Messages

Richtig schlimm finde ich jedoch in diesem Zusammenhang wieder einmal die Kenntnisse des Telekom-Supports:

- Der erste Ansprechpartner (oben ausführlich) konnte gar nicht helfen und hatte, nachdem ich auf seine Anweisung hin erfolglos die Nummer neu registriert hatte, sein Pulver verschossen.

- Seine Kollegin (nächstes Level?) gab wenigstens zu, nicht weiterhelfen zu können, und leitete mein Ticket weiter.

- Der Anrufer, der mich 30 Stunden später auf der eigentlich nicht funktionierenden Nummer (!) anrief, freute sich, dass es klappte, und bei ihm machte es nicht einmal "Klick", als ich ihm meine "Lösung" (Löschen des STUN-Eintrags) schilderte. Aber auch er versprach, das "nochmal weiterzugeben".

- Ich bin gespannt, ob ich davon noch einmal etwas hören werde...

Wie ich sagte, seit 6 Monaten oder mehr läuft alles ohne Probleme.

Ich hoffe dass ich dir geholfen habe, und Danke für alle Tutorials im Netz.

Hallo, Karl.

Vielen Dank für die Mühe, die Du Dir mit Deiner Beschreibung gemacht hast!
Ich nutze die gern zur Kontrolle, sobald wieder etwas nicht mehr funktionieren sollte.

Für dieses Mal war das jedoch unnötig: es HATTE ja bei mir bis Freitag funktioniert, aber dann eben plötzlich nicht mehr. Und die Ursache ist ja jetzt auch gefunden :-\ Jetzt klappt es wieder wie vorher.

[tel.t-online.de]

Normalerweise sollte das ohne Stun Server gar nicht funktionieren denn die FritzBox kann deine Externe IP so gar nicht kennen.

Es hat mir keine Ruhe gelassen, und ich habe es gefunden: und es ist - leider wieder mal - unverschämterweise - so, dass die Telekomiker bei sich irgend etwas geändert haben - und zwar so, dass es irgendwo kracht:

Bis letzten Freitag hat es ganz prima funktioniert mit dem STUN-Server tel.t-online.de. Das funktioniert jetzt - reproduzierbar! - nicht mehr. Eine schnelle Suche ergab, dass der STUN-Server stun.t-online.de heißt. Damit funktioniert es wieder. (siehe Screenshot)

Ist aber auch irgendwie klar: wenn es keine Adresse zurückgibt, kann im SIP-Teil auch nichts vernünftiges passieren. Warum die Telefonnummern dann trotzdem noch "gültig registriert" werden können, weiß wohl wieder nur die Telekom. Wieso man überhaupt einen solchen Blödsinn macht, die funktionierende Adresse ohne Not abzuschalten, will ich besser gar nicht fragen (hätte doch niemanden geschmerzt, deren STUN-Server weiterhin zusätzlich auf der alten Adresse antworten zu lassen). Mann, das ist ganz schön nervig.

Ach ja: Dass es daran liegt ist wohl ein Indiz dafür, dass die Fritzbox sehr wohl für jede Telefonnummer eigene STUN-Infos, also die eigene externe IP, speichert. Womit aber wieder unklar wäre, wieso es ganz ohne STUN-Eintrag funktioniert.

Normalerweise sollte das ohne Stun Server gar nicht funktionieren denn die FritzBox kann deine Externe IP so gar nicht kennen.

Ja, das weiß ich... deshalb hatte ich den ja eingetragen und bin jetzt verwirrt, dass es trotzdem - nein: nur so! - funktioniert. Da die Telekomiker ja aber immer eigene Lösungen haben, empfehlen die sogar teilweise, keinen STUN-Server einzutragen. Vielleicht kennt deren Server meine IP ja auch "einfach so" - schließlich ist die "nomadische Nutzung" ja nicht mehr möglich, der Telekom-Server kennt also die IP, von der ich telefonieren will. (Weiß man's, ob die solch eine Bastellösung verwenden?)

