VOIP Problem über VPN Site-to-Site Tunnel

clemens-der-vierte
Hallo an die Experten,
folgendes Problem tritt aktuell bei mir auf:

Ein Mitarbeiter im HomeOffice ist per VPN (Site-to-Site Tunnel, Sonicwall TZ) mit der Zentrale (Sonicwall NSA) verbunden. Der Tunnel steht, Verbindung mit dem PC ist auch ohne Probleme möglich.

Probleme gibt es (seit kurzem) aber mit dem Telefon. Dieses bekommt eine IP aus dem HomeOffice LAN der Sonicwall und erreicht die TK Anlage (über den Tunnel). Generell funktioniert diese Verbindung (Telefon ist verbunden, klingelt auch).
PROBLEM: Viele der Gespräche werden allerdings nicht vollständig aufgebaut (Telefon klingelt, Teilnehmer können sich jedoch nicht hören). Im nächsten Versuch klappt es dann wieder usw....

Ich würde mich freuen über Ansätze zur Lösung des Problems bzw. Hinweise an welcher Stelle ich suchen muss bzw. "an welcher Schraube ich drehen muss" damit das Telefon wieder dauerhaft funktioniert.

Vielen Dank im Voraus!


Gruß
Clemens

Content-Key: 287128

Url: https://administrator.de/contentid/287128

Ausgedruckt am: 24.01.2022 um 17:01 Uhr

Mitglied: michi1983
michi1983 30.10.2015 um 11:18:46 Uhr
Goto Top
Hallo,

QoS?

Gruß
Mitglied: Looser27
Looser27 30.10.2015 um 11:45:49 Uhr
Goto Top
Moin,

das sieht nach einem Problem mit den UDP-Ports aus über welche das Gespräch (Audio) dann tatsächlich läuft. Welche Ports hast Du denn freigegeben über den Tunnel?

Looser
Mitglied: aqui
aqui 30.10.2015 aktualisiert um 11:47:58 Uhr
Goto Top
Einmal das, und... Die Firewall sollte in jedem Falle den Voice Traffic im Tunnel priorisieren egal ob die Telefone .1p oder DSCP nutzen !
Das zweite ist die Frage ob die FW auch den Traffic im Tunnel selber überwacht.
Oft wird im Tunnel bei der Einrichtug bzw. Konfiguration der FW der Kardinalsfehler gemacht den Traffic im Tunnel selber auch zu NATen also eine Adress Translation auch des Tunneltraffics zu machen.
Das ist dann für die bei VoIP involvierten Protokolle tödlich, da diese teilweise dynamische Ports verwenden die dann am NAT hängenbleiben. Niemals also den Tunnel auch NATen in so einem Design !
Da es bei dir temorär klappt ist das vermutlich nicht das primäre Problem, zeigt aber das die FW Firmware nicht richtig damit umgehen kann.
Weitere wichtige Frage ist in dem Zusammenhang ob es auf Client Seite (Home Office) schon einen Router gibt und die FW damit kaskadiert ist.
Deine ToDos:
  • Update der Firewall / Router Komponenten auf beiden Seiten auf die aktuellste Firmware
  • Voice Traffic auf dem lokalen LAN und auch dem Tunnel Interface unbedingt priorisieren und das auf beiden Seiten bzw. FW Komponenten.
  • Checken ob NAT im Tunnel gemacht wird und das unbedingt deaktivieren
  • Checken ob die Firewall den Traffic kontrolliert im Tunnel und hier ggf. prüfen das SIP und RTP richtig behandelt werden. RTP nutzt dynamische Random Ports was die Firewall erkennen muss !!
Das wären so erstmal die wichtigsten Schritte.
Mit einem simplen Softphone wie Phoner: http://www.phoner.de oder eine kostenlosen VoIP App wie Zoiper http://www.zoiper.com/en kannst du das auch VoIP selber schnell mal emulieren über den Tunnel und mit dem Wireshark prüfen wo es kneift. Der Wireshark hat sehr gute VoIP Tools dafür.
Mitglied: goscho
goscho 30.10.2015 um 14:46:22 Uhr
Goto Top
Mahlzeit,
zusätzlich zu den QoS Geschichten im Netzwerk und Tunnel solltest du auch die VOIP-Hardware in Betracht ziehen.

