VOIP per VPN funktioniert nur in eine Richtung
Hallo Zusammen,
meine Firma betreibt ein Call Center im Aufbau. Wir benutzen zur Telefonie Elsbeth in Verbindung mit XLite.
2 Mitarbeiter sollen nun von Zuhause aus sich per VPN mit unserem Netz verbinden, dann auf ihrem lokalen Computer von Zuhause XLite und Elsbeth starten und dann von Zuhause aus arbeiten bzw telefonieren. Die VPN-Verbindung funktioniert wunderbar (Ping, Remote Desktop, usw) auch die Einwahl per XLite am Dialer funktioniert allerdings nur Einseitig. Der Agent, der von Zuhause aus telefoniert wird gehört, aber die Antworten des Kunden nicht.
Die VPN-Verbindung wurde mit einer Fritzbox 3370 realisiert und der passenden Software "Fernzugang" realisiert (nicht die beste Lösung, ich weiß). Nun habe ich im Internet gelesen, dass die Fritzbox selber den Port 5060 für die eigenen VoIP-Pakete blockiert bzw dieser nicht nutzbar ist für externe Anwendungen. In der XLite Einstellung wird aber genau dieser Port verwendet unter Domain -> Proxy: 192.168.170.6:5060
Liegt es daran oder hat jemand anderes eine Idee? Wie bekomme ich die Verbindung sonst am besten zum laufen?
Schon einmal vielen Dank im Voraus und viele Grüße!
meine Firma betreibt ein Call Center im Aufbau. Wir benutzen zur Telefonie Elsbeth in Verbindung mit XLite.
2 Mitarbeiter sollen nun von Zuhause aus sich per VPN mit unserem Netz verbinden, dann auf ihrem lokalen Computer von Zuhause XLite und Elsbeth starten und dann von Zuhause aus arbeiten bzw telefonieren. Die VPN-Verbindung funktioniert wunderbar (Ping, Remote Desktop, usw) auch die Einwahl per XLite am Dialer funktioniert allerdings nur Einseitig. Der Agent, der von Zuhause aus telefoniert wird gehört, aber die Antworten des Kunden nicht.
Die VPN-Verbindung wurde mit einer Fritzbox 3370 realisiert und der passenden Software "Fernzugang" realisiert (nicht die beste Lösung, ich weiß). Nun habe ich im Internet gelesen, dass die Fritzbox selber den Port 5060 für die eigenen VoIP-Pakete blockiert bzw dieser nicht nutzbar ist für externe Anwendungen. In der XLite Einstellung wird aber genau dieser Port verwendet unter Domain -> Proxy: 192.168.170.6:5060
Liegt es daran oder hat jemand anderes eine Idee? Wie bekomme ich die Verbindung sonst am besten zum laufen?
Schon einmal vielen Dank im Voraus und viele Grüße!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 212336
Url: https://administrator.de/forum/voip-per-vpn-funktioniert-nur-in-eine-richtung-212336.html
Ausgedruckt am: 25.12.2024 um 04:12 Uhr
16 Kommentare
Neuester Kommentar
Hallo MrFloppy,
wie sieht es mit der Firewall bei den Clients aus? schalte diese mal temporär aus oder erlaube INCOMING Traffic auf Port 5060.
Da die VOIP-Verbindung über das VPN läuft sollte der Port 5060 von der Fritzbox für das VPN nicht blockiert sein.
Grüße Uwe
Gelöste Beitrage bitte auch als solche markieren.Danke.
wie sieht es mit der Firewall bei den Clients aus? schalte diese mal temporär aus oder erlaube INCOMING Traffic auf Port 5060.
Da die VOIP-Verbindung über das VPN läuft sollte der Port 5060 von der Fritzbox für das VPN nicht blockiert sein.
Grüße Uwe
Gelöste Beitrage bitte auch als solche markieren.Danke.
