[Gelöst] FitzBox hinter OpenWRT Router und SMART Router der Telekom

sharbich

Neuer User
Mitglied seit
30 Aug 2012
Beiträge
180
Punkte für Reaktionen
2
Punkte
18
Hallo Ihr Lieben,
ich betreibe meine Fritzbox im Router Modus hinter einen OpenWRT Router und dieser hängt an an SMART Router der Telekom. Folgende wesentliche Aufgaben haben die Systeme:
SMART Router:
VDSL-100 Verbindung zum BNG (Super Vectoring), DynDNS und eine aktive Rufnummer wo das Faxgerät dran hängt
OpenWRT Router:
Router, Firewall, NTP-Server, Multicast Proxy, Squid, TOR und Privoxy
FritzBox:
Regelt zur Zeit noch die Telefonie mit zwei DECT Telefonen von AVM (Wird aber in naher Zukunft von Asterisk ersetzt)
Hinzu kommt noch ein Debian Server auf dem einige Dienste laufen:
LDAP, MySQL, DNS, DHCP, NTP-Server, etc.

Zu meinem Probelm:
Werde ich von außerhalb angerufen funktioniert alles so wie es sein soll. (Ruzeichen erfolgt und die Telefone die für die Nummer konfiguriert sind klingeln, Sprachübertragungen ind beiden Richtungen funktioniert. Sieht bei der FritzBox unter Telefonie => Eigene Rufnummern => Sprachübertragung wie folgt aus:
Code:
19.01.2017 23:57
  0:00:08[TABLE="class: zebra_reverse noborder cut_table"]
[TR]
[TD][/TD]
[TD]+49170216...
192.168.0.1[/TD]
[TD][IMG]http://rome02.harnet.de/css/default/images/send.png[/IMG]G.722-HD
[IMG]http://rome02.harnet.de/css/default/images/receive.png[/IMG]G.722-HD[/TD]
[TD]124 (-)
307 (-)[/TD]
[TD]-
-[/TD]
[TD]0 ms[/TD]
[TD]0 ms
11 ms[/TD]
[TD]-
0 ms (0 %)[/TD]
[/TR]
[/TABLE]
Versuche ich von zu Hause zurück zu rufen dann höre ich am Hörer kein Rufzeichen, allerdings klingelt es bei der Gegenstelle. Wird das Gespräch entgegen genommen, so hört mich der externe Gesprächspartner, aber ich kann Ihn nicht hören.

Auf der Firewall habe ich mal das ganze logging aktiviert, aber ich sehe keine Pakete die verworfen werden. Sieht allerdings bei der FritzBox anders aus als oben:
Code:
19.01.2017 23:35
  0:00:18 (3290 ms)[TABLE="class: zebra_reverse noborder cut_table"]
[TR]
[TD][/TD]
[TD]0170216....
192.168.0.1[/TD]
[TD][IMG]http://rome02.harnet.de/css/default/images/send.png[/IMG]G.722-HD
[IMG]http://rome02.harnet.de/css/default/images/receive.png[/IMG][/TD]
[TD]834 (-)
0 (-)[/TD]
[TD]-
-[/TD]
[TD]0 ms[/TD]
[TD]0 ms
0 ms[/TD]
[TD]-
0 ms (0 %)[/TD]
[/TR]
[/TABLE]
Folgende Weiterleitungen habe ich auf der Firewall eingerichtet:
Von der FritzBox ins WAN (TCP 5060, UDP 30000-31000). Habt Ihr einen Tipp für mich wo der Fehler liegen kann?

Lieben Gruß von Stefan Harbich
 
Zuletzt bearbeitet:
Drei verschiedene Router hintereinander ist auch ein bisschen viel des Guten. :)
Wenn die Fritzbox doch nur zur Zeit noch die Telefonie regelt, warum wird sie dann im Router Modus und nicht im IP-Client Modus betrieben?
 
