Apr 30, 2024, updated at 20:30:04 (UTC)

2331

Fritzbox Telefonie hinter Mikrotik NAT, SIP

Hallo zusammen,

ich scheitere leider an einer oder mehrerer NAT Regeln.
Ich habe mir bei Fonial eine kostenlose Rufnummer geben lassen und würde diese nun gerne hinter dem Mikrotik in einer Fritzbox nutzen.

Die Fritzbox selbst ist im IP-Client Modus und hat eine feste IP Adresse von mir bekommen. 192.168.4.4

Hier mein Aufbau:
Ich habe für den Port2 am Mikrotik eine neue Bridge angelegt.

Für eth2 gibt es auch einen eigenen DHCP Server usw.
An diesem Port hängt jetzt auch die Fritzbox.
Ich komme von der Fritzbox aus wunderbar ins Internet. Soweit kein Problem.

Jetzt würde ich aber gerne die Telefonie auf der Fritzbox nutzen.
Ich weiß, das Thema wurde schon mehrfach behandelt, aber ich komme hier leider nicht weiter.

Ich habe mich schon umgeschaut und auch schon ein paar Firewall Regeln versucht, leider ohne erfolg.

https://www.andysblog.de/avm-fritzbox-hinter-einem-anderem-router
FritzBox 7490 hinter Mikrotik Routerboard NAT, kein VoiIP
https://www.godo.ch/index.php/2014/01/16/isdn-voip-mit-fritzbox-und-pfse ...
FritzBox7490 hinter der pfsense für VOIP.
https://hoerli.net/mikrotik-nat-regeln-erstellen/

Und hier mal meine Regeln, die ich bisher erstellt habe:

Hier wurden nur die unteren beiden Regeln eingefügt. Die oberen laufen wunderbar und haben mit der Konfig nichts zu tun.

Ich muss gesehen, die IP Adresse habe ich mir anhand dem Ping raus gesucht. Ob diese 100% richtig ist, kann ich nicht sagen.
sip.plusnet.de welches bei Fonial eingetragen ist, kann ich leider bei Mikrotik nicht hinterlegen.

Service Port SIP helper ist deaktiviert:

Auch folgende Regeln scheinen nicht zu greifen:

Das habe ich bisher getestet, leider ohne Erfolg.

Ich bin allerdings auch in Firewalling nicht Fit, daher benötge ich Hilfe.

In der Fritzbox habe ich nach der Fonial Anleitung die Rufnummer hinzugefügt. Die Rufnummer bleibt allerdings grau und springt nicht auf grün um.

Vielen Dank für die Hilfe.

Please also mark the comments that contributed to the solution of the article

Content-Key: 21817592352

Url: https://administrator.de/contentid/21817592352

Printed on: May 17, 2024 at 21:05 o'clock

56 Comments

Latest comment

Ich habe jetzt noch ein wenig probiert und bin jetzt zu einem Ergebnis gekommen.

Trage ich in der Fritzbox nur den Primären DNS Server ein (mein Mikrotik), dann ist die Telefonnummer weiterhin grau. Also nicht angemeldet.
Trage ich aber wir auf dem Screenshot noch einen anderen DNS Server ein, egal ob es 1.1.1.1 oder 8.8.8.8 ist, dann ist die Rufnummer sofort grün.

Ich habe die Firewall Regeln wieder alle deaktiviert und SIP Helper wieder aktiviert.
Mit dem sekundären DNS scheint jetzt alles zu funktionieren.

Das kann doch kein normales Verhalten sein?
Wenn nur der primäre DNS eingetragen ist, dann kann ich wunderbar im Internet Surfen. Heißt, die DNS Anfragen gehen zum Mikrotik und es läuft alles.

Kann das jemand erklären?

Wozu eine weitere Bridge?! In einem VLAN Setup ist das überflüssiger Unsinn.
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41

Moin,

zwar habe ich kein Mikrotik, sondern nutze Cisco.

Wir haben das so gelöst, dass wir eine DMZ eingerichtet haben, weil ich noch einen Mail-Server nutzen möchte.
Zudem wie bei Dir haben wir auch der Fritte über den DHCP eine feste IP zugewiesen und haben dann die Port Forward gemacht.

DHCP Zuweisung:

ip dhcp pool FritzBox
 host 10.99.99.250 255.255.255.192
 client-identifier xxxx.xxxx.xxxx.xx

NAT Einstellung

ip nat inside source list 103 interface Dialer0 overload
ip nat inside source static tcp 10.99.99.250 5060 xxx.xxx.xxx.xxx 5060 extendable
ip nat inside source static udp 10.99.99.250 5060 xxx.xxx.xxx.xxx 5060 extendable 

Port forwarding

ip access-list extended PORTFW_ACL
 remark Pass portforwarded traffic
 permit tcp any host 10.99.99.250 eq 5060
 permit udp any host 10.99.99.250 eq 5060

Vielleicht kann Dir das helfen.

Gruß

Zitat von @aqui:

Wozu eine weitere Bridge?! In einem VLAN Setup ist das überflüssiger Unsinn.
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41

Eben die ist erst mal absolut überflüssig. Außerdem hat er die IP auf das ethernet Member Interface der Bridge statt auf die Bridge selbst gesetzt. Bei einer Bridge ohne VLAN-Filtering ein fataler Fehler.
Zudem hat er vermutlich dann auch vergessen die Bridge dann in die LAN Interface Liste einzutragen was dann bei Nutzung der Default Config dazu führt, dass jeglicher Traffic von der Fritze an den Mikrotik durch die Firewall blockiert wird, natürlich auch DNS Anfragen, womit sich dieses Verhalten dann auch erklären lässt, denn für reine outbound SIP Registration ist erst mal keinerlei Portforwarding nötig, mit dem SIP Helper sowieso nicht, der hält den NAT Connection State per Default immer 60 Minuten offen und wird bei den regelmäßigen Kontakten der Fritzbox zum SIP Provider immer wieder erneuert.

Leider wurde hier wieder mal unnötigerweise vergessen die Config im Klartext zu posten dann hätte man das auch direkt gesehen. Mit den Bildchen sieht man einfach zu wenig.

Gruß schrick.

Es ist bei mir kein VLAN Setup geworden.

Ich habe auf Port 1 mein WAN liegen. Auf Port 5 habe ich meine Bridge wie oben zu sehen, und darunter liegen mehrere VLANs.

Ich wollte jetzt einen neuen IP Bereich auf dem Port 2 haben. Diesen Bereich habe ich auch mit der Firewall komplett von den anderen Netzen abgeschottet.

Ich wusste es ehrlich gesagt nicht besser, zusätzliches VLAN wollte ich nicht haben. Daher bin ich auf einen separaten Port gegangen, damit es eben kein VLAN wird.

Wenn ich das umstellen sollte, dann bin ich über Tipps sehr froh.

@wusa88

wäre es nicht deutlich einfacher, wenn man die Reihenfolge der Kaskade tauscht, und umstellt auf

->> Internet ->> Fritzbox (mit Telefonie) ->> Mikrotik

Kreuzberger

Zitat von @wusa88:

Ich wusste es ehrlich gesagt nicht besser, zusätzliches VLAN wollte ich nicht haben. Daher bin ich auf einen separaten Port gegangen, damit es eben kein VLAN wird.

Wenn ich das umstellen sollte, dann bin ich über Tipps sehr froh.

Ist eigentlich ganz einfach

VLAN-Interface mit ID 99 erstellen

/interface vlan add name=vlan_fritzbox interface=vlan-bridge vlan-id=99

Port 2 als Member der Bridge mit PVID99 hinzufügen

/interface bridge port add bridge=vlan-bridge interface=ether2 pvid=99

VLAN 99 auf die Bridge taggen

/interface bridge vlan add bridge=vlan-bridge vlan-ids=99 tagged=vlan-bridge

VLAN mit einer IP versorgen

/ip address add interface=vlan_fritzbox address=192.168.4.1/24

Und dann noch den DHCP Krams auf das vlan_fritzbox umstellen und Firewall anpassen.

Schon hast du ein separates Subnetz für den Port in deiner VLAN Bridge, also kein echter Aufwand.

Fertig ist die Soße.

Das mag vielleicht einfacher sein, aber es ist bei mir ein gewachsenes Setup und ich will nicht umstellen.
Es läuft soweit eigentlich alles. Jetzt auch die Telefonie.

Die Frage ist nur, sollte ich das Bridge Setup umstellen, oder so laufen lassen.
Aktuell läuft alles wie ich es mir vorstelle.

