vafk18
Goto Top

Suche nach ungeklärten Abbrüchen bei VoIP an Deutsche Telekom VDSL

Hallo,

ich habe seit geraumer Zeit an einem VDSL-Anschluß der DT unerklärliche Abbrüche beim Telefonieren über IP. Meine Fritzbox 7270 meldete in dem Moment DNS-Fehler. Eine Fehlermeldung an Deutsche Telekom brachte keine Lösung bzw. man hatte dort keinen Fehler.
Die Abbrüche waren nicht immer und nicht in gleichen Abständen. Man konnte also 10 Gespräche führen, Minuten ("Stunden-")-lang ohne Probleme und beim 11. und 12. brach die Leitung nach 5 Minuten zusammen.

Ich habe auf Verdacht, da die FB schon in die Jahre gekommen ist, eine Fritzbox 7369 ausprobiert und heute hatte ich den ersten Abbrucht: Fehler "Decline (603)".

Also lag es wohl nicht an meiner Fritzbox. Am VDSL-Anschluß ist seit 2 Jahren eine pfsense, die damals konfiguriert wurde und seit dem problemlos lief. Die oben beschrieben Probleme kamen erst später, ohne daß an der pfsense etwas verstellt wurde. Was sich lediglich verändert hat, daß wir vor 1,5 Jahren einen 100 MBit-VDSL-Anschluß erhielten, der vor 2 Monaten auf 150 MBit aufgestock wurde.

In den Logs meiner pfsense finde ich keinen Hinweis auf ein Problem.

Ich bin mit meinem beschränkten Latein schon am Ende und würde gerne erfahren, wie ich den Fehler einkreisen könnte.

Content-ID: 665231

Url: https://administrator.de/forum/suche-nach-ungeklaerten-abbruechen-bei-voip-an-deutsche-telekom-vdsl-665231.html

Ausgedruckt am: 23.12.2024 um 14:12 Uhr

fisi-pjm
fisi-pjm 29.03.2021 um 11:21:52 Uhr
Goto Top
Hi,

Ich habe auf Verdacht, da die FB schon in die Jahre gekommen ist, eine Fritzbox 7369 ausprobiert und heute hatte ich den ersten Abbrucht: Fehler "Decline (603)".

Hattest du da bereits mit jemandem Telefoniert, das Gespräch war also schon aufgebaut, oder warst du noch am Wählen, hast also den Klingelton gehört?

Gruß
PJM
chgorges
chgorges 29.03.2021 um 11:28:02 Uhr
Goto Top
Moin,

Was sich lediglich verändert hat, daß wir vor 1,5 Jahren einen 100 MBit-VDSL-Anschluß erhielten, der vor 2 Monaten auf 150 MBit aufgestock > wurde

Ggf. nimmst du dann auch mal eine Fritzbox, die Supervectoring 35b unterstützt und nicht die Museums-Fritten.

Wer macht denn bei euch die Einwahl? Die 7270 kanns ja nicht sein, weil kein VDSL-Support.

VG
Looser27
Lösung Looser27 29.03.2021 um 11:38:57 Uhr
Goto Top
Moin,

das Problem könnte daran liegen, dass die Telekom ihre Hosts ändert. Hierzu gab es kürzlich ein Schreiben der Telekom in dem veraltete A-Records angeführt wurden.
Grundsätzlich solltest Du die DNS-Auflösung für A-Records und SRV-Records testen.

Test SRV-Records Auflösung über CMD:
nslookup -querytype=SRV _sip._tcp.tel.t-online.de

Test A-Records Auflösung über CMD:
nslookup tel.t-online.de

Welche DNS-Server hat denn Deine Fritzbox eingetragen und welchen Firmware-Stand hat die Fritzbox?
Tipp: Unbedingt die Provider-DNS nutzen und NICHT den Google-DNS.


Gruß

Looser
Lochkartenstanzer
Lochkartenstanzer 29.03.2021 um 11:39:20 Uhr
Goto Top
Zitat von @chgorges:

Moin,

Was sich lediglich verändert hat, daß wir vor 1,5 Jahren einen 100 MBit-VDSL-Anschluß erhielten, der vor 2 Monaten auf 150 MBit aufgestock > wurde

Ggf. nimmst du dann auch mal eine Fritzbox, die Supervectoring 35b unterstützt und nicht die Museums-Fritten.

Er hat vermutlich die Fritte nicht am VDSL-Anschluß, sondern hinter der pfsense. Aber ich würde auch zu einer aktuelleren raten (74er oder 75er Modelle).


Wer macht denn bei euch die Einwahl? Die 7270 kanns ja nicht sein, weil kein VDSL-Support.

vermutlich hat er die hinter der pfsense.
fisi-pjm
fisi-pjm 29.03.2021 um 11:45:08 Uhr
Goto Top
Zitat von @Looser27:
Tipp: Unbedingt die Provider-DNS nutzen und NICHT den Google-DNS.


Begründung?
Looser27
Lösung Looser27 29.03.2021 um 11:49:14 Uhr
Goto Top
In der Vergangenheit gab es immer wieder Probleme zwischen Google-DNS und Telekom-VOIP.
Haben wir am eigenen Leib erfahren müssen....und die Fehlersuche hat ewig gedauert.
tikayevent
Lösung tikayevent 29.03.2021 aktualisiert um 12:04:29 Uhr
Goto Top
Kann ich bestätigen. Die Telekom antwortet zum Teil regional unterschiedlich, um einen Geo-Lastausgleich zu erzeugen. Heute ist es nicht mehr so schlimm, früher, als die Endkundenplattform noch aus TAS und IMS bestand, war es tödlich, einen fremden DNS-Server zu nutzen.
Heute ist es nicht mehr so schlimm, kann aber auch zu Problemen führen, wenn die Telekom wieder andere Systeme propagiert. Da fremde DNS-Server cachen, kann es auch etwas länger dauern, bis diese herausgealtert sind.
Auch nicht einfach die Telekom-DNS-Server fest eintragen, sondern die nehmen, die man bei der PPPoE-Einwahl erhält. Ob man den Clients einen anderen DNS-Server gibt, ist jedem selbst überlassen, bei der Telefonie kann es aber den Unterschied zwischen "geht" und "geht nicht" ausmachen.

Der Fehler 603 kommt vom IMS, also nicht aus deiner Konstruktion und gehört zu den globalen Fehlern. Hier kann es also sein, dass du versuchst ein System zu nutzen, welches, warum auch immer, außer Betrieb gegangen ist. Also vermutlich wirklich die Umstellung auf die DNS-SRV-Records.

Effektiv muss es bei dir ja keine Fritzbox sein, die du aus Sicherheitsgründen dringend in den Ruhestand schicken solltest. Ich weiß jetzt nicht, ob du analoge Telefone, ISDN-Endgeräte oder DECT nutzt, aber vermutlich wäre hier ein ATA oder eine IP-DECT-Basis günstiger und auch energieeffizienter.
vafk18
vafk18 29.03.2021 um 12:31:33 Uhr
Goto Top
Hallo PJM,

das passiert nur, wenn ich ein Gespräch führe. Es kann in 5 Minuten oder aber auch nach 20 Minuten passieren.

Allerdings hatte ich vor einer Woche mit der FB7270 auch noch des Öfteren das Problem, daß ich gar kein Gespräch führen konnte und die FB neustarten mußte. Leider habe ich mir den Fehler nicht genau aufgeschrieben (nach einem Neustart ist der Fehlerspeicher leer), ich meine aber es war auch eine mit DNS bzw. 4xx zusammenhängende Fehlermeldung.
vafk18
vafk18 29.03.2021 um 12:32:37 Uhr
Goto Top
Hallo chgorges,

die FB ist nur noch für VoIP und WLAN zuständig. Die Einwahl mach die pfsense.

VG
vafk18
vafk18 29.03.2021 um 12:35:25 Uhr
Goto Top
Hallo Looser,

vielleicht kommen wir der Lösung näher face-smile

In meiner FB habe ich als DNS 192.168.2.1, also die IP meiner pfsense eingetragen. In der pfsense habe ich 127.0.0.1, 8.8.8.8, 8.8.4.4 und 9.9.9.9

Es dürfte wohl nicht schaden, wenn ich in meiner FB, die nur für VoIP zuständig ist, die DNS der Telekom eintrage, was meinst Du?
aqui
aqui 29.03.2021 aktualisiert um 12:38:30 Uhr
Goto Top
Was für das DNS Problem spricht das der TO vermutlich den DNS Resolver in der pfSense falsch eingestellt hat. Passt er den nämlich nicht entsprechend an verwendet die pfSense statt des Provider DNS immer direkt die Root DNS Server was dann zu exakt dem oben geschilderten Problem führen kann.
So macht man es richtig auf der pfSense das sie den lokalen Provider DNS nutzt:
PfSense - web.de wird trotz aktiver "Scheunentor-Regel" blockiert
Looser27
Looser27 29.03.2021 um 12:44:34 Uhr
Goto Top
Die Einstellung der Fritz Box ist ok. Die DNS Server der pfsense solltest Du automatisch bei der Einwahl beziehen lassen.
vafk18
vafk18 29.03.2021 aktualisiert um 12:56:03 Uhr
Goto Top
Hallo aqui,

long time no hear face-smile Danke!

Da ich in der pfsense DNSBL verwende, war einiges anders eingestellt, als in Deinem Link empfohlen:
1) RFC1918 IP Netz Blocking am WAN Port war aktiv
2) DNSSEC im Resolver war aktiv

Die DNS-Einstellungen sind bei mir wie im Anhang. Soll ich die DNS-Einträge also komplett löschen? ***Edit - habe gerade den Kommentar von Looser27 gelesen und entsprechend geändert. Richtig so?
screenshot - 29.03.2021 , 12_52_25
screenshot - 29.03.2021 , 12_55_44
vafk18
vafk18 29.03.2021 um 13:05:39 Uhr
Goto Top
Zitat von @aqui:

Was für das DNS Problem spricht das der TO vermutlich den DNS Resolver in der pfSense falsch eingestellt hat. Passt er den nämlich nicht entsprechend an verwendet die pfSense statt des Provider DNS immer direkt die Root DNS Server was dann zu exakt dem oben geschilderten Problem führen kann.
So macht man es richtig auf der pfSense das sie den lokalen Provider DNS nutzt:
PfSense - web.de wird trotz aktiver "Scheunentor-Regel" blockiert

Ist es möglich, daß ich in der nur für VoIP zuständigen FritzBox feste DNS der Deutschen Telekom vergebe und ansonsten in der pfsense die alten Einstellungen belasse?
Looser27
Lösung Looser27 29.03.2021 um 13:11:24 Uhr
Goto Top
Kann man machen, ist aber nicht sinnvoll. Wenn sich die IP des Provider-DNS ändert, stehst Du vor dem selben Problem wieder.

Also in der pfSense die Provider-DNS einstellen. Wenn Du den einzelnen VLAN/LAN andere DNS mitgeben willst, kannst Du das über den DHCP machen.
Somit ist immer gewährleistet, dass Deine Firewall/Router korrekt auflösen kann.

Gruß

Looser
vafk18
vafk18 29.03.2021 um 13:36:42 Uhr
Goto Top
@ Looser

Deine Idee mit den VLANs gefällt mir. Mir ist noch nicht klar, wie ich die Fritzbox einstelle, damit sie automatisch die sich ändernden DNS der Telekom bezieht, wenn die pfsense selbst statische Server hat.
Looser27
Looser27 29.03.2021 um 13:40:16 Uhr
Goto Top
Die Fritzbox hat einzig die pfSense als DNS. Da die pfSense die aktuellen DNS hat, ist der in der Fritte auch aktuell.
vafk18
vafk18 29.03.2021 um 14:02:49 Uhr
Goto Top
Zitat von @Looser27:

Die Fritzbox hat einzig die pfSense als DNS. Da die pfSense die aktuellen DNS hat, ist der in der Fritte auch aktuell.

Irgendetwas mache ich falsch:

1) Die FB hat als DNS 192.168.2.1 (meine pfsense)
2) Die pfsense ist nun so konfiguriert, wie oben durch aqui verlinkt:

RFC1918 IP Netz Blocking am WAN Port inaktiv (vorher aktiv)
DNSSEC im Resolver inaktiv (vorher aktiv)

Nach dieser Einstellung registriert die FB die Telekom-Nummer nicht mehr. Ich habe nun in der pfsense manuell die aktuellen DNS 217.5.100.185 und 217.5.100.186 eingetragen. Ohne Erfolg. Ob ich DNS Server Override anklicke oder nicht hat auch keine Auswirkung.
Looser27
Looser27 29.03.2021 um 14:07:44 Uhr
Goto Top
Du hast irgendeine Einstellung in der pfSense verbogen.

Funktioniert es denn, wenn du den DNS Forwarder anstelle des Resolvers verwendest?
vafk18
vafk18 29.03.2021 um 14:13:25 Uhr
Goto Top
Jetzt habe ich "Block private networks and loopback addresses" angeklickt, die FB gestartet und sie bucht sich ein. Aktuell habe ich in der pfsense 217.5.100.185 und 217.5.100.186 eingetragen und "DNS Server Override" angewählt.

An den Resolver würde ich jetzt ungern drangehen, denn dann wird wohl das DNSBL auch nicht mehr funktionieren.

Was ich überhaupt nicht nachvollziehen kann, daß wenn diese Probleme mit falscher DNS-Einstellung zusammenhängen, weshalb diese Probleme nicht immer da sind sondern nur sporadisch. Tagelang ist "Ruhe", dann ist das Problem wieder da und IMMER wenn ich die Fritzbox neustarte, ist erstmal für eine Zeitlang wieder alles gut.
Looser27
Looser27 29.03.2021 um 14:15:31 Uhr
Goto Top
An den Resolver würde ich jetzt ungern drangehen, denn dann wird wohl das DNSBL auch nicht mehr funktionieren.

Das stimmt natürlich.....für sowas läuft bei mir zuhause ein pihole face-wink

Hauptsache es läuft.

Gruß

Looser
aqui
Lösung aqui 29.03.2021 aktualisiert um 14:26:29 Uhr
Goto Top
Die DNS Server der pfsense solltest Du automatisch bei der Einwahl beziehen lassen.
Das reicht aber NICHT !!
Die pfSense benutzt im Default Setup weiterhin hardcoded immer die Root DNS Server !! Du musst zwingend den pfSense_Resolver_umstellen wie oben beschrieben sonst ignoriert die pfSense diese DNS IP Adressen weiterhin konsequent. Kannst du auch ganz einfach sehen wenn du dir mit der Packet Cature Funktion mal den Port 53 Traffic ansiehst !

Wenn die pfSense direkt per NUR Modem am Internet hängt ist es kontraproduktiv bei Voice im DTAG Netz dann externe DNS statisch einzutragen wie oben. Hier sollte man immer die automatisch per PPPoE gelernten des Providers belassen.
Leider teilt der TO ja nicht mit WIE die pfSense angebunden ist ob mit NUR Modem (PPPoE) oder in einer Router Kaskade mit doppeltem NAT und Firewalling.

