[Siproxd & VOIP Support] Problem- und Lösungsthread

[robgnu]

Hallo Andreas,

es freut mich zu hören. Schade, dass wir jetzt nicht wissen, was der entscheidende Schalter war. :-)
Aliase sind toll, sie machen das Leben so viel leichter. Habe gerade gestern eine Fritzbox (nur TK Anlage hinter der OPNsense) aus dem Haupt-LAN in ein separates LAN gelegt. Ich musste nur den Alias ändern und alles andere hat sich automatisch angepasst.

Gruß
Robert

[Schubbie]

Hallo Robert,
zu früh gefreut, wir dürfen weiter suchen :-(
Zur Anmeldung der Leitungen war entscheidend, dass ich in der Starface in den Netzwerkeintellungen die richtige externe IP eintrage, was ich über DynDNS bei Strato mache, wo ich eine Subdomain angelegt habe, die immer auf meine externe IP verweist.

Aber nun zu dem, was mich heute morgen erwartet hat. Freustrahlend ein Testanruf aufs Fax und - der Gesprächspartner ist nicht erreichbar. 2 Mal wiederholt mit selben Ergebnis.
Starface (PBX) aufgerufen, keine der Leitungen (auch nicht SipGate) konnte sich registrieren. Im Log der Starface wurde ein Timeout angezeigt, sprich 1&1 nicht erreichbar o.ä. Starface neu gestartet, keine Änderung.
OPNsense neu gestartet, alle Leitungen sofort registriert, jedoch kommt wieder nicht jeder Anruf durch.
Eben Mails gecheckt, die beiden Synologys konnten sich nach der 24 stündigen Zwangstrennung ebenfalls nicht erneut verbinden.
Kann es sein, dass mir die statische Portweiterleitung (für RTP habe ich ja fast alle Ports weitergeleitet, wobei ich dieses eigentlich auf die Starface begrnezt habe) in Verbindung mit der Zwangstrennung und somit Erteilung einer neuen externen IP hier einen Strich durch die Rechnung macht?
Vielleicht mag diese Regel es auch nicht, dass Anrufe mal von der und mal von der anderen IP eintrudeln?

Mit freundlichem Gruß
Andreas

Deaktiviere ich alle static Ports, dann kommt die Sprache nicht mehr an, also auch keine Lösung.

[robgnu]

Moin,
die ganze Sache kommt mir irgendwie komisch vor und so langsam gehen mir die Ideen aus. Irgendwie müssen wir ja voran kommen und die Anzahl der möglichen Fehlerquellen reduzieren.

Ich fasse mal zusammen:
- Die Starface kann kein IPv6, welches die Komplexität nehmen würde und von 1&1 und Sipgate unterstützt wird.
- Die Starface kann keinen STUN-Server, man muss die externe IP selbst eintragen oder per DynDNS ermitteln lassen. Meiner Meinung nach ist ein STUN-Server die "bessere" Wahl, da er dafür gemacht wurde. DynDNS ist immer mit einem gewissen delay verbunden.
- Du willst ein paar 1&1 Nummern und ein paar Sipgate Nummern registrieren - früher ging das, seit OPNsense nicht, korrekt?
- Die SIP-Registrierung funktioniert nicht, daher ist RTP zunächst nicht wichtig. Erst muss die SIP-Registrierung laufen.

Um die Anzahl der Fehlerquellen zu reduzieren würde ich mal schauen, dass man einzelne Komponenten "aus dem Spiel" nimmt.

Mein erster Vorschlag zur Problemlösung wäre, eine (ggf. ältere) FRITZ!Box zu nehmen und diese als IP-Client zu konfigurieren. (Die Box wird Teil deines (V)LANs und deaktiviert DSL-Modem und Routing-Funktion) Die FRITZ!Box soll dann zunächst die IP-Adresse der TK-Anlage bekommen und die Nummern registrieren. Wenn das funktioniert, wissen wir, dass es an der TK-Anlage liegt (oder an der Konfiguration). Wenn es dort auch nicht geht, würde ich bei der OPNsense nochmal schauen.

