br0kk85
Goto Top

Fritzbox 7272 hinter Watchguard als TK Anlage

Hi,

ich hab hier folgende Konfig stehen:

TAE --> MODEM --> Watchguard T15 (TKOM VLAN 7 PPPoE Einwahl) --> Fritzbox 7272 (Als TK Anlage mit TKOM Internetrufnummern) ---> Ein PC, ein Drucker und ein EC-Cash Gerät (Feste IPs)

Das ganze Funktioniert auch meistens allerdings bekam ich die Rückmeldung das ab und die Nummer nicht erreichbar ist.

Wenn man dan anruft wird sofort aufgelegt (es klingelt nichtmal)

Ich hab bereits alles erdenkliche getestet:

Anrufen --> AB OK
Anrufen --> Gespräch OK
Anrufen auf Fax -- OK
Fax hin und her gesendet (auch mal während des Telefonates) - OK

Ab und an scheint die Fritte und die Rufnummern nicht erreichbar zu sein.

AVM sag mir die 7272 ist zu alt und ich soll ne neue Kaufen. Für TK müsste diese aber noch ausreichend sein (da hängt auch nur ein Fax und ein telefon dran).

Watchguard schiebst auf eine möglicherweise defekte Fritzbox ....

Ich habe simple Paketfilter auf der Watchguard angelegt (Inbound und Outbound)
Ports die ich freigegeben habe:

5060
5070
Portrange 7078-7097
Portrange 3478-3479
Portrange 30000-31000
Portrange 40000-41000

For TCP and UDP
Telekom VLAN 7

Diese musste ich mir zusammensuchen da die TKOM Ihre eigenen Ports nicht kennt.

Laut der TKOM ist alles in Butter. Leitung ist da und die sehen die Watchguard, auch die Internetrufnummern sind registriert und OK

Theoretisch müsste das alles funktionieren :/ Allerdings ist der Fehler schwer zu reproduzieren ...

Hat wer einen Tipp?

Danke

Content-ID: 609183

Url: https://administrator.de/forum/fritzbox-7272-hinter-watchguard-als-tk-anlage-609183.html

Ausgedruckt am: 23.12.2024 um 08:12 Uhr

Lochkartenstanzer
Lochkartenstanzer 01.10.2020 aktualisiert um 13:24:29 Uhr
Goto Top
Zitat von @BR0KK85:

Hat wer einen Tipp?

Die 7272 ersetzen. Die ist schon arg in die Jahre gekommen. face-smile

lks
aqui
aqui 01.10.2020 um 14:36:28 Uhr
Goto Top
Nur um Missverständnisse deiner Zeichnung von oben zu vermeiden !!
Deine FritzBox ist nicht als Kaskade installiert mit der Watchguard sondern hängt ganz normal als simples Endgerät im lokalen LAN, richtig ?
BR0KK85
BR0KK85 01.10.2020 um 14:54:37 Uhr
Goto Top
Jein ....

Die Fritte ist noch als Switch und als TK Anlage in Benutzung.... Das sollte aber kein Problem sein ...

IP Client Modus ist aktiviert. Die Fritte erhält eine IP vom Trusted Interface DHCP und gibt diesen auch an einen PC weiter. Alles andere hat feste IPs
aqui
aqui 01.10.2020 aktualisiert um 15:24:02 Uhr
Goto Top
Die Fritte ist noch als Switch und als TK Anlage in Benutzung
OK, sprich der WAN Port ist ungenutzt ?? Was dann richtig und korrekt angeschlossen wäre so das man das dann als mögliche Fehlerquelle ausschliessen kann.
Lochkartenstanzer
Lochkartenstanzer 01.10.2020 um 15:24:51 Uhr
Goto Top
Zitat von @aqui:

Die Fritte ist noch als Switch und als TK Anlage in Benutzung
OK, sprich der WAN Port ist ungenutzt ?? Was dann richtig und korrekt angeschlossen wäre so das man das dann als mögliche Fehlerquelle ausschliessen kann.

