FritzBox 7490 hinter Mikrotik Routerboard NAT, kein VoiIP
Hallo zusammen,
ich bekomme in meinem Heimnetzwerk mein VoIP nicht zum laufen. Folgendes Setup liegt vor: Vigor 120 ADSL Modem das an einem Mikrotik Routerboard eine PPPoE Verbindung aufbaut und so als WAN Gateway dient. Am Mikrotik Routerboard hängt mein Heimnetz 192.168.0.0/24. Das Interface das sich im Heimnetz befindet hat die IP 192.168.0.254 und dient als Gateway für die Geräte im Heimnetz. Klappt soweit alles sehr gut auch die Firewall mit SRC -NAT im Mikrotik funktioniert.
Im Heimnetz befindet sich noch eine FritzBox 7490 im IP Client Modus. Die Box soll nichts anderes tun als eine VoIP Verbindung zu meinem Anbieter Inexio aufzubauen und dort die Telefonnummern zu registrieren. Vom Anbieter bekomme ich eine öffentliche IPv4, kein Dual Stack Lite oder ähnliches. Wenn ich nun die Zugangsdaten in der FritzBox eintrage meldet die FB in den Logs "Registrierung der Rufnummer nicht erfolgreich, Ursache: Gegenstelle antwortet nicht. Zeitüerschreitung".
Die FritzBox hat aber definitiv Internetzugang, die Prüfung auf Updates klappt und in der Weboberfläche leuchtet der Internetknopf grün.
Folgende Einstellungen wurden noch gesetzt:
- Portweiterleitung des Internet-Routers für Telefonie aktiv halten
- STUN, ich hab mal versucht einen STUN Server zu verwenden: stun.t-online.de Bin mir aber nicht sicher ob das mit fremden VoIP Providern klappt?
Aja wenn die FritzBox des Anbieters die mitgeliefert wird direkt als Router den Verbindungsaufbau macht klappt die VoIP Telefonie. Ich vermute also stark das es am NAT oder so liegt. Mir ist bewusst das ich wegen dem NAT Ports nach außen Öffnen muss.
Auf dem Routerbaord von Mikrotik wurde deswegen UDP Port 5060 und 5061 sowie 7077-7110 per DST NAT auf die IP der FritzBox gemappt. Die Ports habe ich von der AVM Hilfeseite.
Alle geöffneten Ports helfen aber nicht, die FritzBox mag die Nummer nicht registrieren... Bin langsam am verzweifeln! Muss ich in der Forward Chain des Mikrotik noch was freischalten?
Danke für die Hilfe.
Grüße Tobi
ich bekomme in meinem Heimnetzwerk mein VoIP nicht zum laufen. Folgendes Setup liegt vor: Vigor 120 ADSL Modem das an einem Mikrotik Routerboard eine PPPoE Verbindung aufbaut und so als WAN Gateway dient. Am Mikrotik Routerboard hängt mein Heimnetz 192.168.0.0/24. Das Interface das sich im Heimnetz befindet hat die IP 192.168.0.254 und dient als Gateway für die Geräte im Heimnetz. Klappt soweit alles sehr gut auch die Firewall mit SRC -NAT im Mikrotik funktioniert.
Im Heimnetz befindet sich noch eine FritzBox 7490 im IP Client Modus. Die Box soll nichts anderes tun als eine VoIP Verbindung zu meinem Anbieter Inexio aufzubauen und dort die Telefonnummern zu registrieren. Vom Anbieter bekomme ich eine öffentliche IPv4, kein Dual Stack Lite oder ähnliches. Wenn ich nun die Zugangsdaten in der FritzBox eintrage meldet die FB in den Logs "Registrierung der Rufnummer nicht erfolgreich, Ursache: Gegenstelle antwortet nicht. Zeitüerschreitung".
Die FritzBox hat aber definitiv Internetzugang, die Prüfung auf Updates klappt und in der Weboberfläche leuchtet der Internetknopf grün.
Folgende Einstellungen wurden noch gesetzt:
- Portweiterleitung des Internet-Routers für Telefonie aktiv halten
- STUN, ich hab mal versucht einen STUN Server zu verwenden: stun.t-online.de Bin mir aber nicht sicher ob das mit fremden VoIP Providern klappt?
Aja wenn die FritzBox des Anbieters die mitgeliefert wird direkt als Router den Verbindungsaufbau macht klappt die VoIP Telefonie. Ich vermute also stark das es am NAT oder so liegt. Mir ist bewusst das ich wegen dem NAT Ports nach außen Öffnen muss.
Auf dem Routerbaord von Mikrotik wurde deswegen UDP Port 5060 und 5061 sowie 7077-7110 per DST NAT auf die IP der FritzBox gemappt. Die Ports habe ich von der AVM Hilfeseite.
Alle geöffneten Ports helfen aber nicht, die FritzBox mag die Nummer nicht registrieren... Bin langsam am verzweifeln! Muss ich in der Forward Chain des Mikrotik noch was freischalten?
Danke für die Hilfe.
