18
FritzBox 7490 hinter Mikrotik Routerboard NAT, kein VoiIP
Hallo zusammen,
ich bekomme in meinem Heimnetzwerk mein VoIP nicht zum laufen. Folgendes Setup liegt vor: Vigor 120 ADSL Modem das an einem Mikrotik Routerboard eine PPPoE Verbindung aufbaut und so als WAN Gateway dient. Am Mikrotik Routerboard hängt mein Heimnetz 192.168.0.0/24. Das Interface das sich im Heimnetz befindet hat die IP 192.168.0.254 und dient als Gateway für die Geräte im Heimnetz. Klappt soweit alles sehr gut auch die Firewall mit SRC -NAT im Mikrotik funktioniert.
Im Heimnetz befindet sich noch eine FritzBox 7490 im IP Client Modus. Die Box soll nichts anderes tun als eine VoIP Verbindung zu meinem Anbieter Inexio aufzubauen und dort die Telefonnummern zu registrieren. Vom Anbieter bekomme ich eine öffentliche IPv4, kein Dual Stack Lite oder ähnliches. Wenn ich nun die Zugangsdaten in der FritzBox eintrage meldet die FB in den Logs "Registrierung der Rufnummer nicht erfolgreich, Ursache: Gegenstelle antwortet nicht. Zeitüerschreitung".
Die FritzBox hat aber definitiv Internetzugang, die Prüfung auf Updates klappt und in der Weboberfläche leuchtet der Internetknopf grün.
Folgende Einstellungen wurden noch gesetzt:
- Portweiterleitung des Internet-Routers für Telefonie aktiv halten
- STUN, ich hab mal versucht einen STUN Server zu verwenden: stun.t-online.de Bin mir aber nicht sicher ob das mit fremden VoIP Providern klappt?
Aja wenn die FritzBox des Anbieters die mitgeliefert wird direkt als Router den Verbindungsaufbau macht klappt die VoIP Telefonie. Ich vermute also stark das es am NAT oder so liegt. Mir ist bewusst das ich wegen dem NAT Ports nach außen Öffnen muss.
Auf dem Routerbaord von Mikrotik wurde deswegen UDP Port 5060 und 5061 sowie 7077-7110 per DST NAT auf die IP der FritzBox gemappt. Die Ports habe ich von der AVM Hilfeseite.
Alle geöffneten Ports helfen aber nicht, die FritzBox mag die Nummer nicht registrieren... Bin langsam am verzweifeln! Muss ich in der Forward Chain des Mikrotik noch was freischalten?
Danke für die Hilfe.
Grüße Tobi
ich bekomme in meinem Heimnetzwerk mein VoIP nicht zum laufen. Folgendes Setup liegt vor: Vigor 120 ADSL Modem das an einem Mikrotik Routerboard eine PPPoE Verbindung aufbaut und so als WAN Gateway dient. Am Mikrotik Routerboard hängt mein Heimnetz 192.168.0.0/24. Das Interface das sich im Heimnetz befindet hat die IP 192.168.0.254 und dient als Gateway für die Geräte im Heimnetz. Klappt soweit alles sehr gut auch die Firewall mit SRC -NAT im Mikrotik funktioniert.
Im Heimnetz befindet sich noch eine FritzBox 7490 im IP Client Modus. Die Box soll nichts anderes tun als eine VoIP Verbindung zu meinem Anbieter Inexio aufzubauen und dort die Telefonnummern zu registrieren. Vom Anbieter bekomme ich eine öffentliche IPv4, kein Dual Stack Lite oder ähnliches. Wenn ich nun die Zugangsdaten in der FritzBox eintrage meldet die FB in den Logs "Registrierung der Rufnummer nicht erfolgreich, Ursache: Gegenstelle antwortet nicht. Zeitüerschreitung".
Die FritzBox hat aber definitiv Internetzugang, die Prüfung auf Updates klappt und in der Weboberfläche leuchtet der Internetknopf grün.