Nebenbei:
Von solchem Blödsinn wie der TO das macht die Google DNS IPs zu nutzen kann man nur dringenst abraten. Sowas machen heutzutage nichtmal mehr Dummies, denn jedermann weiss mittlerweile das Google damit Profile des privaten Surf- und Internet Verhaltens generiert und diese an Dritte weltweit vermarktet ! Das sind keine Menschenfreunde die millionenschweres Equipment und Server Strom umsonst finanzieren ohne wirtschaftliche Interessen. Bei einem US Aktienunternehmen was auf Rendite getrimmt ist völlig undenkbar. Solche Fakten werden ja immer gerne vergessen...
Wem also der eigene Datenschutz etwas wert ist nimmt immer die DNS Server seines lokalen Providers oder wenn es denn unbedingt externe sein müssen die von Datenschutz freundlicheren Anbietern:
https://digitalcourage.de/support/zensurfreier-dns-server
https://www.heise.de/newsticker/meldung/Quad9-Datenschutzfreundliche-Alt ...
Lochkartenstanzer
Lochkartenstanzer 29.03.2021 aktualisiert um 14:25:46 Uhr
Goto Top
Zitat von @aqui:
Nebenbei:
Von solchem Blödsinn wie der TO das macht die Google DNS IPs zu nutzen kann man nur dringenst abraten. Sowas machen heutzutage nichtmal mehr Dummies, denn jedermann weiss das Google damit Profile des privaten Surf- und Internet Verhaltens generiert und diese an Dritte weltweit vermarktet !

Auch quad9 (9.9.9.9) oder cloudflare (1.1.1.1) sind keine gute Wahl.

lks
aqui
aqui 29.03.2021 aktualisiert um 14:30:33 Uhr
Goto Top
Na ja bei Quad9 könnte man mit ihrem neuen Standort noch eine gewisse Milde walten lassen:
https://www.heise.de/news/Besserer-Datenschutz-fuer-Surfer-DNS-Anbieter- ...
Bei US Unternehmen ist aber generell Misstrauen angesagt.
Besser sind dann immer die Server der Digitalen Gesellschaft oder oben Digitalcourage die zudem verschlüsselt sind (Haken in der pfSense bei DNSSeq setzen):
https://www.heise.de/news/Besserer-Datenschutz-fuer-Surfer-DNS-Anbieter- ...
Lochkartenstanzer
Lochkartenstanzer 29.03.2021 um 14:33:57 Uhr
Goto Top
Zitat von @aqui:

Na ja bei Quad9 könnte man mit ihrem neuen Standort noch eine gewisse Milde walten lassen:
https://www.heise.de/news/Besserer-Datenschutz-fuer-Surfer-DNS-Anbieter- ...

Du meinst den Schzweizern, die jahrzehntelang mit der Crypto-AG der CIA, NSA und dem BND zugearbeitet haben, kann man mehr trauen?

lks
vafk18
vafk18 29.03.2021 aktualisiert um 15:21:09 Uhr
Goto Top
OK ok face-smile

Nun habe ich in der pfsense gar keine DNS eingetragen. Ist das richtig so und bekomme ich automatisch die von der Deutschen Telekom verwendeten DNS wenn ich einen IP-Anschluß der Telekom habe?

Wenn das geklärt ist, werde ich die Anlage einige Zeit laufen lassen und beobachten, ob der Fehler endgültig weg ist.

Nun geht es um den eigenen Datenschutz: Wenn ich nun auch nicht die DNS der Deutschen Telekom benutzen will, sondern mir einen DNS eigener Wahl aussuche und in der pfsense eintrage, bekommt dann meine Fritzbox wieder das gleiche Problem (vorher hatte ich Google und quad9 DNS eingetragen)?

Am Liebsten wäre es mir, daß ich die Fritzbox nur für VoIP der Deutschen Telekom nutze und diese so programmiere, daß sie die DNS der Deutschen Telekom hat, EGAL was ich sonst and der pfsense verstelle. Geht das oder nicht?

