gelöst Fritzbox 7272 hinter Watchguard als TK Anlage

Mitglied: BR0KK85

BR0KK85 (Level 1) - Jetzt verbinden

01.10.2020, aktualisiert 15:12 Uhr, 388 Aufrufe, 12 Kommentare

Hi,

ich hab hier folgende Konfig stehen:

TAE --> MODEM --> Watchguard T15 (TKOM VLAN 7 PPPoE Einwahl) --> Fritzbox 7272 (Als TK Anlage mit TKOM Internetrufnummern) ---> Ein PC, ein Drucker und ein EC-Cash Gerät (Feste IPs)

Das ganze Funktioniert auch meistens allerdings bekam ich die Rückmeldung das ab und die Nummer nicht erreichbar ist.

Wenn man dan anruft wird sofort aufgelegt (es klingelt nichtmal)

Ich hab bereits alles erdenkliche getestet:

Anrufen --> AB OK
Anrufen --> Gespräch OK
Anrufen auf Fax -- OK
Fax hin und her gesendet (auch mal während des Telefonates) - OK

Ab und an scheint die Fritte und die Rufnummern nicht erreichbar zu sein.

AVM sag mir die 7272 ist zu alt und ich soll ne neue Kaufen. Für TK müsste diese aber noch ausreichend sein (da hängt auch nur ein Fax und ein telefon dran).

Watchguard schiebst auf eine möglicherweise defekte Fritzbox ....

Ich habe simple Paketfilter auf der Watchguard angelegt (Inbound und Outbound)
Ports die ich freigegeben habe:

5060
5070
Portrange 7078-7097
Portrange 3478-3479
Portrange 30000-31000
Portrange 40000-41000

For TCP and UDP
Telekom VLAN 7

Diese musste ich mir zusammensuchen da die TKOM Ihre eigenen Ports nicht kennt.

Laut der TKOM ist alles in Butter. Leitung ist da und die sehen die Watchguard, auch die Internetrufnummern sind registriert und OK

Theoretisch müsste das alles funktionieren :/ Allerdings ist der Fehler schwer zu reproduzieren ...

Hat wer einen Tipp?

Danke
Mitglied: Lochkartenstanzer
01.10.2020, aktualisiert um 13:24 Uhr
Zitat von BR0KK85:

Hat wer einen Tipp?

Die 7272 ersetzen. Die ist schon arg in die Jahre gekommen.

lks
Bitte warten ..
Mitglied: aqui
01.10.2020 um 14:36 Uhr
Nur um Missverständnisse deiner Zeichnung von oben zu vermeiden !!
Deine FritzBox ist nicht als Kaskade installiert mit der Watchguard sondern hängt ganz normal als simples Endgerät im lokalen LAN, richtig ?
Bitte warten ..
Mitglied: BR0KK85
01.10.2020 um 14:54 Uhr
Jein ....

Die Fritte ist noch als Switch und als TK Anlage in Benutzung.... Das sollte aber kein Problem sein ...

IP Client Modus ist aktiviert. Die Fritte erhält eine IP vom Trusted Interface DHCP und gibt diesen auch an einen PC weiter. Alles andere hat feste IPs
Bitte warten ..
Mitglied: aqui
01.10.2020, aktualisiert um 15:24 Uhr
Die Fritte ist noch als Switch und als TK Anlage in Benutzung
OK, sprich der WAN Port ist ungenutzt ?? Was dann richtig und korrekt angeschlossen wäre so das man das dann als mögliche Fehlerquelle ausschliessen kann.
Bitte warten ..
Mitglied: Lochkartenstanzer
01.10.2020 um 15:24 Uhr
Zitat von aqui:

Die Fritte ist noch als Switch und als TK Anlage in Benutzung
OK, sprich der WAN Port ist ungenutzt ?? Was dann richtig und korrekt angeschlossen wäre so das man das dann als mögliche Fehlerquelle ausschliessen kann.