. . . warum wird sie dann im Router Modus und nicht im IP-Client Modus betrieben?
Sorry, hatte ich vergessen zu erwähnen. Sie erweitert auch noch das WLAN. Dies soll aber auch durch OpenWRT Router abgelöst werden. Jedoch erst wenn Asterisk läuft.

Lieben Gruß von Stefan Harbich
 
Das WLAN der Fritzbox geht auch im IP-Client Modus. Das ist also keine Begründung für ein dreifaches NAT, falls es hier wirklich eingerichtet wurde.
 
Hallo KunterBunter,

Sorry, aber ich die FritzBox wird im IP-Client Modus betrieben.
Code:
Vorhandene Internetverbindung mitbenutzen (IP-Client-Modus)  Die FRITZ!Box wird Teil des vorhandenen  Netzwerkes und übernimmt diesen IP-Adressbereich. Die Firewall der  FRITZ!Box wird dabei deaktiviert.
Das bedeutet das Problem muss woanders liegen.

Lieben Gruß von Stefan Harbich
 
Hallo Ihr Lieben,
schade das mir keiner weiterhelfen möchte.
Lieben Gruß von Stefan Harbich
 
Du hast doch selbst schon festgestellt, dass das Problem woanders liegen muss. Also mach doch dort weiter.
 
Zuletzt bearbeitet:
Hallo Ihr Lieben,
schade das mir keiner weiterhelfen möchte.
Lieben Gruß von Stefan Harbich

Ich vermute es geht weniger um's helfen wollen als um die eingeschränkten Möglichkeiten der Ferndiagnose einerseits, und die Annahme dass du wirklich den Fehler selber finden können solltest andererseits. Ich habe nie eine Fritzbox oder so'n Telekom Teil besessen, aber wenn ich einen OpenWRT Router zwischen ihnen hángen habe kann ich doch den Traffic sehen, der rein oder rausgeht, und entsprechend analysieren. Etwa in Wireshark.

Dein Problem hört sich wie ein typischer Signalisierungsfehler an, wo in den SIP Nachrichten, die deine Fritzbox rausschickt, eine IP Adresse und/oder Ports mitgeteilt werden die eben nicht korrekt reingeroutet werden, entweder weil die Fritzbox die externe IP Adresse nicht kennt oder die Ports halt genatet werden. Guck dir die (INVITEs) einfach mal an die da rausgehen, bin recht optimistisch dass du da auf den Fehler stossen solltest.

Edit: der Vollständigkeit halber, mit der IP/den Ports meine ich die Angaben für den RTP Media Stream, die im SDP Teil der INVITEs kommuniziert werden. Bei Erklärungsbedarf siehe etwa hier: https://andrewjprokop.wordpress.com/2013/09/30/understanding-session-description-protocol-sdp/
 
Zuletzt bearbeitet:
Hallo Ihr Lieben,
okay das heisst ich muss die Antwortpakete per Regel auf die FritzBox leiten. Analog der Asuwertung von tcpdump, oder?
Code:
root@rome01:~# tcpdump -i eth0.30 | grep 217.0
tcpdump: WARNING: eth0.30: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0.30, link-type EN10MB (Ethernet), capture size 65535 bytes
20:09:45.217509 IP 193.159.223.202.4500 > 192.168.30.44.10954: UDP-encap: ESP(spi=0xa1b1c88c,seq=0x3b54), length 84
20:09:48.695423 IP 192.168.30.20.sip > 217.0.0.129.3478: SIP, length: 28
20:09:48.714054 IP 217.0.0.129.3478 > 192.168.30.20.sip: SIP, length: 56
20:09:48.737167 IP 192.168.30.20.7078 > 217.0.0.129.3478: UDP, length 28
20:09:48.756188 IP 217.0.0.129.3478 > 192.168.30.20.7078: UDP, length 56
20:09:48.757143 IP 192.168.30.20.7079 > 217.0.0.129.3478: UDP, length 28
20:09:48.775977 IP 217.0.0.129.3478 > 192.168.30.20.7079: UDP, length 56
20:09:49.039199 IP 192.168.30.20.7078 > 217.0.0.129.3478: UDP, length 28
20:09:49.057802 IP 217.0.0.129.3478 > 192.168.30.20.7078: UDP, length 56
20:09:49.058695 IP 192.168.30.20.7079 > 217.0.0.129.3478: UDP, length 28
20:09:49.077490 IP 217.0.0.129.3478 > 192.168.30.20.7079: UDP, length 56
20:09:49.596203 IP 192.168.30.20.sip > 217.0.0.129.3478: SIP, length: 28
20:09:49.614682 IP 217.0.0.129.3478 > 192.168.30.20.sip: SIP, length: 56
20:09:50.042573 IP 192.168.30.20.sip > 217.0.0.129.3478: SIP, length: 28
20:09:50.061144 IP 217.0.0.129.3478 > 192.168.30.20.sip: SIP, length: 56
20:09:59.907721 IP 192.168.30.20.sip > 217.0.0.129.3478: SIP, length: 28
20:09:59.926163 IP 217.0.0.129.3478 > 192.168.30.20.sip: SIP, length: 56
^C2498 packets captured
2680 packets received by filter
0 packets dropped by kernel