Jetzt geht es nur um die Schönheiten/Feinheite, ob ich alles richtig eingestellt habe.

Bezüglich der Firewall. Aktuell sieht es so aus:

So habe ich eth2 vom Rest abgeschottet. Funktioniert auch wunderbar.

Zitat von @12764050420:

Ist eigentlich ganz einfach

VLAN-Interface mit ID 99 erstellen

/interface vlan add name=vlan_fritzbox interface=vlan-bridge vlan-id=99

Port 2 als Member der Bridge mit PVID99 hinzufügen

/interface bridge port add bridge=vlan-bridge interface=ether2 pvid=99

VLAN 99 auf die Bridge taggen

/interface bridge vlan add bridge=vlan-bridge vlan-ids=99 tagged=vlan-bridge

VLAN mit einer IP versorgen

/ip address add interface=vlan_fritzbox address=192.168.4.1/24

Vielen Dank, das sehe ich mir heute Abend direkt an und versuche es umzusetzen.

@12764050420
Ich habe das jetzt wie von dir genannt umgestellt.
Lief alles ohne Probleme. DHCP, Firewall, Adresses usw. alles angepasst und läuft aus meiner Sicht her gut.

Ich habe aber nach wie vor das Problem, wenn ich den sekundären DNS raus nehme, dass die Telefonie grau bleibt.
Trage ich einen sekundären DNS von 8.8.8.8 oä. ein, wird die Telefonie sofort grün.

Surfen im Internet, ohne sekundären DNS funktioniert allerdings wunderbar.

Primärer DNS ist auf meinen Mikrotik Router eingestellt.

Vermutlich löst der am Mikrotik hinterlegte DNS-Forwarder die Domain des SIP-Providers nicht richtig auf. Kannst du ja checken indem du dort mal 1.1.1.1 oder 8.8.8.8 fest hinterlegst statt die vom Provider zugewiesenen zu nehmen.
Oder die DNS-Server deines ISP mal manuell per dig/drill/nslookup auf die SIP-Domain abfragst.

Ich habe jetzt unter DHCP Server -> Networks den DNS 8.8.8.8 hinterlegt.
Nur bei diesem einen Netzwerk. Es scheint auch hier nicht zu funktionieren.

Die Rufnummer ist sofort wieder grau.

Zitat von @wusa88:

Ich habe jetzt unter DHCP Server -> Networks den DNS 8.8.8.8 hinterlegt.

Dort meinte ich nicht! Ich meinte den Forwarder des Mikrotik!
Wenn du auf der fritze die DNS Server manuell hinterlegst bekommt eh nix vom DHCP. Wir reden aneinander vorbei.

Schneide den DNS Traffic doch einfach auf dem Mikrotik mal mit dann siehst du den Unterschied! So schwer ist das doch nicht.

Nur das wir nicht aneinander vorbei reden. Ich habe die IP Adresse, GW und DNS manuell eingetragen.
Die Fritzbox bekommt nichts per DHCP zugewiesen.

Bezüglich Traffic mit schneiden. Ich habe das ehrlich gesagt noch nicht getan und weiß nicht wo man hier ansetzen kann.
Ich teste das aber gern, wenn du mir sagst wie.

Bei SIP bist du zwingend an die DNS Server deines SIP Providers gebunden sofern der keine offene VoIP Infrastruktur betreibt wie Telekom, Vodafone usw.

und weiß nicht wo man hier ansetzen kann.

Torch oder Wireshark sind deine besten Freunde!

Zitat von @wusa88:
Nur das wir nicht aneinander vorbei reden. Ich habe die IP Adresse, GW und DNS manuell eingetragen.
Die Fritzbox bekommt nichts per DHCP zugewiesen.

Ich meine den DNS-Forwarder auf dem Mikrotik unter ip > dns. also statt die DNS-Server deines ISPs dort mal alternative einsetzen. Und den DNS-Cache am Mikrotik löschen.

Bezüglich Traffic mit schneiden. Ich habe das ehrlich gesagt noch nicht getan und weiß nicht wo man hier ansetzen kann.
Ich teste das aber gern, wenn du mir sagst wie.

/tool sniffer

Die Umstellung auf 8.8.8.8 unter "ip -> DNS" hat leider nichts gebracht.
Cache wurde gelöscht.

Ich bin jetzt mal her gegangen und habe folgendes gemacht:
Hier die IP Einstellungen von der Fritzbox.

Ich habe absichtlich bei sekundärer DNS-Server nochmal die selbe IP rein geschrieben, sonst trägt hier die Fritzbox einfach 192.168.180.1 ein. Verstehe ich zwar nicht, wird aber gemacht.

Jetzt bin ich her gegangen und habe den Sniffer angesehen:

Wenn ich den DNS auf Mikrotik habe (192.168.4.1) dann habe ich keine einzige Abfrage auf den Port 5060 für SIP.

mikrotik_packet_sniffer_dns_auf_mikrotik

Stelle ich das ganze jetzt in der Fritzbox wie folgt um:

Dann habe ich relativ schnell eine Anfrage in Richtung SIP Port 5060:

mikrotik_packet_sniffer_dns_mit_google_2

Das ist mir bisher aufgefallen.
Vielleicht sehen eure Blicke aber noch mehr?

Ist das jetzt ein normales Verhalten oder kann ich das irgendwie ändern?
Oder soll ich den sekundären DNS in der Fritzbox lassen?

Danke

Du solltest den Capture als Datei speichern und in Wireshark ansehen, und zwar die DNS Anfrage die im ersten screen deiner Aufzeichnung zu sehen ist Zeile 107-109. Da wird vermutlich in der DNS Antwort ein NXDOMAIN zurückgeliefert so das die Fritte keine IP zu der Domain erhält und somit den SIP Server nicht kontaktieren kann ...

sonst trägt hier die Fritzbox einfach 192.168.180.1 ein. Verstehe ich zwar nicht, wird aber gemacht.

Da stimmt mit der Fritte aber was nicht

Erlaubt der MIkrotik denn überhaupt Anfragen an seinen DNS Server?
Ist die Firewall an ihm auf TCP/UDP 53 offen?
Steht allow-remote-requests auf yes?

Zitat von @12764050420:
Da stimmt mit der Fritte aber was nicht

Warum das gemacht wird kann ich leider nicht beantworten.

* Erlaubt der MIkrotik denn überhaupt Anfragen an seinen DNS Server?

Was meinst du genau mit seinen DNS Server?

* Ist die Firewall an ihm auf TCP/UDP 53 offen?

Ich habe hier nicht speziell eingeschränkt. Wenn ich mit der Fritte direkt verbunden bin, dann funktioniert soweit alles. Ich kann ganz normal im Internet surfen. Also DNS Anfragen allgemein funktionieren.

* Steht allow-remote-requests auf yes?

Ja, dort ist der Haken drin.

Edit:
Ich bringe das ganze leider nicht in eine Datei.
Aber hier mal ein Detailauzug von Mikrotik direkt:

Zitat von @wusa88:

Was meinst du genau mit seinen DNS Server?

Na den DNS-Proxy auf dem Mikrotik.

* Ist die Firewall an ihm auf TCP/UDP 53 offen?

Ich habe hier nicht speziell eingeschränkt. Wenn ich mit der Fritte direkt verbunden bin, dann funktioniert soweit alles.

D.h. du hast die Fritte weiterhin mit Firewall mit separatem LAN an den Fritzbox Ports laufen und sie nicht als IP-Client konfiguriert?
Konfiguriere sie mal als IP-Client und Mitnutzung des vorhandenen LANs 192.168.4.0/24

Ich bringe das ganze leider nicht in eine Datei

Unter file-name einen Dateinamen eintragen und nach der Aufzeichnung unter /file dieses auf den Desktop ziehen und dann mit Wireshark öffnen!

Und dann noch folgende Abfragen mal von einem Client absetzen

Einmal an den Mikrotik

nslookup -type=srv _sip._udp.proxy14.sip.plusnet.de <IP-DES-MIKROTIK>

Und einmal an den Google DNS

nslookup -type=srv _sip._udp.proxy14.sip.plusnet.de 8.8.8.8

Und die Ausgabe posten

Es sollten diese Server zurückgeliefert werden

voice04.sip.plusnet.de
voice05.sip.plusnet.de
voice11.sip.plusnet.de

Und diese FQDNs dann auf diese A Records auflösen

197.176.19
197.177.16
197.182.18

Nein, die Fritte ist als IP-Client konfiguriert.