Der "WAN-Port" einer 7272 ist der DSL-Port.

lks
Bitte warten ..
Mitglied: BR0KK85
01.10.2020 um 15:30 Uhr
Jo DSL kommt mit Modem und PPPoE Einwahl aus der Watchguard.
Das Trusted Interface dieser WG hängt auf Port 1 (vom Switch) der Fritte. Die Fritte erhält via DHCP Reservierung (MAC) eine IP Adresse von der Watchguard. DIe PCs bzw. Geräte dahinter haben alles feste IPs

Die Fritte hat ja noch keinen eigenen WAN Port nur den grauen DSL Port für das 2 Draht Kabel
Bitte warten ..
Mitglied: aqui
01.10.2020 um 15:36 Uhr
OK, netztechnisch ist dann alles richtig. Würde dann bedeuten das die FB hie und da mal die SIP Verbindung zur T-Kom verliert. Wenn die SIP Session weg ist ist die Nummer nicht erreichbar.
Da ist jetzt die spannende Frage ob es an der FB selber liegt, der WG oder der Leitung.
Macht die FB SIP Keepalives und/oder arbeitest du mit STUN ?
Bitte warten ..
Mitglied: BR0KK85
01.10.2020 um 15:44 Uhr
Du hast Gute Fragen :D

Ich glaube nicht das man das in der Fritte nachsehen kann. Das Eventlog ist mager. Ich muss mir mal Supportdaten von der Box ziehen...

Unter Festnetz ist aktiviert:

- Festnetz Aktiv

Unter Ersatzverbindung ist aktiviert:

- Ersatzverbindungen verwenden

Unter Telefonie Optionen ist das aktivert:

- Faxübertragung auch mit T.38

- Portweiterleitungen des Internet-Routers für Telefonie aktiv halten (5 Min)

Oder vieleich mal mitschneiden, aber wann das ganze ist sehr spontan.

Anfangs dachte ich das würde passieren wenn man ein Fax empfängt oder sendet aber dieses Scenario hab ich nun durchgetestet. Da beibt alles Stabil :/

Die Fritzbox war vorher auch als Modem unterwegs. Da die ja alt ist (gib keine Software mehr) hab ich mich zu dem Oben beschriebenen Scenario entschieden.

Im Test lief das alles auch wunderbar ....
Bitte warten ..
Mitglied: BR0KK85
02.10.2020, aktualisiert um 14:58 Uhr
Also das ganze betrifft nur die eingehenden Anrufe und Faxe....

Ab und an ist die Fritzbox bzw die Nummer einafch nicht erreichbar. Kein Freizeichen und es legt sofort auf

Im Trafic Monitor der Watchguard sehe ich immer mal wieder diese Meldung:

2020-10-02 22:00:29 Deny 217.0.27.160 80.152.XXX.XX sip/udp 5060 5060 TELEKOM Firebox Denied 1439 56 (Unhandled External Packet-00) proc_id="firewall" rc="101" msg_id="3000-0148" Traffic

Ich hatte den Port 5060 allerdings eingehend freigeschaltet ???
Bitte warten ..
Mitglied: aqui
LÖSUNG 02.10.2020 um 15:29 Uhr
Ich hatte den Port 5060 allerdings eingehend freigeschaltet ???
Und auch ein Port Forwarding auf die feste, interne IP der Anlage gemacht ?? Nur freischlaten ist die halbe Miete.
Das sieht klar danach aus als ob der UDP Session Timeout in der Firewall zuschlägt und die dann den UDP 5060 SIP Port schliesst so das von außen nix mehr rein kommt. Erst wenn du wieder einen Call initiiert wird der Port geöffnet und es geht wieder.
Kannst du in der Anlage einen SIP Keepalive konfigurieren ? Ansonsten UDP 5060 Port Forwarding.
Bitte warten ..
Mitglied: BR0KK85
02.10.2020, aktualisiert um 18:33 Uhr
Ja das wirds sein .... Keepalive kann die FRitte denke ich nicht.

Ich hab gerade ein SNAT von der TCOM Leitung an die IP der Fritte geschaltet. Ich denke das hat das Problem gelößt.
Jetzt zeigt der Traficmanager keine roten UDP DENIED Meldungen mehr an.... muss ich jetzt mal beobachten


Jetzt bleibt noch die Frage nach den Ports.... Müssen die alle sein?