Ach so läuft das bei euch - dachte beim Agenten zu Hause steht die Fritte. Hmmmm... kenne Xlite jetzt nicht wirklich, aber gibt es da nicht eine Einstellung die in etwa so heißt: Interne IP senden die sollte mal deaktiviert werden damit der Dialer die Antwortpakete nicht versucht an das lokale Subnetz des Agenten zu schicken die die Fritzbox eventuell nicht weiterleitet.
Sollte das doch mit dem Port 5060 auf der Fritte zusammenhängen kann man die Ports der Box umstellen:
http://www.ip-phone-forum.de/showthread.php?t=168571
Sollte das doch mit dem Port 5060 auf der Fritte zusammenhängen kann man die Ports der Box umstellen:
http://www.ip-phone-forum.de/showthread.php?t=168571
Exposed Host ist ja auch totaler Blödsinn, denn das bezieht sich auf die NAT Funktion und den direkten Zugriff von außen auf die NAT Firewall. Das hat mit dem VPN rein gar nichts zu tun.
Das solltest du auch dringenst wieder rückgängig machen denn das exponiert die VoIP Anlage frei im Internet !
Xlite ist ein simples VoIP Softphone was die interne Anlage über SIP und RTP kontaktiert.
Einseitige Voice Verbindungen zeigen in der Regel an das kein STUN auf der VoIP Anlage und/oder dem Client im Setup aktiviert ist, den RTP benutzt dynmaische UDP Port Nummern beim Verbindungsaufbau die vom Ziel initiiert werden und so am NAT hängenbleiben ohne aktives STUN.
Was wiederum darauf schliessen lässt das das die VPN Konfig der FB fehlerhaft ist denn das signalisiert das der VPN Tunnel ebenfalls irgendwo geNATet wird, was nie der Fall sein sollte.
Grundlegende Details zum IPsec findest du auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Sinnvoll wäre mal eine alternative IPsec Client SW zu testen wie den freien Shrew Client der NAT frei ist.
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
Das solltest du auch dringenst wieder rückgängig machen denn das exponiert die VoIP Anlage frei im Internet !
Xlite ist ein simples VoIP Softphone was die interne Anlage über SIP und RTP kontaktiert.
Einseitige Voice Verbindungen zeigen in der Regel an das kein STUN auf der VoIP Anlage und/oder dem Client im Setup aktiviert ist, den RTP benutzt dynmaische UDP Port Nummern beim Verbindungsaufbau die vom Ziel initiiert werden und so am NAT hängenbleiben ohne aktives STUN.
Was wiederum darauf schliessen lässt das das die VPN Konfig der FB fehlerhaft ist denn das signalisiert das der VPN Tunnel ebenfalls irgendwo geNATet wird, was nie der Fall sein sollte.
Grundlegende Details zum IPsec findest du auch hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Sinnvoll wäre mal eine alternative IPsec Client SW zu testen wie den freien Shrew Client der NAT frei ist.
http://www.avm.de/de/Service/Service-Portale/Service-Portal/VPN_Interop ...
kann aqui zustimmen.
Der Rückkanal kommt aus dem Internet und kennt ja nur die Ziel-IP. und jetzt klemmt es. Deshalb der Hinweis auf STUN. http://de.wikipedia.org/wiki/Session_Traversal_Utilities_for_NAT
In der Zentrale wirst du erkennen können (Wireshark), dass die Kundenpakete von VoIP ankommen.
Außerdem stellt sich die Frage, ob es klassisches VoIP mit getrenntem Verbindungsaufbau und eigens verhandelten Kanälen oder ein Misch-VoIP mit dem kleinen Umweg über die Telefonanlage gibt.
Der Rückkanal kommt aus dem Internet und kennt ja nur die Ziel-IP. und jetzt klemmt es. Deshalb der Hinweis auf STUN. http://de.wikipedia.org/wiki/Session_Traversal_Utilities_for_NAT
In der Zentrale wirst du erkennen können (Wireshark), dass die Kundenpakete von VoIP ankommen.