Grüße Tobi
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 317482
Url: https://administrator.de/forum/fritzbox-7490-hinter-mikrotik-routerboard-nat-kein-voiip-317482.html
Ausgedruckt am: 22.12.2024 um 07:12 Uhr
18 Kommentare
Neuester Kommentar
Vermutlich reicht wie immer die Range nicht, denn SIP und RTP nutzen dynamische Port Ranges so das weiterhin SIP geblockt ist.
Nimm testweise mal einen Softclient wie den Phoner:
http://www.phoner.de
und baue damit eine Verbindung zu Inexio auf.
Sehr wahrscheinlich wird das auch scheitern, oder ? Hier hast du aber jetzt die Option mit dem Wireshark mal zu checken warum indem du dir den SIP Sessionaufbau mal genau ansiehst.
Da du ein Modem hast kannst du auch mal den Wireshark zw. WAN Port und Modem einschleifen. Hier siehst du ganz genau was zum Provider rausgeht und vor allen Dingen mit welchen Ports das zurückkommt die dann bei dir in der Firewall hängenbleiben. Der Kabelhai ist also dein bester Freund hier !
Sieh dir zusätzlich in diesem Tutorial mal die weiterführenden Links an unter VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Dort findest du eine Menge hilfreiche Tips welche Port Ranges im Forwarding bei VoIP sinnvoll und hilfreich sind.
Diese Problematik tritt bei allen Firewalls auf die kein internes Application Gateway haben was diese Ports dynamisch öffnet.
Einen fremden STUN Server kannst du niemals verwenden, denn die Provider blocken logischerweise ihre internen Netze komplett gegen jeglichen Voice Traffic zu Mitbewerbern die eigene Voice Netze betreiben. Ausgenommen davon sind reine VoIP Hoster wie SIPgate usw. ohne eigene Infrastruktur.
Das kann also niemals klappen. Du musst wenn schon dann natürlich einen STUN Server von Inexio verwenden. Andere gehen de facto nicht.
Mit STUN kannst du dir dann das ganze Port Forwarding sparen. Das wäre eigentlich das Sinnvollste.
Nimm testweise mal einen Softclient wie den Phoner:
http://www.phoner.de
und baue damit eine Verbindung zu Inexio auf.
Sehr wahrscheinlich wird das auch scheitern, oder ? Hier hast du aber jetzt die Option mit dem Wireshark mal zu checken warum indem du dir den SIP Sessionaufbau mal genau ansiehst.
Da du ein Modem hast kannst du auch mal den Wireshark zw. WAN Port und Modem einschleifen. Hier siehst du ganz genau was zum Provider rausgeht und vor allen Dingen mit welchen Ports das zurückkommt die dann bei dir in der Firewall hängenbleiben. Der Kabelhai ist also dein bester Freund hier !
Sieh dir zusätzlich in diesem Tutorial mal die weiterführenden Links an unter VoIP bzw. Telefonie mit FritzBox oder Anlage hinter pfSense Firewall:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Dort findest du eine Menge hilfreiche Tips welche Port Ranges im Forwarding bei VoIP sinnvoll und hilfreich sind.
Diese Problematik tritt bei allen Firewalls auf die kein internes Application Gateway haben was diese Ports dynamisch öffnet.
Einen fremden STUN Server kannst du niemals verwenden, denn die Provider blocken logischerweise ihre internen Netze komplett gegen jeglichen Voice Traffic zu Mitbewerbern die eigene Voice Netze betreiben. Ausgenommen davon sind reine VoIP Hoster wie SIPgate usw. ohne eigene Infrastruktur.
Das kann also niemals klappen. Du musst wenn schon dann natürlich einen STUN Server von Inexio verwenden. Andere gehen de facto nicht.
Mit STUN kannst du dir dann das ganze Port Forwarding sparen. Das wäre eigentlich das Sinnvollste.
Sieht so aus...
https://www.godo.ch/index.php/2014/01/16/isdn-voip-mit-fritzbox-und-pfse ...
FritzBox7490 hinter der pfsense für VOIP.
http://www.3cx.com/blog/voip-howto/pfsense-firewall/
In den Screenshots der FW Regeln siehst du die relevanten Ports.
https://www.godo.ch/index.php/2014/01/16/isdn-voip-mit-fritzbox-und-pfse ...
FritzBox7490 hinter der pfsense für VOIP.
http://www.3cx.com/blog/voip-howto/pfsense-firewall/
In den Screenshots der FW Regeln siehst du die relevanten Ports.
Der Mikrotik hat auch einen SIP-NAT-Helper an Bord, eventuell steht der auch in Konflikt mit den bestehenden Regeln.
http://wiki.mikrotik.com/wiki/Manual:IP/Services
Das also auch mal checken.
R.
http://wiki.mikrotik.com/wiki/Manual:IP/Services
Das also auch mal checken.
R.
Hey,
ich habe dazu kürzlich ein Video gesehen, allerdings nicht im Zusammenhang mit Mikrotik sondern mit Ubiquiti. Auch hier gab es viele "Probleme" mit der Fritzbox als VOIP Client. Ist hier ganz gut erklärt:
https://idomix.de/fritzbox-als-ip-client-telefonanlage-mit-unifi-securit ...