Mein zweiter Vorschlag wäre, die Situation nochmals umzudrehen: Mit einer FRITZ!Box würde ich die DSL-Verbindung aufbauen und die TK-Anlage die Nummern registrieren lassen (aktuelle Konfiguration). Anschließend kann man beurteilen, ob die TK-Anlage die gleichen Probleme verursacht oder ob alles läuft.

Das Ganze setzt natürlich voraus, dass du eine FRITZ!Box zum Testen hast. Wir verwenden in der Firma häufig die FRITZ!Boxen als TK-Anlage hinter OPNsense (früher pfSense) und haben im Prinzip keine Probleme.

Noch ein Vorschlag: Telefonie und LAN zu trennen ist natürlich immer eine gute Idee, daher könnte man auch ein Setup wie folgt umsetzen. Auch dieses Setup fahren wir bei einigen Kunden:

Code Select Expand


WAN / Internet
            :
            : DSL/Kabel/o.ä.
            :
      .-----+-------.   Telefonie       .------------.
      |  FRITZ!Box  +-------------------+ TK-Anlage  |
      '-----+-------'   192.168.178.0   '------------'
            |
        WAN | IPv4 + IPv6 PD
            |
      .-----+------.
      |  OPNsense  +
      '-----+------'
            |
        LAN | IPv4 + IPv6
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (LAN und ggf. verschiedene VLANs)


Gruß
Robert

[Schubbie]

Moin Robert,
leider bekomme ich kein Multizitate auf die Schnelle hin und muss gleich schon wieder los...

- Die Stasrface kann (noch) kein IPv6.

- Ich kann keinen STUN-Server eintragen, anscheinend nutzt Sipgate über die Starface jedoch einen, was für 1&1 aber nicht möglich ist. Portfreigaben sind zwingend erforderlich. Zu einer 1&1-Leitung habe ich im Zusammenhang mit der Starface auch noch nichts anderes lesen können.

- Ich habe 10 1&1 Nummern und eine bei Sipgate zum Testen. Sipgate funktioniert zuverlässiger, da anscheinend irgendwie ein STUN-Server angesprochen wird.

- SIP-Registrierung funktioniert mal und mal nicht. RTP funktioniert, wenn SIP funktioniert, das habe ich soweitals Regel eingerichtet.

Erstem Vorschlag könnte ich probieren, jedoch habe ich ja schon per Zoiper festgestellt, dass sich die Leitungen nicht immer registrieren lassen. Zoiper habe ich in dem Falle direkt per WLAN über die OPNsense bei 1&1 angemeldet. Fehlermeldung war, dass die IP, von der aus sich bei 1&1 eingeloggt werden sollte, unzulässig ist, was mich zur Annahme bringt, dass die OPNsense einen Header "zerschießt" und 1&1 denkt, dass sich jemand unbefugt einwählen möchte. Bei der Starface kam dann immer "wrong password", jedoch habe ich per OPNsense nach Deinen Angaben den Verkehr auf der WAN-Schnittstelle mitgeschnitten und es kam heraus, dass die Starface die Meldung anscheinend falsch übersetzt. Die Stsrface zeigt "Wrong password", der Log sagt aus, dass 1&1 nicht mit der IP einverstanden ist.
Nutzt die FritzBox zu 1&1 einen STUN-Server? Da dieses möglich, bzw. wahrscheinlich ist, dürfte die Aussage, die man aus diesem Test bekommt nicht verlässlich sein oder?

Zweiter Vorschlag wäre ja das, was ich ständig machen, wenn es nicht läuft. Wenn es per OPNsense nicht läuft, dann stecke ich einfach mein Ubiquiti-Gateway statt der OPNsense zwischen Modem und Switch und es läuft alles wieder auf Anhieb und dass läuft schon seit langer Zeit ohne Probleme. Die Probleme begannen erst mit der OPNsense.

