spartacus
Goto Top

Mikrotik: Voip mit SIP Phones in verschiedenen Subnetzen mit FritzBox

Hallo,
ich habe das Problem, dass ich verschiedene SIP-Clients in unterschiedlichen Subnetzen habe, die mit meinem Server FritzBox7412 keine Verbindung aufbauen können:

Folgendes Setup:
VLAN 20: Sip-Server, FB 7412 (Registrar)
VLAN 20: 4 x Cisco 79xx mit SIP-Firmware
VLAN 10: Softphone Phoner
VLAN 60: Android FritzFon App

Clients, die sich im selben Subnetz befinden, wie der Server, bauen problemlos Verbindungen zu internen und externen Rufnummern auf.
Clients aus den Subnetzten VLAN 10 und VLAN 60 finden den Server (FB7412) nicht.

VLANs sind über Layer 2 separiert und Layer 3 (Drop all) generell separiert VLAN 3 Routing zwischen denn o.a. Subnetzten ist aber über eine FW-Regel erlaubt. Diese funktioniert auch.

add action=accept chain=forward comment=\
    "Allow inter VLAN communication with VLAN friends" dst-address-list=\  
    VlanFriends in-interface-list=LAN src-address-list=VlanFriends

VLAN 10, VLAN 20 und VLAN 60 sind Teilnehmer der Adressliste VLANFriends.

Was genau muss ich noch erlauben, damit Clients in einem anderen Subnetz den Server finden? Hat jemand Erfahrungen damit?

Gruß,
Spartacus

Content-ID: 432652

Url: https://administrator.de/contentid/432652

Printed on: December 9, 2024 at 04:12 o'clock

aqui
aqui Mar 25, 2019 updated at 12:52:03 (UTC)
Goto Top
Wenn du transparent routest ohne NAT musst du logischerweise gar nix eintragen !! Das es jetzt kein Firewall Blocking zwischen den VLANs gibt mal vorausgesetzt !!
In den Cisco Telefonen muss im XML Setup das NAT deaktiviert sein !
Mehr ist nicht zu beachten !
Clients aus den Subnetzten VLAN 10 und VLAN 60 finden den Server (FB7412) nicht.
  • Default Gateways der Endgeräte in den VLANs jeweils auf die VPN IP Adresse des Routers eingestellt ?
  • Können Endgeräte in diesen VLANs die FB 7412 fehlerlos pingen ?
  • Hast du dort irgendwelche Firewall Regeln aktiv zw. diesen VLANs ?? Wenn ja erstmal rausnehmen und die VoIP Funktion wasserdicht testen. Danach kanns nur an den (falschen) Regeln liegen !
Leider gibts du nur häppchenweise hier Infos zum Netzdesign face-sad
Das macht eine zielführende Hilfe nicht gerade einfach !!
Spartacus
Spartacus Mar 25, 2019 updated at 13:42:01 (UTC)
Goto Top
Hi aqui,
danke dass Du nicht verzweifelst und mir antwortest face-smile.
Ich versuche halt immer nur diese Informationen zu posten, die für das aktuelle Thema relevant sind. es ist schwierig hier ein komplettes Setup zu schicken, das schreckt nur ab und macht die Sache unübersichtlich.


zu Deinen Fragen:
  • Die CISCOs laufen ohne Probleme, sind ja im 20er VLAN. Habe ich nur der Vollständigkeit halber erwähnt.
  • Probleme machen die Clients in anderen Subnetzen. Das GW ist hier jeweils auf das Subnetz abgestimmt. e.g. 172.16.10.0/24 hat das GW 172.16.10.1.
  • Ping auf die FB funktioniert aus allen Subnetzen einwandfrei

Weiterhin:
Ich hatte irgendwo gelesen, dass das SIP Protokoll Probleme macht, wenn über Subnetze hinweg kommuniziert werden soll. Angeblich benötigt man einen sog. STUN im selben Netz, wie der Server steht. Das würde bedeuten, dass ich einen STUN in das VLAN20 setzen müsste, wo die Fritte hängt. Allerdings jhabe ich keinen Plan, was so ein STUN macht und wie man diesen zwecks Test mal eben aufsetzten kann.

Ich werde mal alle FW-Regeln abschalten und den WAN Stecker ziehen. Dann müsste ja zumindest die FritzFonApp die Verbindung zur Box aufbauen. Aber ich glaube nicht, dass dies das Problem ist. Die FW-Regeln sind ja bekannt, hatte ich im vorherigen Thread schon gepostet.