Eventuell ist das auch dein Problem.
Viele Grüße
Matze
ich habe dazu kürzlich ein Video gesehen, allerdings nicht im Zusammenhang mit Mikrotik sondern mit Ubiquiti. Auch hier gab es viele "Probleme" mit der Fritzbox als VOIP Client. Ist hier ganz gut erklärt:
https://idomix.de/fritzbox-als-ip-client-telefonanlage-mit-unifi-securit ...
Eventuell ist das auch dein Problem.
Viele Grüße
Matze
Hier sind noch ein paar Links:
http://forum.mikrotik.com/viewtopic.php?f=2&t=39101&hilit=sip
http://wiki.mikrotik.com/wiki/Voip
http://forum.mikrotik.com/viewtopic.php?f=2&t=39101&hilit=sip
http://wiki.mikrotik.com/wiki/Voip
Hast du denn auch NAT bzw. das Masquerading deaktiviert ??? Wohl kaum, denn sonst würdest du nicht ins Internet kommen !
Der Knackpunkt ist ja gerade das Masquerading bzw. NAT. Das lässt inbound Sessions ja nicht zu am WAN Port die keine aktive Outbound Session haben die dazu korrespondiert. Ein normales Verhalten bei NAT.
Eine inbound SIP Connection wird also so geblockt. Dafür reicht schon allein NAT.
Ohne einen Sniffer Trace kommst du nicht weiter ! Hast du das schon gemacht.
Schleife also den Kabelhai ein zw. MT und FB und checke ob dort überhaupt inbound SIP Calls reinkommen von außen.
Du stocherst do ohne das nur im Trüben und machst Trial and Error. Klar das das auf die Dauer frustriert.
Der Knackpunkt ist ja gerade das Masquerading bzw. NAT. Das lässt inbound Sessions ja nicht zu am WAN Port die keine aktive Outbound Session haben die dazu korrespondiert. Ein normales Verhalten bei NAT.
Eine inbound SIP Connection wird also so geblockt. Dafür reicht schon allein NAT.
Ohne einen Sniffer Trace kommst du nicht weiter ! Hast du das schon gemacht.
Schleife also den Kabelhai ein zw. MT und FB und checke ob dort überhaupt inbound SIP Calls reinkommen von außen.
Du stocherst do ohne das nur im Trüben und machst Trial and Error. Klar das das auf die Dauer frustriert.
und dann mit dem Wireshark aufzuzeichnen. Klappt auch aber ich konnte nicht direkt einen SIP Verbindungsaufbau erkennen.
Oooops....das wäre aber sehr komisch !! Das würde dann im Endeffekt bedeuten das da gar kein SIP und damit überhaupt keine telefonie ankommt.Das kann aber gar nicht sein...eigentlich.
Das Modem ist ja ein reiner, passiver Medienwandler macht also kein Routing oder irgendwas. Das ganze PPPoE Handling macht ja dein MT.
Das aber ist dann geneua der Punkt !!
Bedenke das alle Pakete dann PPPoE enkapsuliert sind. Du musst im Wireshark also in den PPPoE Header reinsehen was dort für ein IP Paket drin ist. Der TCP oder UDP Port sagt dir das dann.
Wireshark müsste das auch erkennen.
Du kannst wenn du einen Laptop hast dir mit einem preiswerten USB Ethernet Adapter eine Bridge bauen und den Wireshark daran betreiben. So brauchst du keine externen Mirrorports:
Netzwerk Management Server mit Raspberry Pi
Mit Mirrorport gehts natürlich auch....
Wenn du auf dem MT Port Forwarding eingerichtet hast für SIP (TCP 5060) dann sollten aber auch inbound SIP Pakets im lokalen LAN zu sehen sein.
Du forwardest diese ja auf die interne FB IP. Testweise kannst du die FB mal abklemmen und einen Laptop dort anklemmen mit Wireshark und dem Phoner Softclient.
Dann rufst du von außen mal an und checkst ob am LAN Port dort eingehende SIP Pakets kommen.
SIP musst du ersmal sicher forwarden, denn das ist der Call Aufbau. Wenigstens klingelt es dann am Telefon.
Da ist ein Komplett-Reset des Mikrotik angesagt, wenn schon das nicht hin haut.
Was aber sehr verwunderlich ist, setze ich den filter "sip" erscheint kein einziger Eintrag im Wireshark?!
Normal wenn nichts zurück kommt.Zitat von @toby97897:
@131026:
Warum sollte ein Reset des Mikrotik helfen? Das würde mich sehr überraschen...
Bei dem kann es durchaus zu Inkonsistenzen kommen wenn man soviel rum spielt. Wenn ein SIP-Register mit komplett offener FW und Source-NAT mit dem Phoner nicht läuft kann nur was mit der Config am Mikrotik im argen liegen.@131026:
Warum sollte ein Reset des Mikrotik helfen? Das würde mich sehr überraschen...
Ich vermute unter Umständen eine falsche MTU auf dem PPPoE Interface.
Hier klappt das ohne Probleme. Cleane Config nur SRC NAT.