Bintec X1200 und iPhone

[Duff]

Hallo,

also, ich habe folgendes Problem.
Habe einen Router von BinTec (X1200) hinter dem ich einen ATA-486 im Clientmodus betreiben möchte, da später noch weiter ATA-Geräte über einen Switch mit dem Router verbinden möchte, damit ich mehrer VoIP-Gespräche führen kann.

Um das ganze erstmal einfacher zu probieren, habe ich mir auf meinem PC freenetiphone installiert. Ich bekomme aber immer folgende Fehlermeldung

...schalten Sie bitte folgende UDP-Ports für ein- und ausgehende Ports frei: Port 16384 bis 16390 sowie UDP-Port 5069.

Ich habe dann im setup Menü des BinTec-Routers unter NAT die Ports freigegeben.

X1200 Setup Tool                                       BinTec Communications AG
[IP][NAT][EDIT][OUTSIDE]: NAT - sessions from OUTSIDE (T_ONLINE)          brick
_______________________________________________________________________________

  Abbreviations : r(remote)  i(internal)  e(external)  a(address)  p(port)


  Service      Conditions
  -----------------------------------------------------------
  16384..16390/udpia 192.168.1.160/32, ep 16384-16390
  5069/udp     ia 192.168.1.160/32, ep 5069

Doch leider kommt immer wieder die gleiche Fehlermeldung, wenn ich freenetiphone starte.
Verbinde ich jedoch den PC direkt mit dem Modem, also ohne den Router, funktioniert alles einwandfrei.
Ich weiß nur leider nicht, was ich noch am Router einstellen muss oder ob ich das Portforwarding falsch eingerichtet habe.

Hoffentlich kann mir jemand weiterhelfen.

Schon mal Danke im voraus!

 

[RB]

Moin!

Das Port Forwarding sieht erstmal richtig aus. Allerdings müssen noch die Einstellungen der SIF (Stateful Inspection Firewall) und der Access Lists beachtet werden.

In beiden Fällen muß sichergestellt sein, daß auf dem Port, der von außen an eine interne Adresse umgelenkt wird, auch von außen eine Verbindung auf die entsprechende Adresse aufgebaut werden darf. Das sollte aber aus den Logs des Bintec zu entnehmen sein. Die kann man notfalls per Telnet im Router unter dem Menüpunkt "Monitoring" und dann "Messages" finden. Wenn die SIF etwas verhindert hat, kommt da normalerweise eine Meldung.

 

[Duff]

Danke erstmal für die schnelle Antwort.

Mein Auszug aus Messages sieht wie folgt aus:

INET INF NAT: denied incoming session on ifc 10001 prot 17 80.137.72.158:102 |
 INET INF NAT: denied incoming session on ifc 10001 prot 17 80.137.72.158:102 |
 INET INF dnsd: cache add 194.97.54.97 for iphone.freenet.de.                 |
 INET INF dnsd: cache add 62.104.23.38 for abakus.freenet.de.                 |
 INET INF dnsd: cache add 194.97.109.10 for seife.iphone.freenet-rz.de.       |
 INET INF NAT: denied incoming session on ifc 10001 prot 17 80.137.72.158:337 |
 INET INF dnsd: cache add 194.97.50.136 for mx.freenet.de.                    |
 INET INF dnsd: cache add 194.97.50.138 for mx.freenet.de.                    |
 INET INF dnsd: cache add 194.97.50.144 for mx.freenet.de.                    |
 INET INF dnsd: cache add 194.97.55.147 for mx.freenet.de.                    |
 INET INF dnsd: cache add 194.97.55.148 for mx.freenet.de.                    |
 INET INF dnsd: cache add 194.97.55.190 for mx.freenet.de.   
 INET INF NAT: denied incoming session on ifc 10001 prot 17 80.137.72.158:337 ^
 INET INF NAT: denied incoming session on ifc 10001 prot 6 80.137.72.158:445  |
 INET INF NAT: denied incoming session on ifc 10001 prot 17 80.137.72.158:337 |
 INET INF NAT: denied incoming session on ifc 10001 prot 6 80.137.72.158:445  |
 INET INF NAT: denied incoming session on ifc 10001 prot 17 80.137.72.158:337 |
 INET INF NAT: denied incoming session on ifc 10001 prot 17 80.137.72.158:102 |
 INET INF NAT: denied incoming session on ifc 10001 prot 17 80.137.72.158:102 |
 INET INF NAT: denied incoming session on ifc 10001 prot 17 80.137.72.158:337 |
 INET INF refuse from if 1000 prot 17 192.168.1.160:137->192.168.1.255:137 (R |
 INET INF NAT: denied incoming session on ifc 10001 prot 17 80.137.72.158:102 |
 INET INF NAT: denied incoming session on ifc 10001 prot 17 80.137.72.158:102 |
 ACCT INF LOGIN as admin from TELNET 192.168.1.160 at Wed Aug 17  8:01:23 200 |
 INET INF refuse from if 1000 prot 17 192.168.1.160:138->192.168.1.255:138 (R v
ACCT INF LOGIN as admin from TELNET 192.168.1.160 at Wed Aug 17  8:01:23 200 ^
 INET INF refuse from if 1000 prot 17 192.168.1.160:138->192.168.1.255:138 (R |
 INET INF NAT: denied incoming session on ifc 10001 prot 6 80.137.72.158:445  |
 INET INF NAT: denied incoming session on ifc 10001 prot 6 80.137.72.158:445  |
 INET INF NAT: denied incoming session on ifc 10001 prot 6 80.137.72.158:139  |
 INET INF NAT: denied incoming session on ifc 10001 prot 6 80.137.72.158:139  |
 INET INF dnsd: cache add 62.104.23.51 for apps.freenet.de.                   |
 INET INF NAT: denied incoming session on ifc 10001 prot 17 80.137.72.158:337 |
 INET INF NAT: denied incoming session on ifc 10001 prot 17 80.137.72.158:337 |
 INET INF NAT: denied incoming session on ifc 10001 prot 17 80.137.72.158:337 |
 INET INF dnsd: cache add 194.97.54.97 for iphone.freenet.de.                 |
 INET INF NAT: denied incoming session on ifc 10001 prot 17 80.137.72.158:337 |
 INET INF NAT: denied incoming session on ifc 10001 prot 17 80.137.72.158:337 v
.... usw.

Sorry, aber ich weiß jetzt ehrlich gesagt nicht genau, was ich da jetzt machen muss.
Habe ich nun zum Einen zu wenig Ports freigegeben?
Was muss ich denn noch für Einstellungen an der SIF und der Access List machen???

Danke
Daniel

 

[RB]

Die Port Forwardings sind OK, wie oben gesagt. Mehr brauchst Du nicht weiterleiten (Der Ausdruck "Freigeben" trifft hier nicht zu), sofern Deine Angaben zu den vom Client benötigten Ports zutreffen.

Damit Du die Meldungen der SIF siehst, muß in den dortigen Einstellungen das Logging auch eingeschaltet sein - siehe Bintec_SIF.png

Ich habe noch Ausschnitte aus meinen Einträgen bei "Services" und "Filters" angehängt. Von mir sind dort die Einträge "sip1", "sip2", "rtp1", "rtp2" und bei den Filtern noch "skype_amd". Der Skype-Eintrag ist beim Screenshot der Services jetzt nicht dabei, dürfte aber klar sein.
Die Services "sip1" und "rtp1" decken den Zugriff von außen auf einen meiner Rechner ab (dort läuft manchmal SIPPS). Die mit der 2 am Ende sind für mein Cisco-Telefon gedacht.

Mit diesen Einträgen erlaube ich den Zugriff für die angegebenen Services von jeder externen IP-Adresse ("ANY") auf mein lokales Netzwerk ("LOCAL_NET"), wobei "LOCAL_NET" auch von mir stammt und den IP-Bereich des lokalen Subnetzes umfasst. Erst wenn ein solcher Eintrag vorhanden ist, kann der Eintrag bei NAT (das Port Forwarding) wirksam werden (und beides zusammen ist dann eine Art "Port-Freigabe"). Alternativ kann man die SIF natürlich auch ganz abschalten, was aber nicht im Sinne des Erfinders ist...