Ich melde mich,
Christian

NACHTRAG:
Wie bereits vermutet: Auch nach dem Abschalten aller FW-Regeln wird die FritzBox nicht von der App gefunden. Pack ich das Smartphone ins selbe Subnetz (VLAN 20) klappt es!
aqui
aqui Mar 25, 2019 updated at 13:40:31 (UTC)
Goto Top
Ich hatte irgendwo gelesen, dass das SIP Protokoll Probleme macht, wenn über Subnetze hinweg kommuniziert werden soll.
Nein, das ist kompletter Quatsch solange kein NAT (Adress Translation) im Spiel ist. Das ist es ja (hoffentlich) bei dir in den lokalen VLANs auch nicht ?!
STUN usw. ist einzig nur relevant wenn irgendwo NAT am Werk ist. Siehe dazu auch HIER.
In einem transparent gerouteten L3 Netzwerk ist das kein Thema da spielt es keinerlei Rolle in welchem Subnetz sich SIP Clients und Server befinden. Das ist alles transparent.
Zu 98% hast du dir hier mit einer FW Regel den Ast abgesägt.
Deaktiviere die mal komplett und dann sollte das gehen.
Ein Quercheck hier mit einem Phoner Client an einer FB zeigt das auch sofort.
Ansonsten ist doch der Wireshark immer dein bester Freund face-wink
Spartacus
Spartacus Mar 25, 2019 at 13:58:27 (UTC)
Goto Top
Hi,
hm! wie ich vermutet hatte. Ich habe alle Regeln gelöscht und auch den NAT Bereich deaktiviert. Es geht weder mit Phoner im VLAN 10 noch mit Android in VLAN 60. Beide Clients laufen in VLAN 20

Also WireShark: Die Frage ist nur, wonach suchen bzw. wie müsste ich hier vorgehen?
Christian
Spartacus
Spartacus Mar 25, 2019 at 17:00:35 (UTC)
Goto Top
Hi aqui,
ich habe WireShark mal installiert und es einmal im VLAN10 und einmal im VLAN20 mit PhonerLite laufen lassen.
Als Filter habe ich jeweils die FritzBox-IP gewählt:

VLAN10 Protokoll:
vlan10

VLAN20 Protokoll:
vlan20

Der Unterschied ist m.E. dasss im VLAN20 noch ein IGMPV3 REquest von der FritzBox gesendet wird. Und das passiert im VLAN10 nicht, oder dieser kommt nicht an. IGMP scheint Multicast zu sein. Wegen meiner Sonos Büchsen habe ich PIM bereits aktiv, aber dieses Paket von der Fritzbox hat nur eine TTL von1 und ich meine im Hinterkopf zu haben, dass dies nicht geroutet werden kann, oder muss man hier PIM anders konfigurieren?

Christian
aqui
aqui Mar 25, 2019 updated at 17:58:48 (UTC)
Goto Top
Der Unterschied ist m.E. dasss im VLAN20 noch ein IGMPV3 REquest von der FritzBox gesendet wird.
Das hat mit VoIP nichts zu tun. IGMP wird rein nur für Multicast (IP-TV etc.) verwendet !
Fritzbox hat nur eine TTL von1
Das ist vermutlich mDNS. Das ist dann ein local Multicast mit 224.0.0.251 das nur im lokalen Segment bleibt. Da nützt dir auch PIM nichts face-wink
Aber vergessen...gaaanz andere Baustelle und weit weg von VoIP.
Das nutzt nur SIP und RTP.
Sieh dir mal nur die SIP Fehlermeldungen an !! Die sind doch selbsterklärend !
Diese SIP Clients gibt es entweder gar nicht oder sie sind nicht authorisiert ! (User/Pass Fehler)
Das hat doch dann logischerweise rein gar nichts mit dem Netzwerk zu tun. Geroutet wird das ja fehlerfrei.
Du hast ein Konfig Problem in der Applikation selber !
Nimm einen Client der lokal fehlerfrei funktioniert und platziere den dann mal in einem anderen IP Netz.
Vermutlich funktionieren die o.a. gesnifferten Clients auch lokal gar nicht, da die SIP Authentisierung am Server grundsätzlich scheitert ?!
Irgendwas war da mit der FritzBox das die SIP Clients immer Usernamen identisch zur Nummer haben mussten oder sowas.
Das hier:
https://www.heise.de/select/ct/2017/14/1499100639264556
und die Kommentare dort beschreiben das.
Spartacus
Spartacus Mar 25, 2019 at 19:14:28 (UTC)
Goto Top
Hi aqui,
wenn ich den selben SIP Client mit der selben Konfiguration ins VLAN20 hänge, kann ich telefonieren. Wie soll das an der Konfiguration von Server oder Clinet liegen,? Sorry, das verstehe ich nicht! Und wenn Du Dir den Wireshark - Auszug genau ansiehst, dann stellst Du fest, dass sich Client und Server beim 2.ten bzw. 3.ten Versuch finden und es mit "Status: ok" quittieren.

Mein PhonerLite Client ist auf einem USB-Stick und die Konfiguration ist dort gespeichert. Daher verwende ich in allen Subnetzen die gleichen Konfiguration ( 172.16.20.101im VLAN20 und 172.16.10.20 im VLAN10; Fritzbox hat die 172.16.20.10). Alle diese clients sind über Kabel angebunden.

Auch mein Smartphone loggt mit der FritzFonApp loggt sich nur ein, wenn ich es im WLAN (VLAN 20) betriebe. Im VLAN 60 finden die App den Server nicht.

Meines Erachtens ist eine falsche Konfiguration von SIP-Server und SIP Client auszuschließen. Es muss etwas anders geben. Und der einzige Unterschied in beiden Wireshark- Mitschnitten ist der Multicast Request.

Christian
LordGurke
LordGurke Mar 26, 2019 updated at 01:01:05 (UTC)
Goto Top
Es liegt mit 100% iger Sicherheit NICHT an dem Multicast-Request. SIP arbeitet nicht auf Multicast. (2)
Und am Routing wie an der Firewall sollte es auch nicht liegen - denn du hast ja bewiesen, dass sich Client und Server unterhalten - bidirektionale Kommunikation ist also ebenfalls vorhanden.