root@rome01:~# tcpdump -i eth2 | grep 217.0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth2, link-type EN10MB (Ethernet), capture size 65535 bytes
20:11:22.206206 IP 192.168.0.2.sip > 217.0.0.129.3478: SIP, length: 28
20:11:22.224544 IP 217.0.0.129.3478 > 192.168.0.2.sip: SIP, length: 56
20:11:22.226330 IP 192.168.0.2.7082 > 217.0.0.129.3478: UDP, length 28
20:11:22.244819 IP 217.0.0.129.3478 > 192.168.0.2.7082: UDP, length 56
20:11:22.246151 IP 192.168.0.2.7083 > 217.0.0.129.3478: UDP, length 28
20:11:22.264613 IP 217.0.0.129.3478 > 192.168.0.2.7083: UDP, length 56
20:11:22.508532 IP 192.168.0.2.7082 > 217.0.0.129.3478: UDP, length 28
20:11:22.526825 IP 217.0.0.129.3478 > 192.168.0.2.7082: UDP, length 56
20:11:22.528159 IP 192.168.0.2.7083 > 217.0.0.129.3478: UDP, length 28
20:11:22.546759 IP 217.0.0.129.3478 > 192.168.0.2.7083: UDP, length 56
Gibt es irgendwo eine Dokumentation welche Ports genutzt werden?
Lieben Gruß von Stefan Harbich
 
Ja, die gibt es in der AVM-Wissensdatenbank.
 
Hallo Ihr Lieben,
okay das heisst ich muss die Antwortpakete per Regel auf die FritzBox leiten. Analog der Asuwertung von tcpdump, oder?

Eher nicht. Punkt eins, man wird nicht wirklich aus deinem tcpdump schlau. Ich vermute mal es sind dumps von den zwei Interfaces auf dem OpenWRT. Dann sieht es aber so aus als ob die Pakete durchgereicht würden, angenommen es wären RTP Pakete dabei. Guck dir aber mal die Längen der Pakete an - alternierend 28 und 56 - und es scheint logisch dass das alles SIP Kommunikation ist, selbst wo tcpdump nur "UDP" schreibt. Dh wir sehen bei deinem dump anscheinend gar keinen Medienfluss.

Sorry für meine Direktheit, aber wenn man ein Setup wir du betreiben will sollte man ungefähr wissen was man macht. Die tcpdumps z.B. könnte man in eine Datei schreiben:
Code:
tcpdump -i ethXY -w tkom.cap -s 0 udp and net 217.0.0.0/13
dann die Dateien auf eine Workstation transferieren und dort in Wireshark *analysieren*. Das heisst wirklich in die SIP Pakete reinsehen, prüfen was dort ausgehandelt wird und dann gucken ob die signalisierten Ports wirklich weitergeleitet werden. Ich meine, das ist letztlich ein Faktum, dass ohne ein Grundverständnis der Protokolle die du so schön mit deiner Firewall und sonstnochwas kontrollieren willst du nicht weit kommen wirst.