Außerdem habe ich noch zwei andere Nummern, SIPGATE und TELETEK, und dort ist nach wie vor der STUN-Server eingetragen. Vielleicht reicht der Fritzbox ja ein einziger Eintrag bei einer Nummer... ich glaube kaum, dass die Box pro Telefonnummer eine IP speichert... hoffe es zumindest. Na ja, auf alle Fälle funktioniert es aktuell.

Der Telekomiker jedenfalls, der gestern (nach etwa 30 Stunden - das ist echter Business-Support!) angerufen hat und sich freute, dass er mich nun - auf der zuvor nicht funktionierenden Nummer - erreichen konnte, hat mir zugesagt, den Fall "nochmal weiterzugeben"... bin gespannt, ob und was sich da noch tut. Ich werde das berichten, denn eigentlich kann ich ja nicht der Einzige mit diesem Problem sein.

Naja in dem Fall das die DeTeWe Anlage bei mir über 20 Jahre alt ist verwundert es mich nicht, das die FritzBox damit Probleme hat.

Ich habe vor der Umstellung ISDN/VoIP, als meine Auerswald COMpact 4410 noch im produktiven Einsatz war, ein paar Versuche mit meiner alten Auerswald ETS-2006i gemacht und diese sogar an meine uralte Fritzbox 7050 angeschlossen - das hat auf Anhieb funktioniert. So macht eben jeder seine eigenen Erfahrungen ;-)

Aber wehe man möchte eine Ausgehende Firewall. Das war dann schon zu viel verlangt für AVM sowas da einzubauen.

Mit dem Support von AVM bin ich persönlich auch ganz gut zurecht gekommen: Wir haben in regem Mailverkehr "nachgewiesen", dass die FB 7490 in ihrer Firmware einen Bug haben musste. (Entgegen der - nicht änderbaren - Einstellung, welche Ports für den RTP-Verkehr zu nutzen seien schlug die Box "beliebige" Ports vor. Das ist zwar erlaubt, auf der Firewall aber nicht in den Griff zu bekommen (zumindest nicht auf dem TMG).) Daran hat AVM dann "tapfer" gearbeitet. Ich war jedenfalls zufrieden. Heißt aber natürlich nicht, dass das immer so laufen muss.

Nachtrag/Update:

In der Hoffnung (oder eher: Befürchtung), dass nicht nur ich solche Probleme habe, möchte ich mein neuestes Abenteuer mit den Telekomikern schildern...  ::)

Nachdem unsere VoIP-Konfiguration
(FB 7490 als TK-Anlage hinter opnSense als Firewall hinter Zyxel vmg1312-b30a als DSL-Modem)
nun seit April klaglos gefunzt hat (s.o.), war am Freitag auf einmal Schluss damit.

• Wir konnten urplötzlich über unsere Telekom-VoIP-Nummern nicht mehr raustelefonieren.
• Von außen waren diese Nummern aus dem Festnetz nicht erreichbar.
• Aus dem Mobilfunknetz waren die Nummern erreichbar.
• Die anderen VoIP-Nummern, SIPGATE und TELETEK, funktionierten nach wie vor tadellos.
• Gestern morgen ging dann auf den Telekom-Nummern nichts mehr, sie waren auch vom Handy aus "nicht erreichbar"

Der telefonische Business(!)-Support bei der Telekom war - leider wieder einmal - ratlos, musste ständig das Gespräch pausieren und bei Kollegen nachfragen (ok, immerhin war er bemüht), konnte aber nicht wirklich zur Lösung beitragen:

• "Haben Sie schon Ihre Fritzbox neu gestartet?" - "Ja, aber das hilft nicht, meine anderen Nummern funktionieren."
• "Welches Modem verwenden Sie?" - "Das Zyxel... das ist von Ihnen unterstützt, und außerdem funktionieren meine anderen Nummern."
• "Dann löschen Sie die Nummern in der Fritzbox und tragen diese neu ein." - "Was soll das bringen, nach einem Neustart registriert die Box die Nummern doch sowieso neu." - "Ja, aber trotzdem." - "Ok, neu eingetragen, nun ist die eine Nummer besetzt und nicht mehr 'nicht erreichbar'." - "Das ist ja wohl ein Zeichen, dass es an Ihren Geräten liegt." - "Ach, ja?"
• ">D>ann stelle ich Sie jetzt zum nächsten Level Support durch."