Dritter Vorschlag ist genau das, was ich nicht will. Die OPNsense muss vor der TK-Anlage sitzen. Grund ist, dass die Blacklist der TK-Anlage sonst voll läuft, da man per FritzBox den Port 5060 nicht auf einzelne externe IPs begrenzen kann. Ich möchte nicht, dass die Anfragen der Bots erst an die TK-Anlage drankommen und vielleicht doch mal Glück haben ein kostenpflichtiges Gespräch aufbauen zu können. So habe ich den Schutz der OPNsense und der Firewall der TK-Anlage, was mir lieber ist.

Ich hoffe hier noch auf eine Lösung, das es sich auch mit meinem Problemen deckt, dass nach Zwangstrennung die Portweiterleitungen nicht mehr richtig oder gar nicht mehr funktionieren, bis ich die OPNsense neu starte:
https://forum.opnsense.org/index.php?topic=16158.msg82160#msg82160

Ich nehme an, dass ich die Regeln falsch konfiguriert habe, da ich zum ersten Mal solch eine Firewall konfigurieren möchte. In vorherigen Routern habe ich lediglich den Port 5060 und die RTP-Ports an die TK-Anlage geleitet und war fertig.

Per Cron-Job habe ich die Zwangstrennung nun auf 2:45 Uhr gelegt. Aktualisiere ich danach der Cron-Job die DynDNS in der OPNsense, nützt es anscheinend leider auch nichts - hat mit der TK-Anlage ja auch nicht wirklich etwas zu tun, die holt sich die externe IP selbst. Die Dienste der TK-Anlage lasse ich extern per SSH automatisch neu starten, sobald eine neue externe IP erkannt wird, so dass die auch immer die korrekte externe IP neu beziehen sollte.

Gestern war es dann so, dass die OPNsense länger lief und 1&1 anscheinend die Leitungen aufgrund zu vieler fehlerhafter Login-Versuche gesperrt hat. Ich klemmte dann das Ubiquiti-Gateway an und bekam beim Login-Versuch einen ebenfalls Timeout vom Server. Nach einiger Zeit (1-2 Stunden) waren die Leitungen wieder registriert. Also wieder ds OPNsense dran und es kam die Meldung "wrong Password" im Log der Starface, was eigentlich heißt, dass 1&1 mit der ankommenden IP nicht einverstanden ist. Nun war es diesmal aber so, dass nicht der Neustart der OPNsene Abhilfe geschaffen hat und auch kein Neustart der Starface, sondern ich musste die ganze Synology neu starten, auf der sich die Starface als VM befindet. Ob es Zufall war, dass es damit funktionierte? Ich kann es nicht nachvollziehen.

Die Starface befindet sich auf einer DS1618+ in einer VM. Ich habe alle Neztwerkkarten zu einem Bond zusammengefasst und für die Starface eine virtuelle Netzwerkkarte mit VLAN TAG 3 angelegt, was auch so zu funktionieren scheint.

Leider kann ich nicht viel neues schreiben, da ich auch keine Idee habe, woran es nun schlussendlich liegen könnte. Ich habe halt die OPNsense in Verdacht. In der Live-Ansicht bekomme ich die Starface leider kaum angezeigt, eigentlich fast gar nicht, was mich auch verwundert. Spätestens beim Versuch der Registrierung müsste doch etwas angezeigt werden? Bei Einrichtung der VLANs kann man doch eigentlich nichts falsch machen und das würde auch nicht erklären, warum die Portweiterleitungen manchmal gar nicht mehr funktionieren und die OPNsense neu gestartet werden muss.

