mrfloppy
Goto Top

VOIP per VPN funktioniert nur in eine Richtung

Hallo Zusammen,
meine Firma betreibt ein Call Center im Aufbau. Wir benutzen zur Telefonie Elsbeth in Verbindung mit XLite.

2 Mitarbeiter sollen nun von Zuhause aus sich per VPN mit unserem Netz verbinden, dann auf ihrem lokalen Computer von Zuhause XLite und Elsbeth starten und dann von Zuhause aus arbeiten bzw telefonieren. Die VPN-Verbindung funktioniert wunderbar (Ping, Remote Desktop, usw) auch die Einwahl per XLite am Dialer funktioniert allerdings nur Einseitig. Der Agent, der von Zuhause aus telefoniert wird gehört, aber die Antworten des Kunden nicht.

Die VPN-Verbindung wurde mit einer Fritzbox 3370 realisiert und der passenden Software "Fernzugang" realisiert (nicht die beste Lösung, ich weiß). Nun habe ich im Internet gelesen, dass die Fritzbox selber den Port 5060 für die eigenen VoIP-Pakete blockiert bzw dieser nicht nutzbar ist für externe Anwendungen. In der XLite Einstellung wird aber genau dieser Port verwendet unter Domain -> Proxy: 192.168.170.6:5060

Liegt es daran oder hat jemand anderes eine Idee? Wie bekomme ich die Verbindung sonst am besten zum laufen?

Schon einmal vielen Dank im Voraus und viele Grüße!

Content-ID: 212336

Url: https://administrator.de/forum/voip-per-vpn-funktioniert-nur-in-eine-richtung-212336.html

Ausgedruckt am: 25.12.2024 um 04:12 Uhr

colinardo
colinardo 24.07.2013 aktualisiert um 15:27:34 Uhr
Goto Top
Hallo MrFloppy,
wie sieht es mit der Firewall bei den Clients aus? schalte diese mal temporär aus oder erlaube INCOMING Traffic auf Port 5060.
Da die VOIP-Verbindung über das VPN läuft sollte der Port 5060 von der Fritzbox für das VPN nicht blockiert sein.

Grüße Uwe
Gelöste Beitrage bitte auch als solche markieren.Danke.
MrFloppy
MrFloppy 24.07.2013 um 15:31:33 Uhr
Goto Top
Sowohl auf dem Client, der Zuhause beim Agenten steht, als auch beim Dialer hier in der Firma sind probehalber alle Windows-Firewalls bis auf die in der Fritzbox abgeschaltet. Bringt leider keine Besserung und hatte ich schon vorher probiert. Intern hier in der Firma funktioniert es ja auch mit den eingeschalteten Windows-Firewalls von daher kann das ja eigentlich nicht das Problem sein!?
colinardo
colinardo 24.07.2013 um 15:48:22 Uhr
Goto Top
Wie sehen die IP-Netze Subnetze aus. Ist in der Firma eine Route zum Netz der VPN-Clients gesetzt ? Was für ein Gerät ist die VPN Gegenstelle in der Firma ?
MrFloppy
MrFloppy 24.07.2013 um 15:53:00 Uhr
Goto Top
Subnetz in der Firma 255.255.255.0. In der Firma ist keine Route zum Netz der VPN-Clients gesetzt (teste es zur Zeit auch nur mit einem Client beim Agenten Zuhause). Wie stelle ich das an? Die VPN-Gegenstelle in der Firma ist wie gesagt eine Fritz!Box 3370. Beim Agenten Zuhause musst du ja nur die Software "Fernzugang" zusammen mit der Config installieren und schon läuft die Verbindung. Muss der Router beim Agenten Zuhause evtl noch konfiguriert werden?
colinardo
colinardo 24.07.2013 aktualisiert um 16:22:27 Uhr
Goto Top
Ach so läuft das bei euch - dachte beim Agenten zu Hause steht die Fritte. Hmmmm... kenne Xlite jetzt nicht wirklich, aber gibt es da nicht eine Einstellung die in etwa so heißt: Interne IP senden die sollte mal deaktiviert werden damit der Dialer die Antwortpakete nicht versucht an das lokale Subnetz des Agenten zu schicken die die Fritzbox eventuell nicht weiterleitet.

Sollte das doch mit dem Port 5060 auf der Fritte zusammenhängen kann man die Ports der Box umstellen:
http://www.ip-phone-forum.de/showthread.php?t=168571
MrFloppy
MrFloppy 24.07.2013 um 17:15:40 Uhr
Goto Top
Hab jetzt den VOIP-Port an der FB geändert und unseren Dialer einfach mal als Exposed Host gesetzt zum testen ohne weitere Port-Freigaben. Lieder kommt der Ton noch immer nicht beim Kunden an. Ich werde irgendwie das Gefühl nicht los, dass der Router beim Agenten Zuhause noch irgendwie konfiguriert werden muss!?

Sonst noch eine Idee um das Problem in den Griff zu bekommen?
aqui
aqui 24.07.2013, aktualisiert am 25.07.2013 um 11:46:34 Uhr
Goto Top
Exposed Host ist ja auch totaler Blödsinn, denn das bezieht sich auf die NAT Funktion und den direkten Zugriff von außen auf die NAT Firewall. Das hat mit dem VPN rein gar nichts zu tun.
Das solltest du auch dringenst wieder rückgängig machen denn das exponiert die VoIP Anlage frei im Internet !
Xlite ist ein simples VoIP Softphone was die interne Anlage über SIP und RTP kontaktiert.
Einseitige Voice Verbindungen zeigen in der Regel an das kein STUN auf der VoIP Anlage und/oder dem Client im Setup aktiviert ist, den RTP benutzt dynmaische UDP Port Nummern beim Verbindungsaufbau die vom Ziel initiiert werden und so am NAT hängenbleiben ohne aktives STUN.
Was wiederum darauf schliessen lässt das das die VPN Konfig der FB fehlerhaft ist denn das signalisiert das der VPN Tunnel ebenfalls irgendwo geNATet wird, was nie der Fall sein sollte.
Grundlegende Details zum IPsec findest du auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Sinnvoll wäre mal eine alternative IPsec Client SW zu testen wie den freien Shrew Client der NAT frei ist.
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
MrNetman
MrNetman 24.07.2013 um 19:01:59 Uhr
Goto Top
kann aqui zustimmen.
Der Rückkanal kommt aus dem Internet und kennt ja nur die Ziel-IP. und jetzt klemmt es. Deshalb der Hinweis auf STUN. http://de.wikipedia.org/wiki/Session_Traversal_Utilities_for_NAT

In der Zentrale wirst du erkennen können (Wireshark), dass die Kundenpakete von VoIP ankommen.
Außerdem stellt sich die Frage, ob es klassisches VoIP mit getrenntem Verbindungsaufbau und eigens verhandelten Kanälen oder ein Misch-VoIP mit dem kleinen Umweg über die Telefonanlage gibt.
MrFloppy
MrFloppy 25.07.2013 um 10:20:36 Uhr
Goto Top
Also wir haben bei uns im Firmennetz einen Controller (EPC) und nen separaten Dialer im Einsatz (EPD). Ist es das, was du meinst? Auf jeden Fall gute Tips, Aqui. Werde ich nachher gleich mal ausprobieren..
aqui
aqui 25.07.2013 aktualisiert um 11:46:02 Uhr
Goto Top
Keine Ahnung was du mit "EPC" und "Dialer" meinst, das sind keine VoIP bzw. netztechnischen technischen Termini.
Generell hat man eine VoIP Telefonanlage oder ein auch ein Gateway. Das kann entweder lokal oder remote bei einem SIP Dienstleister liegen.
Für remote bräuchtest du dann natürlich kein VPN, also hast du vermutlich eine lokale Anlage auf Asterisk Basis oder was auch immer...?! (Geraten) Frag am besten den Hersteller was das genau ist oder poste hier mal die Hersteller und Modellbezeichnung dann wissen wir schon was das ist (kommt man eigentlich auch von selbst drauf...).
Der Rest zum Troubleshooten der Verbindung steht oben...!
MrNetman
MrNetman 25.07.2013 um 11:56:25 Uhr
Goto Top
Elsbeth ist eine Wählmaschine für Callcenter, die dann weiter verbindet.
XLite ist ein VoIP Soft-Client. mit 32MByte recht fett.

