campino86
Goto Top

VOIP-Fritzbox hinter Firewall, keine Sprachdaten einseitig

Hallo zusammen,

ich hoffe es kann jemand helfen.

Folgender Aufbau.

Telekom Anschluss, Draytek Vigor als Router, dahinter eine Sonicwall SOHO als Gateway und im LAN eine Fritzbox 7590 als IP-Client konfiguriert.

Die Fritzbox dient als WLAN AP und Voip Gateway.

Registrierung der Rufnummern und ausgehende Anrufe funktionieren ohne Probleme. Bei ankommen Anrufen ist es leider so, dass der Anrufer nicht gehört wird. Sprachdaten ausgehend funktioniert.

Folgendes ist konfiguriert:
Sonicwall:
Enable consistent NAT -enabled, ohne kommt kein Gesprächsaufbau zu Stande.
Für die Fritzbox wurde selbst eine any-any Freigabe erstellt ( zum Test ) hat nichts gebracht, ansonsten ist folgendes freigegeben.

NAT Regel:
Source: any
Destination: WAN IP ---_> Friztbox
Service: Voip (
H323 Call Signaling TCP 1720-1720
H323 Gatekeeper Discovery UDP 1718-1718
H323 Gatekeeper RAS UDP 1719-1719
MGCP TCP TCP 2428-2428
MGCP UDP UDP 2427-2427
SIP UDP 5060-5061
Skinny TCP 2000-2000
T120 (Whiteboard+A43) TCP 1503-1503
TCP 7078-7109

Ach ja HD Telefonie wurde in der Fritzbox auch bereits deaktiviert.

Kenne dieses Phänomen so nicht, dass es nur in eine Richtung nicht geht.

hat hier jemand einen Tip, vielen Dank vorab

Content-Key: 7765863977

Url: https://administrator.de/contentid/7765863977

Printed on: July 21, 2024 at 23:07 o'clock

Member: LordGurke
LordGurke Jul 06, 2023 at 21:39:17 (UTC)
Goto Top
Man braucht normalerweise überhaupt keine Port-Forwardings, damit sowas funktioniert - erst recht nicht die, die du angelegt hast. Sorry, aber hast du mal nachgesehen, *WAS* du da freigibst und warum? Was H.323 ist, kannst du auf meiner Gopher-Seite nachlesen, für MGCP müsstest du da Cisco-Hardware stehen haben.
Diese kompletten Freigaben kannst du löschen, die brauchst du für nichts. Du musst nur zusehen, dass du ausgehend Traffic von der Fritzbox zulässt und dass du in der Fritzbox einen STUN-Server eingetragen hast.
Falls die Sonicwall es anbietet, kannst du schauen, ob es mit "SIP-ALG" oder einem "NAT-Helper" besser wird.

Ist der Draytek wirklich Router oder ist der nur Modem und die Sonicwall macht die Interneteinwahl?
Wenn du da mehrschichtiges NAT hast, könnte auch ein Amok laufender SIP-ALG auf dem Draytek deine Probleme verursachen.
Member: commodity
commodity Jul 06, 2023 updated at 21:57:23 (UTC)
Goto Top
Wahrscheinlich der Klassiker: RTP bleibt eingehend irgendwo hängen.
Die Dreifachkaskade macht das debuggen nicht leichter.

Lies Dich mal in ein paar Links rein. Die Prinzipien gelten für alle Systeme:
https://www.google.com/search?q=fritzbox+voip+kein+ton+ip-phone-forum

Edit: Und es ist (wie immer) völlig korrekt, was der Kollege @LordGurke schreibt: Eingehend braucht es keinerlei Portfreigaben (wer sagt das den 3CX-Machern?).

Viele Grüße, commodity
Member: Lochkartenstanzer
Lochkartenstanzer Jul 06, 2023 updated at 22:19:37 (UTC)
Goto Top
Zitat von @Campino86:

Telekom Anschluss, Draytek Vigor als Router, dahinter eine Sonicwall SOHO als Gateway und im LAN eine Fritzbox 7590 als IP-Client konfiguriert.

Moin,

Gibt es irgendeinen Grund den Draytek als Router statt nur als Modem einzusetzen? Das ist doch völlig unnötiges NAT in der Routerkaskade. Daher werden wohl auch Deine Probleme kommen.

lks
Member: Campino86
Campino86 Jul 06, 2023 at 23:00:11 (UTC)
Goto Top
Der Meinung war/bin ich auch, aber die Praxis lehrt mich hier etwas anderes.

Die NATregel wurde zum Test angelegt, die Services sind bei Sonicwall per Default unter VOIP zusammen gefasst, daher die "unnötige" Auflistung.


Zitat von @LordGurke:

Man braucht normalerweise überhaupt keine Port-Forwardings, damit sowas funktioniert - erst recht nicht die, die du angelegt hast. Sorry, aber hast du mal nachgesehen, *WAS* du da freigibst und warum? Was H.323 ist, kannst du auf meiner Gopher-Seite nachlesen, für MGCP müsstest du da Cisco-Hardware stehen haben.
Diese kompletten Freigaben kannst du löschen, die brauchst du für nichts. Du musst nur zusehen, dass du ausgehend Traffic von der Fritzbox zulässt und dass du in der Fritzbox einen STUN-Server eingetragen hast.
Falls die Sonicwall es anbietet, kannst du schauen, ob es mit "SIP-ALG" oder einem "NAT-Helper" besser wird.

Ist der Draytek wirklich Router oder ist der nur Modem und die Sonicwall macht die Interneteinwahl?
Wenn du da mehrschichtiges NAT hast, könnte auch ein Amok laufender SIP-ALG auf dem Draytek deine Probleme verursachen.

Der Meinung war/bin ich auch, aber die Praxis lehrt mich hier etwas anderes.

Die NATregel wurde zum Test angelegt, die Services sind bei Sonicwall per Default unter VOIP zusammen gefasst, daher die "unnötige" Auflistung.

Der DrayTek ist Router mit NAT-ALL. Ist so, das es so war ( nicht mein Bauwerk ), laut Aussage kam es im Modembetrieb zu häufiger Fehlern ( Aufhängen ) der WAN Verbindung zwischen DrayTek & Sonicwall.

STUN ist eingetragen.

Auf dem DrayTek gibt es nur noch den Punkt.
ALG
Unterpunkte :
SIP Port 5060
RTSP Port 554

Kann man jeweils enablen oder nicht.

was mich an der ganzen Geschichte eben wundert. Das ausgehende Gespräche ohne Probleme gehen, und nur bei eingehenden die eingehende Sprache nicht
Member: Campino86
Campino86 Jul 06, 2023 at 23:01:24 (UTC)
Goto Top
Zitat von @commodity:

Wahrscheinlich der Klassiker: RTP bleibt eingehend irgendwo hängen.
Die Dreifachkaskade macht das debuggen nicht leichter.

Lies Dich mal in ein paar Links rein. Die Prinzipien gelten für alle Systeme:
https://www.google.com/search?q=fritzbox+voip+kein+ton+ip-phone-forum

Edit: Und es ist (wie immer) völlig korrekt, was der Kollege @LordGurke schreibt: Eingehend braucht es keinerlei Portfreigaben (wer sagt das den 3CX-Machern?).

Viele Grüße, commodity

Ok, danke schonmal. Bei den Szenarien geht aber ja Sprache garnicht.
Member: Campino86
Campino86 Jul 06, 2023 at 23:02:26 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @Campino86:

Telekom Anschluss, Draytek Vigor als Router, dahinter eine Sonicwall SOHO als Gateway und im LAN eine Fritzbox 7590 als IP-Client konfiguriert.

Moin,

Gibt es irgendeinen Grund den Draytek als Router statt nur als Modem einzusetzen? Das ist doch völlig unnötiges NAT in der Routerkaskade. Daher werden wohl auch Deine Probleme kommen.

lks

Grund ist relativ, es ist auf grund schlechter anderweitiger Erfahrungen so gewünscht.
Member: Campino86
Campino86 Jul 06, 2023 at 23:11:58 (UTC)
Goto Top
HIer eigentlich auch gut zu sehen.
unbenannt
Member: Campino86
Campino86 Jul 06, 2023 at 23:39:41 (UTC)
Goto Top
SIP Transformations in der Sonicwall ist bereits deaktiviert.
IP Helper gibt es natürlich, welche Protokolle (TCP /UDP ) und Ports sollten denn eingetragen werden?
Member: Vision2015
Vision2015 Jul 07, 2023 at 03:02:16 (UTC)
Goto Top
Moin,
Zitat von @Campino86:

Zitat von @Lochkartenstanzer:

Zitat von @Campino86:

Telekom Anschluss, Draytek Vigor als Router, dahinter eine Sonicwall SOHO als Gateway und im LAN eine Fritzbox 7590 als IP-Client konfiguriert.

Moin,

Gibt es irgendeinen Grund den Draytek als Router statt nur als Modem einzusetzen? Das ist doch völlig unnötiges NAT in der Routerkaskade. Daher werden wohl auch Deine Probleme kommen.

lks

Grund ist relativ, es ist auf grund schlechter anderweitiger Erfahrungen so gewünscht.
ok... die schlechte erfahrung hast du ja jetzt auch, es geht nicht!
also, zum Test, mach den Vigor zum Modem (FirmwareUpdate?) die Sonic spielt den Router, und die Fritte ist ein Client im Netzwerk..... nach 10- 15 Minuten bist du schlauer! Alternativ hat die Fitte einen an der Klatsche, also nutze ein softphone (Phoner) zum Test.

Frank
Member: Lochkartenstanzer
Lochkartenstanzer Jul 07, 2023 updated at 07:56:10 (UTC)
Goto Top
Zitat von @Campino86:

Grund ist relativ, es ist auf grund schlechter anderweitiger Erfahrungen so gewünscht.

Die da wären? Waren die schlimmer als die jetzigen schlechten Erfahrungen?

zum Troubleshooting:

  • Du könntest die Fritte mal direkt hinter den draytek klemmen und schauen, ob es da besser läuft.

  • Du könntest testweise den draytek als Modem konfigurieren und die Sonicwall "einwählen" lassen, um zu schauen, ob das herausgenommen NAT auswirkungen hat.

  • Statt der Fritte irgendein anderes Gerät,, ggf. ein Softphone, ausprobieren.

lks
Member: chgorges
chgorges Jul 07, 2023 at 07:59:42 (UTC)
Goto Top
Zitat von @LordGurke:

Man braucht normalerweise überhaupt keine Port-Forwardings, damit sowas funktioniert

Tjo, habe ich auch immer gedacht, wurde letzte Woche wieder eines Besseren belehrt, dass es ohne Forwards nicht geht.
Telekom Company Flex, Hardware-Kombination Telekom Digitalisierungsbox, dahinter Fritzbox mit VOIP-Einwahl.
SIP-Reg ging problemlos, aber ohne entsprechende Forwards auf die Fritte war keine Telefonie möglich, bzw. Telefone klingelten, aber keine Sprachübertragung möglich.

vG
Member: Lochkartenstanzer
Lochkartenstanzer Jul 07, 2023 at 08:02:58 (UTC)
Goto Top
Zitat von @LordGurke:

Man braucht normalerweise überhaupt keine Port-Forwardings, damit sowas funktioniert - erst recht nicht die, die du angelegt hast.


Woltle gestern schon was dazu schreiben, habs aber schon wieder vergessen:

In einer idealen Welt hast Du recht. Bloß erlauben sich manche Entwickler einen gewissen "Ermessensspielraum" der sich oft gegenteilig auswirkt. Siehe allein das Beipipel von @chgorges. Auch ich hatte schon Fälle, wo es ohne nicht ging, obowhl es hätte gehen müssen. face-sad

lks
Member: commodity
commodity Jul 07, 2023 at 11:07:54 (UTC)
Goto Top
Wenn man (Ausnahme natürlich: direkter Zugriff von Extern) Forwardings braucht, liegt das an einer Fehlkonfiguration des Netzes. Die kann natürlich auch beim Provider liegen, was ich allerdings für unwahrscheinlich halte. Auch mag es sein, dass ein Portforwarding als Workaround für die Fehlkonfiguration des Netzes greift. Das ist aber nur eine fragwürdige Lösung des Problems.

Hier sieht man sehr schön, wie VOIP-Pakete fließen (Grafik in der Mitte) und dass RTP auf dem selben Socket erst raus und dann reingeht. Ebenso wie alle anderen Pakete. Hier ist das auch noch mal hübsch differenziert zwischen inbound und outbound call. Wo soll da der Bedarf für ein Forwarding sein?

In solchen Fällen hilft es, das mit Wireshark zu tracen - was auch die sinnvollste Maßnahme für den TO wäre.

Viele Grüße, commodity