Dort konnte man mir auch nicht weiterhelfen, aber wenigstens war die Dame am Telefon nicht bemüht, IRGEND ETWAS zu tun, sondern sah schnell ein, dass sie nicht weiterkam. Auf meine (wohl doch falsche) Vermutung hin, es könnte vielleicht irgend etwas mit dem Routing der Gespräche auf meine IP zu tun haben, versprach sie, den Fall an das "VoIP-Management" weiterzugeben, aber sie wisse nicht, wie viel die zu tun hätten und wann die sich melden würden. Bis jetzt (24 Stunden später haben die sich nicht gemeldet) - na ja, ist eben nur der Business-Support...

Letztenendes habe ich zufällig herausgefunden, dass EINE meiner zehn Telekom-MSNs sehr wohl noch funktionierte, und die Einstellungen in der Fritzbox verglichen: diese Nummer war die einzige, bei der NICHT der Telekom-STUN-Server eingetragen war!
Dieses Verhalten ist reproduzierbar: mit STUN keine Verbindung, ohne STUN-Eintrag alles in Ordnung. Seltsam!
Bis Freitag gab es doch keinerlei Probleme. Ich gebe zu, dass wir am Freitag die opnSense aktualisiert haben - aber das kann ja wohl kaumder Grund sein. Oder doch?
Meine anderen VoIP-Nummern haben übrigens sehr wohl ihren STUN-Server nach wie vor eingetragen - nur bei den Telekom-Nummern ist dieser Eintrag aktuell - seit Freitag - der Showstopper.

Falls jemand eine Erklärung(sidee) dazu hat, würde mich das interessieren.
Falls jemand ähnliche Probleme hat und sie mit dieser Schilderung löst, freue ich mich.

Ok, Korrektur: BEI MIR funktioniert die Kombination ganz prima.

Die Fritzbox kann eben von allem ein bisschen, und dafür ist sie gut, finde ich:
in meinem Ferienhaus (in dem gleichzeitig mein Server steht) ist sie (natürlich HINTER der opnSense)

• Telefonanlage
• Medienserver
• WLAN-AP
• und sogar Netzwerkswitch

Für alles gibt es ganz sicher günstige und dann bessere Einzelgeräte, aber als "All-in-One" finde ich das Ding nach wie vor eine gute Lösung.

Um ehrlich zu sein, weiß ich nicht mehr genau, WAS da wirklich als defekt gemeldet wurde.
Ja, ja Festplattenfehler: wieso es bei einer VHD "Hardwareprobleme" geben kann, kann aber wirklich auch nur Microsoft erklären...

Und die "Skriptdateien" sind Teil der Installation selbst? Die sind also nicht in einer (Konfigurations-)Sicherung enthalten?

Na ja, dann ist vielleicht doch das Verfahren nicht ganz so schlecht, die opnSense aus einem Snapshot wiederherzustellen oder im Zweifel aus einer Sicherung der gesamten VM.

Danke auf alle Fälle.

p.s.: Falls das interessant ist, will ich beim nächsten Mal gern genau nachsehen, WAS da nun defekt war.

Aber Danke für die Info woran es gelegen hat.

Nee, nee, ICH habe nach wie vor zu danken für die vielen guten und hilfreichen Tipps hier im Forum!
Super-Support von Euch - und noch dazu kostenlos! (finde gerade keinen Daumenhoch-Smiley)

Aber da ich aus der Hochsprachen-Ecke komme, verstehe ich nicht immer alle Details, so auch die Deines Postings... nicht.

Aus reiner Neugier interessiert mich also immer noch: Ist das tatsächlich denkbar,

• dass die TMG-VM die feste Einstellung "100 MBit/s Vollduplex" brauchte und bei "Automatische Aushandlung" die Schnecke machte,
• während die opnSense mit "Automatische Aushandlung" rennt und sich an den fest eingestellten "100 MBit/s Vollduplex" ständig stößt und hängt?