Mit freundlichem Gruß
Andreas

[Schubbie]

Moin,

nachdem ich heute den ganzen Tag keine Probleme hgatte und zahlreiche Testanrufe zwischendurch gemacht habe, habe ich eben den Cronjob starten lassen, der die PPPoE Verbindung neu aufbauen lässt.
Die IP im DynDNS der OPNsense wird sofort korrekt angezeigt.
Ich komme per Portweiterleitung auf meinen Ubiquiti CloudKey.

Was nicht funktioniert sind anscheinend Verbindungen, die vorher permanent bestanden. Dazu gehören:
- VPN ein- und ausgehend (ich nutze dafür 2 Synology mit 2 unterschiedlichen VPN-Protokollen, um meine Daten an 2 Standorten zu haben).
- SIP-Ports der Starface

Ich habe 3 - 4 Minuten gewartet, jedoch bekomme ich bei der Neuregistrierung der Leitungen der Starface im Log ein Timeout, also Server nicht erreichbar. Auch die beiden VPN der Synologies, welche permanent stehen, konnten nicht aufgebaut werden.
Erst als ich die OPNsense (also diesemal nicht die Synology bei mir) neu gestartet habe, lief wieder alles. Zwar gingen erstmal 2 Anrufe nicht durch (Problem mit der 1&1 IP mit Endung .130), aber danach ging es.

Sprich ich habe nun vermutlich noch 2 Probleme:

1. Nach Reconnect der PPPoE-Verbindungen gehen zuvor ständig genutzte Portweiterleitungen für SIP und VPN nicht mehr, jedoch Weiterleitungen, die ich nur gelegentlich nutze.

2. Die Starface mag die IP von 1&1 mit der Endnummer .130 nicht, auf Endnummer .129 konnte ich nich keine Probleme feststellen.

Hilft dieses in irgendeiner Weise die Probleme einzugrenzen?

Mit freundlichem Gruß
Andreas

[Schubbie]

Jetzt war eben die geplante Trennung um 2:45 Uhr.
Ubiquiti CloudKey (läuft nur für die Accesspoints) per Port 8443, bzw. 8080 von außen. erreichbar.
Starface funktioniert diesmal, bis auf das Problem der abgelehnten Rufe von 1&1 IP xxx.130.
Synology baut den VPN jetzt seit 10 Minuten nicht neu nach außen auf. Die externe Synology kann ich vom Handy nicht einsehen, gehe aber davon aus, dass ich da gleich eine Fehlermeldung per Mail bekomme. Auch ein Versuch der manuellen Neuverbindung schlägt fehlt.

Ich habe jetzt per Cron-Job "Issue a reboot" ausführen lassen, was aber eine unnötig lange Trennung bis zum Reboot der OPNsense zur Folge hat. Hierdurch erhalte ich ebenfalls eine neue externe IP. Danach läuft es wieder bis auf die Einschränkung 1&1 IP xxx.130.

Mit freundlichem Gruß
Andreas

[Schubbie]

Eben habe ich nochmals das WAN per Cronjob getrennt. Neustart der Dienste der Starface war erfolglos, ein Neustart der VM half. Die VPN-Verbindungen gingen dafür dieses Mal. Vermutlich hätte ich auch wieder die OPNsense starten können. Es macht also den Anschein, als wenn ich mir aussuchen kann, was ich neu starte, ob die OPNsense oder die Geräte, die keine Verbindung mehr aufbauen können.

Per Cronjob habe ich dann die LAN-Schnittstelle neu gestartet, dieses brachte aber keinen Unterschied.

Kann ein managebarer Switch Schuld sein?

Müsste ich dafür ein neues Thema erstellen? Es ist ja auch die Telefonie betroffen, aber es scheint eher um Portweiterleitungen zu gehen, die nicht funktionieren.