So, und das war's für mich zu dem Thema. Nicht wegen nicht helfen wollen, wie du unterstellst, sondern weil wo man dich abholen muss ein bissl weit weg ist.
 
Ja, die gibt es in der AVM-Wissensdatenbank.
Gut zu wissen. Ein Link wäre hilfreich gewesen. Okay das habe ich gefunden https://avm.de/service/fritzbox/fri...show/119_Gespraechspartner-hoeren-sich-nicht/
So ich habe jetzt alle mir bekannten Ports zwischen den Zonen weitergeleitet. Die Input regeln angepasst. Die Ausgänge angepasst. Zu guter letzt die Dynamischen Portfreischaltungen auf den Speedport Smart Router aktiviert. Leider alles ohne Erfolg. Das was ich festgestellt habe ist das ich den Port 5060 auf dem Speedport Smart Router nicht verändern kann. Könnte das das Problem sein?

Folgende Ports habe ich auf der Firewall (OpenWRT) angefasst (Input, Forward, Output) (3478-3479, 5060, 5070, 5080, 30000-31000 und 40000-41000). Das gleiche auf dem Speedport Smart, jedoch nicht den Port 5060.

Lieben Gruß von Stefan Harbich
 
Tut mir leid. Ich habe angenommen, dass du des intelligenten Suchens fähig bist. Hier ist der Link: Von FRITZ!Box verwendete Ports
Hinweis: Die Angabe des Portbereichs 7078-7109 findet sich auch in dem von dir verlinkten Artikel.
Ansonsten gilt das bereits Gesagte. Dein Setup ist im Moment zwei Nummern zu groß für dich und scheint sogar noch zu wachsen in deinem anderen Thread.
 
Hallo KunterBunter,
jeder hat mal klein angefangen. Die Hohe Kunst besteht darin sich zu helfen um gemeinsam neue Ziele zu erreichen. Allerdings scheint dieses nciht ganz Deinen Ansprüchen zu entsprechen.
Für all Deine Hinweise ein großes Liebes Dankeschön. Du kannst die Anfrage als gelöst sehen. Wünsche Dir mehr Erfolg bei Deinen Problemen und Anfragen.

- - - Aktualisiert - - -

Hallo Ihr Lieben,
mit den folgenden Regeln auf der Firewall des OpenWRT funktioniert nun alles.
Code:
root@rome01:~# iptables -L | grep 7078
zone_wlan_dest_ACCEPT  udp  --  217.0.0.0/13         192.168.30.20        udp spts:7078:7109 dpts:7078:7109 /* !fw3: Allow-VOIP */
root@rome01:~# iptables -t nat -L | grep 7078
DNAT       udp  --  anywhere             anywhere             udp dpts:7078:7109 /* !fw3: Allow-VOIP */ to:192.168.30.20:7078-7109
SNAT       udp  --  192.168.30.0/24      192.168.30.20        udp dpts:7078:7109 /* !fw3: Allow-VOIP (reflection) */ to:192.168.30.1
DNAT       udp  --  192.168.30.0/24      192.168.0.2          udp dpts:7078:7109 /* !fw3: Allow-VOIP (reflection) */ to:192.168.30.20:7078-7109
Nochmals herzlichen Dank für Eure Unterstützung, auch wenn es nur ein Hinweis in Goggle und ein weiterer Link war.
Euch noch einen schönen Tag
 
Die Hohe Kunst besteht darin sich zu helfen um gemeinsam neue Ziele zu erreichen. Allerdings scheint dieses nicht ganz Deinen Ansprüchen zu entsprechen.
Die Hohe Kunst besteht darin, sich selbst zu helfen, um neue Ziele zu erreichen. Allerdings scheint dieses nicht ganz deinen Ansprüchen zu entsprechen. Denn Hilfe zur Selbsthilfe hast du mehr als ausreichend erhalten.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.