Folgende Einstellungen wurden noch gesetzt:
- Portweiterleitung des Internet-Routers für Telefonie aktiv halten
- STUN, ich hab mal versucht einen STUN Server zu verwenden: stun.t-online.de Bin mir aber nicht sicher ob das mit fremden VoIP Providern klappt?
Aja wenn die FritzBox des Anbieters die mitgeliefert wird direkt als Router den Verbindungsaufbau macht klappt die VoIP Telefonie. Ich vermute also stark das es am NAT oder so liegt. Mir ist bewusst das ich wegen dem NAT Ports nach außen Öffnen muss.
Auf dem Routerbaord von Mikrotik wurde deswegen UDP Port 5060 und 5061 sowie 7077-7110 per DST NAT auf die IP der FritzBox gemappt. Die Ports habe ich von der AVM Hilfeseite.
Alle geöffneten Ports helfen aber nicht, die FritzBox mag die Nummer nicht registrieren... Bin langsam am verzweifeln! Muss ich in der Forward Chain des Mikrotik noch was freischalten?
Danke für die Hilfe.
Grüße Tobi
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 317482
Url: https://administrator.de/contentid/317482
Ausgedruckt am: 21.11.2024 um 23:11 Uhr
18 Kommentare
Neuester Kommentar
Vermutlich reicht wie immer die Range nicht, denn SIP und RTP nutzen dynamische Port Ranges so das weiterhin SIP geblockt ist.
Nimm testweise mal einen Softclient wie den Phoner:
http://www.phoner.de
und baue damit eine Verbindung zu Inexio auf.
Sehr wahrscheinlich wird das auch scheitern, oder ? Hier hast du aber jetzt die Option mit dem Wireshark mal zu checken warum indem du dir den SIP Sessionaufbau mal genau ansiehst.
Da du ein Modem hast kannst du auch mal den Wireshark zw. WAN Port und Modem einschleifen. Hier siehst du ganz genau was zum Provider rausgeht und vor allen Dingen mit welchen Ports das zurückkommt die dann bei dir in der Firewall hängenbleiben. Der Kabelhai ist also dein bester Freund hier !
Sieh dir zusätzlich in diesem Tutorial mal die weiterführenden Links an unter VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Dort findest du eine Menge hilfreiche Tips welche Port Ranges im Forwarding bei VoIP sinnvoll und hilfreich sind.
Diese Problematik tritt bei allen Firewalls auf die kein internes Application Gateway haben was diese Ports dynamisch öffnet.
Einen fremden STUN Server kannst du niemals verwenden, denn die Provider blocken logischerweise ihre internen Netze komplett gegen jeglichen Voice Traffic zu Mitbewerbern die eigene Voice Netze betreiben. Ausgenommen davon sind reine VoIP Hoster wie SIPgate usw. ohne eigene Infrastruktur.
Das kann also niemals klappen. Du musst wenn schon dann natürlich einen STUN Server von Inexio verwenden. Andere gehen de facto nicht.
Mit STUN kannst du dir dann das ganze Port Forwarding sparen. Das wäre eigentlich das Sinnvollste.
Nimm testweise mal einen Softclient wie den Phoner:
http://www.phoner.de
und baue damit eine Verbindung zu Inexio auf.
Sehr wahrscheinlich wird das auch scheitern, oder ? Hier hast du aber jetzt die Option mit dem Wireshark mal zu checken warum indem du dir den SIP Sessionaufbau mal genau ansiehst.
Da du ein Modem hast kannst du auch mal den Wireshark zw. WAN Port und Modem einschleifen. Hier siehst du ganz genau was zum Provider rausgeht und vor allen Dingen mit welchen Ports das zurückkommt die dann bei dir in der Firewall hängenbleiben. Der Kabelhai ist also dein bester Freund hier !
Sieh dir zusätzlich in diesem Tutorial mal die weiterführenden Links an unter VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Dort findest du eine Menge hilfreiche Tips welche Port Ranges im Forwarding bei VoIP sinnvoll und hilfreich sind.