Jetzt müssten wir vielleicht einfach mal klären, was "funktioniert nicht" konkret bedeutet.
Zumindest Phoner ist ordentliche Software und zeigt Fehlermeldungen an.

Was passiert denn, wenn du Phoner in ein VLAN != VLAN 20 hängst?
Kann Phoner sich registrieren (unten links im Fenster leuchtet ein grüner Punkt)?
Falls ja: Kannst du Anrufe starten resp. bekommst du eingehende Anrufe signalisiert?
Falls ja: Besteht eine Audioverbindung in beide Richtungen?

Was genau ist der Fehler, der auftritt?

Dass die Registrierung scheinbar funktioniert, sehe ich aus deinem Wireshark-Screenshot.
Daher verstehe ich nicht, was nicht funktionieren soll.
Vielleicht magst du einmal konkret benennen, was exakt nicht funktioniert und vielleicht davon auch nochmal einen Wireshark-Dump anfertigen.

Bis hierher können wir aber sicher sagen:
Da wir eine SIP-Kommunikation sehen, die augenscheinlich fehlerfrei läuft, können wir Routing, Firewall und sonstiges getrost ausschließen.


(2) Ja, wenn jetzt jemand kommt und mich belehrt, dass es sehr wohl SIP über Multicast gibt: Ja, das gibt es in professionellen Umgebungen. Nicht bei einer FritzBox face-wink
Spartacus
Spartacus Mar 26, 2019 at 06:44:59 (UTC)
Goto Top
Hallo zusammen,
nochmals Besten Dank, dass ihr mich nicht im Regen stehen lasst. Ich schätze den Support sehr, da ich auch nicht ganz so fit in solchen Sachen bin.

Zum Aufbau:
Der Mikrotik ist der zentrale Router im Netzwerk und stellt die div. Subnetze im Heimnetz bereit.
Die FB 7412 dient hier lediglich als Telefonanlage hinter dem Mikrotik und stellt DECT und SIP Telefonie (VLAN20) bereit.

Es gibt u.a. einen Windows Clients, der via Phoner an die Fritzbox-SIP TElefonie angebunden ist. Sobald ich diesen aber in ein VLAN != 20 hänge, registriert sich Phoner nicht mehr (siehe Screenshot).

Mit den Einstellungen habe ich schon rumgespielt. Das ändert nichts. Allerdings kann ich definitiv sagen, dass Phoner sich registriert (grüner Punkt) und ich telefonieren kann, sobald ich den PC ins VLAN20 hänge.

phoner

Das mit dem Multicast ist aber komisch. Die Fritte macht hier wirklich nur Telefonie. Aller andere ist abgeschaltet. Auch das WLAN.

Hier noch die FB7412-Einstellungen:
fb7412

Vielleicht habt ihr noch eine Idee, an welcher Schraube man Drehen muss.

Danke Euch,
Christian
LordGurke
LordGurke Mar 26, 2019 at 08:03:30 (UTC)
Goto Top
Wenn Phoner "Not found" sagt, meint er damit, dass der Server genau das zurückgemeldet hat face-wink

Auf die Schraube, an der du drehen musst, zeigst du vermutlich im zweiten Screenshot bereits mit dem Cursor: Aktiviere mal das Häkchen, dass sich die Clients aus dem Internet registrieren dürfen. Für die FritzBox ist alles, was nicht ihr eigenes Subnetz ist, "das Internet".
Spartacus
Spartacus Mar 26, 2019 at 08:49:35 (UTC)
Goto Top
Hi LordGurke,
whow! Das war es! Zumindest Phoner funktioniert jetzt. Die Fritz!AppFon kommt damit aber weiterhin nicht klar. Sie meldet sich nicht an. Möglicherweise läuft die Anmeldung damit anders. Dazu noch eine Idee? Ich habe für diesen Android-Client auch die "Anmeldung aus dem Internet erlauben" angewählt. Oder gibt es eine alternative Software für Android, die man nehmen könnte?

Christian
aqui
aqui Mar 26, 2019 at 09:04:17 (UTC)
Goto Top
Spartacus
Spartacus Mar 26, 2019 at 09:28:29 (UTC)
Goto Top
Hi aqui,
danke Dir probier ich aus, habe dann leider das Telefonbuch der Fritte nicht (nehme ich an).

@all:
ich habe noch mal den Sniffer bei der Anmeldung der Fritz!AppFon mitlaufen lassen und da passiert offenbar nix über SIP. Kann damit jemand etwas anfangen?

Verbindungsaufbau der App im VLAN20 (Registrierung mit Fritzbox ok):
vlan20-android

Verbindungsaufbau der App im VLAN60 (Registrierung mit Fritzbox nok):
vlan60-android

Was passiert da?

Christian
aqui
aqui Mar 26, 2019 updated at 09:41:42 (UTC)
Goto Top
Was passiert da?
Gar nichts !!! Das siehst du ja selber ! SSDP ist ein Service Discovery Protokoll und hat mit VoIP per se rein gar nix zu tun.
Die App sendet nicht einmal einen SIP Request raus, die reagiert also rein gar nicht in Bezug auf VoIP. Einen VoIP Call initiierst du aber schon mit der App, oder ?
Bist du dir sicher das du die richtige IP Adresse als SIP Server konfiguriert hast ??
Oder misst du mit dem Wireshark schlicht am falschen Port ?
Kannst du ja sehen wenn du dir mal die HE Tools: https://play.google.com/store/apps/details?id=net.he.networktools&hl ...
auf deine Android Gruselgurke installierst und mal pingst. Dann solltest du ja im Wireshark jedenfalls ICMP Echos und die Echo Replys sehen von der FB wenn du diese pingst. Das würde dir dann zeigen dasa du wenigstens am richtigen Port snifferst !!!
Spartacus
Spartacus Mar 26, 2019 at 11:10:17 (UTC)
Goto Top
Hi aqui,
wir drehen uns etwas im Kreis. Wie schon erwähnt, funktioniert die App im gleichen Subnetz sofort. Es liegt nicht an der Konfiguration oder der falschen IP-Adresse. Ich vermute hier, dass die App gar nicht über SIP kommuniziert, sondern die Telefonie anders regelt.
Im Wireshark filtere ich nur auf die IP-Adresse des Smartphones und schränke keine Protokolle ein. Der Sniffer läuft auch jeweils im selben Subnetz wie das Smartphone...kann es denn wirklich nicht sein, dass die Kommunikation zwischen AVM FritzBox und AVM App gar nicht über SIP läuft?

Christian.
aqui
aqui Mar 26, 2019 at 13:32:03 (UTC)
Goto Top
Der Sniffer läuft auch jeweils im selben Subnetz wie das Smartphone...
Hoffentlich dann mit einem Monitor Port am Switch ??!!
Wenn du den da nur so angeklemmt hast, dann kann er natürlich den Smatrphone zu FB Traffic niemals mitschneiden. Logisch, denn der Switch forwardet ja nur Mac Adress spezifisch.
Ohne Mirror Port siehst du dann nur die Broadcast Pakete im netz face-sad
Guckst du auch hier:
https://www.heise.de/ct/artikel/Fehler-erschnueffeln-221587.html
Kapitel: Hardware aufsetzen
Vermutlich hast du also gar keinen Traffic mitgesniffert..?!
Sonst kann es nur so sein das das Ziel keine Pakete aus fremden IP netzen annimmt. Die FB verhält sich ja etwas krank dazu wie Kollege @LordGurke oben schon aufgeführt hat.
Wenn der SIP Server dann natürlich so einen Unsinn macht und sich nicht wirklich IP konform verhält oder andere (Sicherheits) Mechanismen hat musst du natürlich dort ansetzen und NICHT am Netzwerk.
dass die Kommunikation zwischen AVM FritzBox und AVM App gar nicht über SIP läuft?
Dürfte wohl ausgeschlossen sein da AVM ja vollständig SIP basiert ist.
Fehler ist zu 98% deine falsche Sniffer Anordnung so das du gar nichts vom relevanten Traffic siehst.
Denk mal in Ruhe drüber nach wie ein Switch funktioniert face-wink !
https://www.elektronik-kompendium.de/sites/net/0811021.htm
Spartacus
Spartacus Mar 26, 2019 at 15:58:05 (UTC)
Goto Top
Moin,
ok, da wirst Du wohl recht haben! Dann muss ich an dieser Stelle wohl aufgeben, da ich mit meinen Mitteln keine Chance, den tatsächlichen Verkehr mitzuschneiden.

Was ich noch gemacht habe ist, eine Support-Anfrage an AVM gestellt. die sollten ja wissen, wie die Kommunikation zwischen App und Box abläuft.
Schauen wir mal, ob das ggf. was bringt.

Danke und Gruß,
Christian
Spartacus
Spartacus Mar 26, 2019 updated at 16:38:07 (UTC)
Goto Top
Hallo,
ich habe doch noch eine Chance. Der Cisco SG200 kann Portspiegelung. Die FB hängt auf Port 22 und den habe ich nach Port 15 gespiegelt. An Port 15 habe ich meinen PC und Wireshark läuft. Zumindest kann ich jetzt sehen, dass sich das Android Phone registriert, wenn es im VLAN20 läuft. Das heisst, den "Gut"-Fall kann ich aufzeichnen.

Für den "schlecht"-Fall müsste ich ja VLAN 60 mitschneiden, oder?
Ich weiß jetzt aber nicht, wie ich am Cisco das VLAN 60 (WLAN über den cAP AC) mitschneiden kann. Der cAP hängt an einem Trunk Port auch auf dem SG200. Soll ich diesen jetzt einfach spiegeln und dann das VLAN60 abgreifen? Oder ist das Blödsinn von der Vorgehensweise her.
Danke Euch,
Christian

NACHTRAG:
ich kann mir nicht helfen, aber ich habe immer noch den eindruck, die App versucht die FB über einen Multicast Request zu finden, bevor die Registrierung läuft. Im Verlauf habe ich mal die ersten Zeilen nach dem Start der App mitgeschnitten und es kommt ziemlich zu Anfang ein IGMPV2 Paket vom Handy, welches die FB bestätigt. Und dann werden zig Daten über TCP ausgetauscht und viel später kommt dann die SIP Registrierung.

Das IGMP Paket hat aber nur eine TTL von 1.

avm
aqui
aqui Mar 26, 2019 at 19:00:31 (UTC)
Goto Top
ch habe doch noch eine Chance. Der Cisco SG200 kann Portspiegelung.
Wollt ich grade sagen...du hast doch einen Switch der den Namen auch verdient face-wink
ch weiß jetzt aber nicht, wie ich am Cisco das VLAN 60 (WLAN über den cAP AC) mitschneiden kann
Auch das ist doch kinderleicht...
Du hast 2 Optionen...
  • Entweder spigelst du den cAP Port also da wo der Client ist.
  • Oder am FritzBox Port speiegeln also am Server.
An beiden Seiten siehst du ja die Kommunikation.
Den Trunk Port kannst du natürlich auch spiegeln. Hier kannst du dann sogar die VLAN Tags in den Paketen sehen !
Hier als Beispil mal VLAN 14 Tag:
vlansniff14
Du bist da also genau auf dem richtigen Weg !
ch habe immer noch den eindruck, die App versucht die FB über einen Multicast Request zu finden, bevor die Registrierung läuft
Nein, das ist Unsinn. Multicasting wird im VoIP Umfeld nicht genutzt !
Kannst du doch auch selber am Sniffer Trace sehen. Mach das Paket auf und sieh rein !
Die Multicast Gruppe 239.255.255.250 wird von SSDP genutzt. Damit machen sich Dienste im lokalen LAN bekannt:
https://de.wikipedia.org/wiki/Simple_Service_Discovery_Protocol
Das TTL von 1 zeigt das diese Annoucements nur lokal bleiben. Sie können also NICHT geroutet werden.
Gesetzt den Fall du hättest Recht würde durch die nicht mögliche Routing Fähigkeit keine SSDP in andere Segmente kommen.
Abgesehen davon wäre für das Routen von Multicast PIM notwenig was die FB gar nicht supportet.
Vergiss das also und entspann dich das hat mit VoIP nix zu tun face-wink
Spartacus
Spartacus Mar 26, 2019 at 21:29:46 (UTC)
Goto Top
Hallo,
ja, vielleicht hast Du recht, aber so richtig leuchtet mir das noch nicht ein!
Der Mitschnitt (beide Geräte in VLAN 20) zeigt ja deutlich, dass erst dieses Multicast Paket kommt und anschließend eine Registrierung über SIP stattfindet (hatte den Ausschnitt nicht gepostet, aber die Abfolge ist ähnlich wie bei der Registrierung von Phoner).


Ich habe jetzt noch Folgendes gemacht:

Ich habe das Smartphone von VLAN 20 in VLAN 60 gehängt und den gespiegelten Port der FritzBox (VLAN 20) mitgeschnitten. Starte ich jetzt die App auf dem Smartphone erneut, kommt rein gar nichts im VLAN 20, und somit auf der Fritte, an. Nicht ein Paket!

Ich habe anschließend das VLAN 60 gespiegelt und wieder den Start der FritzAppFon mitgeschnitten..Ziemlich zu Anfang kommt wieder dieses MultiCast Paket vom Smartphone und dann kommen eigentlich nur zahlreiche HTTP, TLS Protokoll-Pakete. Kein Paket, was irgendein SIP Protokoll enthält.

Auch wenn ich damit nerve, aber:
Die App versucht m.E. die FritzBox über einen Rundruf zu suchen, findet aber nichts und daher kann sich die App auch nicht an der Box anmelden. Ich habe einfach keine andere Erklärung für dieses Verhalten. und bin mal gespannt, was der AVM Support antworten wird.

Aber mal btw:
Wenn man die App zum ersten Mal (d.h. ohne Grund- bzw. Serverkonfiguration) startet, meldet die App automatisch, dass sie eine FritzBox gefunden hat und möchte diese automatisch einrichten. Das schreit doch förmlich danach, dass die App sich den Server automatisch sucht, wenn keine Konfiguration gespeichert ist. Und diese Suche/dieser Rundruf geht halt nicht über den Router!

Inzwischen habe ich das Android-eigene SIP Phone aktiviert und es funktioniert auch sehr gut in VLAN 60. Da mein Telefonbuch sowieso über Google gesyncht wird, ist das eine Alternative zur AVM-App. Aber mich fuchst es maßlos, dass ich diese App nicht zum Fliegen kriege!

Wenn Du noch eine Idee hast, lass es mich wissen!
Gruß,
Christian
LordGurke
LordGurke Mar 27, 2019 at 08:22:23 (UTC)
Goto Top
Vermutlich wird die App per Multicast nach FritzBoxen suchen und sie darüber finden. Und eventuell wird sie sich dann zukünftig auch auf Hostnames (z.B. über mDNS) verlassen um die "bekannte" Box zu finden.

Die Frage ist, ob man der App auch statische eine Konfiguration verpassen kann, damit eben kein Multicast benötigt wird.
Da ich diese App nicht kenne, weiß ich nicht mal, ob die tatsächlich auf SIP setzt oder ob da irgendein anderes krudes Protokoll von AVM implementiert wurde.

Abschnitt 5 hier suggeriert zumindest, dass das gehen müsste:
https://avm.de/service/fritzapps/fritzapp-fon/wissensdatenbank/publicati ...
aqui
aqui Mar 27, 2019 updated at 08:37:30 (UTC)
Goto Top
Das hört sich so an als wenn dein Smartphone gar nicht in dem entsprechenden VLAN 20 oder 60 ist ?
Fragt sich WIE du das Smartphone in dieses VLAN bringst ? Möglich also das schin grundsätzlich was dort falsch läuft ??
Wie bereits mehrfach gesagt: Einfacher Test ist wenn du vom Smartphone mit den oben genennten HE-Tools einfach mal die FB anpingst. Da "siehst" du im Sniffer doch immer die ICMP Echo und Echo Reply Pakete und kannst dann ganz sicher sein das du im richtigen Segment bist. Hast du das verher verifiziert ?

Wie der Lord oben auch schon zu recht vermutet ist anzunehmen das sich die FB bzw. der Client über ein lokales SSDP Multicast untereinander bekannt machen. Das ist sogar zwingend wenn du in der Fritz Fone App NICHT den SIP Server, sprich die FB, statisch mit ihere IP oder Hostnamen konfiguriert hast.
Ein SIP Telefonie Client muss ja zwingend immer wissen wo er hinmuss und das muss man ihm logischerweise konfigurieren wie man das an SIP Clients wie dem oben zitierten Zoiper ja auch macht und auch an allen VoIP Telefonen.
Hast du das nicht gemacht kann die Übermittlung der IP Adresse der FB dann nur automatisch passieren, und dann vermutlich mit dem SSDP Multicast oben. Das wäre nicht ungewöhnlich. AVM macht das vermutlich damit DAUs, die ja deren Hauptclientel sind, sich nicht mit für sie kryptischen IP Adressen rumschlagen müssen. Macht also Sinn...
Da das SSDP Multicast mit 239.255.255.250 aber ein site-local Multicast Frame (TTL=1) ist kann der nicht geroutet werden.
Gesetzt den Fall also FritzBox und Client machen sich mit SSDP bekannt was zu vermuten ist würden die sich niemals zu "sehen" bekommen wenn sie in unterschiedlichen Subnetzen sind. Klar, denn sie haben keinen Kontakt via SSDP um ihre IP Adressen untereinander bekannt zu machen.
Lösung kann dann nur sein das man in der Phone App die FritzBox als SIP Server statisch definiert mit iherer IP Adresse.
Wenn AVM das nicht vorsieht ist das Pech. Da es aber auch über ein geroutetes ! VPN funktioniert bei AVM muss es also auch mit einer statischen Zuweisung gehen !!!
Vielleicht hilft dir ja die Anleitung wie man es fürs VPN einrichtet ?! Es ist in jedem Falle KEIN Netzwerkproblem sondern eins der Anwendung ! Soviel ist sicher...!

  • Das Telefoniegerät in der FB, mit dem sich die Fon App verbinden soll, wurde manuell mit "Neues Gerät einrichten" angelegt und mit Benutzernamen und Passwort belegt. Die Option "Anmeldung aus dem Internet erlauben" muss nicht aktiviert werden, wenn die Fon App über eine VPN-Verbindung Verbindung sucht.
  • Die erste Verbindung der Fon App mit diesem neuen Telefoniegerät geschieht aus dem Heimnetz (s. Schritt 5).
  • In der FB ist im Reiter "Anmeldung im Heimnetz" die Option "Anmeldung mit FRITZ!Box-Benutzernamen und Kennwort" ausgewählt und ein Benutzer mit Admin-Rechten wurde im Reiter "Benutzer" angelegt. Dieser Benutzer wird in der Fon App zur Verbindung mit der FB verwendet.
  • Nach Einrichtung des Admin-Benutzers und der obigen Anmeldeoption werden die Anmeldedaten in der Fon App für diese FB gelöscht. Dann wird die Fon App mit der FB neu verbunden mit Benutzer/Passwort aus Schritt 3.
  • Nach der ersten Verbindung der Fon App mit der FB wird das im ersten Schritt angelegte Telefoniegerät in der Fon App ausgewählt. Das findet wieder erst mal im Heimnetz statt
  • Jetzt kann man die Fon App über die VPN-Verbindung testen..
Siehe auch: https://avm.de/service/fritzapps/fritzapp-fon/wissensdatenbank/publicati ...
Spartacus
Spartacus Mar 27, 2019 at 10:56:18 (UTC)
Goto Top
Hi,
ich habe alles versucht in der App einzustellen. Bislang ohne erfolg. Warten wir mal "app" was AVM so antwortet. Komischerweise ist die FritzAppFon nicht mehr im Playstore. Zumindest konnte ich sie nicht mehr finden.

Gruß,
Christian
aqui
aqui Mar 27, 2019 at 12:46:39 (UTC)
Goto Top
...was ja schon verdächtig ist !
Wenn die kein Subnetting kann ist sie eh unbrauchbar, denn das Abtrennen des Voice VLANs ist ja Standard im netzwerk.
Spartacus
Spartacus Mar 27, 2019 at 17:09:56 (UTC)
Goto Top
Hallo,
ich habe noch einmal die AVM-Anleitung für den VPN Betrieb durchgearbeitet und es bleibt dabei. Die APP läuft in einem anderen Subnetz nicht.
Das Smartphone ist korrekt in VLAN 60 eingebucht, ein Ping auf die Fritte geht.

Die Antwort von AVM kann man sich auch schenken, sie sagen nur, dass ein solcher Betrieb nicht vorgesessen ist. Da hätte ich etwas mehr erwartet. Ich habe AVM noch einmal geantwortet. Vielleicht kommt ja noch was zurück, dann gebe ich Feedback.

Andernfalls könne wir können das Thema hier beenden. Mit dem android-eigenen SIP Client und mit Phoner unter Windows läuft es ja und dann bleibe ich halt dabei.

Nochmals vielen Dank an aqui und LordGurke (schöner Name), die sich sehr bemüht haben, mir das Network 1x1 beizubringen. Ich würde mich freuen, wenn ich weiterhin meine technischen Problemchen hier im Forum teilen darf.

Gruß,
Christian
Spartacus
Spartacus Mar 27, 2019 updated at 21:03:43 (UTC)
Goto Top
Guten Abend,
da bin ich doch noch mal zurück. Es gibt doch noch ein Problem mit dem Android SIP-Client:
Er registriert sich zwar, verliert dann aber nach einigen Minuten die Verbindung und schafft es nicht mehr sich erneut zu registrieren.
Irgendwann geht es dann plötzlich wieder, aber nur für kurze Zeit. Da gibt es offenbar noch ein Problem

Fehlermeldung: 408 Timeout:
Ich habe auch schon in der Fritzbox die "Portweiterleitung aktiv halten" gesetzt, aber das bringt leider auch nichts.

fb7412

Phoner hat dieses Problem nicht. Kann auch daran liegen, dass Phoner nicht im WLAN über einen cAP läuft. Der PC ist via Draht an den Cisco SG200 angebunden.

Spontan noch ne Idee?
Christian
Spartacus
Spartacus Mar 28, 2019 at 12:44:10 (UTC)
Goto Top
Hallo,
AVM wird hier keine aussage zu machen, warum die App nicht funktioniert. Auf meine konkreten Fragen gehen sie nicht ein. Daher wird das keine Option mehr sein.

Ich würde allerdings das Thema noch mal aufgreifen wollen, um das aktuelle Timing Problem mit dem Android SIP Client zu lösen. Hat noch jemad eine Idee?

Ich habe mir auch Zoiper mal geladen, aber offenbar benötigt man eine Registrierung um den Client zu nutzen. Gib es auch frei SIP Clients, die man so nutzen kann? Der Android Client hat den Vorteil, dass er auf das zentrale Telefonbuch zugreift.

Danke und Gruß,
Christian
aqui
aqui Apr 02, 2019 updated at 10:58:54 (UTC)
Goto Top
Ab Android 4.x hat Android einen SIP Client schon gleich mit an Bord !
https://app.sipgatebasic.de/konfiguration/163/android-softphones-integri ...
Ansonsten gibt es unendlich viele:
https://play.google.com/store/search?q=sip&c=apps&authuser
Spartacus
Spartacus Apr 02, 2019 at 14:40:36 (UTC)
Goto Top
Hi aqui,
ja, ich nutze aktuell sowohl den internen Android SIP-Client als auch den Zoiper. Beide funktionieren so halbwegs. Es kommt aber immer wieder zu Störungen, wie z.B. Registrierung schlägt fehl nach einiger Zeit, oder das bei einem Anruf diese SIP Clients nicht aufhören zu klingeln. Sauber läuft nur Phoner.

Da Phoner aber im kabelgebundenen VLAN läuft, glaube ich, dass ich ein Problem mit der cAP-Konfiguration habe. Ich habe auch festgestellt, dass die cAP ACs sich von Zeit zu Zeit aufhängen. Dann löse ich über den CAPSMAN ein "Provisioning" aus und die WLANs laufen wieder sauber. Hast Du eine Idee, wo man da anfangen könnte?, den Fehler einzugrenzen?

Danke Dir,
Christian
aqui
aqui Apr 03, 2019 at 08:48:02 (UTC)
Goto Top
Aktuelle Firmware hast du geflasht ?
Spartacus
Spartacus Apr 03, 2019 at 15:33:53 (UTC)
Goto Top
Hi aqui,
ja, auf allen Kisten läuft 6.44.1. Gibt es hier ggf. ein Tutorial oder "Best Practice" wie man seine cAPs am Besten einrichtet und über CAPSMAN verwaltet? Ich habe die Dinger über einen Cisco TrunkPort angeknüpft und stelle somit alle VLANs über Eth1 bereit.

zur Info mal die Konfiguration eines der beiden cAPs, vielleicht fällt hier ja was auf. Die CAPSMAN Konfig könnte ich aber auch noch posten, oder soll ich ein neues Thema aufmachen?

