jtripperz
Goto Top

Fritz!Boxen per VPN gekoppelt, danach kann sich Asterisk nicht mehr zum VoIP Anbieter verbinden. Gründe?

Da dieses mein erster Post ist bedanke ich mich schon mal im Vorraus für alle Antwortenden, diese Plattform hat mir schon sehr oft weitergeholfen und ich hoffe, dass es hier diesmal auch klappt.

Wir haben bei uns in der Firma folgende Situation:
Büros:
Fritz!Box1 (7270) mit IP: 192.168.253.1 / Subnet : 255.255.0.0
TK-Server (Asterisk mit IPTAM Oberfläche) IP: 192.168.1.101 / 255.255.0.0

Lager:
Fritz!Box2 (7270) mit IP: 10.0.0.1 / Subnet: 255.255.255.0

Verbunden sind beide per VPN über das Integrierte Tool. Das klappt auch perfekt.
Aber nach ca. 5 - 50 Minuten ist es dem TK-Server nicht mehr möglich zu unserem VoIP Anbieter zu verbinden. (Status: Request, da TimeOut der Verbindung)
Verbunden wird nach "gw1.extrasip.de". Ein Ping und oder tracert an diese Adresse ist nicht möglich, da das Netz keine Pings zuläßt. Auch ein ändern der Domain in die IP ergab keine Besserung.
Der AVM Support verweist auf die Einstellungen der Asterisk, nur ohne aktiven VPN der zwei Boxen funktioniert das ganze prächtig.

Habe ich da einen Denkfehler im System oder müssen wir uns der "einfachheit" halber einfach einen zweiten DSL Anschluss zulegen, mit dem sich die Box dann zum Provider verbindet.

Auch stehe ich mit dem Entwickler der IPTAM im engen Kontakt, der mir aber auch keinen Fehler aufzeigen konnte,

Über jedweilige Hilfe bin ich sehr dankbar und poste auch gerne alle Logs die evtl. gebraucht werden könnten.

Content-ID: 134817

Url: https://administrator.de/forum/fritzboxen-per-vpn-gekoppelt-danach-kann-sich-asterisk-nicht-mehr-zum-voip-anbieter-verbinden-gruende-134817.html

Ausgedruckt am: 24.12.2024 um 02:12 Uhr

Arch-Stanton
Arch-Stanton 01.02.2010 um 10:08:47 Uhr
Goto Top
eine ziemlich wirre Konstruktion ist das. Warum sind denn nicht alle Geräte in einem Netz? Verbindest Du das Lager über das Internet, also über DSL?

Gruß, Arch Stanton
JTRipperZ
JTRipperZ 01.02.2010 um 11:16:03 Uhr
Goto Top
Das Netz im Büro ist der einfacheren administrierung so eingerichtet.
Die Workstation liegen im 192.168.10.0 Bereich und die Drucker im 192.168.200.0 etc.
Im Lager ist das nicht notwendig, da dort nur ca. 5 Geräte stehen, die im Netzwerk sind.
Das Netz im Lager musste auf das 10er Netz gehen, da lt. Anleitung zur VPN-kopplung von zwei Fritz!Boxen von AVM, die Boxen in verschiedenen IP-Netzen sein müssen.

Beide FritzBoxen sind per DSL verbunden.
Büro: KabelDeutschlandDSL (30.000) und Lager: "normales" DSL (16.000)
Phalanx82
Phalanx82 01.02.2010 um 13:23:13 Uhr
Goto Top
Zitat von @JTRipperZ:
Das Netz im Büro ist der einfacheren administrierung so eingerichtet.
Die Workstation liegen im 192.168.10.0 Bereich und die Drucker im 192.168.200.0 etc.
Im Lager ist das nicht notwendig, da dort nur ca. 5 Geräte stehen, die im Netzwerk sind.
Das Netz im Lager musste auf das 10er Netz gehen, da lt. Anleitung zur VPN-kopplung von zwei Fritz!Boxen von AVM, die Boxen in
verschiedenen IP-Netzen sein müssen.

Beide FritzBoxen sind per DSL verbunden.
Büro: KabelDeutschlandDSL (30.000) und Lager: "normales" DSL (16.000)

Hi,

wenn ich das richtig sehe verbindet ihr die beiden Fritz-Boxen über die DSL Anbindung miteinander?
Wenn dem so ist, überbrückst du imho beide Boxen miteinander übers Internet, lässt aber keinen
Traffic an sich mehr in selbriges abfließen, da nur noch Traffic über den VPN von Box zu Box fließt.

Kannst du noch im Internet surfen oder was runter laden?

Teste das mal und geb hier Bescheid.

Mfg.
aqui
aqui 01.02.2010 um 13:59:34 Uhr
Goto Top
@Phalanx82
Nein, das ist technischer Unsinn ! Er macht ja eine normale VPN Verbindung und jede FB routet sehr wohl lokalen Internet Traffic ins Internet. Es werden lediglich die VPN Netze 192.168.0.0 /26 und 10.0.0.0 /24 über den IPsec VPN Tunnel verbunden. Eine stinknormale VPN Konstruktion soweit.