Diese Problematik tritt bei allen Firewalls auf die kein internes Application Gateway haben was diese Ports dynamisch öffnet.
Einen fremden STUN Server kannst du niemals verwenden, denn die Provider blocken logischerweise ihre internen Netze komplett gegen jeglichen Voice Traffic zu Mitbewerbern die eigene Voice Netze betreiben. Ausgenommen davon sind reine VoIP Hoster wie SIPgate usw. ohne eigene Infrastruktur.
Das kann also niemals klappen. Du musst wenn schon dann natürlich einen STUN Server von Inexio verwenden. Andere gehen de facto nicht.
Mit STUN kannst du dir dann das ganze Port Forwarding sparen. Das wäre eigentlich das Sinnvollste.
Ja ich vermute auch schwer die Ports. Den Wireshark werde ich mal einsetzen, was anderes bleibt mir nicht über...
Nein der Softclient funktioniert auch nicht.
Danke für die Link, leider habe ich da nirgends was von den angesprochenen Port Ranges gefunden. Hab ich Tomaten auf den Augen?
Nein der Softclient funktioniert auch nicht.
Danke für die Link, leider habe ich da nirgends was von den angesprochenen Port Ranges gefunden. Hab ich Tomaten auf den Augen?
Sieht so aus... 
https://www.godo.ch/index.php/2014/01/16/isdn-voip-mit-fritzbox-und-pfse ...
FritzBox7490 hinter der pfsense für VOIP.
http://www.3cx.com/blog/voip-howto/pfsense-firewall/
In den Screenshots der FW Regeln siehst du die relevanten Ports.
https://www.godo.ch/index.php/2014/01/16/isdn-voip-mit-fritzbox-und-pfse ...
FritzBox7490 hinter der pfsense für VOIP.
http://www.3cx.com/blog/voip-howto/pfsense-firewall/
In den Screenshots der FW Regeln siehst du die relevanten Ports.
Der Mikrotik hat auch einen SIP-NAT-Helper an Bord, eventuell steht der auch in Konflikt mit den bestehenden Regeln.
http://wiki.mikrotik.com/wiki/Manual:IP/Services
Das also auch mal checken.
R.
http://wiki.mikrotik.com/wiki/Manual:IP/Services
Das also auch mal checken.
R.
Hey,
ich habe dazu kürzlich ein Video gesehen, allerdings nicht im Zusammenhang mit Mikrotik sondern mit Ubiquiti. Auch hier gab es viele "Probleme" mit der Fritzbox als VOIP Client. Ist hier ganz gut erklärt:
https://idomix.de/fritzbox-als-ip-client-telefonanlage-mit-unifi-securit ...
Eventuell ist das auch dein Problem.
Viele Grüße
Matze
ich habe dazu kürzlich ein Video gesehen, allerdings nicht im Zusammenhang mit Mikrotik sondern mit Ubiquiti. Auch hier gab es viele "Probleme" mit der Fritzbox als VOIP Client. Ist hier ganz gut erklärt:
https://idomix.de/fritzbox-als-ip-client-telefonanlage-mit-unifi-securit ...
Eventuell ist das auch dein Problem.
Viele Grüße
Matze
Der SIP-NAT Helper wurde von mir deaktiviert. Jetzt hab ich mir bei Sipgate eine Nummer besorgt und stehe vor dem gleichen Problem. Selbst mit STUN Server... 
Ich muss aber auch zugeben dass ich noch nicht zum Wireshark aufzeichnen gekommen bin, aber das wird der nächste Schritt.
Hier der Mikrotik export:
Ich muss aber auch zugeben dass ich noch nicht zum Wireshark aufzeichnen gekommen bin, aber das wird der nächste Schritt.