Ich hatte zuletzt ein riesiges Problem mit einer Auerswald Commander Basic II und angeschlossenen Gigaset IP Pro DECT-Telefonen.
Die Gespräche brachen fast immer nach kurzer Zeit ab.
Schuld war eine fehlerhafte Einstellung in den Basisstationen der Gigaset Telefone, die nicht manuell konfigurierbar war. Diese wurde durch den Gigaset-Support durch ein angepasstes Konfigfile behoben.
Mitglied: bplotzky
Lösung bplotzky 30.10.2015, aktualisiert am 05.11.2015 um 10:22:53 Uhr
Goto Top
Hallo
eine kurze Antwort

Schau dir einfach die Sprachprotokolle (Codec) an - stelle diese Testweise runter auf zb. G.729 oder auf G.723 dann sollte es gehen.
Ich denke die stehen nun auf G.711 A-Law

Solltest du im Telefon (konfig) finden sofern die Anlage das auch Unterstützt.
Auch in der Telefonanlage sollte dies zu finden sein. Bei Aastra Detewe ist es unter Telefonie->Erweitert->VoIP Profil zufinden.
Bei Aastra muss du dies auch beim Telefon eintragen.


Dann geht's wieder ohne Probleme.

Grüße
Bernhard
Mitglied: aqui
aqui 30.10.2015 aktualisiert um 15:10:30 Uhr
Goto Top
@goscho
Rein Interesse halber und OT... Waren diese Einstellungen auf das DECT Profil bezogen oder direkt auf VoIP ?
Wenn letzteres, weisst du zufällig was das war ? RTP Parameter ?
Mitglied: goscho
goscho 30.10.2015 um 15:26:19 Uhr
Goto Top
Zitat von @aqui:

@goscho
Rein Interesse halber und OT... Waren diese Einstellungen auf das DECT Profil bezogen oder direkt auf VoIP ?
Das waren VOIP-Probleme. Regelmäßig brachen die Gespräche ab (Zeiten waren unterschiedlich) und alle DECT-Geräte dieser Basis meldeten sich ab und gleich wieder neu an.
Wenn letzteres, weisst du zufällig was das war ?
Ja, mit dem Patch von Gigaset wurde ein auf den Basen hinterlegter STUN-Server deaktiviert, der wohl für das regelmäßige De-Registrar verantwortlich war.
Seither keine Abbrüche mehr.
RTP Parameter ?
Kann dir keine Parameter geben, dies ist nicht manuell konfigurierbar.
Mitglied: aqui
aqui 30.10.2015 um 15:28:02 Uhr
Goto Top
Na ja STUN Server sollte man ja auch imemr selber einstellen können im Steup wenn man will. ;-) face-wink
Danke fürs Feedback !
Mitglied: goscho
goscho 30.10.2015 um 15:36:58 Uhr
Goto Top
Zitat von @aqui:

Na ja STUN Server sollte man ja auch imemr selber einstellen können im Steup wenn man will. ;-) face-wink
Genau, aber wollte und habe ich nicht, trotzdem scheint einer hinterlegt gewesen zu sein.
Den Fehler hatte ich bei verschiedenen Serien der Gigaset-IP-Basen.
Danke fürs Feedback !
Gerne doch. :-) face-smile
Mitglied: clemens-der-vierte
clemens-der-vierte 02.11.2015 aktualisiert um 10:31:54 Uhr
Goto Top
Hallo,
erstmal generell vielen Dank für die vielen Antworten!

Der Codec war im Telefon (Siemens Optipoint) auf G.729 eingestellt. Ich habe ihn jetzt mal auf G.723 geändert und werde es einmal testen.


@goscho: mit DECT arbeite ich (in dem Fall) gar nicht, deshalb kommt diese Fehlerquelle nicht in Betracht. Trotzdem vielen Dank für deine Hilfe!


@aqui:

Okay, am QoS arbeite ich noch, das wurde bisher auf meiner Sonicwall noch gar nicht konfiguriert / benötigt.
NAT wird im Tunnel nicht gemacht und auch an geblockten Ports kann es nicht liegen.

Ich werde das QoS mal einstellen und dann weiter testen.


Grüße
Clemens
Mitglied: goscho
goscho 02.11.2015 um 10:34:29 Uhr
Goto Top
Zitat von @clemens-der-vierte:
@goscho: mit DECT arbeite ich (in dem Fall) gar nicht, deshalb kommt diese Fehlerquelle nicht in Betracht. Trotzdem vielen Dank für deine Hilfe!
Das war kein DECT-, sondern ein VOIP-Problem. Es handelte sich nur um DECT-IP-Telefone.
Mitglied: aqui
aqui 02.11.2015 um 12:59:45 Uhr
Goto Top
Stand auch so explizit im Text. Tja wer lesen kann.... ;-) face-wink
Mitglied: clemens-der-vierte
clemens-der-vierte 05.11.2015 um 10:22:43 Uhr
Goto Top
Hallo,

es scheint jetzt so als wäre das Problem gelöst - zumindest tritt es seit ein paar Tagen nicht mehr auf.
Folgendes habe ich getan:
Änderung des Codecs von G.729 zu G.723

Ich hoffe das es wirklich damit gelöst ist.

Vielen Dank an alle Helfer!

Gruß Clemens
Mitglied: aqui
aqui 16.11.2015, aktualisiert am 17.11.2015 um 09:06:07 Uhr
Goto Top
Eigentlich Blödsinn, denn das reduziert die Bandbreite lediglich um popelige 2 kBit/s (Kilobit !)
http://www.elektronik-kompendium.de/sites/net/0905121.htm
Zudem nimmt man eine geringere Sprachqualität in Kauf.
Das kann nicht wirklich der Grund gewesen sein, aber egal....
Mitglied: clemens-der-vierte
clemens-der-vierte 17.11.2015 um 08:42:06 Uhr
Goto Top
Hallo aqui,
du hast vollkommen recht.
Die Lösung war auch nur von kurzzeitiger Dauer... Seit einigen Tagen ist der alten Zustand wieder da.
Mitglied: aqui
aqui 17.11.2015 um 09:08:21 Uhr
Goto Top
Das war zu erwarten !
Du solltest dringenst was am QoS Setting machen ! Priorisiere den Voice Traffic zwingend in allen deinen Switch und Router Komponenten, dann hört das auch sofort auf !
Wie ist den dein Voice Traffic überhaupt auf der Anlage und den Telefonen priorisiert ? Mit 802.1p CoS oder mit DSCP ToS ?
Und vor allen Dingen mit welchen Settings ?
Mitglied: Looser27
Looser27 17.11.2015 aktualisiert um 09:35:51 Uhr
Goto Top
Schon mal ein tcpdump gemacht, um zu sehen, ob die Pakete auch wirklich durch den Tunnel gehen?
Ach und noch was habe ich gerade schmerzlich lernen müssen: Wenn Du einen SIP-Proxy verwendest, schalte den mal testweise ab.
Mitglied: bplotzky
bplotzky 19.11.2015 aktualisiert um 10:52:28 Uhr
Goto Top
es geht nicht um die Bandbreite sondern um die Kodierung !

Es sollte geprüft werden ob sich die Parteien über den Austausch eines anderen Codecs genau so schwer tun.
Nicht die Bandbreite ist das Problem sondern die Kompatibilität der Endgeräte.

Ich denke jede Messung der Bandbreite wird ein Ergebnis über 64 KB bringen ! Somit liegt das Problem
an dem Codec NICHT am Netzwerkverlust.