Die Access Lists müssen analog verwaltet werden, gelten aber für Verbindungen von und nach jeder Richtung. Damit kann man z.B. für die IP-Adressen der "Pubi"-PCs in der Familie gewisse Zugriffsbeschränkungen einrichten, die erwähnte "Pubis" dann wieder umgehen usw ;-)
Aber auch dort muß der entsprechende Zugriff erlaubt sein!

 

[Duff]

Danke für die Antwort.

Es gibt bei mir aber leider wieder wie immer ein paar Probleme.

Die [SECURITY][STATEFUL INSPECTION][SERVICES] sieht bei mir so aus:

freenetiphone_1            udp         16384/16390                        |
freenetiphone_2            udp         5060/5069                          |

Das müsste doch richtig sein?

Der Punkt Adresses sieht so aus:

X1200 Setup Tool                                       BinTec Communications AG
[SECURITY][STATEFUL INSPECTION][ADRESSES]: Alias Addresses                brick
_______________________________________________________________________________

   Alias Address List:

    Alias                 IP-Address        Mask/Range         Interface
    ANY                   0.0.0.0           0.0.0.0            any
    LAN                   192.168.1.0       255.255.255.255    any
    LAN_EN1               ------            ------             en1
    LAN_EN1-SNAP          ------            ------             en1-snap
    LAN_EN3               ------            ------             en3
    LAN_EN3-SNAP          ------            ------             en3-snap
    LOCAL                 ------            ------             LOCAL
    WAN_T_ONLINE          ------            ------             T_ONLINE

     ADD                 DELETE              EXIT

... da könnte meiner Meinung nach schon der erste Fehler liegen. Kann nämlich, wenn ich mein gesamtes LAN meine mit 192.168.1.0 als Interface nichts auswählen. Es kommt dann automatisch any. Ob das richtig ist?

Wenn ich jetzt versuche einen Filter hinzuzufügen, etwa so:

X1200 Setup Tool                                       BinTec Communications AG
[SECURITY][STATEFUL INSPECTION][ADD]                                      brick
_______________________________________________________________________________


          Source                     ANY
          Destination                LAN
          Edit Addresses >

          Service                    freenetiphone_1
          Edit Services >

          Action                     accept

                    SAVE                               CANCEL
_______________________________________________________________

und diesen dann abspeichere (das ganze entsprechend natürlich auch für freenetiphone_2)

X1200 Setup Tool                                       BinTec Communications AG
[SECURITY][STATEFUL INSPECTION][FILTERS]: Configuration                   brick
_______________________________________________________________________________
   Stateful Inspection Filter List:

         Press 'u' to move Filter up or press 'd' to move Filter down.

  Pos. Source               Destination          Service              Action
     1 ANY                  LAN                  freenetiphone_1      accept
     2 ANY                  LAN                  freenetiphone_2      accept

     ADD                 DELETE              SAVE                CANCEL

und dann auf SAVE gehe, hängt sich der Router immer auf, so dass ich ihn rebooten muss. Danach sind dann wieder alle zuvor eingerichteten Einstellungen unter der SIF weg.

Was mache ich falsch???

Danke schon mal
Daniel

 

[RB]

Bei dem Eintrag für LAN unter Services

LAN                   192.168.1.0       255.255.255.255    any

gefällt mir die Subnetz-Maske nicht. Die sollte 255.255.255.0 sein!

Der Effekt, der durch Deine Variante entsteht, ist, daß eine Netz-Adresse (niedrigste Bits auf 0) als Einzel-IP-Adresse behandelt wird (alle Bits in der Subnetz-Maske gesetzt). Auch das sollte den Router zwar nicht zum Absturz bewegen, aber vielleicht hat das zur Folge, daß er sich so in seiner Routing-Tabelle verhaspelt und zur Klärung erstmal längere Zeit in Meditation versinkt, oder so

In jedem Falle muß das entsprechend angepasst werden. Probier's mal und meld Dich dann wieder. Der Rest sieht erstmal OK aus. Das mit dem "any" als Interface ist erstmal in Ordnung. Das sollte die Funktion nicht beeinflussen. Ich glaube, daß ich da anfangs auch stutzig geworden bin. Funktioniert aber...

