[Solved] 2 VoIP Provider und keinen Plan vom Thema

[bringha]

Auf der Go Box:

stun benutzen ja, stun refreshzeit 240, NAT refreshzeit 20, DNS SRV lookup ja, wurde letztes Jahr umgestellt bei Telekom.

domain tel.t-online.de, gleiches für proxy Serveradresse und Registration server und outbound Serveradresse

Outbound proxy modus nie

Ich verwende d_magenta_de.bin als Profilversion

dann bei weitere VOIP Einstellungen: SIP Update ja, Zieladresse ableiten: aus SIP contact Header

die RTP Ports müssen sowohl eingehend als auch ausgehend denen entsprechen, die in den FW/NAT Regeln angegeben sind.

Br br

[Rolly82]

Ich habe zwar das Gigaset N510 IP Pro aber die Einstellungen sollten ja die gleichen sein:
DNS SRV Lookup
Lookup benutzen    Ja

Allgemeine Anmeldedaten Ihres VoIP-Providers
Domain:    tel.t-online.de
Proxy-Serveradresse:    tel.t-online.de
Proxy-Serverport:    
Registration-Server:    tel.t-online.de
Registration-Serverport:    
Anmelde-Refreshzeit:    600 Sek.

Allgemeine Netzwerkdaten Ihres VoIP-Providers
STUN benutzen:    Nein (Wird auch nur benötigt wenn mehr wie ein mal "geNATed" wird // siehe erklärung unten)
Outbound-Proxymodus: Nie
Netzwerkprotokoll auswählen: "Automatisch"

Erläuterung zu STUN aus den TEchnischen Unterlagen der Telekom:
STUN
Die VoIP-Plattform der Telekom hat eine eingebaute automatische NAT-Erkennung.

• Hierfür muss die TK-Anlage symmetrisches RTP unterstützen, d.h. bei ein- und ausgehenden Gesprächen muss die TK-Anlage den RTP-Strom selbst als erstes aufbauen. Nach drei eingegangen RTP-Paketen erkennt die Plattform den Datenstrom und baut ihrerseits zur selben Port (und IP) eine RTP-Verbindung auf. Die Erkennung basiert auf der abgehenden IP (aus dem SIP-Paket) des angesprochenen Telekom Gateways (aus dem SDP) und den angesprochenen Gateway-IP-Ports (SDP). Weitere Angaben im SDP (insb. TK-seitige IPs und Ports) werden ignoriert.
• STUN ,,torpediert" diese NAT-Erkennung, da die Plattform NAT nicht mehr erkennen kann.
• Wenn STUN zum Einsatz kommt, muss aus jeden Fall sichergestellt sein, dass eingehende RTP-Verbindungen akzeptiert werden (mit einer normalen NAT-Firewall ist dies normalerweise nicht möglich), da die Plattform kein symmetrisches RTP anwendet.
• STUN sollte daher nur in Ausnahmefällen eingesetzt werden.
• Mit symmetrischen NAT ist eine Verbindung in Verbindung mit STUN in der Regel gar nicht möglich. Einige Router (z.B. Bintec) bieten aber mittels eines Assistenten die Möglichkeit, auf "Full Cone" NAT umzustellen. Damit ist dann eine Verbindung auch möglich, wenn die TK-Anlage STUN erzwingt.

Symmetrisches RTrtP / NAT-Erkennung / STUN
Die VoIP-Plattform der Telekom hat eine eingebaute automatische NAT-Erkennung. Hierfür muss die TK-Anlage symmetrisches RTP unterstützen. STUN ,,torpediert" diese NAT-Erkennung und sollte nur in Ausnahmefällen eingesetzt werden.

[bringha]

An meinem privaten VOIP Anschluss bekomme ich das ohne STUN in Verbindung mit static ports nicht ans laufen, muss also bei mir aktiviert sein;

Nach meinen Informationen braucht man STUN bei einem SIP Trunk Anschluss, zB Deutschland LAN in der Tat nicht, habe aber mangels Möglichkeit noch nicht selbst ausprobiert ...

br br

[inkasso]

Habe die GoBox nun in ein eigenes VLAN gesteckt (wollte ich ursprünglich ja eh).
Die Einstellungen sind wieder auf Auto für TCP/UDP.

Ich musste eine NAT Regel bauen, damit ich auf die Oberfläche von der GoBox komme, denn sie redet wohl nur mit Geräten im selben Subnetz (was ich für ein vernünftiges Sicherheitsfeature halte).

Probleme sind immer noch da. Jetzt wo die Kiste aber ihr eigenes VLAN hat, kann ich gezielter und länger das Capture laufen lassen. Evtl kommt man dann mal dahinter wo es hakt. Heute hatte ich z.B. wieder Ton Probleme. Ich kann keine MFV Töne übertragen um bei Ansagen durchs Menü zu steuern.