Hier der Mikrotik export:
/ip firewall nat
add action=masquerade chain=srcnat comment="NAT Inexio WAN" \
out-interface-list=ListPPPoE_Intf
add action=dst-nat chain=dstnat comment="VoIP FritzBox" dst-port=5060 \
protocol=udp to-addresses=192.168.0.240 to-ports=5060
add action=dst-nat chain=dstnat dst-port=5004 protocol=udp to-addresses=\
192.168.0.240 to-ports=5004
add action=dst-nat chain=dstnat dst-port=3478 protocol=udp to-addresses=\
192.168.0.240 to-ports=3478
add action=dst-nat chain=dstnat dst-port=7078-7085 protocol=udp to-addresses=\
192.168.0.240 to-ports=7078-7085
/ip firewall service-port
set sip disabled=yes
/ip firewall filter
add action=accept chain=forward dst-address=192.168.0.240 in-interface-list=\
ListPPPoE_Intf
add action=accept chain=input comment="ALLOW all ICMP" protocol=icmp
add action=accept chain=input comment=\
"ACCEPT established and related packets on INPUT" connection-state=\
established,related
add action=drop chain=input comment="DROP all from WAN" in-interface-list=\
ListPPPoE_Intf
add action=accept chain=forward comment=\
"Accept established and related packets on FORWARD" connection-state=\
established,related
add action=drop chain=forward comment="DROP all invalid packets" \
connection-state=invalid
add action=drop chain=forward comment="Drop all packets arriving at the WAN in\
terface and traversing the router towards the LAN, unless there's a explic\
it dst-nat rule matching it, i.e. a port forwarding from the router to an \
inside host." connection-nat-state=!dstnat connection-state=new \
in-interface-list=ListPPPoE_Intf
Hier sind noch ein paar Links:
http://forum.mikrotik.com/viewtopic.php?f=2&t=39101&hilit=sip
http://wiki.mikrotik.com/wiki/Voip
http://forum.mikrotik.com/viewtopic.php?f=2&t=39101&hilit=sip
http://wiki.mikrotik.com/wiki/Voip
Hm ich komme nicht weiter bei dem Problem. Was mich aber stutzig macht, ich deaktiviere alle Filterregel im Mirkrotik und trotzdem kann sich die Fritzbox nicht verbinden?!
Das müsste doch gehen oder?
Das müsste doch gehen oder?
Hast du denn auch NAT bzw. das Masquerading deaktiviert ??? Wohl kaum, denn sonst würdest du nicht ins Internet kommen !
Der Knackpunkt ist ja gerade das Masquerading bzw. NAT. Das lässt inbound Sessions ja nicht zu am WAN Port die keine aktive Outbound Session haben die dazu korrespondiert. Ein normales Verhalten bei NAT.
Eine inbound SIP Connection wird also so geblockt. Dafür reicht schon allein NAT.
Ohne einen Sniffer Trace kommst du nicht weiter ! Hast du das schon gemacht.
Schleife also den Kabelhai ein zw. MT und FB und checke ob dort überhaupt inbound SIP Calls reinkommen von außen.
Du stocherst do ohne das nur im Trüben und machst Trial and Error. Klar das das auf die Dauer frustriert.
Der Knackpunkt ist ja gerade das Masquerading bzw. NAT. Das lässt inbound Sessions ja nicht zu am WAN Port die keine aktive Outbound Session haben die dazu korrespondiert. Ein normales Verhalten bei NAT.
Eine inbound SIP Connection wird also so geblockt. Dafür reicht schon allein NAT.
Ohne einen Sniffer Trace kommst du nicht weiter ! Hast du das schon gemacht.
Schleife also den Kabelhai ein zw. MT und FB und checke ob dort überhaupt inbound SIP Calls reinkommen von außen.
Du stocherst do ohne das nur im Trüben und machst Trial and Error. Klar das das auf die Dauer frustriert.
Ja stimmt da hast du Recht. Danke sehr anschaulich erklärt, ich verstehe nun das die Filter nichts helfen...
Einmal habe ich versucht den Mikrotik Port an dem das Modem hängt an einen anderen Port rauszuspiegeln und dann mit dem Wireshark aufzuzeichnen. Klappt auch aber ich konnte nicht direkt einen SIP Verbindungsaufbau erkennen. Möglich das die FritzBox neu gestartet werden muss.