Der "WAN-Port" einer 7272 ist der DSL-Port. face-smile

lks
BR0KK85
BR0KK85 01.10.2020 um 15:30:51 Uhr
Goto Top
Jo DSL kommt mit Modem und PPPoE Einwahl aus der Watchguard.
Das Trusted Interface dieser WG hängt auf Port 1 (vom Switch) der Fritte. Die Fritte erhält via DHCP Reservierung (MAC) eine IP Adresse von der Watchguard. DIe PCs bzw. Geräte dahinter haben alles feste IPs

Die Fritte hat ja noch keinen eigenen WAN Port nur den grauen DSL Port für das 2 Draht Kabel face-smile
aqui
aqui 01.10.2020 um 15:36:04 Uhr
Goto Top
OK, netztechnisch ist dann alles richtig. Würde dann bedeuten das die FB hie und da mal die SIP Verbindung zur T-Kom verliert. Wenn die SIP Session weg ist ist die Nummer nicht erreichbar.
Da ist jetzt die spannende Frage ob es an der FB selber liegt, der WG oder der Leitung.
Macht die FB SIP Keepalives und/oder arbeitest du mit STUN ?
BR0KK85
BR0KK85 01.10.2020 um 15:44:15 Uhr
Goto Top
Du hast Gute Fragen :D

Ich glaube nicht das man das in der Fritte nachsehen kann. Das Eventlog ist mager. Ich muss mir mal Supportdaten von der Box ziehen...

Unter Festnetz ist aktiviert:

- Festnetz Aktiv

Unter Ersatzverbindung ist aktiviert:

- Ersatzverbindungen verwenden

Unter Telefonie Optionen ist das aktivert:

- Faxübertragung auch mit T.38

- Portweiterleitungen des Internet-Routers für Telefonie aktiv halten (5 Min)

Oder vieleich mal mitschneiden, aber wann das ganze ist sehr spontan.

Anfangs dachte ich das würde passieren wenn man ein Fax empfängt oder sendet aber dieses Scenario hab ich nun durchgetestet. Da beibt alles Stabil :/

Die Fritzbox war vorher auch als Modem unterwegs. Da die ja alt ist (gib keine Software mehr) hab ich mich zu dem Oben beschriebenen Scenario entschieden.

Im Test lief das alles auch wunderbar ....
BR0KK85
BR0KK85 02.10.2020 aktualisiert um 14:58:54 Uhr
Goto Top
Also das ganze betrifft nur die eingehenden Anrufe und Faxe....

Ab und an ist die Fritzbox bzw die Nummer einafch nicht erreichbar. Kein Freizeichen und es legt sofort auf

Im Trafic Monitor der Watchguard sehe ich immer mal wieder diese Meldung:

2020-10-02 22:00:29 Deny 217.0.27.160 80.152.XXX.XX sip/udp 5060 5060 TELEKOM Firebox Denied 1439 56 (Unhandled External Packet-00) proc_id="firewall" rc="101" msg_id="3000-0148" Traffic

Ich hatte den Port 5060 allerdings eingehend freigeschaltet ???
aqui
Lösung aqui 02.10.2020 um 15:29:39 Uhr
Goto Top
Ich hatte den Port 5060 allerdings eingehend freigeschaltet ???
Und auch ein Port Forwarding auf die feste, interne IP der Anlage gemacht ?? Nur freischlaten ist die halbe Miete.
Das sieht klar danach aus als ob der UDP Session Timeout in der Firewall zuschlägt und die dann den UDP 5060 SIP Port schliesst so das von außen nix mehr rein kommt. Erst wenn du wieder einen Call initiiert wird der Port geöffnet und es geht wieder.
Kannst du in der Anlage einen SIP Keepalive konfigurieren ? Ansonsten UDP 5060 Port Forwarding.
BR0KK85
BR0KK85 02.10.2020 aktualisiert um 18:33:05 Uhr
Goto Top
Ja das wirds sein .... Keepalive kann die FRitte denke ich nicht.

Ich hab gerade ein SNAT von der TCOM Leitung an die IP der Fritte geschaltet. Ich denke das hat das Problem gelößt.
Jetzt zeigt der Traficmanager keine roten UDP DENIED Meldungen mehr an.... muss ich jetzt mal beobachten


Jetzt bleibt noch die Frage nach den Ports.... Müssen die alle sein?

Ich sehe im Traffic Manager immer nur 5060 (eingehend) und 3478 (ausgehend)
aqui
Lösung aqui 03.10.2020 um 10:41:17 Uhr
Goto Top
Müssen die alle sein?
Nein, natürlich nicht ! Leider nutzt aber jeder VoIP Provider unterschiedliche RTP Port Ranges. Da muss man etwas googeln um rauszufinden welche. Es reicht wenn man NUR für das RTP Protokoll diese Port Ranges freigibt. Leider muss es immer eine Range sein, denn RTP nutzt Protokoll bedingt dynamische Ports.
Siehe auch hier:
VOIP hinter pfsense ohne(!) Portfreigaben (und auch ohne STUN und SIP-ALG)
und
VoIP-Telefonie über SIP-Client "Zoiper" (FritzBox 7560 als Router)