[Rolly82]

In der 510IP gibt es unter:
Netzwerk —> IP-Konfiguration—> ,,Weitere Einstellungen"
Den Punkt ,, Zugriff aus anderen Netzen zulassen". Damit funktioniert dann auch der Zugriff (bei mir) aus dem ,,LAN" auf die 510IP (VOIP NETZ).

@bringha
Ich habe auch ,,nur" einen All IP Anschluss und keinen SIP-Trunk und dass läuft ohne STUN.

MfG

[inkasso]

Hab doch glatt übersehen, dass vor meiner Antwort noch Antworten gekommen sind mit Dingen, die ich ausprobieren sollte. Keine Angst - mache ich morgen!

Aktuell läuft zumindest mal eine Aufzeichnung über die ganze Nacht, denn morgens sind die Telefone immer unregistriert und evtl. sehe ich dann mal warum.

[inkasso]

Auf der Go Box:
stun benutzen ja, stun refreshzeit 240, NAT refreshzeit 20, DNS SRV lookup ja, wurde letztes Jahr umgestellt bei Telekom.

domain tel.t-online.de, gleiches für proxy Serveradresse und Registration server und outbound Serveradresse
Outbound proxy modus nie

Das hat bei mir der Einrichtungsassistent selbst alles schon so eingerichtet gehabt. Nur DNS SRV lookup hab ich manuell aktiviert - und ja das hatte ich schon gemacht bevor ich hier gepostet habe, weil ich einen Link zu einer Telekom Seite hier im Forum gesehen habe, wo erklärt wurde, was eingestellt werden sollte.

Ich verwende d_magenta_de.bin als Profilversion

Ich weiß nicht wie du das "verwendest". Bei meiner GoBox steht das nur als Profil da - wahrscheinlich das, was die Box selbst identifiziert hat und dann von Gigaset runtergeladen hat. Ich habe allerdings ein anderes Profil da stehen: d_telekom_de.bin

dann bei weitere VOIP Einstellungen: SIP Update ja, Zieladresse ableiten: aus SIP contact Header

die RTP Ports müssen sowohl eingehend als auch ausgehend denen entsprechen, die in den FW/NAT Regeln angegeben sind.

Br br

Die Einstellungen habe ich ebenfalls gleich. Wobei ich mir nicht ganz sicher bin ist, ob die NAT Regel stimmt.
Firewall => NAT => PortFoward

Interface: WAN
TCP/IP: IPv4  (IPv6 hab ich überall disabled und die Firewall dropt es auch)
Protocol: TCP/UDP
Source: any
Source Port range: any
Dest: any
Dest Port range: (Alias VoIP Ports bei from und to)
Redirect Target IP: (Alias für GoBox IP)
Redirect Target Port: (Alias VoIP Ports)

Im Alias für die VoIP Ports sind alle Ports, die auf der GoBox für SIP und RTP gelistet sind.
Also SIP 5060-5076 und RTP 5004-5020

Was mir beim Mitschnitt von heute Nacht auffällt: Ich habe ungefähr um 20 Uhr gestartet und alles läuft zunächst wie ein Uhrwerk. Ab 23:40 Uhr hatte ich dann eigentlich nur noch STUN Requests mit Antwort aber die GoBox hat keine SIPs mehr geschickt.

Um etwa 2 Uhr nachts hat die GoBox dann nach Profil-Updates bei Gigaset gesucht. Hat aber anschließend weiterhin nur STUNs geschickt und keine SIPs.

Erst als ich heute früh die Box über ein Telefon hab neu starten lassen, kam dann wieder reichlich Bewegung in die Aufzeichnung und neben Anfragen an dynreg.gigaset.net gab es dann auch wieder die normalen SIPs an die Telekom.

[bringha]

Das Magenta Profil erhältst Du im Wizzard in der Providerliste, da kommt direkt nach Telekom dann Magenta; da gibts auch noch andere der Telekom, wie t-online etc., das Profil sollte zu Deinem Vertrag passen.

Ich habe mich auch ewig mit dem standard telekom Profil abgemüht, auch wenn die Parameter von beiden äußerlich sehr ähnlich aussehen, machen sie im Hintergrund anscheinend bestimmte Sachen anders. Jedenfalls gehts bei mir mit dem Magenta Profil, mit dem Telekom nicht.

Deine NAT Regel sieht aus meiner Sicht nicht korrekt aus.