# apr/03/2019 17:27:00 by RouterOS 6.44.1
# software id = LJ02-VMSK
#
# model = RouterBOARD cAP Gi-5acD2nD
# serial number = xxxxxxxxxxx
/interface bridge
add admin-mac=64:D1:54:xx:xx:xx auto-mac=no comment=defconf name=bridgeLocal

/interface wireless
# managed by CAPsMAN
# channel: 2412/20-Ce/gn(20dBm), SSID: C3PO, local forwarding
set [ find default-name=wlan1 ] disabled=no ssid=MikroTik
# managed by CAPsMAN
# channel: 5180/20-Ceee/ac(23dBm), SSID: C3PO, local forwarding
set [ find default-name=wlan2 ] disabled=no ssid=MikroTik

/interface ethernet
set [ find default-name=ether1 ] speed=100Mbps
set [ find default-name=ether2 ] speed=100Mbps

/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot

/interface bridge port
add bridge=bridgeLocal comment=defconf interface=ether1
add bridge=bridgeLocal comment=defconf interface=ether2

/interface wireless cap
# 
set bridge=bridgeLocal certificate=request discovery-interfaces=bridgeLocal \
    enabled=yes interfaces=wlan1,wlan2 lock-to-caps-man=yes

	/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid disabled=no interface=\
    bridgeLocal

/ip ssh
set allow-none-crypto=yes

/system clock
set time-zone-name=Europe/Berlin

/system leds settings
set all-leds-off=after-1min
aqui
aqui Apr 03, 2019 at 16:09:53 (UTC)
Goto Top
Was soll ein "Cisco Trunk Port" sein in deinem Verständnis ? Ein normaler Tagged Link ?
Das ist dann richtig wenn du mit MSSIDs arbeitest, also mehrere WLANs auf dem AP aufspannst.
Nutzt du denn einen Cisco Switch ?
Letztlich aber egal, denn es ist richtig bei MSSIDs.
Wie man eine simple Grundkonfig damit macht kannst du hier nachlesen:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Spartacus
Spartacus Apr 03, 2019 at 16:31:45 (UTC)
Goto Top
Hi,
damit wir uns korrekt verstehen:
Ich habe jeden der beiden Access-Points über Ether1 an den Cisco Switch gehängt. Der entsprechende Port auf dem Cisco Switch stellt alle meine VLANS als Trunk (VLAN1: untagged, VLAN10-VLAN70: tagged) für den AP bereit. Vielleicht verwende ich hier nicht die fachlich korrekte Sprache, aber ich hoffe, Du verstehst, was ich meine.

Was meinst Du mit der Abkürzung MSSIDs?
Christian
aqui
aqui Apr 04, 2019 at 07:56:29 (UTC)
Goto Top
MSSIDs = Multiple SSIDs. Das sind APs die mehrere WLANs (SSIDs) aufspannen können und diese dann an VLAN IDs mappen.
Guckst du hier im Praxisbeispiel letztlich also genau das was du auch machst.
Sind das Cisco Catalysten oder SoHo Modelle ?
Spartacus
Spartacus Apr 04, 2019 at 13:56:41 (UTC)
Goto Top
Hi,
nein! So viel Kohle hat der Finanzminister nicht freigegeben! Das sind ganz einfache Switche. Ich habe einen SG200-26 und einen SG250-10P im Einsatz. Möchte aber den SG200-26 noch dieses Jahr gegen einen SG350-52P austauschen, da ich zu wenig Ports habe und die cAPs auch direkt aus dem Switch mit Energie versorgen möchte. Beide cAPS hängen aktuell am SG200. Bei den Switchen würde ich auch gerne bei den Ciscos bleiben. Die laufen eigentlich ganz gut. ICh habe nur die Befürchtung, dass der SG350 zu laut sein könnte. Aber das sehen wir dann.

Christian
aqui
aqui Apr 05, 2019 at 12:19:48 (UTC)
Goto Top
Bei den Switchen würde ich auch gerne bei den Ciscos bleiben.
Solltest du auch, da machst du nichts falsch !
Der SG350 ist genauso laut wie die SG250er. Ist exakt die gleiche Gehäuse Ausstattung.
Spartacus
Spartacus Apr 05, 2019 at 18:03:31 (UTC)
Goto Top
Hallo aqui,
ja, das stimmt! Aber ich meine irgendwo gelesen zu haben, dass man bei dem SG350, VLANs unabhängig vom Port konfigurieren kann und über die MAC-Adresse des Clients zugeordnet werden können. Das hat den Vorteil, dass ich sauberer patchen kann in meinem kleinen Schrank.

Bin mir aber nicht sicher, ob das auch im Layer 2 Betriebsmodus geht. Denn auf Layer 3 wollte ich ihn nicht betreiben. Kannst Du das bestätigen?
...aber ist ja noch ein wenig hin, bis ich es zusammengespart habe, sind ja auch fast 1k€
Christian
aqui
aqui Apr 06, 2019 at 08:08:35 (UTC)
Goto Top
VLANs unabhängig vom Port konfigurieren kann
Die VLAN Konfiguration ist per se immer unabhängig vom Port.
Aber was du vermutlich meinst sind dynmaische VLANs mit 802.1x, oder ?
Ja, das ist richtig, die sind bei den SG Modellen erst ab SG300 und höher supportet. Dort kannst du dann je nach Abhängigkeit von der Mac Adresse oder den 802.1x Credentials des Endgerätes dynamische in VLAN zu weisen. Dieses Forentutorial beschreibt wie man das macht:
Netzwerk Zugangskontrolle mit 802.1x und FreeRadius am LAN Switch
Und ja, das geht natürlich (nur) im Layer 2. Besser gesagt es ist so oder so rein eine Layer 2 Funktion und geht nur im L2. Mit Routing bzw. L3 Forwarding hat das rein gar nix zu tun. VLANs sind immer Layer 2 ! Weisst du auch selber...