Außerdem stellt sich die Frage, ob es klassisches VoIP mit getrenntem Verbindungsaufbau und eigens verhandelten Kanälen oder ein Misch-VoIP mit dem kleinen Umweg über die Telefonanlage gibt.
Keine Ahnung was du mit "EPC" und "Dialer" meinst, das sind keine VoIP bzw. netztechnischen technischen Termini.
Generell hat man eine VoIP Telefonanlage oder ein auch ein Gateway. Das kann entweder lokal oder remote bei einem SIP Dienstleister liegen.
Für remote bräuchtest du dann natürlich kein VPN, also hast du vermutlich eine lokale Anlage auf Asterisk Basis oder was auch immer...?! (Geraten) Frag am besten den Hersteller was das genau ist oder poste hier mal die Hersteller und Modellbezeichnung dann wissen wir schon was das ist (kommt man eigentlich auch von selbst drauf...).
Der Rest zum Troubleshooten der Verbindung steht oben...!
Generell hat man eine VoIP Telefonanlage oder ein auch ein Gateway. Das kann entweder lokal oder remote bei einem SIP Dienstleister liegen.
Für remote bräuchtest du dann natürlich kein VPN, also hast du vermutlich eine lokale Anlage auf Asterisk Basis oder was auch immer...?! (Geraten) Frag am besten den Hersteller was das genau ist oder poste hier mal die Hersteller und Modellbezeichnung dann wissen wir schon was das ist (kommt man eigentlich auch von selbst drauf...).
Der Rest zum Troubleshooten der Verbindung steht oben...!
Ääähhh... Shrew ist Freeware !
Wenn du die Standard Edition benutzt ! Zitat aus den Benuntzungsregeln: "...It is simply free for both personal and commercial use."
https://www.shrew.net/software
Viel sinnvoller ist statt PC Software einen kleinen preiswerten VPN Router (z.B. Mikrotik) zu nehmen um die Verbindung zu realisieren. Wie das geht steht hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Wenn du die Standard Edition benutzt ! Zitat aus den Benuntzungsregeln: "...It is simply free for both personal and commercial use."
https://www.shrew.net/software
Viel sinnvoller ist statt PC Software einen kleinen preiswerten VPN Router (z.B. Mikrotik) zu nehmen um die Verbindung zu realisieren. Wie das geht steht hier:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Hallo,
für alle, die dieses Problem haben, bei uns in der Firma hat folgendes geholfen:
Der Computer, wo der Telefonclient installiert ist und der die VPN Verbindung aufbaut, muss eine feste Route erhalten.
In der Eingabeaufforderung folgendes eingeben:
route add -p IP1 mask SUBNETZMASKE IP2 metric 100
IP1 ersetzen mit: IP Adresse des Telefonservers des Anbieters
SUBNETZMASKE ersetzen mit: Der passenden Subnetzmaske des o.g. Telefonservers (255.255.255.255)
IP2 ersetzeb mit: IP des Routers aus dem eigenen Netzwerk. Eingetragenes Gateway des Computers.
Parameter -p ist wichtig. Hiermit bleibt die Route auch nach Neustart des Computers drin.
Gruß
für alle, die dieses Problem haben, bei uns in der Firma hat folgendes geholfen:
Der Computer, wo der Telefonclient installiert ist und der die VPN Verbindung aufbaut, muss eine feste Route erhalten.
In der Eingabeaufforderung folgendes eingeben:
route add -p IP1 mask SUBNETZMASKE IP2 metric 100
IP1 ersetzen mit: IP Adresse des Telefonservers des Anbieters
SUBNETZMASKE ersetzen mit: Der passenden Subnetzmaske des o.g. Telefonservers (255.255.255.255)
IP2 ersetzeb mit: IP des Routers aus dem eigenen Netzwerk. Eingetragenes Gateway des Computers.
Parameter -p ist wichtig. Hiermit bleibt die Route auch nach Neustart des Computers drin.
Gruß