Na den DNS-Proxy auf dem Mikrotik.

DNS ist vorhanden und aktiv. Sorry aber mit DNS-Prox kann ich nicht anfangen.

Das Netzwerk wurde ganz normal erstellt. Als DNS Server ist nicht eingetragen. Also wird doch der Standard DNS genommen.

Kann es einfach sein, dass mein Provider keine DNS Anfragen zu dem SIP zulässt?
Wie gesagt normales Surfen funktioniert wunderbar. Heißt für mich, dass der DNS grundsätzlich funktioniert.

Kann es einfach sein, dass mein Provider keine DNS Anfragen zu dem SIP zulässt?

Mann davon rede ich doch die ganze Zeit!!

Hier solltest du 8.8.8.8 testweise mal fest eintragen damit die Provider DNS nicht genutzte werden!

Sorry aber mit DNS-Proxy kann ich nicht anfangen.

Wenn schon die Grundbegriffe fehlen und man diese nicht mal nachschlagen kann 🫤 💩

Zitat von @wusa88:

Die Umstellung auf 8.8.8.8 unter "ip -> DNS" hat leider nichts gebracht.
Cache wurde gelöscht.

Das hatte ich doch schon getestet. Das hat leider keine Besserung gebracht.
Ich gehe jetzt aber mal die anderen Schritte durch. Melde mich gleich wieder.

Wenn schon die Grundbegriffe fehlen und man diese nicht mal nachschlagen kann 🫤 💩

Sorry.. Aber mit Prox konnte ich nun wirklich nichts anfangen. Jetzt nachdem wir drüber schreiben, weiß ich dass du einen Proxy meinst.

Ich tue eh mein bestes alles zu probiere und umzusetzen. Aber wie anfangs erwähnt, bin ich darin leider nicht wirklich fit.

nslookup -type=srv _sip._udp.proxy14.sip.plusnet.de 192.168.4.1
DNS request timed out.
    timeout was 2 seconds.
Server:  UnKnown
Address:  192.168.4.1

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an UnKnown.

nslookup -type=srv _sip._udp.proxy14.sip.plusnet.de 8.8.8.8
Server:  dns.google
Address:  8.8.8.8

Nicht autorisierende Antwort:
_sip._udp.proxy14.sip.plusnet.de        SRV service location:
          priority       = 3
          weight         = 10
          port           = 5060
          svr hostname   = voice11.sip.plusnet.de
_sip._udp.proxy14.sip.plusnet.de        SRV service location:
          priority       = 2
          weight         = 10
          port           = 5060
          svr hostname   = voice05.sip.plusnet.de
_sip._udp.proxy14.sip.plusnet.de        SRV service location:
          priority       = 1
          weight         = 10
          port           = 5060
          svr hostname   = voice04.sip.plusnet.de

Bin ich aber zb. über Wireguard verbunden, dann funktioniert die DNS Auflösung ohne Probleme über den Mikrotik.
Ich teste das jetzt auch nochmal in einem anderen Netz als in dem jetzt die Fritzbox steht.
Würde aber sagen, dass es irgend eine Konfig im Mikrotik ist welche nicht stimmt.

Bilder folgen jetzt dann gleich.

Aha, wiederhole jetzt bitte noch die Abfrage direkt mit dem Provider DNS

nslookup -type=srv _sip._udp.proxy14.sip.plusnet.de 83.169.184.225
nslookup -type=srv _sip._udp.proxy14.sip.plusnet.de 83.169.184.161

Schlagen diese auch fehl ist der Provider schuld, ansonsten blockt deine Firewall DNS Abfragen an den Mikrotik und du hast dir selbst den Konfigurationsfehler eingebaut..

Achtung! Wenn du in den DHCP-Options nicht explizit den Mikrotik selbst als DNS Server hinterlegst verwenden die Clients automatisch den Provider DNS anstatt den Mikrotik für die DNS Auflösung! Deswegen funktionieren die anderen Clients aus dem Netz weil sie nicht den Mikrotik selbst abfragen sondern direkt den Provider.

nslookup -type=srv _sip._udp.proxy14.sip.plusnet.de 83.169.184.225
Server:  ip53a9b8e1.static.kabel-deutschland.de
Address:  83.169.184.225

Nicht autorisierende Antwort:
_sip._udp.proxy14.sip.plusnet.de        SRV service location:
          priority       = 1
          weight         = 10
          port           = 5060
          svr hostname   = voice04.sip.plusnet.de
_sip._udp.proxy14.sip.plusnet.de        SRV service location:
          priority       = 3
          weight         = 10
          port           = 5060
          svr hostname   = voice11.sip.plusnet.de
_sip._udp.proxy14.sip.plusnet.de        SRV service location:
          priority       = 2
          weight         = 10
          port           = 5060
          svr hostname   = voice05.sip.plusnet.de

voice05.sip.plusnet.de  internet address = 92.197.177.16
voice04.sip.plusnet.de  internet address = 92.197.176.19
voice11.sip.plusnet.de  internet address = 92.197.182.18

nslookup -type=srv _sip._udp.proxy14.sip.plusnet.de 83.169.184.161
Server:  ip53a9b8a1.static.kabel-deutschland.de
Address:  83.169.184.161

Nicht autorisierende Antwort:
_sip._udp.proxy14.sip.plusnet.de        SRV service location:
          priority       = 3
          weight         = 10
          port           = 5060
          svr hostname   = voice11.sip.plusnet.de
_sip._udp.proxy14.sip.plusnet.de        SRV service location:
          priority       = 2
          weight         = 10
          port           = 5060
          svr hostname   = voice05.sip.plusnet.de
_sip._udp.proxy14.sip.plusnet.de        SRV service location:
          priority       = 1
          weight         = 10
          port           = 5060
          svr hostname   = voice04.sip.plusnet.de

voice05.sip.plusnet.de  internet address = 92.197.177.16
voice04.sip.plusnet.de  internet address = 92.197.176.19
voice11.sip.plusnet.de  internet address = 92.197.182.18

Nur zur Info: Wenn du im DHCP-Options nicht explizit den Mikrotik als DNS Server hinterlegst verwenden die Clients die Provider DNS

Ist das nicht ein und der selbe? Mikrotik gibt es doch auch nur wieder an den Provider DNS weiter?

Zitat von @wusa88:
Ist das nicht ein und der selbe? Mikrotik gibt es doch auch nur wieder an den Provider DNS weiter?

Nein!!! Der Mikrotik übergibt bei nicht angegebenen Servern in der DHCP Optionen die die unter ip > dns stehen an den Client, also in deinem Fall die vom Provider. Sie fragen dann nicht den Mikrotik selbst sondern direkt den Provider!!!

Willst du das der Mikrotik als DNS-Proxy arbeitet, also Anfragen für die Clients "forwarded" die er nicht selbst beantworten kann, musst du sie über die DHCP Optionen übergeben.

Du hast also ein Firewall Problem wenn der Mikrotik die DNS Anfragen nicht beantwortet wenn du ihn direkt abfragst! Deine Firewall blockiert zu 99,9999999% die DNS Anfragen.

Ich bin allerdings auch in Firewalling nicht Fit, daher benötge ich Hilfe.

Idealerweise nutzt man in so einer Situation immer die FW Einstellungen aus dem DEFAULT Konfig Profil des MT bzw. fährt den MT damit hoch und customized den Rest nach seinem lokalen Design.
So ist man immer sicher eine wasserdichte FW zu betreiben die auch TCP/UDP 53 korrekt durchlässt.

Im Zweifel bootet man einfach einmal einen MT nach einem Reset und kupfert die Settings der Default Firewall einfach ab wenn man unsicher ist...

@aqui
Genau so habe ich es gemacht. Hast du in anderen Beiträgen schon oft so erwähnt.
Also habe ich seit Anfang an die Default Config und dann darauf hin immer wieder etwas angepasst.

Ich mache heute Abend nochmal Screenshots und erkläre, was geht und was nicht.

Ich bin jetzt mal in ein anderes vlan bei mir gegangen und habe das ganze nochmal getestet.

Hier mal kurz die Einstellungen dazu:

DNS:

Und dann nochmal den Befehl von dir ausgeführt:

nslookup -type=srv _sip._udp.proxy14.sip.plusnet.de192.168.90.1

Ausgabe:

Hier sieht es so aus, als wird das alles sauber aufgelöst.

Heißt doch, dass der Provider da nichts blockt? Oder sehe ich das falsch?

Auch die DNS Einstellungen sind gleich.
Irgendwo muss doch noch etwas falsch eingestellt sein.

Der Mikrotik übergibt bei nicht angegebenen Servern in der DHCP Optionen die die unter ip > dns stehen an den Client, also in deinem Fall die vom Provider. Sie fragen dann nicht den Mikrotik selbst sondern direkt den Provider!!!

In diesem Fall verstehe ich das allerdings anders.
Ich habe keinen DNS unter dem DHCP Server angegeben. Lt. deiner Aussage fragt der Client dann direkt beim DNS an und nicht über den Mikrotik.
Warum sehe ich dann wenn ich den nslookup Befehl ausführe, die Anfrage am Mikrotik?

Sorry für das ganz, aber ich komme da alleine nicht weiter.
Ich will das alles über den Mikrotik läuft. Ich will auch nicht den Google DNS oder sonstige in der Fritte eintragen.
So wie es aussieht, sollte es normal auch funktionieren? Warum hier aus dem Netz der Fritte nichts ankommt, verstehe ich im ersten Moment nicht.

Edit:
Jetzt habe ich genau das gleiche Spiel nochmal in dem Netz gemacht, in dem die Fritte hängt.

Und was kommt hier raus:

nslookup -type=srv _sip._udp.proxy14.sip.plusnet.de 192.168.4.1
DNS request timed out.
    timeout was 2 seconds.
Server:  UnKnown
Address:  192.168.4.1

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an UnKnown.

Ich tippe immer noch auf die Firewall, du hast wohl vergessen das Fritten VLAN in die LAN Interface Liste einzutragen.
Aber da du hier immer nur Bildchen statt mal die kompletten Klartextconfig postest dürfen wir uns hier immer einen vom Ast abwürgen und Vermutungen anstellen🤮. Mach doch bitte mal Nägel mit Köpfen und poste den kompletten Export, ansonsten bin ich raus, da ist mir die Zeit ansonsten zu Schade für den Kindergarten..

/export

Ich will das alles über den Mikrotik läuft. Ich will auch nicht den Google DNS oder sonstige in der Fritte eintragen.

Das war ja nur für den Test um zusehen an wem es liegt!
Gib den Mikrotik als DNS-Server Option mit und fixe deine Firewall dann lüppt dat 100%

/ip dhcp-server network set [find address=192.168.4.0/24] dns-server=192.168.4.1,192.168.4.1
/interface list member add interface=vlan_fritzbox list=LAN

/interface bridge
add admin-mac=18:FD:74:8E:55:66 auto-mac=no comment=defconf name=vlan-bridge vlan-filtering=yes
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard1
/interface vlan
add interface=vlan-bridge name=vlan1 vlan-id=1
add interface=vlan-bridge name=vlan3 vlan-id=3
add interface=vlan-bridge name=vlan70 vlan-id=70
add interface=vlan-bridge name=vlan90 vlan-id=90
add interface=vlan-bridge name=vlan111 vlan-id=111
add interface=vlan-bridge name=vlan200 vlan-id=200
add interface=vlan-bridge name=vlan_fritzbox vlan-id=4
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
add authentication-types=wpa2-psk mode=dynamic-keys name=wlan-intern supplicant-identity=""  
add authentication-types=wpa2-psk mode=dynamic-keys name=wlan-gast supplicant-identity=""  
add authentication-types=wpa2-psk mode=dynamic-keys name=wlan-iot supplicant-identity=""  
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=germany disabled=no distance=indoors frequency=2427 installation=indoor mode=ap-bridge name=wlan-intern \
    security-profile=wlan-intern ssid=dahoam vlan-id=70 vlan-mode=use-tag wireless-protocol=802.11 wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX country=germany disabled=no distance=indoors frequency=5500 installation=indoor mode=ap-bridge \
    name=wlan-intern-5ghz security-profile=wlan-intern ssid=dahoam_5GHz vlan-id=70 vlan-mode=use-tag wireless-protocol=802.11 wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=1A:FD:74:8E:72:6B master-interface=wlan-intern multicast-buffering=disabled name=wlan-iot security-profile=wlan-iot ssid=\
    IoT vlan-id=111 vlan-mode=use-tag wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=1A:FD:74:8E:72:6D master-interface=wlan-intern-5ghz multicast-buffering=disabled name=wlan-iot-5ghz security-profile=\
    wlan-iot ssid=IoT_5GHz vlan-id=111 vlan-mode=use-tag wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=1A:FD:74:8E:72:6A master-interface=wlan-intern multicast-buffering=disabled name=wlan-gast security-profile=wlan-gast \
    ssid=HeimwehLAN vlan-id=90 vlan-mode=use-tag wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
add disabled=no keepalive-frames=disabled mac-address=1A:FD:74:8E:72:6C master-interface=wlan-intern-5ghz multicast-buffering=disabled name=wlan-gast-5ghz security-profile=\
    wlan-gast ssid=HeimwehLAN_5GHz vlan-id=90 vlan-mode=use-tag wds-cost-range=0 wds-default-cost=0 wps-mode=disabled
/ip hotspot profile
set [ find default=yes ] html-directory=hotspot
/ip pool
add name=intern ranges=192.168.7.200-192.168.7.230
add name=wohnung-eg ranges=192.168.3.200-192.168.3.230
add name=wlan-intern ranges=192.168.70.200-192.168.70.230
add name=wlan-gast ranges=192.168.90.200-192.168.90.230
add name=iot ranges=192.168.111.200-192.168.111.230
add name=freifunk ranges=192.168.200.200-192.168.200.230
add name=Pool_Mama_Papa ranges=192.168.4.200-192.168.4.230
/ip dhcp-server
add address-pool=intern interface=vlan1 lease-time=2h name=intern
add address-pool=wohnung-eg interface=vlan3 lease-time=2h name=wohnung-eg
add address-pool=wlan-intern interface=vlan70 lease-time=2h name=wlan-intern
add address-pool=wlan-gast interface=vlan90 lease-time=2h name=wlan-gast
add address-pool=iot interface=vlan111 lease-time=2h name=iot
add address-pool=freifunk interface=vlan200 lease-time=30m name=Freifunk
add address-pool=Pool_Mama_Papa interface=vlan_fritzbox name=DHCP_Mama_Papa
/queue simple
add max-limit=5M/5M name=queue1 target=vlan111
/interface bridge port
add bridge=vlan-bridge comment=defconf interface=ether3
add bridge=vlan-bridge comment=defconf interface=ether4
add bridge=vlan-bridge comment=defconf interface=ether5
add bridge=vlan-bridge comment=defconf frame-types=admit-only-vlan-tagged interface=wlan-intern pvid=70
add bridge=vlan-bridge comment=defconf interface=wlan-intern-5ghz
add bridge=vlan-bridge frame-types=admit-only-vlan-tagged interface=wlan-iot pvid=111
add bridge=vlan-bridge frame-types=admit-only-vlan-tagged interface=wlan-gast pvid=90
add bridge=vlan-bridge frame-types=admit-only-vlan-tagged interface=wlan-gast-5ghz pvid=90
add bridge=vlan-bridge frame-types=admit-only-vlan-tagged interface=wlan-iot-5ghz pvid=111
add bridge=vlan-bridge interface=ether2 pvid=4
/ip neighbor discovery-settings
set discover-interface-list=LAN
/ipv6 settings
set disable-ipv6=yes
/interface bridge vlan
add bridge=vlan-bridge tagged=vlan-bridge vlan-ids=1
add bridge=vlan-bridge tagged=vlan-bridge,ether5,vlan3 vlan-ids=3
add bridge=vlan-bridge tagged=vlan-bridge,ether5,wlan-intern,wlan-intern-5ghz,vlan70 vlan-ids=70
add bridge=vlan-bridge tagged=vlan-bridge,ether5,wlan-gast,wlan-gast-5ghz,vlan90 vlan-ids=90
add bridge=vlan-bridge tagged=vlan-bridge,ether5,wlan-iot,wlan-iot-5ghz,vlan111 vlan-ids=111
add bridge=vlan-bridge tagged=vlan-bridge,ether5 vlan-ids=200
add bridge=vlan-bridge tagged=vlan-bridge vlan-ids=4
/interface list member
add comment=defconf interface=ether1 list=WAN
add interface=vlan1 list=LAN
add interface=vlan3 list=LAN
add interface=vlan70 list=LAN
add interface=vlan90 list=LAN
add interface=vlan111 list=LAN
add interface=vlan200 list=LAN
add interface=vlan_fritzbox list=LAN
/ip address
add address=192.168.7.1/24 comment=defconf interface=vlan1 network=192.168.7.0
add address=192.168.3.1/24 comment=defconf interface=vlan3 network=192.168.3.0
add address=192.168.70.1/24 comment=defconf interface=vlan70 network=192.168.70.0
add address=192.168.90.1/24 comment=defconf interface=vlan90 network=192.168.90.0
add address=192.168.111.1/24 comment=defconf interface=vlan111 network=192.168.111.0
add address=192.168.77.1/24 interface=wireguard1 network=192.168.77.0
add address=192.168.200.1/24 interface=vlan200 network=192.168.200.0
add address=192.168.4.1/24 interface=vlan_fritzbox network=192.168.4.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server network
add address=192.168.3.0/24 gateway=192.168.3.1
add address=192.168.4.0/24 dns-server=192.168.4.1 gateway=192.168.4.1
add address=192.168.7.0/24 dns-server=192.168.7.11 gateway=192.168.7.1
add address=192.168.70.0/24 dns-server=192.168.7.11 gateway=192.168.70.1
add address=192.168.90.0/24 gateway=192.168.90.1
add address=192.168.111.0/24 gateway=192.168.111.1
add address=192.168.200.0/24 gateway=192.168.200.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked  
add action=drop chain=forward comment="Kamera keine Internetverbindung" out-interface=ether1 src-address=192.168.7.71  
add action=drop chain=forward comment="Wohnung nur ins Internet" in-interface=vlan3 out-interface=!ether1  
add action=drop chain=forward comment="Mama Papa nur ins Internet" disabled=yes in-interface=vlan_fritzbox out-interface=!ether1  
add action=drop chain=forward comment="TV Schlafzimmer nur Internet. Kein LAN" out-interface=!ether1 src-address=192.168.7.39  
add action=drop chain=forward comment="TV Wohnzimmer nur Internet. Kein LAN" out-interface=!ether1 src-address=192.168.7.38  
add action=accept chain=input comment="wireguard ip input" src-address=192.168.77.0/24  
add action=accept chain=input comment="wireguard udp input" dst-port=13231 protocol=udp  
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp  
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid  
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1  
add action=drop chain=input in-interface=vlan90 protocol=icmp
add action=accept chain=forward dst-address=192.168.111.10 in-interface=vlan1
add action=accept chain=forward dst-address=192.168.111.10 in-interface=vlan70
add action=accept chain=forward dst-address=192.168.111.10 in-interface=vlan90
add action=accept chain=forward dst-address=192.168.111.11 in-interface=vlan1
add action=accept chain=forward dst-address=192.168.111.12 in-interface=vlan1
add action=accept chain=forward dst-address=192.168.111.40 in-interface=vlan1
add action=accept chain=forward dst-address=192.168.70.2 in-interface=vlan1
add action=accept chain=forward dst-address=192.168.111.11 in-interface=vlan70
add action=drop chain=forward in-interface=vlan200 out-interface=!ether1
add action=drop chain=forward comment="WLAN Gast nur ins Internet" disabled=yes in-interface=vlan90 out-interface=!ether1  
add action=reject chain=forward comment="WLAN iot keine Zugriff auf WLAN Intern" in-interface=vlan70 out-interface=vlan111 reject-with=icmp-network-unreachable  
add action=reject chain=forward comment="WLAN iot keine Zugriff auf Intern" in-interface=vlan1 out-interface=vlan111 reject-with=icmp-network-unreachable  
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN  
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec  
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec  
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related hw-offload=yes  
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked  
add action=accept chain=forward comment="Reverse Proxy" connection-nat-state=dstnat in-interface=ether1  
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid  
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN  
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN  
add action=dst-nat chain=dstnat dst-port=80,443 in-interface=ether1 protocol=tcp to-addresses=192.168.7.11
/ip traffic-flow
set interfaces=ether2
/ipv6 firewall address-list
add address=::/128 comment="defconf: unspecified address" list=bad_ipv6  
add address=::1/128 comment="defconf: lo" list=bad_ipv6  
add address=fec0::/10 comment="defconf: site-local" list=bad_ipv6  
add address=::ffff:0.0.0.0/96 comment="defconf: ipv4-mapped" list=bad_ipv6  
add address=::/96 comment="defconf: ipv4 compat" list=bad_ipv6  
add address=100::/64 comment="defconf: discard only " list=bad_ipv6  
add address=2001:db8::/32 comment="defconf: documentation" list=bad_ipv6  
add address=2001:10::/28 comment="defconf: ORCHID" list=bad_ipv6  
add address=3ffe::/16 comment="defconf: 6bone" list=bad_ipv6  
/ipv6 firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked  
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid  
add action=accept chain=input comment="defconf: accept ICMPv6" protocol=icmpv6  
add action=accept chain=input comment="defconf: accept UDP traceroute" port=33434-33534 protocol=udp  
add action=accept chain=input comment="defconf: accept DHCPv6-Client prefix delegation." dst-port=546 protocol=udp src-address=fe80::/10  
add action=accept chain=input comment="defconf: accept IKE" dst-port=500,4500 protocol=udp  
add action=accept chain=input comment="defconf: accept ipsec AH" protocol=ipsec-ah  
add action=accept chain=input comment="defconf: accept ipsec ESP" protocol=ipsec-esp  
add action=accept chain=input comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec  
add action=drop chain=input comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN  
add action=accept chain=forward comment="defconf: accept established,related,untracked" connection-state=established,related,untracked  
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid  
add action=drop chain=forward comment="defconf: drop packets with bad src ipv6" src-address-list=bad_ipv6  
add action=drop chain=forward comment="defconf: drop packets with bad dst ipv6" dst-address-list=bad_ipv6  
add action=drop chain=forward comment="defconf: rfc4890 drop hop-limit=1" hop-limit=equal:1 protocol=icmpv6  
add action=accept chain=forward comment="defconf: accept ICMPv6" protocol=icmpv6  
add action=accept chain=forward comment="defconf: accept HIP" protocol=139  
add action=accept chain=forward comment="defconf: accept IKE" dst-port=500,4500 protocol=udp  
add action=accept chain=forward comment="defconf: accept ipsec AH" protocol=ipsec-ah  
add action=accept chain=forward comment="defconf: accept ipsec ESP" protocol=ipsec-esp  
add action=accept chain=forward comment="defconf: accept all that matches ipsec policy" ipsec-policy=in,ipsec  
add action=drop chain=forward comment="defconf: drop everything else not coming from LAN" in-interface-list=!LAN  
/system clock
set time-zone-name=Europe/Berlin
/tool bandwidth-server
set authenticate=no enabled=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

OK das sieht soweit gut aus, bis auf den zweiten fehlenden DNS Eintrag im DHCP-Network, damit die Fritte ausschließlich deinen Mikrorik als DNS erhält und sich keinen selbst dazu dichtet, wie du erwähnt hast.

/ip dhcp-server network set [find address=192.168.4.0/24] dns-server=192.168.4.1,192.168.4.1

Funktionieren denn andere DNS Anfragen an den MK aus dem Fritzbox-VLan oder anderen VLANs? Also bspw.

nslookup administrator.de 192.168.4.1

Ansonsten im Zweifel die Firewall Filter mal testweise alle komplett deaktivieren und dann nochmal testen.

Und wie immer, Reboot tut gut.

Ich hänge jetzt im VLAN in dem auch die Fritte hängt.
ipconfig -all

Verbindungsspezifisches DNS-Suffix:
   DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : 192.168.4.200(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Samstag, 4. Mai 2024 15:56:53
   Lease läuft ab. . . . . . . . . . : Samstag, 4. Mai 2024 16:26:53
   Standardgateway . . . . . . . . . : 192.168.4.1
   DHCP-Server . . . . . . . . . . . : 192.168.4.1
   DNS-Server  . . . . . . . . . . . : 192.168.4.1
                                       83.169.184.225
                                       83.169.184.161
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

nslookup administrator.de 192.168.4.1
Server:  UnKnown
Address:  192.168.4.1

Nicht autorisierende Antwort:
Name:    administrator.de
Address:  82.149.225.19

/ip dhcp-server network set [find address=192.168.4.0/24] dns-server=192.168.4.1,192.168.4.1

Hier scheint es keine Auswirkungen zu geben. Befehl wird ohne Fehler ausgeführt, aber in der GUI scheint sich nichts zu ändern.

Selbes Spiel habe ich jetzt auch mal im VLAN 90 gemacht.

DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : 192.168.90.203(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Samstag, 4. Mai 2024 16:10:53
   Lease läuft ab. . . . . . . . . . : Samstag, 4. Mai 2024 18:10:52
   Standardgateway . . . . . . . . . : 192.168.90.1
   DHCP-Server . . . . . . . . . . . : 192.168.90.1
   DNS-Server  . . . . . . . . . . . : 192.168.90.1
                                       83.169.184.225
                                       83.169.184.161
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Einzige, wo kein Provider DNS übergeben wird ist zb. im VLAN 70. Dort hängt ein PiHole und dieser ist beim DHCP Server eingetragen.

DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : 192.168.70.203(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Samstag, 4. Mai 2024 16:05:14
   Lease läuft ab. . . . . . . . . . : Samstag, 4. Mai 2024 18:05:13
   Standardgateway . . . . . . . . . : 192.168.70.1
   DHCP-Server . . . . . . . . . . . : 192.168.70.1
   DNS-Server  . . . . . . . . . . . : 192.168.7.11
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Und wie immer, Reboot tut gut.

Habe ich heute Vormittag auch einmal gemacht.

Edit: Ich habe jetzt nochmal einen Export gemacht:

/ip dhcp-server network
add address=192.168.4.0/24 dns-server=192.168.4.1 gateway=192.168.4.1

Ich habe den DNS Server manuell eingetragen.
Jetzt sieht ipconfig -all so aus:

 DHCP aktiviert. . . . . . . . . . : Ja
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : 192.168.4.200(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
   Lease erhalten. . . . . . . . . . : Samstag, 4. Mai 2024 16:25:47
   Lease läuft ab. . . . . . . . . . : Samstag, 4. Mai 2024 16:55:46
   Standardgateway . . . . . . . . . : 192.168.4.1
   DHCP-Server . . . . . . . . . . . : 192.168.4.1
   DNS-Server  . . . . . . . . . . . : 192.168.4.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

nslookup -type=srv _sip._udp.proxy14.sip.plusnet.de192.168.4.1
Server:  UnKnown
Address:  192.168.4.1

*** _sip._udp.proxy14.sip.plusnet.de192.168.4.1 wurde von UnKnown nicht gefunden: Non-existent domain.

nslookup administrator.de 192.168.4.1
Server:  UnKnown
Address:  192.168.4.1

Nicht autorisierende Antwort:
Name:    administrator.de
Address:  82.149.225.19

nslookup -type=srv _sip._udp.proxy14.sip.plusnet.de192.168.4.1

Finde den Fehler!!! 🤦‍♂️
Kleiner Tip: "Leerzeichen"

Das ist natürlich ein Flüchtigkeitsfehler. Sollte nicht passieren. Jetzt ist allerdings etwas komsich.
Bei der ersten Abfrage passierte folgendes:

nslookup -type=srv _sip._udp.proxy14.sip.plusnet.de 192.168.4.1
Server:  UnKnown
Address:  192.168.4.1

*** _sip._udp.proxy14.sip.plusnet.de wurde von UnKnown nicht gefunden: Non-existent domain.

Ich habe direkt darauf nochmal die Abfrage gestartet und es kommt eine Antwort zurück.
Zwischen den Abfragen vielleicht 15 Sekunden.

nslookup -type=srv _sip._udp.proxy14.sip.plusnet.de 192.168.4.1
Server:  UnKnown
Address:  192.168.4.1

Nicht autorisierende Antwort:
_sip._udp.proxy14.sip.plusnet.de        SRV service location:
          priority       = 2
          weight         = 10
          port           = 5060
          svr hostname   = voice05.sip.plusnet.de
_sip._udp.proxy14.sip.plusnet.de        SRV service location:
          priority       = 3
          weight         = 10
          port           = 5060
          svr hostname   = voice11.sip.plusnet.de
_sip._udp.proxy14.sip.plusnet.de        SRV service location:
          priority       = 1
          weight         = 10
          port           = 5060
          svr hostname   = voice04.sip.plusnet.de

Da antwortet evt. der Provider DNS etwas zu langsam schraube mal testweise den Timeout für DNS Anfragen auf dem Mikrotik hoch auf 5 Sekunden

/ip dns set query-server-timeout=5s

Das Verhalten kann ich hier nicht provozieren mein Mikrotik antwortet prompt auf die Abfrage der o.g. SIP SRVs , scheint entweder an deinem Gerät der installierten RouterOS Firmware oder Kabel Deutschland DNS zu liegen...

Ein Wireshark Trace auf den wir hier immer noch warten würde es eigentlich schwarz auf weiß zeigen was da auf der Leitung zum Mikrotik und vom Mikrotik zu den exterenen DNS Servern abgeht, aber darum müssen wir hier wohl noch in 100 Jahren betteln ...

Jetzt ist es wieder soweit, dass die Telefonie nicht mehr funktioniert.
Auch im DNS Cache taucht der Eintrag für SIP nicht mehr auf.

Anbei die Datei für Wireshark.
https://drive.google.com/file/d/1pd8kN5I2-Wzl5zakXebyoaaK1lnW75dD/view?u ...

Danke

Edit:
Hier nochmal eine Datei, wenn ich die Fritte neu starte:

/tool sniffer
set file-name=vlan_fritzbox_2 filter-dst-ip-address=!192.168.70.0/24 filter-interface=vlan_fritzbox filter-ip-address=192.168.4.4/32 filter-src-ip-address=!192.168.70.0/24

https://drive.google.com/file/d/1XUl6I5UERte_o-BYHYgPYjS8cIRbfgj3/view?u ...

OK danke, jetzt fehlt nur noch ein Trace auf dem WAN-interface um zu sehen was der Mikrotik an DNS-Abfragen an den Provider DNS raus haut. Im Trace sieht ja das die Anfrage an den Mikrotik durch geht, die Firewall ist also OK, nur bekommt er selbst keine Info für die Records, es muss also an der weitergeleiteten Anfrage des Mikrotik an den Provider liegen.

Soll ich das auf irgendwelche Ports einschränken?
53,7077,5060?
Komme da heute Abend leider erst dazu.
Dann sind die Gegebenheiten schon mal geklärt und ich kann abends dann nochmal das File zur Verfügung stellen .

Port auf 53 und als Quelle der Mikrotik selbst reicht erst mal aus. Ist hier ja offensichtlich primär ein DNS Problem.

ich kann abends dann nochmal das File zur Verfügung stellen .

👍

Ich habe dir den Link per PN geschickt. Dort ist meine öffentliche IP mit dabei.
Filter ist wie folgt gesetzt:

/tool sniffer
set file-name=wan_vlan_fritzbox filter-interface=ether1 filter-src-port=dns

Wenn ich den Sniffer anders einstellen muss, dann gerne bescheid geben. Dann mache ich das direkt.

Also irgend ein DNS Problem habe ich.
Frage ich folgendes ab:

nslookup -type=srv _sip._udp.proxy14.sip.plusnet.de 192.168.4.1
Server:		192.168.4.1
Address:	192.168.4.1#53

** server can't find _sip._udp.proxy14.sip.plusnet.de: NXDOMAIN  

Meisten erhalte ich den NXDOMAIN fehler.

Es war aber auch schon mal, dass es aufgelöst werden konnte.

nslookup -type=srv _sip._udp.proxy14.sip.plusnet.de 192.168.4.1
Server:		192.168.4.1
Address:	192.168.4.1#53

Non-authoritative answer:
_sip._udp.proxy14.sip.plusnet.de	service = 1 10 5060 voice04.sip.plusnet.de.
_sip._udp.proxy14.sip.plusnet.de	service = 2 10 5060 voice05.sip.plusnet.de.
_sip._udp.proxy14.sip.plusnet.de	service = 3 10 5060 voice11.sip.plusnet.de.

Authoritative answers can be found from:

Meistens ist es allerdings so, bzw. fast immer:

nslookup -type=srv _sip._udp.proxy14.sip.plusnet.de 192.168.4.1
Server:		192.168.4.1
Address:	192.168.4.1#53

** server can't find _sip._udp.proxy14.sip.plusnet.de: NXDOMAIN  

Wo könnte ich hier noch ansetzen? Ich komme hier leider alleine nicht weiter.
Der Benutzer schrick, der viel hier aktiv war, sieht so aus als wäre er nicht mehr im Fourm aktiv.

Danke

Edit:
Mir ist jetzt folgendes aufgefallen.