@aqui Da ich angangs nicht geschrieben habe, zu schreiben, was mein Setup ist:
Am VDSL ist das Zyxel VMG3006-D70A, dahinter die pfsense und daran u.a. mehre Frizboxen, eine als VoIP und weitere als WLAN Access Points.
tikayevent
Lösung tikayevent 29.03.2021 um 17:31:55 Uhr
Goto Top
Das Problem ist, dass die pfSense die Einwahl macht und damit nur die pfSense die DNS-Server von der Telekom zugewiesen bekommt. Wenn du jetzt statisch irgendwelche DNS-Server einträgst, mag es jetzt erstmal funktionieren, aber keiner kann dir sagen, wie lange das gut gehen wird.

Für einen sicheren Betrieb müsstest du jetzt dafür sorgen, dass die Fritzbox den DNS-Server der pfSense nimmt, die den DNS-Server der Telekom benutzt.
Wenn die anderen Systeme einen anderen DNS-Server nutzen sollen, musst du diesen entweder per DHCP oder statischer Konfiguration einen anderen DNS-Server zuweisen oder einen DNS-Server mit Split-Views einsetzen.
aqui
Lösung aqui 30.03.2021 aktualisiert um 10:54:56 Uhr
Goto Top
Wenn du jetzt statisch irgendwelche DNS-Server einträgst, mag es jetzt erstmal funktionieren
Nein, auch das nicht. Es ist egal welche DNS IP die pfSense bekommt ob dynamisch via PPPoE, DHCP oder statisch. Solange man den Resolver nicht umstellt bzw. aktiviert nutzt die pfSense immer ihre in der Firmware hardgecodeten Root DNS Server.
Das kann man wie gesagt auch selber sehen wenn man sich das mit dem Paket Capture Feature unter Diagnostics oder mit einem Wireshark einmal selber ansieht. Leider wird das bei oberflächlicher Konfig Weise sehr oft übersehen.
Der TO tut also gut daran keine DNS Server statisch einzutragen, die zu nutzen die er automatisch per PPPoE bekommt und den Resolver entsprechend anzupassen. Damit ist die DNS Konfig der pfSense dann wie sie soll und die Fehler sollten der Vergangenheit angehören.
Zudem sollte man im Gateway Setting unter Routing dann immer zwingend den per Default aktiven Ping Keepalive Check der pfSense auf das Provider Gateway ausschalten. Solches Dauerping auf seine PPPoE Infrastruktur mag das Gros der Provider nicht gerne sehen und reagiert entsprechend.
tikayevent
tikayevent 30.03.2021 um 11:30:51 Uhr
Goto Top
@aqui: Das war auf die Telefonie bezogen. Was eine pfSense macht oder nicht tangiert mich nur peripher.
aqui
aqui 30.03.2021 um 11:39:10 Uhr
Goto Top
OK, sorry. Nehme alles zurück und behaupte das Gegenteil ! face-smile
vafk18
vafk18 30.03.2021 um 12:58:43 Uhr
Goto Top
Zitat von @aqui:

Zudem sollte man im Gateway Setting unter Routing dann immer zwingend den per Default aktiven Ping Keepalive Check der pfSense auf das Provider Gateway ausschalten. Solches Dauerping auf seine PPPoE Infrastruktur mag das Gros der Provider nicht gerne sehen und reagiert entsprechend.

Leider finde ich diese Einstellung für den Keep Alive Check der pfSense nicht face-sad
Magst Du mir bitte schreiben, wo er sich befindet? Danke face-smile
aqui
Lösung aqui 30.03.2021 aktualisiert um 13:33:11 Uhr
Goto Top
Auf System --> Routing klicken, dort dein Gateway auswählen und auf den "Stift" zum editieren klicken.
Eigentlich doch ganz einfach und logisch... face-wink
mon
Fabi-be1998
Fabi-be1998 30.03.2021 um 14:08:43 Uhr
Goto Top
vafk18
vafk18 30.03.2021 um 16:15:37 Uhr
Goto Top
@aqui

Wieder mal dazugelernt face-smile - vielen Dank!!!