hypernia
Goto Top

Telekom-VOIP über Wireguard

Hi zusammen,

ich habe einen ARMv7-Server (Odroid XU-4) zuhause stehen, auf dem per Docker ein Wireguard-Container läuft. Wenn ich mich verbinde und mit allowed ip = 0.0.0.0/0 arbeite, kann ich per app (Zoiper) meinen Telekom-VOIP-Account verbinden (wo ich das so schreibe - getestet zu telefonieren habe ich es von extern tatsächlich noch nicht).

Ich würde aber gerne nur für manche IPs über Wireguard gehen. So wie ich es verstehe (und auch getestet habe), kann ich nicht einfach die IPs von t-online.de eintragen, da es sich bei der VOIP-Anbindung um einen SRV-Record handelt.

Wie schaffe ich es, meinen VOIP-Traffic über Wireguard zu leiten, ohne dass ich plump alles ins VPN routen muss? Mein nächster Versuche wäre ein Proxy, wobei ich mir 1. über die Art unsicher bin und 2. ich beim großen Testen gerne den Luxus von Docker (Container wegwerfen) behalten würde, hier aber nur routr gefunden habe, was für die Architektur nicht angeboten wird.

Habt ihr Ideen / Lösungen für mich?

Content-Key: 6176851132

Url: https://administrator.de/contentid/6176851132

Printed on: July 24, 2024 at 15:07 o'clock

Mitglied: 6017814589
6017814589 Mar 01, 2023 at 15:45:16 (UTC)
Goto Top
Pack dir doch ne schmale Asterisk Instanz auf den Server und verbinde dich dann direkt mit der internen Wireguard IP zu der Asterisk-Instanz welche ausgehende Anrufe über deinen TCom VoIP Account leitet.

h.
Member: Hypernia
Hypernia Mar 01, 2023 at 15:49:24 (UTC)
Goto Top
Hi, danke für die Antwort. Asterisk war mir auf der Suche auch schon untergekommen. Brauche ich da spezielle Pakete für meinen Anwendungsfall (bzg. "schmale Instanz")?
Mitglied: 6017814589
6017814589 Mar 01, 2023 updated at 15:55:45 (UTC)
Goto Top
Zitat von @Hypernia:

Hi, danke für die Antwort. Asterisk war mir auf der Suche auch schon untergekommen. Brauche ich da spezielle Pakete für meinen Anwendungsfall (bzg. "schmale Instanz")?
Nein, nimm einfach das aus deiner Distro, Asterisk ist von sich aus schon sehr bescheiden was nötige Ressourcen angeht.
Member: aqui
aqui Mar 01, 2023 updated at 16:22:23 (UTC)
Goto Top
Hast du zuhause zufällig auch eine FritzBox oder Speedport oder VoIP fähigen Router stehen die ans Telekom VoIP gebunden ist??
Wenn ja machst du nicht das unsinnige Gateway Redirect mit "Allowed 0.0.0.0/0" sondern sinnvolles Split Tunneling im VPN auf dein Heimnetz und meldest deinen Zoiper dann als VoIP Telefon an der FritzBox / Speedport etc. an oder den Router den du zuhause als VoIP Router nutzt! Fertisch...
Dann gehen NUR deine Voice Calls oder wenn du ins heimische zugreifen willst in den Tunnel alles fackelt dein VPN Client dann lokal ab.
Alles Nähere erklärt dir das hiesige Wireguard Tutorial.
Member: Hypernia
Hypernia Mar 02, 2023 at 12:26:08 (UTC)
Goto Top
Zitat von @6017814589:

Nein, nimm einfach das aus deiner Distro, Asterisk ist von sich aus schon sehr bescheiden was nötige Ressourcen angeht.
Werde ich versuchen und mich melden!

Zitat von @aqui:

Hast du zuhause zufällig auch eine FritzBox oder Speedport oder VoIP fähigen Router stehen die ans Telekom VoIP gebunden ist??
Wenn ja machst du nicht das unsinnige Gateway Redirect mit "Allowed 0.0.0.0/0" sondern sinnvolles Split Tunneling im VPN auf dein Heimnetz und meldest deinen Zoiper dann als VoIP Telefon an der FritzBox / Speedport etc. an oder den Router den du zuhause als VoIP Router nutzt! Fertisch...
Entweder missverstehen wir uns oder: Darum geht es mir ja face-wink Die 0.0.0.0/0 fiel als erstes aus der Wireguard-Client-Config raus. Das möchte ich ja einschränken auf 1-2 lokale IPs direkt + Telekom-VoIP, da es nur vom heimischen Anschluss aus läuft.
An Hardware habe ich den Mikrotik hAP AC² - darüber kann ich VoIP dann auch als Software so wie ich es sehe ohnehin nicht abwickeln?
Member: aqui
aqui Mar 02, 2023 updated at 12:52:07 (UTC)
Goto Top
Darum geht es mir ja
Dann ist natürlich die 0.0.0.0/0 bei den Allowed zu konfigurieren ziemlicher Blödsinn. Siehe Tutorial.
Das möchte ich ja einschränken auf 1-2 lokale IPs direkt + Telekom-VoIP
Nichts leichter als das, dann gibst du in den Allowed IPs einfach nur diese Endgeräte mit einer /32er Hostmaske ein und fertig ist der Lack.
Nur das was in den Allowed IPs definiert wird wandert auch in den VPN Tunnel. Nennt sich bei WG Cryptokey Routing. Wenn man denn mal die Doku dazu liest... face-wink
Member: Hypernia
Hypernia Mar 02, 2023 at 14:13:49 (UTC)
Goto Top
Zitat von @aqui:

Darum geht es mir ja
Dann ist natürlich die 0.0.0.0/0 bei den Allowed zu konfigurieren ziemlicher Blödsinn. Siehe Tutorial.
Sag ich doch! 😄

Zitat von @aqui:

Nichts leichter als das, dann gibst du in den Allowed IPs einfach nur diese Endgeräte mit einer /32er Hostmaske ein und fertig ist der Lack.
Nur das was in den Allowed IPs definiert wird wandert auch in den VPN Tunnel. Nennt sich bei WG Cryptokey Routing. Wenn man denn mal die Doku dazu liest... face-wink
Die Hosts stehen ja auch schon drin. Ergänzt werden soll nur noch eine Lösung für die Telekom. Asterisk ist installiert und wird bei nächster Gelegenheit konfiguriert. Wenn das als Outbound Proxy in Zoiper läuft, wäre die Lösung fertig.
Member: aqui
aqui Mar 03, 2023 updated at 12:36:23 (UTC)
Goto Top
Na dann bleibt ja nur noch deinen Thread hier als erledigt zu schliessen!
Member: Hypernia
Hypernia Mar 03, 2023 at 14:46:18 (UTC)
Goto Top
Das ist der Plan. Allerdings würde ich gerne meine ursprüngliche Fragestellung erfolgreich abschließen, damit die Nachwelt ggfs. aus weiteren Rückfragen / Fehlern lernen kann.
Das ganze VoIP-Feld ist mir bislang recht unbekannt. Aus der ersten Recherche (z. B. Treffer bei "Telekomhilft") habe ich gefunden, dass (die Telekom in) Asterisk zu konfigurieren scheinbar nicht ganz so zügig geht. Viele Treffer sind sonst auch veraltet oder zeigen auf andere Anbieter. Die Zeit dafür muss ich erst noch aufbringen face-smile Wenn jemand die entsprechenden Zeilen für die Telekom funktionierend vorliegen hat, immer her damit face-big-smile
Member: aqui
aqui Mar 03, 2023 updated at 15:24:07 (UTC)
Goto Top
damit die Nachwelt ggfs. aus weiteren Rückfragen / Fehlern lernen kann.
Sehr löblich! 👍
Das ganze VoIP-Feld ist mir bislang recht unbekannt.
Eigentlich kinderleicht. SIP macht das Wählen der Teilnehmer und RTP überträgt die Audio Daten. Fertisch. Alles ganz einfach und zügig.
https://de.wikipedia.org/wiki/IP-Telefonie
Wie immer: Lesen und verstehen! 😉
Mitglied: 6017814589
6017814589 Mar 03, 2023 updated at 17:37:30 (UTC)
Goto Top
Kann dir morgen gerne meine Config für ein aktuelles Asterisk 20.1.0 mit pjsip-Config und Sipgate als SIP-Endpoint zukommen lassen wenn du willst. Telekom sollte da ehrlich gesagt nicht das Problem sein, SIP ist alles absoluter Standard da macht die Delegöm keine Ausnahme.
Bidde
Asterisk pjsip.conf für tel.t-online.de hinter NAT
Member: Hypernia
Hypernia Mar 06, 2023 at 13:46:35 (UTC)
Goto Top
Zitat von @aqui:

damit die Nachwelt ggfs. aus weiteren Rückfragen / Fehlern lernen kann.
Sehr löblich! 👍
Das ganze VoIP-Feld ist mir bislang recht unbekannt.
Eigentlich kinderleicht. SIP macht das Wählen der Teilnehmer und RTP überträgt die Audio Daten. Fertisch. Alles ganz einfach und zügig.
https://de.wikipedia.org/wiki/IP-Telefonie
Wie immer: Lesen und verstehen! 😉
Joa, SO grob verstanden war das wohl. Asterisk hat einen Haufen Konfigurationsdateien die eine Vielzahl von Parametern mitbringen. Die Ausgabe von HELP übersteigt meinen Bildschirm. Ganz so selbsterklärend wie ein Wizard mit 5 Textfeldchen ist es dann doch nicht face-wink
Ich hatte eine vermeintlich korrekte Anbindung über die sip.conf hergestellt. Zoiper auf dem Smartphone lässt mich nur einen einzelnen Account einrichten, also habe ich zum Testen erstmal Mizudroid installiert. Der begrüßte mich beim ersten einrichten damit, dass mangels Push-Dienst im lokalen Netz der Akkuverbrauch erhöht wird. Dieso Info plus dem, dass ich neben Wireguard noch einen Dienst einrichten und warten muss "nur" um zu telefonieren, ist natürlich nicht ideal.

Zitat von @6017814589:

Kann dir morgen gerne meine Config für ein aktuelles Asterisk 20.1.0 mit pjsip-Config und Sipgate als SIP-Endpoint zukommen lassen wenn du willst. Telekom sollte da ehrlich gesagt nicht das Problem sein, SIP ist alles absoluter Standard da macht die Delegöm keine Ausnahme.
Bidde
Asterisk pjsip.conf für tel.t-online.de hinter NAT
Danke dir! Jetzt steckt es (auch) in der pjsip.conf und ich müsste dem ganzen nochmal nachgehen und aufräumen. Die Anbindung an den Asterisk Server über Windows (MicroSIP) läuft auf Anhieb immer noch nicht (Request 'REGISTER' from '<sip:100@192.168.1.151>' failed for '192.168.1.100:65370' (callid: 3af25c227f9d450ca2b00f898e7fea40) - No matching endpoint found). Was mir aber aufgefallen ist, ist die Info "match = 217.0.0.0/13". Ich habe mir das Netz mal plump in meine Wireguard-Config eingetragen und kann mich so "nur" per Wireguard erfolgreich verbinden und telefonieren. Das wäre EIGENTLICH eine gute Lösung für meine Anforderung. Mir stellt sich nur die Frage, ob ich jetzt zu wenig Route wenn die SRV-Einträge manchmal auch andere IPs ausgeben ODER zu viel Route, sprich was bietet die Telekom noch in diesem Netz an, wenn man das überhaupt sagen kann?
Member: aqui
aqui Mar 06, 2023 updated at 15:14:14 (UTC)
Goto Top
Asterisk hat einen Haufen Konfigurationsdateien die eine Vielzahl von Parametern mitbringen.
Braucht man ja aber gar nicht, denn die Telefonanlage auf der FritzBox ist ja so gesehen von der Funktion auch eine "Asterisk". Wenn auch mit etwas geringerem Featureset.
also habe ich zum Testen erstmal Mizudroid installiert.
Das ist völlig egal was man zum Testen für einen SIP Client installiert. Idealerweise nimmt man den Phoner oder Phoner lite auf einem lokalen Laptop, der hat eine gute Logging Funktion die einem bei Fehlern direkt hilft.
https://phoner.de/index.htm bzw. https://lite.phoner.de/index_de.htm
Wenn es damit rennt rennt es mit jedem anderen SIP Client, egal wo, auch.
No matching endpoint found
M.E. fangen die SIP VoIP Endgeräte die an der FritzBox konfiguriert werden immer mit 3xx an. Außerdem verlangt die FB ein bestimmtes Format und Minimallänge bei den SIP Passwörtern.
ob ich jetzt zu wenig route
Nein, denn du musst ja einzig und allein nur dein lokales LAN erreichen über den Tunnel. Es reicht also völlig wenn du einzig und allein dieses IP Netz und den WG Server mit einer /32er Hostmaske in die "Allowed IPs" einträgst. Siehe dazu auch hier.
Member: Hypernia
Hypernia Mar 06, 2023 at 15:28:44 (UTC)
Goto Top
Zitat von @aqui:

Asterisk hat einen Haufen Konfigurationsdateien die eine Vielzahl von Parametern mitbringen.
Braucht man ja aber gar nicht, denn die Telefonanlage auf der FritzBox ist ja so gesehen von der Funktion auch eine "Asterisk". Wenn auch mit etwas geringerem Featureset.
Die Nadel ist nicht so viel einzutippen, aber der Heuhaufen ist groß face-wink

Zitat von @aqui:

also habe ich zum Testen erstmal Mizudroid installiert.
Das ist völlig egal was man zum Testen für einen SIP Client installiert. Idealerweise nimmt man den Phoner oder Phoner lite auf einem lokalen Laptop, der hat eine gute Logging Funktion die einem bei Fehlern direkt hilft.
https://phoner.de/index.htm bzw. https://lite.phoner.de/index_de.htm
Wenn es damit rennt rennt es mit jedem anderen SIP Client, egal wo, auch.
Es wäre dann relevant, wenn zufällig der Client das Problem ist, weil er irgend ein benötigtes Feature nicht unterstützt etc. Die Links nehme ich mir mit, danke!

Zitat von @aqui:

No matching endpoint found
M.E. fangen die SIP VoIP Endgeräte die an der FritzBox konfiguriert werden immer mit 3xx an. Außerdem verlangt die FB ein bestimmtes Format und Minimallänge bei den SIP Passwörtern.
ob ich jetzt zu wenig route
Nein, denn du musst ja einzig und allein nur dein lokales LAN erreichen über den Tunnel. Es reicht also völlig wenn du einzig und allein dieses IP Netz und den WG Server mit einer /32er Hostmaske in die "Allowed IPs" einträgst. Siehe dazu auch hier.
Moment! Ich habe doch gar keine Fritzbox face-wink Und ich muss - wenn ich es richtig verstehe - nur dann nur mein Heimnetz erreichen, wenn dort auch mein SIP-Server liegt. Die Telekom erlaubt VoIP nur über meinen Anschluss - könnte ich den SRV-Record dynamisch in die Wireguard-Config bringen, müsste ich auch den über Wireguard routen, korrekt? Das Passwort habe ich in der Konfig verlängert, das brachte bislang aber keinen Erfolg.
Member: aqui
aqui Mar 06, 2023 updated at 15:40:03 (UTC)
Goto Top
weil er irgend ein benötigtes Feature nicht unterstützt etc.
Da SIP ein Standard ist kommt das so gut wie nie vor.
Ich habe doch gar keine Fritzbox
OK, sorry hatte ich übersehen. Es muss auch keine FritzBox sein. JEDER beliebige VoIP fähige Router kann das der eine VoIP Anlage ala FritzBox integriert hat.
Wenn dein Router ganz ohne sowas ist, dann musst du natürlich den Asterisk bemühen, keine Frage. Sowas rennt aber für den Heimbereich auch auf einem Raspberry Pi oder Pi Zero problemlos.
Die Telekom erlaubt VoIP nur über meinen Anschluss
Ist ja für dich irrelevant wenn du die VoIP Connection primär mit dem Router oder in deinem Falle dann mit dem lokalen Asterisk realisierst. Die über VPN angebundenen Clients sind ja dann nur deren Nebenstellen.
Das Passwort habe ich in der Konfig verlängert, das brachte bislang aber keinen Erfolg.
Das hat mit dem o.a. Fehler auch nix zu tun. "failed for '192.168.1.100:65370' (callid: 3af25c227f9d450ca2b00f898e7fea40) - No matching endpoint found)" besagt schlicht und einfach das auf der Anlage gar kein SIP User "100" eingerichtet ist so das der Client der sich mit den Credentials anmelden will logischerweise abgewiesen wird.
Da musst du also nochmal an die Nebenstellen Konfig ran!! Oder einen bestehenden, richtigen SIP Usernamen am Client verwenden! face-wink
Member: Hypernia
Hypernia Mar 06, 2023 at 16:06:16 (UTC)
Goto Top
Zitat von @aqui:

Das Passwort habe ich in der Konfig verlängert, das brachte bislang aber keinen Erfolg.
Das hat mit dem o.a. Fehler auch nix zu tun. "failed for '192.168.1.100:65370' (callid: 3af25c227f9d450ca2b00f898e7fea40) - No matching endpoint found)" besagt schlicht und einfach das auf der Anlage gar kein SIP User "100" eingerichtet ist so das der Client der sich mit den Credentials anmelden will logischerweise abgewiesen wird.
Da musst du also nochmal an die Nebenstellen Konfig ran!! Oder einen bestehenden, richtigen SIP Usernamen am Client verwenden! face-wink

Und ich bin einen Schritt weiter face-big-smile Die Anmeldung an Asterisk geht, aber:
[Mar 6 16:02:06] NOTICE[18878][C-00000001]: chan_sip.c:26826 handle_request_invite: Call from '100@192.168.1.151' (192.168.1.100:65370) to extension '+49123456' rejected because extension not found in context 'test'.

Irgendwo muss ich noch ran, finde aber in sip.conf, pjsip.conf und extensions.conf nichts bzgl. 'test'?!