Mit freundlichem Gruß
Andreas

[Schubbie]

Ich habe noch ein wenig rumprobiert.
sip.1und1.de verweist ja auf 2 IPs (212.227.124.129 & 212.227.124.130)
Kann es sein, dass die OPNsense damit Probleme hat? Ich habe die IPs in den Leitungen der Starface eingetippt. Mit der einen IP registrieren sich die Leitungen mit der anderen nicht. Die Starface kann sich ja quasi eine IP aussuchen, wenn ich einen FQDN (sip.1und1.de) eintrage. Nach einem Neustart nimmt sie vielleicht mal die IP, die die OPNsense für Port 5060 routet und mal die andere IP, mit der sich nicht registriert werden kann, da dort Port 5060 nicht von der OPNsense weitergeleitet wird, da die Anfragen zuvor über eine andere IP gekommen sind und die OPNsensen dann auch nur diese IP zur Starface korrekt routet.
Das würde erklären, warum die Starface mal nach einem Neustart sofort die Leitungen registrieren konnte und mal nicht. Starte ich hingegen die OPNsense neu, dann wird die Route bei erster Registrierung der Leitungen neu festgelegt und es funktionieren dann nur Logins und Anrufe über die zu erst genutzte IP.
Eben lief alles über die .130er IP, aber dann auch nur über die. Zuvor konnte ich beobachten, dass alles nur über die 129er IP funktioniert.
Leider kann ich die IP nicht fest vorgeben, bzw. nützt es nichts, da 1&1 die eingehenden Anrufe trotzdem über beide IPs (vermutlich je nach Auslastung der Server) signalisiert.

Könnte an der Vermutung etwas dran sein?

[mimugmail]

Mach doch nen statischen dns Eintrag der nur auf die eine IP zeigt, dann bist du safe. Sehr kuriose Logik von 1 und 1  ::)

[Schubbie]

Moin,
dann muss ich für jede der beiden IPs einen Eintrag machen? Damit ich es nicht falsch mache, wo soll ich diesen eintragen? Der geht dann in beide Richtungen? Portweiterleitungen für diese Ports deaktiviere ich dann und auch unter NAT die ausgehende static Regel?
Mit freundlichem Gruß
Andreas

[robgnu]

Hallo Andreas,
ich habe das so verstanden, dass du deiner OPNsense und allen Clients im DNS "vorgaukeln" sollst, dass sip.1und1.de nur eine IP-Adresse hat. Das kannst du bei einer Standardkonfiguration unter Services -> Unbound DNS -> Overrides erledigen.
Dadurch werden deine Clients nicht mehr die korrekte Antwort des Internets erhalten sondern die von dir vorgegebene Antwort.

Insgesamt finde ich das schon etwas unschön als Lösung. Schließlich funktionieren die 1und1 Server ja sonst auch.
Wenn die Portweiterleitung auf einer der 1und1 IP-Adressen nicht funktioniert, könnte es sein, dass vielleicht ein anderes Gerät (App, TK-Anlage, USG o.ä.) sich dort registriert und dadurch die Ports bereits auf ein anderes Gerät umgeleitet sind? Hast du vielleicht die USG noch im Netz, die sich Ports "krallt"?

Etwas weiter vorne hatte ich dir den Vorschlag gemacht, eine FRITZ!Box vor die OPNsense zu hängen und dann die TK darüber laufen zu lassen. Wenn dein Szenario nicht zu groß für eine FRITZ!Box ist, halte ich das durchaus für einen gangbaren Weg. Ja, es gibt zig SIP-Scanner, die versuchen Calls zu initiieren. Jedoch sind 99% alle FRITZ!Boxen in Deutschland direkt online und AVM hat effiziente Maßnahmen ergriffen damit nichts passiert. Insgesamt also nicht die schlechteste Option - auch wenn es mich wirklich interessieren würde, was die Ursache bei dir ist.

Gruß
Robert.

[Schubbie]

Moin Robert,
das Problem ist, dass die Anrufe von der Starface nicht an die Endgeräte weitergereicht werden, wenn sich die IP von 1&1 geändert hat. Da 1&1 immer zufällig eine der beiden IPs verwendet, ist es etwas ungünstig. Mit Ubiquiti gab es hier jedoch keine Probleme, daher denke ich, dass vielleicht einfach irgendwo ein Haken weg muss oder ich eine Route falsch gesetzt habe. In der Whitelist der Starface sind beide Adressen automatisch eingetragen.

Das mit dem Überschreiben kann ich mal testen, was ich aber auch unschön finde. Ich möchte möglichst wenig konfigurieren, um bei Änderungen möglichst wenig vergessen zu können, was mit zu ändern ist.

Es registriert sich kein anderes Gerät bei 1&1 direkt, was zuvor aber auch kein Problem war. Das USG ist mit beiden LAN/WAN-Kabeln abgesteckt und der Stecker vom Netzteil gezogen. Ich stecke es nur an, wenn etwas nicht funktioniert. Alle Telefone registrieren sich an der Starface TK-Anlage (die Handies per WireGuard, welches noch auf der Synology läuft).

Würde ich eine FritzBox davor schalten, dann bräuchte ich die OPNsense nicht, da die dafür sein soll, die Starface abzuschotten. Es ist eher eine Spielerei und ich würde gerne WireGuard auf der OPNsense laufen haben, anstatt auf der Synology. Sonst könnte ich auch mein Ubiquiti USG (mit dem ich auch nicht so ganz zufrieden bin) behalten oder mir einen LANcom Router holen und mir den Strom für das zusätzliche Modem sparen. Prorität hat bei mir, dass kein FritzBox verwendet wird ;-)

Die Overrides könnte ich frühestens heute Abend testen.

Vielen Dank schon mal.

Mit freundlichem Gruß
Andreas

[Schubbie]

Anscheinend konnte ich das Problem lösen, in dem ich DNS-Server eingetragen habe, obwohl unter der PPPoE-Verbindung die korrekten DNS-Server angezeigt werden. Des Weiteren habe ich ausgewählt, dass bevorzugt IPv4 verwendet wird. Dieses hat den Nebeneffekt, dass die OPNsense jetzt auch immer auf den Spiegelserever für die Updates zugreifen kann, was zuvor eine Glückssache war.
Nur warum man das machen muss, wenn die korrekten DNS-Server in der 1&1-Verbindung angezeigt werden, verstehe ich nicht. Zudem verwendet 1&1 die DNS-Server der Telekom und anscheinend nicht mehr die eigenen.

[Schubbie]

Moin,
nachdem ich die DNS-Server eingetragen hatte, lief die Registrierung der Leitungen problemlos. Auch kamen die meisten Rufe rein. Nach einem Update der Telefonanlage tritt es nun aber wieder häufiger auf, dass Anrufe nicht eingehen, bzw. abgewiesen werden.
Zur Erinnerung, 1&1 hat eine Domain sip.1und1.de, die auf 2 IPs verweist. Kommt der Ruf über die IP mit der Endung 129, dann wird der Ruf angenommen, mit der Endung 130 abgelehnt oder andersum.
Im Log der Telefonanlage steht hierzu:

Call from '' (212.227.124.129:5060) to extension '495XXX913' rejected because extension not found in context 'default'.

Hat dazu vielleicht noch jemand eine Idee?

Mit freundlichem Gruß
Andreas

[GeorgH.]

Hallo zusammen,
ich habe vor kurzem vor meiner Fritzbox eine OpnSense Box installiert. Die Fritzbox dient nun als VOIP-Anlage. Auch ohne Ports freizugeben funktioniert das telefonieren meist ohne Probleme, aber ab und zu kommt es zu einem Vermittlungsfehler oder die Fritzbox hat probleme die Rufnummern zu erreichen.

Hat jemand vielleicht eine Idee woran das liegen könnte oder welche Ports freigeben werden müssen um das Problem zu lösen?

Mit freundlichen Grüßen Georg.

Anbieter: Osnatel - EWE