Relevant wären die Firmware zu kontrollieren und bei Hersteller abzugleichen. Eventuell gibt es hier Probleme
mit den verschiedenen Ständen .
Mitglied: aqui
aqui 20.11.2015 aktualisiert um 16:26:17 Uhr
Goto Top
es geht nicht um die Bandbreite sondern um die Kodierung !
Um die Kodierung ?? Wohl auch nicht wirklich. Es geht einzig um eine saubere Prioritätensteuerung....!
Oder was genau meinst du mit "Kodierung" ?
Wenn deine Endgeräte das Aushandeln der Codecs schon nicht verstehen hast du ein grundsätzliches Problem. Das wär so als wenn man am Auto die Reifen vergisst.
Das deine Endgeräte da die neueste und aktuellste Firmware haben sollten, sollte selbstverständlich sein.
Somit liegt das Problem an dem Codec NICHT am Netzwerkverlust.
So so.... Wie rechtfertigst du das denn ??
Du hast also Einfluss auf die Bandbreitensteuerung aller Providernetze und auch deines internen Netzes indem du garantieren kannst das immer genügend Bandbreite vorhanden ist ??
Wohl eher nicht, denn sollte im Provider Backbone oder der letzten Meile bzw. deines eigenen Netzes einmal ein kurzzeitiger Engpass sein schmeissen diese Komponenten auf die du keinerlei Einfluss hast deine VPN Pakete und damit auch deinen Voice Pakete einfach weg !
Verhindern kannst du das nicht ohne eine vernünftige QoS Steuerung die bei VoIP eingentlich zwingend ist, du aber laut eigener Aussage oben gar nicht hast.
Insofern ist deine letzte Aussage eher laienhaft naiv.
Das Statement mit den Firmware Release ist daher umso wichtiger....siehe oben !
Heiß diskutierte Beiträge
question
Ist diese Hardware sinnvoll für privaten Haushalt?stonevVor 1 TagFrageRouter & Routing5 Kommentare

Hallo erstmal :) Meine alte Fritzbox 7490 spinnt seit gestern. Ich gehe von Alterschwäche aus, es wird also Ersatz fällig. Zufrieden war ich mit ihr ...

question
LTO-5 Bänder Löschen geht nichtkreuzbergerVor 12 StundenFrageBackup22 Kommentare

Hallo ihr Helden, ich hab da ein blödes Problem: Ich habe einen Stapel gebrauchte LTO-5-Bänder bekommen, die soweit völlig i. O. sind. Mit welchem Programm ...

question
Teilenummer für weiße Esprimo Mini-PC?LochkartenstanzerVor 16 StundenFrageHardware18 Kommentare

Moin, Ich habe eine eigenwillige Kundin, die einen weißen Fujitsu Esprimo Mini-PC haben will. Und der Kundin ist, wie sollte es anders sein, die Farbe ...

question
Suche einen 27 Zoll 4K Monitor mit einer Energieklasse von A-CWolf6660Vor 1 TagFrageGrafikkarten & Monitore3 Kommentare

Hi, ich bin auf der suche nach zwei 27 oder 28´´4K Monitor. Da ich diesen täglich mehrere Stunden benutzt bin ich auf der Suche nach ...

question
Ein Smartphone für privat und geschäftliche NutzungNebellichtVor 15 StundenFragePeripheriegeräte5 Kommentare

Hallo, für die Firma werden aktuell Smartphone(s) gesucht, die da eine Dual Sim ermöglichen und zusätzlich trennende Sicherheit, d.h. ein Trennen von privaten Daten und ...

question
Suche nach "Beschreibung"ThabeusVor 17 StundenFrageVmware11 Kommentare

Moin, ich stehe gerade auf dem Schlauch bei der Suche nach einer Anleitung. Vielleicht kann mir jemand helfen die "Begrifflichkeit" zu finden. In meinem Netzwerk ...

question
User verschickt mit kryptischer Outlook.com Adresse aus on-prem Exchange 2016LauneBaerVor 16 StundenFrageExchange Server10 Kommentare

Servus in die Runde, ich habe ein für mich nicht nachvollziehbares Problem bei einem User, das heute zum 2ten mal aufgetreten ist. Und zwar verschickte ...

question
Tipp für Firewall mit mehreren DHCP-Instanzen für VLAN gesucht gelöst Holly484Vor 9 StundenFrageFirewall5 Kommentare

Hallo zusammen, hatte in einer Gemeinschaftspraxis bisher tolle Erfahrungen mit Netgear über die letzten vielen Jahre gesammelt. Jetzt ist Netgear aus dem Firewall-Business ausgestiegen. Bisher ...