RTP-Pakete von Telekom blockiert?

Started by Uwe@Home, June 09, 2023, 04:36:33 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
June 09, 2023, 04:36:33 PM
Hallo,

seit dem letzten Update (auf Version OPNsense 23.1.9-amd64) funktioniert die Telefonie via Telekom nicht mehr.

Alle RTP-Pakete werden ausgefiltert (obwohl es NAT-Regeln dazu gibt).
Die Telefonie geht über eine Frtiz!Box.
STUN ist aktiviert. Die Signalisierung geht in beide Richtungen.
RTP geht (seit Neuestem) weder rein noch raus.

An den Regeln wurde nichts geändert.

Für die Telefonie ist kein SIP-Proxy (siproxd) eingerichtet - sondern nur zwei NAT-Regeln
(eine für SIP 5060 und eine Outbound für statisches Port-Mapping) eingerichtet.
So hat es immer funktioniert. Versuchsweise habe ich weitere NAT-Regeln für RTP, etc. angelegt.

Auf der Fritz!Box werden die DNS-Server der Telekom verwendet.
Die Telefonie-Einstellungen sind angehängt.

Was mach ich falsch?

Viele Grüße, Uwe
June 12, 2023, 09:42:34 PM #1
Hallo Uwe,

auch wenn es nicht genau auf Dein Fehlerbild passt, ich selbst hatte am 2. Juni einen Ausfall meines Telekomsetups (ein Asterisk im LAN hinter einer OPNSense). Der Grund lag an nicht konfigurierter Medienverschlüsselung (SRTP) im Asterisk. Die Telekom verlangt jetzt zwingend RTP/SAVP statt RTP/AVP. Ich konnte das durch Änderungen alleinig am Asterisk fixen, OPNSense war da raus. Check mal Deine Fritzbox nach vergleichbaren Settings zum Thema Medienverschlüsselung. Das Problem äußert sich in einem fehlschlagenden SIP-Sessionaufbau; man sah nicht ein einziges UDP-Paket mit Mediendaten dabei.

Zweiter Punkt (jaja ich weiß, es lief ja schon bei Dir, egal): legst Du für RTP/RTCP eine Portrange fest? Ich kann das in Deinen Bildern nicht erkennen, aber ich habe zum Beispiel eine Range von ca. 100 Ports für UDP-Mediendaten reserviert. An Deiner Fritzbox (dem "SIP-Useragent") musst Du diese Portrange für RTP/RTCP eintragen. An der OPNSense dann noch die obligatorische Regel für statisches NAT-Mapping (falls die UDP-Assoziation ausgehend initiiert wird) und die Weiterleitungsregel (falls eingehenden UDP-Pakete schneller sind).

Natürlich kann ich gerne noch helfen um unsere Konfigurationen abzugleichen... aber schnaunwaerstmal :-)

Viele Grüße,
Florian
June 18, 2023, 02:43:00 PM #2
Hi,

also ich habe auch die Sense V23.1.9. Allerdings habe ich keinerlei Regeln gesetzt. Als Softphone nutze ich "MicroSIP" unter Windows oder "Twinkle" unter Linux (beides natürlich hinter der Sense).

Es funktioniert ohne Probleme.

Im Screenshot habe ich gesehen das du direkt den SIP-Server der Telekom nutzt. Hier sind die Einstellungen tatsächlich immer etwas tricky. Ich nutze einen einfacheren Weg. Als SIP-Server nutze ich meine FritzBOX selbst. Die leitet das dann an die Telekom weiter.
June 18, 2023, 08:29:11 PM #3
Hallo,

vielen Dank für die Hilfe!

Mittlerweile läuft es.
Angehängt sind Bilder mit Aliasen / Outbound-NAT-Regeln mit denen es funktioniert.

Es ist reproduzierbar - sobald in der Outbound NAT-Regel zu RTP die Fritz!Box
als Source eingetragen wird, funktioniert es nicht mehr.

Mit "Any" als Source funktioniert alles.
Der Alias auf die IP-Adresse der Fritz!Box war bzw. ist richtig.

Keine Ahnung, warum es jetzt nur noch so geht.

@Strunzdesign:

QuoteDer Grund lag an nicht konfigurierter Medienverschlüsselung (SRTP) im Asterisk

Vielen Dank für den Hinweis!
Die hatte ich beim Debuggen rausgenommen - ist jetzt wieder drin.

QuoteAn Deiner Fritzbox (dem "SIP-Useragent") musst Du diese Portrange für RTP/RTCP eintragen.

An der Fritz!Box kann man das leider nicht so einfach einstellen.
Im Export der Konfiguration sieht man, dass folgende Ports verwendet werden:

voip_forwardrules = "udp 0.0.0.0:5060 0.0.0.0:5060", "tcp 0.0.0.0:5060 0.0.0.0:5060", "udp 0.0.0.0:7078+20 0.0.0.0:7078";
voip_ip6_forwardrules = "udp 5060 # SIP", "tcp 5060 # SIP", "udp 7078-7097 # RTP";
tr069_forwardrules = "tcp 0.0.0.0:8089 0.0.0.0:8089";
tr069_ip6_forwardrules = "tcp 8089";


Quoteund die Weiterleitungsregel (falls eingehenden UDP-Pakete schneller sind).

Die hab´ ich bisher nicht angelegt - momentan gibt es keine Probleme.

Grüße, Uwe
June 19, 2023, 06:57:14 PM #4
Hi Uwe,

beim Abgleich mit meinen Regeln ist mir Folgendes aufgefallen:

NAT, ausgehend: ich benutze die Schnittstelle des LANs, was bei Dir anscheinend nicht funktioniert. Allerdings setze ich den NAT-Port, welcher bei Dir auf "*" steht. Sieht sonst aber vergleichbar aus:

Code Select

Schnittstelle     Quelle                     Quellport         Ziel   Zielport NAT Adresse             NAT Port Statischer Port Beschreibung
ToTelekom         Bri1MainDevices Netzwerk   udp/ 10000:10100  *      udp/ * Schnittstellenadresse 10000:10100 JA                      Ausgehendes RTP/RTCP festnageln 
ToTelekom         Bri1MainDevices Netzwerk   tcp/ 5060         *      tcp/ * Schnittstellenadresse 5060         JA                      Ausgehendes TCP:5060 für SIP festnageln


Meine TCP-Regel für SIP ist wohl hinfällig. Das ist eine Altlast aus UDP-Zeiten, aber SIP über UDP ist bei der Telekom eh nicht zu empfehlen. Entweder nehme ich TCP-Port 5061 noch hinzu, oder ich nehme sie komplett raus. Mal schauen.

Deine UDP-Portrange für RTP/RTCP ist in der Tat 7078-7097. Wichtig ist Deine ausgehende statische Regel (die Du bereits hast). Die eingehende Regel ist nicht essentiell; gegebenenfalls prallen ein paar der ersten eingehenden UDP-Pakete ab, solange die Assoziation noch nicht von innen geschaltet worden ist. Ob man das merkt sei dahingestellt, ich habe sie bei mir aktiviert um da erst gar nicht ein Fass aufzumachen.

Viele Grüße,
Florian

February 17, 2024, 07:12:49 PM #5
Hallo Zusammen,

ich habe wohl ein ähnliches Problem.

Anschluß: FTTH von der Telekom mit 250MBit und Telefonie

Das Netzwerk sieht folgendermaßen aus:
Glasfasermodem 2 - OPNsense - Switch - Fritzbox 1 - Fritzbox 2 - FritzRepeater3000

OPNsense - 2x snom 760 + PCs
-> Fritzbox 2 - FritzFon C6 (und WLAN)

Bis vor ca. 2-3 Wochen konnte ich 'normal' ein und ausgehende Gespräche führen (im August 2023 eingerichtet) - 'normal' weil es oft bei längeren Gesprächen zu Verbindungsabbrüchen kam.

Mittlerweile ist es so das eingehende Gespräche meistens funktionieren, ausgehende eher seltener. Ich kann z.B. zu O2 Problemlos telefonieren, zur Telekom und 1und1 (Telekomnetz) hingegen nicht.

Ich habe mir schon den ganzen Thread hier angeschaut stehe aber an manchen Stellen auf dem Schlauch.

Ich habe gesehen das u.a. unter Firewall - Alias Einträge gemacht wurden, aber was steht da nun genau drin?

Bis gestern konnte ich über das snom das über meinen Arbeitgeber konfiguriert ist telefonieren, das geht nun auch nicht mehr.

Irgendwas habe ich hier wohl hinsichtlich VoIP komplett zerschossen ...

Für (ausführliche) Tipps wäre ich dankbar.

Danke
Gruß
lustigerpinguin
Print
Go Up Pages1
User actions