Grundsätzlich sollte der Modem Port aber der richtige für das Mirroring sein oder?
Einmal habe ich versucht den Mikrotik Port an dem das Modem hängt an einen anderen Port rauszuspiegeln und dann mit dem Wireshark aufzuzeichnen. Klappt auch aber ich konnte nicht direkt einen SIP Verbindungsaufbau erkennen. Möglich das die FritzBox neu gestartet werden muss.
Grundsätzlich sollte der Modem Port aber der richtige für das Mirroring sein oder?
und dann mit dem Wireshark aufzuzeichnen. Klappt auch aber ich konnte nicht direkt einen SIP Verbindungsaufbau erkennen.
Oooops....das wäre aber sehr komisch !! Das würde dann im Endeffekt bedeuten das da gar kein SIP und damit überhaupt keine telefonie ankommt.Das kann aber gar nicht sein...eigentlich.
Das Modem ist ja ein reiner, passiver Medienwandler macht also kein Routing oder irgendwas. Das ganze PPPoE Handling macht ja dein MT.
Das aber ist dann geneua der Punkt !!
Bedenke das alle Pakete dann PPPoE enkapsuliert sind. Du musst im Wireshark also in den PPPoE Header reinsehen was dort für ein IP Paket drin ist. Der TCP oder UDP Port sagt dir das dann.
Wireshark müsste das auch erkennen.
Du kannst wenn du einen Laptop hast dir mit einem preiswerten USB Ethernet Adapter eine Bridge bauen und den Wireshark daran betreiben. So brauchst du keine externen Mirrorports:
Netzwerk Management Server mit Raspberry Pi
Mit Mirrorport gehts natürlich auch....
Wenn du auf dem MT Port Forwarding eingerichtet hast für SIP (TCP 5060) dann sollten aber auch inbound SIP Pakets im lokalen LAN zu sehen sein.
Du forwardest diese ja auf die interne FB IP. Testweise kannst du die FB mal abklemmen und einen Laptop dort anklemmen mit Wireshark und dem Phoner Softclient.
Dann rufst du von außen mal an und checkst ob am LAN Port dort eingehende SIP Pakets kommen.
SIP musst du ersmal sicher forwarden, denn das ist der Call Aufbau. Wenigstens klingelt es dann am Telefon.
Jetzt versuche ich mich am Phoner Lite von meinem Windows 7 Rechner aus. Ich sehe im Wireshark das das STUN Protokoll wohl erfolgreich ist.
STUN 130 Binding Success Response MAPPED-ADDRESS: <WANIP>:5060 XOR-MAPPED-ADDRESS: <IP>:5060
Trotzdem zeigt mir der PhonerLite "sipgate, nicht registriert an <REQUEST TIMEOUT>"
Was aber sehr verwunderlich ist, setze ich den filter "sip" erscheint kein einziger Eintrag im Wireshark?! Anmerkung, es wird der Verkehr des Mikrotik Ports gespiegelt in dem mein Heimnetz und somit der PhonerLite hängt.
STUN 130 Binding Success Response MAPPED-ADDRESS: <WANIP>:5060 XOR-MAPPED-ADDRESS: <IP>:5060
Trotzdem zeigt mir der PhonerLite "sipgate, nicht registriert an <REQUEST TIMEOUT>"
Was aber sehr verwunderlich ist, setze ich den filter "sip" erscheint kein einziger Eintrag im Wireshark?! Anmerkung, es wird der Verkehr des Mikrotik Ports gespiegelt in dem mein Heimnetz und somit der PhonerLite hängt.
Da ist ein Komplett-Reset des Mikrotik angesagt, wenn schon das nicht hin haut.
Was aber sehr verwunderlich ist, setze ich den filter "sip" erscheint kein einziger Eintrag im Wireshark?!
Normal wenn nichts zurück kommt.