Trage ich in der Fritzbox bei primären DNS Server 8.8.8.8 und bei sekundären DNS Server 1.1.1.1 ein, dann funktioniert die Telefonie sofort und was auch funktioniert ist folgendes:

nslookup -type=srv _sip._udp.proxy14.sip.plusnet.de 192.168.4.1
Server:		192.168.4.1
Address:	192.168.4.1#53

Non-authoritative answer:
_sip._udp.proxy14.sip.plusnet.de	service = 1 10 5060 voice04.sip.plusnet.de.
_sip._udp.proxy14.sip.plusnet.de	service = 2 10 5060 voice05.sip.plusnet.de.
_sip._udp.proxy14.sip.plusnet.de	service = 3 10 5060 voice11.sip.plusnet.de.

Authoritative answers can be found from:

Trage ich jetzt in der Fritzbox als primären DNS 192.168.4.1 und sekundären DNS irgend einen anderen egal ob 8.8.8.8 oder 1.1.1.1 dann passiert folgendes:

nslookup -type=srv _sip._udp.proxy14.sip.plusnet.de 192.168.4.1
Server:		192.168.4.1
Address:	192.168.4.1#53

** server can't find _sip._udp.proxy14.sip.plusnet.de: NXDOMAIN  

Wo ist hier der zusammenhang?

Mir ist noch etwas aufgefallen:
Trage ich in der Fritzbox keinen lokalen DNS ein. Also ich trage bei primären DNS Server 8.8.8.8 und bei sekundären DNS Server 1.1.1.1 ein habe ich in den DNS Einträgen folgendes stehen:

Ändere ich jetzt die DNS Einstellungen in der Fritzbox auf primären DNS 192.168.4.1 und sekundären DNS irgendeinen anderen egal ob 8.8.8.8 oder 1.1.1.1 dann passiert folgendes:

Der Eintrag mit proxy14.... springt auf "N" also negative. Was hat das zu bedeuten?

Trage ich in der Fritzbox keinen lokalen DNS ein.

Sollte man niemals machen das statisch einzutragen. Denn so unterbindet man das Lernen des Provider DNS den die FB automatisch per PPPoE übermittelt bekommt. 8.8.8.8 nutzen ja nur noch Dummies denen der Datenschutz Wumpe ist!

Der Eintrag mit proxy14.... springt auf "N" also negative. Was hat das zu bedeuten?

.4.1 ist ja auch ein lokaler Cache DNS. Fragt sich dann WELCHEN DNS dieser als Uplink hat, dazu machst du leider keinerlei hilfreiche Angaben aber es zu befürchten das das auch wieder öffentliche DNS Server sind die Provider interne Domains nicht auflösen können.

Fakt ist aber das 4.1 diesen Hostnamen nicht auflösen kann. Das ist bei SIP Providern auch üblich, denn die exponieren ihre internen SIP Servernamen niemals öffentlich mit dem Resultat das nicht Provider interne DNS Server diese Adressen nicht auflösen können. Exakt dein Verhalten von oben!
Es ist also sinnvoll bei VoIP IMMER den dynamisch propagierten DNS des Providers zu nutzen!
Zur "8.8.8.8 Dummheit" ist ja oben schon mehrfach alles gesagt worden.

8.8.8.8 nutzen ja nur noch Dummies denen der Datenschutz Wumpe ist!

Das ist mit durchaus bewusst, ich wollte hiermit nur das Verhalten testen. Mit eingetragenem DNS Server von 8.8.8.8 und sekundär 1.1.1.1 funktioniert die Telefonie.

4.1 ist ja auch ein lokaler Cache DNS. Fragt sich dann WELCHEN DNS dieser als Uplink hat, dazu machst du leider keinerlei hilfreiche Angaben

Dazu habe ich weiter oben sogar den ganzen Export gepostet:

/ip dhcp-server network
add address=192.168.4.0/24 dns-server=192.168.4.1

Und also DNS ist der Provider eigene DNS eingetragen, welcher vom Provider DHCP kommt.

Ändere ich das ganze aber ab, dass es wie folgt aussieht:

/ip dhcp-server network
add address=192.168.4.0/24 dns-server=192.168.4.1 gateway=192.168.4.1

Und den DNS Server von 8.8.8.8 direkt eingetragen. Funktioniert das ganze auch nicht

Mache ich aber eine nslookup Auflösung auf den Provider eigenen DNS funktioniert das ganze.

nslookup -type=srv _sip._udp.proxy14.sip.plusnet.de 83.169.184.225
Server:		83.169.184.225
Address:	83.169.184.225#53

Non-authoritative answer:
_sip._udp.proxy14.sip.plusnet.de	service = 3 10 5060 voice11.sip.plusnet.de.
_sip._udp.proxy14.sip.plusnet.de	service = 1 10 5060 voice04.sip.plusnet.de.
_sip._udp.proxy14.sip.plusnet.de	service = 2 10 5060 voice05.sip.plusnet.de.

Authoritative answers can be found from:
voice11.sip.plusnet.de	internet address = 92.197.182.18
voice04.sip.plusnet.de	internet address = 92.197.176.19
voice05.sip.plusnet.de	internet address = 92.197.177.16

Der Provider DNS scheint hier nichts zu blocken.
Es wird aber immer weider proxy14.sip.plusnet.de geblockt

Ich habe jetzt in der Fritzbox 8.8.8.8 und 1.1.1.1 hinterlegt. So läuft es.
Über den DNS 192.168.4.1 welcher der Mikrotik selbst ist, läuft es nicht.

Ändere ich das ganze aber ab, dass es wie folgt aussieht:

Das ist ja zumindestens in Bezug auf den DNS keinerlei Änderung!

Für die Clients im .4.0er Netzwerk bleibt der DNS ja weiterhin die .4.1.
Was sollte da eine Änderung sein?? DNS seitig hat sich da rein gar nichts verändert! 🤔

Mit eingetragenem DNS Server von 8.8.8.8

"Eingetragen" WO?? direkt auf dem Client oder dem Uplink DNS im DNS Caching Server .4.0?

Ist dein Mikrotik direkt mit einem NUR Modem am Internet oder betreibst du den in einer Router Kaskade? Wenn Kaskade versuche mal eine statische Adressierung im Koppelnetz was die dynamische Weitergabe von DNS Adressen via DHCP ausschliesst.

Ich habe jetzt in der Fritzbox 8.8.8.8 und 1.1.1.1 hinterlegt. So läuft es.

Na ja ist natürlich ziemlich dumm dort primär gerade den Google DNS zu setzen der deine Internet gewohnheiten abschnorchelt und mit Dritten vermarket.
Das solltest du ersetzen gegen die Provider DNS 83.169.184.225 und 83.169.184.161 oder wenn es den unbedingt und zwangsweise externe DNS sein müssen deren Abfrage um den halben Erdball geht den 2ten zumindestens durch die etwas datenschutzfreundliche 9.9.9.9 oder https://www.privacy-handbuch.de/handbuch_93d.htm ersetzen.

Der Kollege (welcher jetzt nicht mehr angemeldet ist, hat mir das so gesagt).

Die Fritzbox läuft im IP-Client Modus. Mit fester IP 192.168.4.4
Dort eingetragen ist der Mikrotik als Gateway und DNS. 192.168.4.1

Und sorry, ich hatte die falsche Zeile kopiert:

/ip dhcp-server network set [find address=192.168.4.0/24] dns-server=192.168.4.1,192.168.4.1

Der User hier hat mir gesagt, dass ich unter ip-> dns, einen anderen DNS Server eintragen soll. Dort habe ich dann Testweise 8.8.8.8 eingetragen um zu sehen ob es Auswirkungen hat.
Er sagte zu mir, wenn ich unter ip->dns dort eine andere IP also die vom Provider zugewiesene eintrage, dann muss ich explizit unter ip->DHCP Server -> Networks die IP Adresse vom Mikrotik eintragen. Also die 192.168.4.1
Ich habe das so verstanden, dass jetzt der zusätlich eingetragene DNS Server (ip->dns) an den Client übergeben wird.

Das solltest du ersetzen gegen die Provider DNS 83.169.184.225 und 83.169.184.161

Das dachte ich wird automatisch gemacht. Ich sage der Fritzbox, wo das Gateway ist und von dort aus wird der DNS befragt.

Und sorry, ich hatte die falsche Zeile kopiert:

Ist ja eben so sinnfrei 2mal da den gleichen DNS Server einzutragen... Weisst du eigentlich wirklich noch was du da tust?! 😡

Ich sage der Fritzbox, wo das Gateway ist und von dort aus wird der DNS befragt.

Das ist ja völliger Quatsch. Die Fritzbox befragt direkt den DNS Server der bei ihr lokal konfiguriert ist aber doch niemals das Gateway! Das Routing und DNS zwei getrennte Baustellen sind weiss aber auch ein Laie und ganz besonders ein Administrator!
Wenn nur Voice an der FB die Zicken macht trägst du der halt den Provider DNS 83.169.184.225 oder 83.169.184.161 da direkt ein statt der .4.1 und gut iss. Den Rest belässt du so.

Da ich in der Angelegenheit absolut nicht weiter komme, habe ich das einfach probiert.
Ich scheitere aber an jeglicher Einstellung.

Trage ich die 8.8.8.8 oder sonstige öffentliche DNS Adresse direkt in der Fritzbox ein, dann funktioniert die Telefonie.
Trage ich den DNS vom Mikrotik ein also die 192.168.4.1 geht die Telefonie nicht mehr.

Ich will 8.8.8.8 oder sonstiges eigentlich nicht eintragen. Daher frage ich auch so nach.

Das ist der DNS welcher vom Provider zur Verfügung gestellt wird. Dort funktioniert es auch.
Dieser ist unter ip-> DNS eingetragen. Kommt vom DHCP vom Provider.

nslookup -type=srv _sip._udp.proxy14.sip.plusnet.de 83.169.184.225
Server:		83.169.184.225
Address:	83.169.184.225#53

Non-authoritative answer:
_sip._udp.proxy14.sip.plusnet.de	service = 3 10 5060 voice11.sip.plusnet.de.
_sip._udp.proxy14.sip.plusnet.de	service = 1 10 5060 voice04.sip.plusnet.de.
_sip._udp.proxy14.sip.plusnet.de	service = 2 10 5060 voice05.sip.plusnet.de.

Authoritative answers can be found from:
voice11.sip.plusnet.de	internet address = 92.197.182.18
voice04.sip.plusnet.de	internet address = 92.197.176.19
voice05.sip.plusnet.de	internet address = 92.197.177.16

Was ich nicht verstehe, manchmal geht die Abfrage, dann wieder nicht.

nslookup -type=srv _sip._udp.proxy14.sip.plusnet.de 192.168.4.1
Server:		192.168.4.1
Address:	192.168.4.1#53

Non-authoritative answer:
_sip._udp.proxy14.sip.plusnet.de	service = 1 10 5060 voice04.sip.plusnet.de.
_sip._udp.proxy14.sip.plusnet.de	service = 2 10 5060 voice05.sip.plusnet.de.
_sip._udp.proxy14.sip.plusnet.de	service = 3 10 5060 voice11.sip.plusnet.de.

Authoritative answers can be found from:

nslookup -type=srv _sip._udp.proxy14.sip.plusnet.de 192.168.4.1
Server:		192.168.4.1
Address:	192.168.4.1#53

** server can't find _sip._udp.proxy14.sip.plusnet.de: NXDOMAIN    

DNS Auflösungen Richtung 192.168.4.1 funktionieren grundsätzlich, nur Richtung SIP irgendwie nicht.

Geht es schlicht weg nicht oder mache ich was falsch?

Das ist ja völliger Quatsch. Die Fritzbox befragt direkt den DNS Server der bei ihr lokal konfiguriert ist aber doch niemals das Gateway!

Da habe ich mich vermutlich etwas blöd ausgedrückt. Das GW und DNS unterschiedliche Baustellen sind, ist mir klar.

Ich habe die 2 Provider DNS jetzt direkt in der Fritzbox eingetragen.
Telefonie ist grün.

Ich frage mich aber woher das ganz kommt.
Die 2 Provider DNS habe ich auch im Mikrotik eingetragen, bzw. sind über den DHCP vom Provider gekommen.
Trage ich jetzt in der Fritzbox als DNS den Mikrotik ein, dann befragt der Mikrotik das DNS.

Hier ist ja dann der Mikrotik das Problem? Die DNS Einträge sind die selben. Direkt in der Fritzbox geht es durch den Mikrotik durch geht es nicht. Dahinter steht der selbe DNS Server.

Also wenn ich das richtig verstehe dann ist doch der Aufbau wie folgt
In der Fritzbox ist als DNS 192.168.4.1 eingetragen.
Jetzt gehen die DNS Anfragen an den Mikrotik 192.168.4.1. Wenn dieser die Adressen nicht hat, dann wird der Provider DNS befragt? Soweit richtig?

In diesem Fall ist die Fritzbox Telefonie nicht möglich. Bzw. das Feld ist grau hinterlegt. Also keine Verbindung zur Telefonie.

Wenn ich jetzt genau den selben DNS Server in der Fritzbox eintrage, dann ist der Weg doch wie folgt.
Die Fritzbox fragt direkt beim Provider DNS an ohne "Umweg" über den Mikrotik?
Dort ist die Telefonie sofort grün.

Ist dann eigentlich ein klarer Fall, dass der Mikrotik hier das "Problem" darstellt?

Servus @wusa88,
ihr seit hier auf einen der div. Bugs des Mikrotik DNS-Proxies gestoßen. Das Problem manifestiert sich dabei wie folgt:

Die Fritzbox versucht als erstes eine Auflösung des FQDN proxy14.sip.plusnet.de, die es aber auf Seiten Plusnet nicht gibt (es existiert dort nur einen SRV Eintrag mit der Erweiterung aber keine Subdomain "proxy14"), der Mikrotik bekommt also vom Provider ein NXDOMAIN zurück.
Dieses NXDOMAIN für die o.g. Domain hält der Mikrotik nun eine gewisse Zeit in seinem Cache vor.
Nun fragt die Fritzbox anschießend nach dem SRV Eintrag _sip._udp.proxy14.sip.plusnet.de am Mikrotik, da dieser aber die Subdomain proxy14.sip.plusnet.de bereits als NXDOMAIN in seinem Cache hinterlegt hat antwortet er der Fritzbox direkt mit einem NXDOMAIN und fragt erst gar nicht mehr die Upstream DNS Server.

Dieses Verhalten ist nicht standardkonform und ist ein Bug seitens Mikrotik.

Fragt man dagegen bei leerem Cache des Mikrotik direkt manuell die SRV Einträge ab (ohne vorher die Subdomain abzufragen) dann fragt er diese korrekt bei den Upstream DNS Servern ab.

Um diesem Fehler aus dem Weg zu gehen und du weiterhin am Mikrotik DNS-Proxy festhalten willst, könntest du die SRV-Einträge als statische DNS-Einträge im Mikrotik hinterlegen, dann sollte der Mikrotik diese immer ausliefern und die Fritzbox sich zufrieden geben. Man muss dann halt ab und zu überprüfen ob die Daten noch stimmen oder das mit einem Skript auf dem Mikrotik erledigen.
Alternativ nutze halt einen anderen DNS-Resolver für die Fritzbox.

Ich hatte ich auch schon einige andere DNS-Bugs des Proxies im Forum gepostet, unter anderem diesen hier der immer noch nicht gefixt wurde:
Mikrotik RB4011 (RouterOS 6 und 7) - DNS Proxy Problem bei der Abfrage von TXT Records

In einem alten Post wurde von einem Mikrotik Mitarbeiter angekündigt das man den DNS-Resolver zukünftig gundlegend neu schreiben wolle, was aber leider noch nicht geschehen geschehen ist, und ob das geschieht steht in den Sternen 🤞. Da Mikrotik den DNS-Resolver komplett selbst programmiert ist sowas auch nicht mal eben schnell geschehen.

Grüße Uwe

Vielen Dank für die Erklärung.
Das wir da einem Bug auf die Schliche gekommen sind, wundert mich doch sehr. Dachte wirklich lange es liegt an mir.
Vielen Dank für die Erklärung, das erklärt natürlich dann einiges an dem Verhalten, dass es manchmal aufgelöst werden konnte und dann wieder nicht.

Also schließe ich das für mich ab und belasse es so wie es jetzt ist mit den DNS Einträge vom Provider selbst, aber direkt in der Fritzbox.

Vielen Dank nochmal für die Hilfe!

Ich kann den Kollegen @colinardo da nur bestätigen und bin in solche Effekte am MT DNS auch schon gelaufen.

Also schließe ich das für mich ab

How can I mark a post as solved?

German solved Question Firewall MikroTik

Hotly discussed

EdgeRouter Lite 3 IPv6 configurationLinuxero - 15 Comments

Windows zero-day vulnerability CVE-2024-30051firefly

VMware Desktop Hypervisor Pro Apps now available free for personal usehempel