Du brauchst eine outgoing NAT Regel mit statischen Ports und aktiviertem 'Hybride Erstellung ....' Dann brauchst du drei Portforwarding Regeln, eine für SIP, eine für RTP (meine Ports sind halt andere als bei Dir) und eine für STUN (anscheinend geht das auch ohne STUN (s.o.), habe ich aber jetzt noch nicht hingebogen); siehe Bilder

Und dann noch eine Firewall Regel, um am WAN den SIP Verkehr zu Deinem Gigaset durchzulassen ... Auch wenn da im Gigaset für SIP port 5060-5076 steht wird in der Praxis offenbar nur port 5060 bei Telekom benutzt.

EDIT: Ach ja: auch bei mir haben die SIP refresh's nach ein paar Stunden einfach aufgehört, wenn mehrere Provider auf der Gobox aktiv waren (zumindest Telekom UND Gigaset.net). Mit den og Korrekturen vielleicht wirklich mal mit nur einem Eintrag bei IP probieren ....
Br br

[inkasso]

Auf sowas soll man kommen :o

Wenn da Provider: Telekom steht, dann geh ich doch nicht erst aufs Dropdown, weil der Provider stimmt. Und wenn es unterschiedliche Configs je Tarif gibt, hätte ich erwartet, dass die danach im nächsten Screen abgefragt werden - halt runtergefiltert auf den gewählten Provider...

Gut. Hab Mangenta entdeckt und nun verwendet. Ist ja auch bei mir ein Magenta Zuhause.
Dabei hab ich jetzt gleich mal das STUN abgeschaltet. Mal sehen was passiert.

Wegen der FW Regel(n):
Wenn ich meine Regel richtig verstehe, hänge ich die Ports von der GoBox direkt ins Internet. Das bedeutet doch PortForwarding?

Und aus dem Handbuch zur Sense bei "NAT Outbound":

If you only have one external IP, then you leave the Outbound NAT options on automatic. However, if you have multiple IP addresses, you might want to change the settings and add some custom rules.

Also: Outbound NAT brauchts nur bei multi WAN. Da hätte es mir auch eingeleuchtet.

[bringha]

Wir haben jetzt 2 Möglichkeiten:

entweder wir diskutieren über abstrakte Ausschnitte aus Dokumentationen oder du probierst einfach mal aus, was andere gemacht haben, um VOIP zum laufen zu bringen. Ich jedenfalls HABE mich bereits erfolgreich durch den ganzen widersprüchlichen Mist zu VOIP im Netz durchgewühlt und habe am Ende ein funktionierendes Festnetztelefon.

Wenn du unbedingt weiterlesen willst, dann würde ich Dir das empfehlen:

https://forum.opnsense.org/index.php?topic=15993.0

Da findest Du auch den Hinweis, warum bei VOIP und Deiner Config outbound NAT wesentlich zu einem funktionierenden System beiträgt - also nix mit MultiWAN, dafür aber das Zauberwort static ports. Es mag natürlich auch noch andere Wege zum Erfolg geben, ich kann Dir jedenfalls bestätigen, dass meiner funktioniert hat.

Take it or leave it

Viel Erfolg

br br

[inkasso]

Na ich will das ja auch gar nicht in Abrede stellen, dass es bei dir läuft, oder dass du dir was dabei gedacht hast.
Ich will nur verstehen, was ich da tue und warum ich es tue. Sonst hätte ich auch einfach bei ner FritzBox bleiben können ;)

Die Umstellung der Profile + das Abschalten von STUN scheinen bisher aber schon mal was gebracht zu haben. Bisher meine Meldung über nicht angemeldete Rufnummern. Außerdem kam ein Telefonat erfolgreich rein und konnte ganz normal geführt werden. Bin gespannt, wie es heute Abend und morgen früh ausschaut.

[inkasso]

So... Erste Nacht ohne dass mich die Telefone mit "ich bin nicht angemeldet" begrüßen :D

Gestern Abend hab ich Telefonie Tests gemacht. Heute früh auch. Scheint alles stabil zu laufen. Ich warte jetzt mal noch 1-2 Tage, ob es so bleibt. Wenn ja, mach ich einen Haken ans Thema.

Danke an alle Mithelfer schonmal!

Gruß

Manuel

[inkasso]

Soo... Das ganze Wochenende über gab es nicht einmal unregistrierte Telefone oder Probleme beim Telefonieren. Es scheint nun alles zu passen.

STUN ist aus.
Magenta Profil statt dem generischen Telekom-Profil.
PortForward ist geblieben wie beschrieben. Habe die Quelle auf 217.0.0.0/16 eingeschränkt.
Habe die GoBox in ein eigenes VLAN gesteckt, aber das sollte egal sein.

Wenn es wieder Probleme geben sollte, schau ich zuerst, ob es ggf. an der "zu engen" Beschränkung auf die Quelle liegen kann.

Danke an alle Helfer!

Gruß

Manuel