 

[Duff]

So, die Einstellungen bisher im Router habe ich jetzt hinbekommen.
Es lag wohl an dem _, den ich verwendet hatte.

Meine Forwarding:

X1200 Setup Tool                                       BinTec Communications AG
[IP][NAT][EDIT][OUTSIDE]: NAT - sessions from OUTSIDE (T_ONLINE)          brick
_______________________________________________________________________________

  Abbreviations : r(remote)  i(internal)  e(external)  a(address)  p(port)

  Service      Conditions
  -----------------------------------------------------------
  16384..16390/udpia 192.168.1.160/32, ep 16384-16390
  5069/udp     ia 192.168.1.160/32, ep 5069
  http         ia 192.168.1.10/32, ep 80, ip 81

     ADD                 DELETE                        EXIT

Meine Access List (ausgeschaltet, oder?)

[SECURITY][ACCESS][INTERFACES]: Configure First Rules                     brick
_______________________________________________________________________________

  Configure first rules for interfaces

  Interface       First Rule             First Filter
  T_ONLINE        0   (no access rules)
  en1             0   (no access rules)
  en1-snap        0   (no access rules)
  en3             0   (no access rules)
  en3-snap        0   (no access rules)

  EXIT

Meine Stateful Inspection:

[SECURITY][STATEFUL INSPECTION]: Static settings                          brick
_______________________________________________________________________________

   Stateful Inspection Firewall global settings:

          Adminstatus    :  disable
          Local Filter   :  disable
          Full Filtering :  disable
          Logging level  :  all

          Edit Filters >
          Edit Services >
          Edit Addresses >

          Advanced settings >

                    SAVE                               CANCEL

Meine Adresses:

    Alias                 IP-Address        Mask/Range         Interface
    ANY                   0.0.0.0           0.0.0.0            any
    LAN                   192.168.1.0       255.255.255.0      any

Meine Filter:

[SECURITY][STATEFUL INSPECTION][FILTERS]: Configuration                   brick
_______________________________________________________________________________
   Stateful Inspection Filter List:

         Press 'u' to move Filter up or press 'd' to move Filter down.

  Pos. Source               Destination          Service              Action
     1 ANY                  LAN                  iphone2              accept
     2 ANY                  LAN                  iphone1              accept

     ADD                 DELETE              SAVE                CANCEL

So, wenn ich freenetiphone starte, kommt wieder die Fehlermeldung:
...schalten Sie bitte folgende UDP-Ports für ein- und ausgehende Ports frei: Port 16384 bis 16390 sowie UDP-Port 5069.

Ich weiß wirklich nicht, woran es liegt.
Vielleicht hat ja einer eine Idee.

Danke
Daniel

 

[Duff]

Ups, ach ja. So sieht noch meine messages aus, wenn ich freenetiphone starte:

INET INF dnsd: cache add 194.97.55.192 for mx.freenet.de.                    ^
 INET INF dnsd: cache add 194.97.50.135 for mx.freenet.de.                    |
 INET INF dnsd: cache add 194.97.50.136 for mx.freenet.de.                    |
 INET INF dnsd: cache add 194.97.50.138 for mx.freenet.de.                    |
 INET INF dnsd: cache add 194.97.50.144 for mx.freenet.de.                    |
 INET INF dnsd: cache add 194.97.55.147 for mx.freenet.de.                    |
 INET INF dnsd: cache add 194.97.55.148 for mx.freenet.de.                    |
 INET INF NAT: denied incoming session on ifc 10001 prot 17 80.137.93.3:32809 |
 INET INF NAT: denied incoming session on ifc 10001 prot 17 80.137.93.3:32809 |
 INET INF NAT: denied incoming session on ifc 10001 prot 17 80.137.93.3:1026  |
 INET INF NAT: denied incoming session on ifc 10001 prot 17 80.137.93.3:1027  |
 INET INF NAT: denied incoming session on ifc 10001 prot 17 80.137.93.3:32809 |
 INET INF NAT: denied incoming session on ifc 10001 prot 17 80.137.93.3:32809 =
 INET INF NAT: denied incoming session on ifc 10001 prot 17 80.137.93.3:1026  |
 INET INF NAT: denied incoming session on ifc 10001 prot 17 80.137.93.3:1027  |
 INET INF NAT: denied incoming session on ifc 10001 prot 17 80.137.93.3:32809 |
 INET INF NAT: denied incoming session on ifc 10001 prot 17 80.137.93.3:32809 |
 INET INF NAT: denied incoming session on ifc 10001 prot 17 80.137.93.3:32809 |
 INET INF NAT: denied incoming session on ifc 10001 prot 6 80.137.93.3:445 <- |
 INET INF NAT: denied incoming session on ifc 10001 prot 6 80.137.93.3:445 <- |
 INET INF NAT: denied incoming session on ifc 10001 prot 17 80.137.93.3:32809 |
 INET INF NAT: denied incoming session on ifc 10001 prot 6 80.137.93.3:135 <- v

ifc 10001 prot 6 steht für: interface 10001 (ist DSL bei mir) protocol 6 --> UDP bzw protocol 17 --> TCP

Braucht freenet vielleicht doch noch mehr ports, als angegeben???

 

[Duff]

So, hier bin ich nochmal.

Ich kann jetzt abgehend telefonieren (z.B. ins Festnetz).
Juhu :wink:

Das ganze lag wohl am STUN-Server. Den habe ich jetzt mal ausgeschaltet, da STUN ist eine funktionierende Lösung für die meisten NATs die NICHT symmetrisch sind. Die meisten SOHO Router haben "UNSYMMETRISCHE" NAT und in diesem Fall ist der Einsatz von STUN ok. Baer STUN arbeitet im Normalfall NICHT mit symmetrischen NATs und wenn Dein Router symmetrisches NAT verwendet, solltest Du STUN nicht verwenden.
Und ich habe wohl symmetrisches NAT!

Nun habe ich aber, wie sollte es auch sonst sein, das nächste Problem.
Ich kann keine ankommenden Rufe aus dem Festnetz entgegennehmen bzw. überhaupt hören. Wenn ich über das Festnet meine VoIP-Nummer wähle, bekomme ich nach einer gewissen Zeit nur ein Besetzt-Zeichen.

Was muss ich denn da noch bitte ändern???
Kann mir das jemand sagen???

Danke
Daniel

 

[RB]

Hallo, Daniel!

Anscheinend hast Du Deine SIF deaktiviert (Adminstatus), die sollte also gar keine Rolle spielen, egal, was Du da einträgst. Unterstriche habe ich übrigens auch verwendet und keine Probleme bemerkt.

Ich bin mir aber im Moment nicht im klaren, wie der Router reagiert, wenn man keine Access Lists definiert hat. Muß ich mal in der Doku suchen. Es wäre aber denkbar (wenn auch unwahrscheinlich), daß er dann generell alles ablehnt, was von draußen kommt.

Es gibt m.E. immer noch zwei Möglichkeiten: Entweder erfolgt die Registrierung des Clients unter der falschen IP-Adresse (es muß die öffentliche sein, sonst kann kein Gespräch von außen ankommen) oder aber die Access Lists sind doch das Problem. Wenn eine Einstellung im NAT nicht stimmen würde, müsste das im Log zu finden sein, wie bei Dir oben in dem Auszug. Die IP-Adresse für den Client stimmt doch wohl ?!

Um die Access Lists auszuschließen, kannst Du einfach eine ANY - ANY - allow all eintragen. Ist zwar nicht so prickelnd, für'n Test kann man sowas aber ruhig machen.

Ich tendiere aber zur falschen IP-Adresse. Wenn STUN Ärger gemacht hat, weiß der ATA jetzt wahrscheinlich gar nicht, welche externe IP-Adresse er hat und kann sie demzufolge auch nicht korrekt dem Registrar mitteilen. Wie aus einigen Postings hier im Forum zu entnehmen war, korrigieren einzelne Anbieter (etwa Sipgate) dieses Problem automatisch, indem sie die im REGISTER angegebene Adresse einfach durch die Absender-Adresse des Telegramms ersetzen.

Bei anderen geht das aber schief und sie versuchen dann, Anrufe auf 192.168.1.160 zu signalisieren. Das geht aber natürlich in die Hose, weil es die interne Adresse ist. Wie man das dem ATA aber korrekt beibringt, weiß ich nicht. Da müsstest Du ggf eine Frage im GS-Forum loswerden.

Ach ja: Wenn das ganze dann irgendwann mal läuft, sollte man aber die SIF schon aktivieren, finde ich. Aber ist natürlich schon Geschmackssache.

 

[Duff]

Danke für deine Antwort!

Ich habe den STUN-Server ausschalten müssen, da ich eine symmetrisches NAT habe. Da kann man wohl keinen STUN-Server benutzen.

Der Client hat natürlich die IP-Adresse 192.168.1.160.
Probiere gerade mal aus, den ATA-486 vor den Router zu hängen. Dann bekomme ich zwar kein Besetzt-Zeichen wenn ich auf meine VoIP-Nummer anrufe (sonderen Freizeichen), aber ich höre mein Telefon nicht klingeln.

Melde mich nochmal, wenn ich noch andere Einstellungen probiert habe.

Daniel

 

[RB]

Hallo, Daniel!

Das mit dem STUN-Server ist so nicht ganz richtig. Der STUN-Server ist eben auch dafür da, um den STUN-Client genau diese Erkenntnis zu vermitteln (also, daß er z.B. hinter einem symmetrischen NAT sitzt). Außerdem kann in jedem Fall auf diesem Wege die öffentliche IP-Adresse ermittelt werden.

Aber das ist natürlich insoweit Theorie, daß es der Client auch vernünftig umsetzen muß. Und es scheint so, als ob das nicht alle so wirklich korrekt hinbekommen würden. Wäre der Client vernünftig programmiert, würde er in so einem Falle wie hier halt nur die öffentliche IP-Adresse fürs REGISTER verwenden und ansonsten alle "Tricks" ausschalten, weil die sowieso hier nicht funktionieren. Da muß er sich dann schon auf korrekt konfigurierte Port Forwardings verlassen.

Noch ein paar Anmerkungen zur IP-Adresse:
Daß Dein Client tatsächlich die interne IP-Adresse 192.168.1.160 hat, hilft gar nicht bei der Erreichbarkeit von außen! Diese Adressen aus dem privaten Bereich werden im Internet nicht geroutet. Wäre ja auch sinnlos, da sie ja in beliebig vielen Geräten überall auf der Welt benutzt worden sein könnte. Sie wäre also nie eindeutig!

Die Anrufe müssen auf der IP-Adresse ankommen, die Dein Router vom Internet-Provider erhalten hat. Zu sehen z.B. über diesen Test-Link, der Deine aktuelle öffentliche IP-Adresse anzeigt. Damit die VoIP-Provider diese Adresse wissen können, muß sie ihnen während der Anmeldung (im REGISTER-Telegramm) mitgeteilt werden.

So, die letzten beiden Absätze waren jetzt nur nochmal, weil ich den Eindruck hatte, daß das Thema mit den internen/externen IP-Adressen noch nicht so ganz klar war. Verstanden? Sonst müsste ich mal was malen oder mal was gemaltes dazu suchen...

 

[Duff]

Danke für die Antwort.

Das der Anrufer mich nur über meine öffentliche IP-Adresse erreichen kann, ist mir klar.
Nur das Portforwarding soll alles von außen auf meine interne IP-Adresse 192.168.1.160 forwarden.

DAS Problem ist eben das, wenn ich den STUN-Server einschalte, ich nicht mehr abgehend telefonieren kann.

Ich könnte mal gerne die Einstellungen aus dem ATA-486 hier veröffentlichen.