So sind schon vor dem Telefonat viele Geräte eingebunden.
Da kann ich mir schon vorstellen, dass das so einfach nicht ist.
MrFloppy
MrFloppy 25.07.2013 um 14:09:10 Uhr
Goto Top
Zitat von @aqui:
Exposed Host ist ja auch totaler Blödsinn, denn das bezieht sich auf die NAT Funktion und den direkten Zugriff von
außen auf die NAT Firewall. Das hat mit dem VPN rein gar nichts zu tun.
Das solltest du auch dringenst wieder rückgängig machen denn das exponiert die VoIP Anlage frei im Internet !
Xlite ist ein simples VoIP Softphone was die interne Anlage über SIP und RTP kontaktiert.
Einseitige Voice Verbindungen zeigen in der Regel an das kein STUN auf der VoIP Anlage und/oder dem Client im Setup aktiviert ist,
den RTP benutzt dynmaische UDP Port Nummern beim Verbindungsaufbau die vom Ziel initiiert werden und so am NAT hängenbleiben
ohne aktives STUN.
Was wiederum darauf schliessen lässt das das die VPN Konfig der FB fehlerhaft ist denn das signalisiert das der VPN Tunnel
ebenfalls irgendwo geNATet wird, was nie der Fall sein sollte.
Grundlegende Details zum IPsec findest du auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Sinnvoll wäre mal eine alternative IPsec Client SW zu testen wie den freien Shrew Client der NAT frei ist.
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...


Also mit dem Shrewsoft VPN-Tool funktioniert das ganze jetzt bestens, vielen vielen Dank. Wir werden dann halt ein paar Lizenzen kaufen müssen, aber ist dann halt so. Oder gibts sowas in der Art auch als Freeware-Tool? Was ist mit OpenVPN?
aqui
aqui 25.07.2013 aktualisiert um 14:31:51 Uhr
Goto Top
Ääähhh... Shrew ist Freeware !
Wenn du die Standard Edition benutzt ! Zitat aus den Benuntzungsregeln: "...It is simply free for both personal and commercial use."
https://www.shrew.net/software
Viel sinnvoller ist statt PC Software einen kleinen preiswerten VPN Router (z.B. Mikrotik) zu nehmen um die Verbindung zu realisieren. Wie das geht steht hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
MrFloppy
MrFloppy 25.07.2013 um 14:36:51 Uhr
Goto Top
Ups, einmal zu schnell geklickt und Prof ausgewählt face-smile Aber danke. Ich denke mal, das werde ich dann so umsetzen..

Vielen Dank für alles!
aqui
aqui 26.07.2013 um 13:58:47 Uhr
Goto Top
Bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
92943
92943 23.07.2014 um 10:38:58 Uhr
Goto Top
Hallo,

für alle, die dieses Problem haben, bei uns in der Firma hat folgendes geholfen:

Der Computer, wo der Telefonclient installiert ist und der die VPN Verbindung aufbaut, muss eine feste Route erhalten.
In der Eingabeaufforderung folgendes eingeben:

route add -p IP1 mask SUBNETZMASKE IP2 metric 100


IP1 ersetzen mit: IP Adresse des Telefonservers des Anbieters
SUBNETZMASKE ersetzen mit: Der passenden Subnetzmaske des o.g. Telefonservers (255.255.255.255)
IP2 ersetzeb mit: IP des Routers aus dem eigenen Netzwerk. Eingetragenes Gateway des Computers.

Parameter -p ist wichtig. Hiermit bleibt die Route auch nach Neustart des Computers drin.

Gruß