Ungewöhnlich ist die Verwendung von einer 16 Bit CIDR Maske im Class C 192.168er Netz das sonst 24 Bit Masken vorschreibt. Das könnte eine Gefahrenquelle sein, da längst nicht alle IP Stacks mit CIDR Adressen umgehen können. Vermutlich ist das ein Grund dazu müsste man AVM mal befragen ob die das implementiert haben bzw. damit umgehen können bei VPNs.
Andernfalls ist es auch möglich das du in der VPN Konfig fälschierweise bei den 192.168er IP Adressen eine 24 Bit Maske angegeben hast satt der 16er und damit inkonsistente Subnetzmasken in deinem 192.168.0.0 /16 Netz verwendest.
Unverständlich ist aber auch die Verzögerung mit der der Ausfall passiert. Hättest du ein Routing Problem oder generell ein Problem mit den FBs müsste sofort bei VPN Aufbau der Asterisk die Internet Verbindung verlieren.
Der Asterisk word ja vermutlich über die lokale FB den SIP Provider erreichen. Wenn das wegbricht, was geschieht dann mit anderen Internet Verbindungen bzw. mit einem Ping auf das SIP Gateway gw1.extrasip.de ??? Wird das auch interbrochen ??
JTRipperZ
JTRipperZ 02.02.2010 um 08:18:54 Uhr
Goto Top
So. Weitere Beobachtungen und die "Hilfe" des AVM Supports.

Zitat Support Mail von AVM:

"Bei dem neuen genannten Problem kann ich aber beim besten Willen keinen
Zusammenhang entdecken. Der Aufbau einer VPN-Verbindung ändert von sich aus
ja nichts an der Konfiguration eines Asterisk-Servers. Ich kann Ihnen in
diesem Fall nur empfehlen, die Konfiguration des Asterisk-Servers zu
überprüfen, wann und unter welchen Umständen dieser den Verbindungsaufbau
nicht zulässt.

Freundliche Grüße aus Berlin"

Also kann AVM auch nicht helfen bei dem Problem.

Aber ich hab es weiter eingrenzen können.
In der FritzBox im Büro ist nun der TK-Server testweise als "Exposed Host" am Netz. Und siehe da. Es funktioniert. Jetzt ist nur noch die Frage welche Ports ich genau freischalten muss, damit die Verbindung zum SIP-Provider auch weiter aufgebaut bleibt. Das Problem ist nur, dass der Port 5060 in der FritzBox selber "gebraucht" wird und damit kein Routing auf ein anderes Gerät zuläßt. Aber die IPTAM intern einen Proxy hat, welcher den Port 5060 nicht verwendet, da die Entwickler der IPTAM genau das Problem sahen. Daher wird von der IPTAM der Port 25060 genuzt.

Ich versuche heute noch nen bischen was an den Ports und halte euch auf dem Laufenden.

Für weitere / andere Lösungsansätze bin ich sehr dankbar...

PS: Ein Ping auf gw1.extrasip.de ist generell nicht möglich, da kein aktiver Ping zurückkommt. Und ich muss gestehen, dass ich gestern ein traceroute vom falschen Server ausgeführt habe (putty 3 mal offen) und mich gefreut hatte, dass ein traceroute die ganze Zeit ging. Danach hab ich gleich den "Exposed Host" eingestellt face-smile
aqui
aqui 02.02.2010 um 10:04:32 Uhr
Goto Top
Das ist in so fern sehr verwunderlich da so gut wie alle SIP Provider heutzutage STUN nutzen ! (Session Traversal Utilities for NAT)
http://de.wikipedia.org/wiki/STUN
Ohne STUN ist es sehr schwer für SIP eine NAT Firewall zu überwinden, da SIP revers dynmaische Ports nutzt die den gesamten freien Port Bereich überstreichen. Siehe hier: http://de.wikipedia.org/wiki/Session_Initiation_Protocol
Ggf. ist das STUN bei Asterisk aber einfach nur nicht aktiviert bei dir, was auch möglich ist. Ansonsten solltest du mal das Asterisk HowTo checken ob die SIP Portrange ggf. eingeschränkt ist damit du prüfen kannst auf welchen Bereich du dein Port Forwarding beschränken kannst.
Wie gesagt. Mit aktivem STUN muss es auch ganz ohne Forwarding klappen....
JTRipperZ
JTRipperZ 18.02.2010 um 09:51:33 Uhr
Goto Top
So gelöst.
Danke mit dem STUN Server. Der war eigentlich eingerichtet. Naja die FritzBox scheint das nicht so verknust zu haben.
FritzBox komplett zurückgesetzt und dann komplett neu eingerichtet. Seit dem funktioniert es perfekt.
Soviel dazu, dass es ja nicht die Box sein könnte.
Danke euch!