Jedenfalls scheint es bei mir so - und das unabhängig von PPPoE:

• in Deutschland mit Telekom PPPoE, DSL über Zyxel vor der opnSense
• in Schweden mit Breitband-Anschluss, Glasfaserswitch vor der opnSense

An beiden Standorten das gleiche Verhalten  :o.

Hallo.

Ich hatte nun schon zwei Mal den Fall, dass meine opnSense nicht mehr vernünftig hochfuhr. Auf der Konsole konnte ich während des Bootens sehen, dass einige Konfigurationsdateien defekt waren. So defekt, dass das Web-Interface der opn gar nicht mehr startete.

Ich konnte mir damit behelfen, dass ich ein Backup der VM wiederherstellen konnte, so weit so gut.

Aber in einem anderen Thread habt Ihr mir empfohlen, stattdessen lieber die opn neu aufzusetzen und dann die (vorher gesicherte) Konfiguration wieder einzulesen. Geht das auch von der Konsole aus? wenn ja: wie?
(Achtung: Ich bin, was Linux angeht, ein echter Dummie.)

Mein Verfahren mit Backup der VM funktioniert, aber wenn Ihr mir einen besseren Weg aufzeigt, lerne ich gern dazu.

Jetzt will ich aber auch mal "eine Lanze brechen" für die Fritzbox  :-*.

Ich betreibe sie HINTER meiner opnSense, allerdings ebenfalls nur als WLAN-Hotspot sowie als "VoIP-Gerät" - NICHT als "zusätzliche" Firewall.
An der FB habe ich ein altes analoges Telefon angeschlossen, ein C5 (DECT-Fritzfon) sowie meine Auerswald Compact 4410 (ISDN-Telefonanlage). Das alles funktioniert ganz tadellos.

Mit anderen Worten: ja, die Profis hier (zu denen ich ganz eindeutig NICHT gehöre!) haben natürlich recht, dass man hinter der opn keine zusätzliche Firewall braucht, weil das kein Mehr an Sicherheit bringt, sondern nur ein Mehr an Verwaltungsaufwand; aber fürs WLAN, ggf. als Media-Server und als "Gateway" für nicht VoIP-fähige Telefonanlagen (sogar ISDN), funktioniert die Box ganz vorzüglich... finde ich.

Hallo, liebe Unterstützer und Rat-Geber!

Auch hier möchte ich - wenngleich mit einiger Verzögerung - als Dank für Eure Tipps mein Fazit posten:

Aktuell funktioniert es so, wie es soll  :). Ich vermute ein Problem Treiber/Host, doch dazu unten mehr.
Kurzfazit: Netzwerkkarten auf "Automatische Aushandlung" (der Geschwindigkeit) gestellt - alles gut.

Nachdem ich andere Probleme gelöst hatte (andere, die also gar nichts mit EDV zu tun hatten), wollte ich mich nun meiner Verbindungsgeschwindigkeit widmen. Bevor ich aber den Versuch "PPPoE direkt auf dem Zyxel" oder gar "PPPoE auf separatem Fritz" durchführen wollte, probierte ich noch ein bisschen herum.

Bei der Vorbereitung dieses Herumprobierens erinnerte ich mich an ein anderes Problem:
An meinem zweiten Standort habe ich eine direkte Glasfaserleitung mit 100 MBit/s symmetrisch (ja, in der schwedischen Provinz ist das möglich, sogar zu einem günstigen Preis, doch das ist ein anderes Thema...).

Dort hatte ich vor ein paar Monaten katastrophale Übertragungsgeschwindigkeiten, sogar ständige Verbindungsabbrüche, die ich auch im EventLog des Hyper-V-Hosts sehen konnte. Dazu hatte ich damals an mehreren Stellen gelesen, dass die verbauten INTEL-Netzwerkkarten Probleme mit der Einstellung "Automatische Aushandlung" (der Geschwindigkeit) hätten und man diese besser fest wählen solle. Gesagt-getan hatte ich das auf 100 MBit/s-Vollduplex eingestellt und seither Ruhe. (NB: Das war übrigens zu der Zeit, als ich dort noch dem MS-TMG im Einsatz hatte.)