So nun hab ich nochmal weiter geforscht und den StarTrinity SIP Tester ausgegraben. Mit diesem Tool kann ich auf einem PC im lokalen Netz(wo auch die FritzBox hängt) mich per sipgate registrieren! Und oh Wunder ich sehe auch SIP Pakete im Wireshark.
Status: 200 OK (1 binding)
Warum sehe ich von der FritzBox keine Versuche eine SIP Verbindung aufzubauen?! Ist was mit dem IP Client Modus im argen?
Übrigens, bin nun auf den MirkroTik Packet Sniffer umgestiegen, der tut auch recht schön!
@131026:
Warum sollte ein Reset des Mikrotik helfen? Das würde mich sehr überraschen...
Status: 200 OK (1 binding)
Warum sehe ich von der FritzBox keine Versuche eine SIP Verbindung aufzubauen?! Ist was mit dem IP Client Modus im argen?
Übrigens, bin nun auf den MirkroTik Packet Sniffer umgestiegen, der tut auch recht schön!
@131026:
Warum sollte ein Reset des Mikrotik helfen? Das würde mich sehr überraschen...
Zitat von @toby97897:
@131026:
Warum sollte ein Reset des Mikrotik helfen? Das würde mich sehr überraschen...
Bei dem kann es durchaus zu Inkonsistenzen kommen wenn man soviel rum spielt. Wenn ein SIP-Register mit komplett offener FW und Source-NAT mit dem Phoner nicht läuft kann nur was mit der Config am Mikrotik im argen liegen.@131026:
Warum sollte ein Reset des Mikrotik helfen? Das würde mich sehr überraschen...
Ich vermute unter Umständen eine falsche MTU auf dem PPPoE Interface.
Hm das mit der MTU hatte ich auch schon mal in Erwägung gezogen. Mein PPPoE zeigt eine MTU von 1480 an. Mit einer Mangle Rule wird die TCP MSS angepasst damit sie in das PPPoE Paket passt:
Oh shit das wird aber nicht für UDP gemacht, hier könnte wohl der Hund begraben liegen...?
Hm für UDP wird das wohl nicht gebraucht sagt mir Tante Google.
Mit Wireshark sehe ich das die SIP Register Befehle des PhonerLite den lokalen PC verlassen aber mehr auch nicht. Es kommt definitiv keine Antwort zurück. Anscheinend kommen Sie aber nicht mal am PPPoE/WAN Interface des Mikrotik an denn das überwache ich auch mit dem Wireshark.
19:37:34,015: T: 217.10.79.9:5060 (UDP)
REGISTER sip:sipgate.de SIP/2.0
Das kann ich mir aber noch weniger erklären... Was kann meine UDP Pakete kaputt machen? Hab auch kurzzeitig mal alle Filterregeln ausgeschaltet.
chain=forward action=change-mss new-mss=1440 passthrough=yes tcp-flags=syn protocol=tcp
out-interface-list=ListPPPoE_Intf tcp-mss=1441-65535 log=no log-prefix="" Oh shit das wird aber nicht für UDP gemacht, hier könnte wohl der Hund begraben liegen...?
Hm für UDP wird das wohl nicht gebraucht sagt mir Tante Google.
Mit Wireshark sehe ich das die SIP Register Befehle des PhonerLite den lokalen PC verlassen aber mehr auch nicht. Es kommt definitiv keine Antwort zurück. Anscheinend kommen Sie aber nicht mal am PPPoE/WAN Interface des Mikrotik an denn das überwache ich auch mit dem Wireshark.
19:37:34,015: T: 217.10.79.9:5060 (UDP)
REGISTER sip:sipgate.de SIP/2.0
Das kann ich mir aber noch weniger erklären... Was kann meine UDP Pakete kaputt machen? Hab auch kurzzeitig mal alle Filterregeln ausgeschaltet.
Hier klappt das ohne Probleme. Cleane Config nur SRC NAT.
So ich hab das Ganze nun mit einem parallelen IPv6 Subnetz gelöst. Das wird nur für VoIP verwendet, ohne NAT keine Probleme 
