[Solved] 2 VoIP Provider und keinen Plan vom Thema

[inkasso]

Bevor einer schreit: Ja - es gibt hier oben angepinnt einen Thread zum SIProxD und bestimmt wurde einiges zu dem Thema auch schon an anderer Stelle gesagt... nur je mehr ich lese, um so weniger kapier ich 

Eckdaten
Telekom Fiber Anschluss <-> modifiziertes HUAWEI SPF GPON ONT <-> (dummer) Medienwandler <-> Sense <-> Internes LAN <-> Gigaset Go Box 100

Es wird bei einem single WAN bleiben. Ich überlege ggf. die Telefonie in ein eigenes VLAN zu stecken, hängt aber davon ab, ob es zu viel Stress bei der Konfiguration macht.

VoIP
Ich muss über die GoBox das Telekom VoIP abbilden. Die GoBox hat selbstständig Einstellungen für den Provider Telekom (wohl vom Hersteller) gezogen und mit diesen auch erfolgreich die Rufnummern angemeldet. Anrufen ging, aber keiner hat Ton gehört, sobald man abgenommen hatte.

Zur Problemlösung habe ich mir angesehen, welche Ports für SIP und RTP in der GoBox definiert sind (man kann wählen ob zufällige Ports genutzt werden sollen -> hab ich abgeschaltet gelassen). Es handelt sich um die Ports 5060 - 5076 für SIP und 5004-5020 für RTP. Diese hab ich dann vom WAN Interface auf die GoBox geNATet. Seitdem funktioniert es mit dem Ton bei Anrufen.

Ferner habe ich von meinem Job noch ein SIP Telefon hier stehen, dass sich auf die virtuelle Telefonanlage unserer Firma verbindet (nFon AG). Das Ding kann ich nicht umkonfigurieren, muss aber weiter funzen. Es hängt ebenfalls aktuell im internen LAN und zeigt sich völlig unbeeindruckt davon, dass die Sense dazwischen hängt.

Probleme
Die GoBox hängt sich immer wieder mal auf und ich muss sie neustarten, um überhaupt wieder dran zu kommen. Ich vermute, das hat mit einer "halbgaren" VoIP Konfiguration auf der Sense zu tun, denn als sie noch hinter der Fritzbox arbeiten musste, funktionierte sie ohne Aussetzer.

Die angemeldeten Rufnummern können nach einiger Zeit plötzlich nicht mehr angemeldet werden. Auch hier hilft ein Neustart der GoBox. Ich hab was gelesen von "nicht automatische Anmeldung der Rufnummern" verwenden, sondern Zugangsdaten einrichten und hinterlegen. Ich finde aber nichts in meinem Kundencenter bei der Telekom, wie ich da Benutzername/Passwort für vergebe oder automatische Anmeldung deaktiviere...

Ich überlege, ob ich SIProxD brauche und ob ich nicht spätestens dann Probleme mit meinem IP Telefon meines Arbeitgebers bekomme.

Alles in allem herrscht also totale Verwirrung. Und in Anbetracht des Telefons meines Arbeitgebers hier bin ich auch nicht sonderlich experimentierfreudig. Wäre nett, wenn mich hier jemand an die Hand nimmt.

Gruß

Manuel

[bringha]

Hi Manuel,

Hatte eine sehr ähnliche Konfiguration, die mir schlaflose Nächte bereitet hat. Zwar kein Huawei in der Kette, aber ansonsten ziemlich ähnlich ...

Mit der Lösung, die ich hier beschrieben habe absolut stabil, musste ich nicht wieder anfassen seither ..

https://forum.opnsense.org/index.php?topic=25332.msg121994#msg121994

Br br

[inkasso]

Hi bringha,

Danke für den Schubs!

Ich habe mir mal noch 1-2 Dinge bei dir abgeschaut.
Refresh runter auf 500 und flush states bei IP Change.
Außerdem habe ich die NAT Regel von UDP only auf TCP/UDP erweitert.

Mal sehen, wie gut/schlecht es jetzt die nächste Zeit läuft.

Und dann ist da noch eine Sache, die ich gern ändern würde, bei der ich mir aber auch nicht sicher bin. Aktuell ist die NAT Regel für Source = any. Hier würde ich das schon gern auf die entsprechenden Telekom-Server einschränken. Aktuell wüsste ich mir nur über Beobachtung zu helfen, um herauszufinden, was ich da alles für Server als "gültig" angeben müsste.

Gruß

Manuel

[bringha]

Ich habe in der NAT Regel Source auf das Telekom Netzwerk 217.0.0.0/8 gesetzt, da bist du auf der sicheren Seite.

Br br

[inkasso]

Ja, das macht es zwar etwas besser, aber ~16,7 Mio IPs sind mir ungefähr 16,7 Mio zu viel. Ich hatte da eher an eine maximal dreistellige Zahl gedacht.

[bringha]

Na ja, das ist sicherlich grundsätzlich richtig, allerdings befinden sich im 217er Netz nahezu alle Adressen der Telekom für deren öffentliche Services, wie DNS, SIP, STUN, .... und diese sind dann nochmals regional aufgeteilt, d.h. Frankfurt hat einen anderen empfohlenen DNS Server als Köln etc, gleiches zB bei SIP; bei meinen endlosen Versuchen war es durchaus so, dass der Wizzard auf GoBox von Konfigurationsversuch zu Konfigurationsversuch andere Adressen für den SIP und STUN Server eingetragen hat .... Änderungen passieren zB auch bei Störungen oder Wartungsarbeiten wenn sich die GoBox dann neu verbindet.

Meine Versuche mit einem 217.XXX.0.0/16 waren jedenfalls gefühlt suboptimal ....

Ist also etwas herausfordernd, da für Deinen Ort die Richtige Kombi aus relevanten Subnetzadressen herauszufinden

Br br

[inkasso]

Na ja... DNS von der Telekom nutze ich ja schon mal wegen der Zensur generell nicht

Kleiner Zwischenbericht: Mit 500 Sekunden und 400 Sekunden Refresh funktioniert es bei mir schon mal nicht. Die 300 sind jetzt eingetragen - mal sehen, wie es wird.

[robgnu]

Hallo,

ich trage bei den Telekom VoIP-Configs immer 217.0.0.0/13 ein - und zwar bei der Portweiterleitung (Source). Das sind zwar auch sehr viele Adressen (217.0.0.1 - 217.7.255.254), jedoch meiner Erfahrung nach gibt es keine Probleme.
Bei NAT wäre der Telekom-Bereich ja die Destination...

Leider gibt es von der Telekom keine offiziellen Ranges.

Gruß
Robert

[inkasso]

Leider funktionierts selbst mit den 300 Sekunden Refresh nicht. Immer wieder sehe ich "Anmeldung fehlgeschlagen" und wenn ich dann für eine der Rufnummern die Konfiguration öffne und speicher (ohne Änderung) geht es wieder. Bin so langsam ratlos was ich noch machen soll :-/

Wenigstens stürzt die Box nicht mehr ab, aber das is so kein Zustand. Aktuell sind wir eigentlich nur noch verlässlich über Handy zu erreichen.

[robgnu]

Hallo,

versuch doch mal einen Wireshark-Mitschnitt zu machen. Wenn es VoIP-Probleme gibt, ist das meist die einfachste Methode um der Lösung näher zu kommen. Ich würde, wenn möglich, auf der WAN-Schnittstelle und im LAN parallel mitschneiden. Dann kann man gut vergleichen, was von innen kommt und was von außen.

Ich weiß nicht genau, wie das unter Windows realisierbar wäre, jedoch mit Linux oder macOS kann man relativ leicht eine SSH-Verbindung zur Sense aufbauen und dann die Ausgabe an Wireshark leiten. Ich mache das unter Linux so:

Code: [Select]

ssh root@sense -p22 "tcpdump -i igb0_vlan21 -U -w - port not 22" | wireshark -i - -k
Gruß
Robert

[inkasso]

Oh, das ich das von der Sense so rüber schicken kann, dass hab ich nicht erwartet.
Ein WireShark war auch meine Idee, aber gerade auf der Außenseite hätte ich nicht gewusst, wie ich das geschickt anstelle. Die Sense kann ja Mitschnitt, aber ich weiß nicht wie viel da rein gepasst hätte. Die Dumps sind danach in Wireshark einlesbar.

Gut das ich ein paar Linux Rechner hier habe. Mache ich nachher mal startklar

UPDATE: Nach etwas Umkonfiguriererei - root durfte sich bei mir nicht per ssh anmelden... - mache ich gerade parallel einen dump vom internen VLAN auf dem alles stattfindet und auf dem pppoe Adapter. Mal sehen, was das gibt.

[inkasso]

So - hab gestern 400MB Mitschnitt über ca 2 Stunden gemacht. Natürlich sind die Telefone währenddessen nicht ausgefallen :-/

Hab sogar erfolgreich ein längeres Telefonat geführt ohne Probleme. Etwas später am Abend dann wieder Probleme. Ich rufe an, Gegenstelle nimmt ab, ich kann hören abder die Gegenstelle nicht.
Heute früh dann wieder "Anmeldung bei Provider nicht erfolgreich" im Display der Telefone.

Was ich in den Logs auffällig fand, war der REGISTER request gefolgt von einem 401 Unauthorized - nur dass es dann doch ein paar Versuche Später ein 200 OK gibt. Hab das mal als Bild angehängt.

[Rolly82]

Da die Telekom gerade ihre IMS Plattform umstellt/erneuert kann es helfen die SIP-Registrierung von UDP auf TCP umzustellen (Wenn es sich um einen ALL-IP Anschluss handelt, bei SIP-Trunk funktioniert eh nur TCP oder TLS)

Zum Thema DNS habe ich folgende Informationen für dich:
Damit die Telefonie Reibungslos funktioniert habe ich im, AdGuard u.g. DNS-Server für meine VoiP Geräte (2 SIP-Telefone und 1 FreePBX) als Upstream-DNS-Server hinterlegt.

DNS im VoIP-Umfeld an Telekom-Anschlüssen
Grundsätzlich soll in einem TK-System (bzw. Router) immer der DNS Server des jeweiligen Internetzugangsanbieters eingetragen werden. Bei Telekom-Anschlüssen mit PPPoE Einwahl (xDSL) werden diese automatisch bei der Einwahl vergeben. Bei CompanyConnect (CoCo)/DeutschlandLAN Connect IP (DCIP) sowie beim Business Premium Access (BPA) sind diese auf dem Kundenanschreiben hinterlegt.

DNS im VoIP-Umfeld bei Fremdaccess
Falls der Kunde einen Fremdaccess nutzt (z.B. Vodafone als Trägerleitung) sollten auch die DNS Server des Anbieters eingetragen werden. Falls diese kein eDNS und ECS unterstützen, kann der DNS-Server der BPA-Anschlüsse verwendet werden.

DNS-Server für BPA

Standort	IPv4 Adresse	IPv6 Adresse	Reverse Lookup Name
Frankfurt	194.25.0.70	2003:40:2000::0B9A	resolvbpa-f.t-ipnet.de
Hannover	194.25.0.62	2003:56::0B9A	resolvbpa-h.t-ipnet.de
Leipzig	194.25.0.54	2003:40:4000::0B9A	resolvbpa-l.t-ipnet.de

Was passiert, wenn ich einen falschen DNS-Server nutze?
Wird beispielsweise an einem Fremdaccess oder Company Connect ein DNS-Server verwendet, der eigentlich für PPPoE-Anschlüsse der Telekom (z.B. xDSL, FTTH) vorgesehen ist, wird dieser entsprechend die SIP-Proxys (P-CSCF) zurückgeben, welche eine aktivierte Bandbreitenreservierung beherrschen. Diese Bandbreitenreservierung würde aber fehlschlagen, da das RACS (Resource and Admission Control Subsystem) beim Fremdaccess oder Company Connect keine Bandbreitenreservierung ermöglichen kann. Somit würde die SIP-Registrierung erfolgreich durchgeführt, aber keine Gespräche möglich.

Umgekehrt wäre bei einem PPPoE Anschluss und Abfrage eines DCIP-DNS Servers keine Bandbreitenreservierung möglich, da vom DCIP-DNS Server der falsche RACS zurückgegeben würde.

Eine weitere Fehlerquelle besteht darin, dass am Fremdaccess bei Verwendung eines DNS-Servers der Telekom  bei einer SRV-Anfrage Server für die Nutzung von Diensten angeboten werden, die über den Fremdaccess nicht erreichbar sind.

[bringha]

... uns sollte auf der GO Box die Firmware 42.259 laufen UND der Gigaset.net Service Parallel zum Telekom Service aktiv sein, dann könnte auch das die Ursache für die verloren gehende SIP Registrierung sein: Aus was für Gründen auch immer hört dann die Box nach ein paar Stunden auf, SIP refresh's an den Telekom Server zu schicken.

Ich habe nicht ausprobiert, on das ein generelles Problem bei mehreren aktiven Telefonieanbietern auf der Box ist, jedenfalls habe ich Gigaset.net deaktiviert und nur noch Telekom aktiv und seit dem ist das ganze stabil ....

br br

[inkasso]

Zunächst mal: ich nutze aktuell gar keinen DNS vom ISP. Bei mir läuft piHole mit 2 freeDNS Servern. piHole ist einziger DNS (per DHCP verteilt) und piHole schickt lokale Anfragen an die Sense weiter um die lokale Namensauflösung zu ermöglichen.

Natürlich könnte ich mir jetzt aus dem PPPoE Log raussuchen, was für DNS die Telekom gern hätte und die der GoBox per DHCP zuweisen lassen. Bin nur noch nicht so ganz überzeugt, dass es daran liegt.

GoBox Firmware ist tatsächlich 42.259, aber die Gigaset.net Dienste hab ich nicht aktiv - will ich auch gar nicht haben. Mich nervt, dass ich sie nur deaktivieren, aber nicht löschen kann.

Ich hab da allerdings noch eine Reihe von Konfigurationsparametern, die mir nichts sagen, und die ich mal googeln muss:

• DNS SRV Lookup benutzen (aktuell testweise ja - hat aber nix gebracht)
• STUN benutzen (aktuell ja, ich hörte aber auch davon, dass manche den nicht nutzen)
• Outbound Proxymodus immer/auto/nie/DHCP Option 120 "SIP Server" benutzen

Probeweise begrenze ich ihn jetzt mal auf TCP und schau, ob sich dadurch was tut.

UPDATE: Also nur TCP funktioniert auch nicht. Von 5 Rufnummern kann ich nur die ersten 2 anmelden. Die Übrigen funktionieren nicht - trotz identischer Einstellung.