Ich sehe im Traffic Manager immer nur 5060 (eingehend) und 3478 (ausgehend)
Bitte warten ..
Mitglied: aqui
LÖSUNG 03.10.2020 um 10:41 Uhr
Müssen die alle sein?
Nein, natürlich nicht ! Leider nutzt aber jeder VoIP Provider unterschiedliche RTP Port Ranges. Da muss man etwas googeln um rauszufinden welche. Es reicht wenn man NUR für das RTP Protokoll diese Port Ranges freigibt. Leider muss es immer eine Range sein, denn RTP nutzt Protokoll bedingt dynamische Ports.
Siehe auch hier:
https://administrator.de/forum/voip-pfsense-ohne-portfreigaben-und-stun- ...
und
https://administrator.de/content/detail.php?id=426334&token=259
Bitte warten ..
Heiß diskutierte Inhalte
Windows Server
Hyper-V Server vs Datacenter?
holliknolliFrageWindows Server26 Kommentare

Hallo, hat jemand Erfahrung mit dem - kostenlosen - Hyper-V-Server? Ich meine, warum teure Lizenzen für Datacenter zahlen, wenn ...

Exchange Server
Zustellbestätigung deaktivieren
defiant01FrageExchange Server12 Kommentare

Hallo, ich stehe vor der Aufgabe bei einem Postfach die Zustellbestätigung für eingehende Mails zu deaktivieren. Der User geht ...

LAN, WAN, Wireless
Spanning Tree Probleme
gelöst predator66FrageLAN, WAN, Wireless12 Kommentare

Hallo, wir haben hier eigenartige Spanningtree Probleme, die wir zur Zeit nicht gelöst bekommen: New Root Port MAC ist ...

Peripheriegeräte
Kaufberatung 32" Monitor mit WQHD Auflösung
gelöst GrueneSosseMitSpeckFragePeripheriegeräte11 Kommentare

Ich wollt mir einen 32" Monitor als 16:9 zulegen, 2560x1440 Pixel (WQHD). muß kein Ultrawide mit 21:9 und curved ...

Notebook & Zubehör
Business Support HP, Dell, Lenovo etc
fuzzyLogicFrageNotebook & Zubehör10 Kommentare

Moin, ich arbeite derzeit fast ausschließlich mit HP und frage mich wie es auf Support Baustelle bei anderen Herstellern ...

Sicherheit
Unbefugtes Öffnen zählt nicht als Einbruch
certifiedit.netInformationSicherheit9 Kommentare

Moin, wenn wir das auf die IT übertragen dürfte kaum ein Einbruch etc unter Einbruch zu definieren sein, immerhin ...

Ähnliche Inhalte
TK-Netze & Geräte
VOIP TK hinter oder neben Fritzbox
sabinesFrageTK-Netze & Geräte11 Kommentare

Hi, ein ehemaliger Kunde aus meiner Selbständigkeit hat zwei Filialen (per VPN verbunden) von denen eine demnächst in ein ...

Router & Routing

MUVPN zu Watchguard T15W hinter Fritzbox 7490 (an Gastzugang)

gelöst henni2008FrageRouter & Routing5 Kommentare

Hallo allerseits, ein Kunde bekommt seinen Internetzugang derzeit über den Vermieter gestellt, dieser hat das Gastzugang auf seiner Fritzbox ...

Router & Routing

VPN: Verbindung von FritzBox (7390) über SSL zum Firmennetzwerk (Watchguard)

gelöst rrobbyyFrageRouter & Routing4 Kommentare

Hallo zusammen, derzeit loggen sich einige Anwender manuell über die Watchguard-VPN-Software mit SSL in unser Netzwerk ein. Dies funktioniert ...

Firewall

Watchguard x750e

uridium69FrageFirewall2 Kommentare

Hallo zusammen Ich weiss, die WatchGuard x750e, ist längt "out of Date", dennoch habe ich mir sie für paar ...

TK-Netze & Geräte

FritzBox 7490 als SIP Client bzw. Nebenstelle an TK-Anlage (AGFEO)

gelöst mko1502FrageTK-Netze & Geräte6 Kommentare

Hallo zusammen, folgendes Szenario soll entstehen. Die FritzBox von Standort A ist mit VPN mit Standort B verbunden. Nun ...

TK-Netze & Geräte

Nutzwertanalyse TK-Anlage

gelöst itf009FrageTK-Netze & Geräte4 Kommentare

Hallo zusammen, für ein Betriebliches Projekt muss ich eine Nutzwertanalyse zwischen 2-TK-Anlagen erstellen. Welche Kriterien würdet Ihr festlegen ? ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT