Messages

1

German - Deutsch / [Gel.] Re: Portforwarding, SIP-Options von sipsak geht durch, von asterisk nicht

« on: February 01, 2022, 09:00:44 am »

Gestern auf Version 22.1 geupgradet die seit dem Wochenende irgendwann verfügbar war.
Seither ist das Problem gelöst.

Leider kenne ich den Grund dafür nicht.

2

German - Deutsch / Re: Portforwarding, SIP-Options von sipsak geht durch, von asterisk nicht

« on: January 26, 2022, 02:33:41 pm »

Die ganze Sache wird noch seltsamer, nach einen Neustart von asterisk funktioniert das Portforwarding jeweils für eine Weile.

Trace vom WAN-Interface auf der OPNsense:

14:17:24.291022 IP Z.Z.Z.Z.5069 > X.X.X.X.5060: SIP: OPTIONS sip:X.X.X.X SIP/2.0
E`.+s...7.+..7..M;........S.OPTIONS sip:X.X.X.X SIP/2.0
Via: SIP/2.0/UDP Z.Z.Z.Z:5069;branch=z9hG4bK4003658a
Max-Forwards: 70
From: "asterisk" <sip:asterisk@Z.Z.Z.Z:5069>;tag=as7d17e2fc
To: <sip:X.X.X.X>
Contact: <sip:asterisk@Z.Z.Z.Z:5069>
Call-ID: 0b9fd7ef14da563f33b2bb100cae4d07@Z.Z.Z.Z:5069
CSeq: 102 OPTIONS
User-Agent: e-fon
Date: Wed, 26 Jan 2022 13:17:24 GMT
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
Supported: replaces, timer
Content-Length: 0


14:17:24.293105 IP X.X.X.X.5060 > Z.Z.Z.Z.5069: SIP: SIP/2.0 200 OK
E..)G.@.>...M;...7.........\SIP/2.0 200 OK
Contact:<sip:sipgw@172.16.0.18:5060>
Accept:application/sdp
Allow:INVITE,ACK,OPTIONS,BYE,CANCEL,REGISTER,INFO,COMET,UPDATE,PRACK,REFER,SUBSCRIBE,NOTIFY,MESSAGE,PUBLISH
Supported:100rel,timer,join
From:"asterisk"<sip:asterisk@Z.Z.Z.Z:5069>;tag=as7d17e2fc
To:<sip:X.X.X.X>;tag=D430324131353641341D8A2300000000
Call-ID:0b9fd7ef14da563f33b2bb100cae4d07@Z.Z.Z.Z:5069
CSeq:102 OPTIONS
Via:SIP/2.0/UDP Z.Z.Z.Z:5069;branch=z9hG4bK4003658a;received=Z.Z.Z.Z
Content-Length:0



Danach hörts wieder auf:

14:29:34.342958 IP Z.Z.Z.Z.5069 > X.X.X.X.5060: SIP: OPTIONS sip:X.X.X.X SIP/2.0
E`.+s...7.+v.7..M;..........OPTIONS sip:X.X.X.X SIP/2.0
Via: SIP/2.0/UDP Z.Z.Z.Z:5069;branch=z9hG4bK5349030e
Max-Forwards: 70
From: "asterisk" <sip:asterisk@Z.Z.Z.Z:5069>;tag=as12b4a6b1
To: <sip:X.X.X.X>
Contact: <sip:asterisk@Z.Z.Z.Z:5069>
Call-ID: 5941d7862b0f98075e14bba14d479aeb@Z.Z.Z.Z:5069
CSeq: 102 OPTIONS
User-Agent: e-fon
Date: Wed, 26 Jan 2022 13:29:24 GMT
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
Supported: replaces, timer
Content-Length: 0


Das funktionierende erschien im Live-Log, das andere nicht mehr.


Edit: Es scheint soweit reproduzierbar zu sein, schalte ich asterisk ab. Warte eine Weile und schalte es wieder an, funktioniert es eine Zeit lang.
Es scheint als ob Irgendetwas erst nach einiger Zeit greift, teilweise nach dem zweiten Paket, Teilweise erst nach 10 Minuten.
Aber parallel dazu kommt sipsak immer durch.

3

German - Deutsch / Portforwarding, SIP-Options von sipsak geht durch, von asterisk nicht

« on: January 26, 2022, 11:31:22 am »

Hey zusammen,

ich habe ein interessantes Verhalten.

Extern steht ein Server mit einer Public-IP, auf dem läuft ein asterisk.
Dieser Sendet Option-Pings an einen Server ohne Public IP hinter einer OPNsense mit Public-IP und Portforwarding.



asterisk server (public IP) ->  opnsense ( public IP -> NAT portforwarding -> private IP ) -> Voip-Server (private IP).