"Zur Sicherheit" hatte ich das hier (DSL 100/40, TMG über Zyxel) auch getan, und alles war so weit in Ordnung.

Jetzt aber (gefühlt nach der Umstellung vom TMG auf die opnSense) kam es an beiden Standorten zum gleichen katastrophalen Verhalten wie vor der Umstellung: in Deutschland am DSL hatte ich niemals mehr als 50/4 zur Verfügung, in Schweden sogar oft nur 10/2  :(

Ich habe deshalb die Karten an beiden Standorten wieder zurückgestellt auf "Automatische Aushandlung" und habe nun in Deutschland regelmäßig (mit Speedtest DURCH die opn) eine Geschwindigkeit von 96/36 oder mehr und in Schweden (von einer VM durch die opn) in der Regel 99/96. Also alles ganz prima!

Ganz kurios finde ich dabei, dass im automatisch ausgehandelten Status der Netzwerkkarten steht "100 MBit/s Vollduplex", wenn ich dieses aber fest einstelle, habe ich wieder nur 50/4 - dieses Verhalten ist reproduzierbar!!! Ist das nicht seltsam?

... und dann noch mein "Gefühl", dass diese "Umkehrung" mit Wechsel vom TMG auf die opn passiert ist.
Ist das denkbar? Gibt es hierzu die Idee einer technischen Erklärung? Kann doch "eigentlich" nicht sein, da sowohl der TMG als auch die opn als VMs gar keinen Zugriff auf die Hardware der Netzwerkkarte haben.
Oder ist es denkbar, dass der Hyper-V-Host den VMs die Netzwerkkarte "so seltsam bereitstellt", dass die eine Einstellung für den TMG passt, die andere aber für die opn?

Ich bin froh, dass es jetzt funktioniert, aber verwirren tut mich das doch...

Danke!

So (zumindest so ungefähr) habe ich mir das auch vorgestellt, brauche den SIPROXD also erst einmal nicht.
Deine anderen Erläuterungen sind sehr interessant, und die muss ich mir mal in Ruhe auf den Neuronen zergehen lassen.

Das VoP prima mitzuhören ist, darüber habe ich noch nie nachgedacht; ich finde es schon katastrophal, dass man jetzt bei nicht funktionierender Internetverbindung nicht mehr telefonieren kann... aber das ist wohl der Geist der Zeit (oder der Ungeist der Unzeit)...

Wie versprochen meine Rückmeldung als Dank für die genossene Unterstützung:

Wir haben jetzt endlich unser Telekom-VoIP zum Laufen gebracht, und zwar mit den Tips aus dem Forum hier!

Letztlich war es recht simpel, wir mussten "nur" das Port-Rewrite im Outbound-NAT deaktivieren,
also "Static Port" auf "Yes" setzen. Für alle, die das gleiche Problem lösen wollen:
Hierzu müssen die automatischen Regeln abgeschaltet werden, denn diese lassen sich nicht editieren (sonst wären sie ja auch nicht automatisch).

- Gehe zu Firewall - NAT - Outbound
- Schalte den Mode auf "Hybrid..."
- Dupliziere eventuelle automatische Regeln als manuelle Regeln
- In der Regel für das WAN-Interface das Häkchen für "Static Port" setzen
- Schalte den Mode auf "Manual..."

Vielen Dank an alle, die mich dabei unterstützt haben!

Wir haben jetzt endlich unser Telekom-VoIP zum Laufen gebracht, siehe https://forum.opnsense.org/index.php?topic=7663.msg35101#msg35101

Jetzt habe ich aber noch eine Frage zum SIPROXD. Habe ich es richtig verstanden:
- Wenn meine Telefonanlage und Fritzbox alle Nummern managen, brauche ich den Proxy nicht?
- Ich brauche ihn dann, wenn sich andere Geräte in meinem Netz ebenfalls bei einem Provider anmelden wollen?
- Der SIPROXD übernimmt dann (insbesondere bei reinkommenden Gesprächen) das Reverse-Proxying?