieben wird, dann sollten SIP Keep Alives gesendet werden.
Das hält den "State" der Firewall offen sodass Verbindungen von außen auf den gleichen (upper) Port initiiert werden können.
Einer der am häufigsten benutzten ist der "STUN" Keepalive, dafür muss in jedem Telefon ein STUN Server hinterlegt sein. https://datatracker.ietf.org/doc/html/rfc5626#section-3.5
Durch die SIP Registrierung und dem STUN Server, sollte der Registrar (TK Anlage im Rechenzentrum) immer den richtigen Socket (öffentliche IP Adresse+Port) haben, um das Telefon zu erreichen.
Am besten wäre es natürlich wenn die Yealink Telefone sowie das Rechenzentrum IPv6 hätten. Wobei viele Yealink Telefone mit IPv6 Probleme haben (hab ich mehrfach getestet).
Super herzlichen Dank für die Infos. Das heisst ich müsste beim Telefonanbieter anfragen ob Sie einen STUN Server anbieten. Die dann beim Yealink eintragen ?
Gruss Syosse
Das heisst ich müsste
Oder dir lokal eine kleine Satelliten-Anlage basteln. Z.B. mit Asterisk oder einer Fritzbox, wenn das ausreicht. Vielleicht hat auch Yealink da was kleines preiswertes.
Punkt ist, wenn du nur einen SIP-Client hast, der mit dem externen Anbieter spricht, dann kannst du auch eingehend Port-Forwarding machen und alles funktioniert fluffig. Machen wir mit unserer Starface im RZ und Fritzboxen in kleineren Büros.
Ja oder du benutzt einen öffentlichen STUN Server. Die meisten Anbieter von Telefonanlagen haben auch welche (z.B. stun.3cx.com:3478 für die 3CX Telefonanlage).
Noch eine witzige Variante für besonders "harte" Umgebungen, Yealink Telefone haben IPsec und SSLVPN eingebaut, damit kann man auch arbeiten wenn man Firewalls umgehen muss damit es richtig funktioniert. Hab ich schon mit SSLVPN gemacht mit SIP-T46G.
Zur Satellitenanlage: Ein paar Telefonanlagenanbieter (z.B. 3CX) haben extra "Session Border Controller" für sowas.