Sende ich nun ein Options mit sipsak vom asteriskserver, geht es durch, das 200 OK kommt zurück.
Sendet das asterisk aber ein Options geht es bis zum WAN-Interface der OPNsense, danach aber nicht mehr weiter.
Es erreicht also auch nicht das LAN-Interface.


Die OPNsense hat drei Interfaces
DMZ       Ethernet 10Gbase-T <full-duplex>    192.168.2.151
LAN       Ethernet 10Gbase-T <full-duplex>    172.16.0.1
WAN       Ethernet 10Gbase-T <full-duplex>    X.X.X.X (PublicIP)

Das Portforwarding geht von WAN zu LAN.

Völlig falsch kann es ja nicht eingerichtet sein, die Tests mit sipsak sind ja erfolgreich.

 
X.X.X.X = Public-IP Opnsense
Z.Z.Z.Z = Public-IP Asterisk
 
Asterisk, geht nicht:
 
09:16:23.121104 IP Z.Z.Z.Z.i-net-2000-npr > Z.Z.Z.Z.sip: SIP, length: 527
E`.+C...@.R..7..M;........./OPTIONS sip:Z.Z.Z.Z SIP/2.0
Via: SIP/2.0/UDP Z.Z.Z.Z:5069;branch=z9hG4bK7ddeb003
Max-Forwards: 70
From: "asterisk" <sip:asterisk@Z.Z.Z.Z:5069>;tag=as4ec5f871
To: <sip:Z.Z.Z.Z>
Contact: <sip:asterisk@Z.Z.Z.Z:5069>
Call-ID: 4933b5cc0d85c1b449aa22430dac5870@Z.Z.Z.Z:5069
CSeq: 102 OPTIONS
User-Agent: e-fon
Date: Wed, 26 Jan 2022 08:16:04 GMT
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH, MESSAGE
Supported: replaces, timer
Content-Length: 0



sipsak geht:

09:17:36.992831 IP X.X.X.X.35136 > Z.Z.Z.Z.sip: SIP, length: 374
E.....@.@.WT.7..M;...@...~..OPTIONS sip:pazifi@Z.Z.Z.Z SIP/2.0
Via: SIP/2.0/UDP X.X.X.X:35136;branch=z9hG4bK.10db9330;rport;alias
From: sip:sipsak@X.X.X.X:35136;tag=21b31b26
To: sip:pazifi@Z.Z.Z.Z
Call-ID: 565386022@X.X.X.X
CSeq: 1 OPTIONS
Contact: sip:sipsak@X.X.X.X:35136
Content-Length: 0
Max-Forwards: 70
User-Agent: sipsak 0.9.6
Accept: text/plain


09:17:36.997448 IP Z.Z.Z.Z.sip > X.X.X.X.35136: SIP, length: 499
E...J+@.6...M;...7.....@....SIP/2.0 200 OK
Contact:<sip:sipgw@172.16.0.18:5060>
Accept:application/sdp
Allow:INVITE,ACK,OPTIONS,BYE,CANCEL,REGISTER,INFO,COMET,UPDATE,PRACK,REFER,SUBSCRIBE,NOTIFY,MESSAGE,PUBLISH
Supported:100rel,timer,join
From:sip:sipsak@X.X.X.X:35136;tag=21b31b26
To:sip:pazifi@Z.Z.Z.Z;tag=558B32413135364156A6772200000000
Call-ID:565386022@X.X.X.X
CSeq:1 OPTIONS
Via:SIP/2.0/UDP X.X.X.X:35136;branch=z9hG4bK.10db9330;rport;alias;received=X.X.X.X
Content-Length:0


Der Inhalt vom SIP-Anteil, sollte eigentlich irrelevant sein in dem Fall, da die OPNsense ja
kein DPI macht oder SIP sonst wie analysiert.
Auf IP-Ebene sehe ich keinen Unterschied, ausser dass sipsak ein don't fragment-Flag setzt.

Edit: Vielleicht noch ein kleiner Zusatz:
sipsak erscheint im Log, wenn ich auf die Firewallregel das Log aktiviere und auf Port 5060 Filtere in der Live-View. asterisk erscheint in diesem Log nicht. Es ist als würde es vorher schon abgeblockt.
Dabei kommts ja vom selben Server an den selben Port.

Hat jemand Eventuell Ideen?

4

German - Deutsch / Re: Geschwindigkeit GIF-Interface

« on: May 08, 2020, 01:53:07 pm »

Naja, die eine Seite ist 100/100 die andere 600/60.

Also ist der schmalste Punkt überhaupt 60Mb/s und die Richtung die für mich interessant ist hat als schmalste Stelle 100 Mb/s

Also ja, einmal Symetrisch und einmal Asymerisch.

5

German - Deutsch / Re: Geschwindigkeit GIF-Interface

« on: May 08, 2020, 07:40:20 am »

Nicht ganz, das war in einer Richtung.

A -> 100Mb/s -> INTERNET -> 600Mb/s -> B
---->-----> GIF-Effektiv: 1.5MB/s ---->------>


A <- 100Mb/s <- INTERNET <- 60Mb/s <- B
<-----<---- Tunnel nicht vermessen  <----<-----

Ich würde im schlechtesten Fall ja etwas um die 6MB/s erwarten.
Die Bandbreiten der jeweiligen Anschlüsse ohne Tunnel sind normal voll verfügbar.


Edit: A ist eine virtuelle Maschine und B ist eine aktuellere APU.

6

German - Deutsch / Geschwindigkeit GIF-Interface

« on: May 07, 2020, 11:41:00 pm »

Hi zusammen,

ich bins nochmal.

Ich habe ein IPv6-Netz über IPv4 getunnelt über ein GIF-Interface, soweit so erfolgreich.
MTU ist 1280.

Die Geschwindigkeit von Downloads bleibt unter 1.5MB/s obwohl die eine Seite A mit 100Mb/s und die andere Seite B mit 600Mb/s angebunden ist.
Mit Overhead und allem würde ich zumindest 60% von 100Mb/er erwarten, also etwa 60Mb/s bzw. 7MB/s

Das Routing scheint korrekt zu sein. Ansonsten sehe ich ausser der MTU keine grossen Stellschrauben mehr.

Jemand Erfahrung mit dem Speed von GIF?

Danke und Grüsse

7

German - Deutsch / Re: IPv6-Netz von A nach B tunneln

« on: May 02, 2020, 11:14:12 am »

Problem gelöst.

- Auf beiden Seiten GIF-Interfaces erstellt auf dem WAN-Interface
  - fc00::1/126, fc00::2/126 zum Routen genommen.
  - Eine MTU von 1280, vielleicht geht etwas höher, müsste ich noch testen.
- Interfaces zugeteilt zu den GIF-Interfaces (Assignments).
- Auf der Serverseite eine Firewallregel auf der GIF-Schnittstelle die den IPv6-Traffic erlaubt.
- Auf der Clientseite Regeln zum verteilen der IPs (Stateless/DHCPv6).

8

German - Deutsch / Re: IPv6-Netz von A nach B tunneln

« on: May 01, 2020, 06:10:05 pm »

Wahrscheinlich wäre es besser einen GIF-Tunnel zu bauen anstatt dem ganzen OpenVPN-Zeugs.


Beim Endpunkt könnte man sich an der Konfiguration von HE ein Vorbild nehmen, die Frage wäre welches Netz man bräuchte für die Endpunkte. fc00::1/126?

Zu der Serverseite finde ich jedoch fast keine Dokumentation was GIF anbelangt.
Nur das hier:
https://docs.netgate.com/pfsense/en/latest/interfaces/gif-interfaces.html

Gibt es zu GIF-Site2-Site-Tunnel eine Dokumentation?

Grüsse

9

German - Deutsch / [Gelöst] IPv6-Netz von A nach B tunneln

« on: April 30, 2020, 09:15:19 am »

Hi zusammen,

ich habe ein IPv6-Netz /56 auf einer public IP an einem Ort. (A)
Das möchte ich Tunneln um es am zweiten Ort (B) zu nutzen. B hat kein IPv6.

Beide Endpunkte sind eine OPNsense.
Ich denke das einfachste ist es über OpenVPN tu tunneln über ein Routing-Netz.


Jedoch bin ich mir nicht sicher wie ich die Endpunkte konfigurieren soll.

Deshalb meine Überlegung:

A:
Hat ein Interface mit einer public IPv6 auf die das /56 geroutet wird.
Hat einen OpenVPN-Server.
Wahrscheinlich brauche ich hier ein Interface für das OpenVPN und eine Bridge zum Interface mit der Public IP auf welche geroutet wird.
Ziemlich sicher braucht es noch FW-Regeln und eventuell eine Routing-Regel

B:
Hat einen OpenVPN.Client.
Braucht wahrscheinlich ein Interface das mit dem OpenVPN-Client gebridget ist.
Verteilung der IPv6-IPs im LAN.



Soviel zu meinen unvollständigen Gedanken. Was denkt ihr dazu?