Firtzbox 7430 hinter Router funzt NICHT

Emma2

Neuer User
Mitglied seit
10 Feb 2017
Beiträge
13
Punkte für Reaktionen
0
Punkte
1
Ich bin erstaunt über die hier gemachte Aussage, dass die Fritzbox hinter einen Router als VoIP-Anlage funktioniert
Unserer Erfahrung nach tut sie das nämlich nicht (und ich erläutere auch, warum das so ist).
Falls das vom Modell abhängt: ich habe eine 7430.

Beim Verbindungsaufbau schlägt die Fritzbox den RTP-Port vor, auf dem sie empfangen möchte, und dieser muss natürlich auf meinem Router/Firewall an die Box weitergeleitet sein. Das Problem ist nun, dass meine 7430 nicht etwa (wie in der VM-Doku beschrieben) einen Portbereich wie 7078-7109 verwendet, sondern unseren Protokollen nach schlägt die Box einen "beliebigen" Port >=7078 vor - und das kann durchaus auch 48000 sein - also unbrauchbar, um umgeleitet zu werden. (Ich kann ja nicht ALLE Ports [7078-65535] auf die Box routen.)

Warum funktioniert es (z.B. mit SIPGATE, den habe ich auch) trotzdem?
SIPGATE ist "ganz pfiffig" (wenn auch nicht standardkonform) und merkt, dass es über den von der Box vorgeschlagenen Port nicht "reinkommt", also die Box nicht erreicht. Deshalb schaltet SIPGATE auf den EIGENEN Empfangsport um (also den, auf dem die Box SENDET), denn auf dem ist die Box (als Antwort) ja sicher zu erreichen. Voilà! Kommunikation funktioniert.

Wenn aber ein Anbieter nicht diesen "Trick" anwendet, dann KANN es mit der Box klappen, wenn sie einen umgeleiteten Port vorschlägt, muss aber nicht klappen, wenn sie nämlich einen der vielen nicht umgeleiteten Ports vorschlägt.

Obwohl wir dieses Verhalten in Protokollen belegt haben, behauptet der AVM-Support, das Problem sei nicht reproduzierbar und man sehe deshalb keinen Handlungsbedarf. Traurig.

Hat jemand eine Idee, wie ich die Box dazu bringen kann, sich "gesittet" zu verhalten, also nicht "alle" Ports nutzen zu wollen, sondern eben nur einen sinnvollen Bereich, z.B. 7078-7109? Kann FREETZ hier helfen? wo würde ich dann ansetzen?

Danke für jeden Tipp!
 
Hat dein Router die Möglichkeit, einen HOST als DMZ/exposed Host zu konfigurieren?

Ich sehe gerade: MS TMG.

Der Verbindungsaufbau ist aber etwas anders.
Wenn ausgehende Verbindungen auf z.B. Port 5060 zulässig sind, sollte die Firewall auch den Verbindungsaufbau (Antwort) und die Verbindung selber durchlassen. Etwaige Rufsignale erfolgen dann in der bereits bestehenden Verbindung.

Ein Portforward ist nur für eingehende Verbindungen notwendig, wie z.B. OpenVPN, ssh, ... bittorrent.
 
Zuletzt bearbeitet:
Also kurz und knapp das wichtige :

Du musst keinerlei Firewall Ports öffnen an deinem Router, damit VOIP mit der FritzBox dahinter funktioniert.
Welche Ports dort genutzt werden ist eigentlich relativ uninteresannt.
Für solche Fälle gibt es den sogenannten STUN Server (bei T-Online) stun.t-online.de
Dieser wird bei Einrichtung deiner Nummern automatisch aus der Provider Database übernommen.
Wichtig wäre auf jeden fall SIPPING in der VOIP.CFG zu aktivieren um den SIP UDP Port (5060) in der Firewall deines Routers offen zu
halten. Je nachdem was dein Router für ein UDP Timeout eingestellt hat entweder auf 1min oder 30sec. setzten.
Die RTP Port Daten werden der FritzBox automatisch vom STUN Server übermittelt, welche dann den entsprechenden UDP Port zunächst nach außen öffnet und somit eine RTP Verbindung AUCH über eine Firewall gestattet.

In der VOIP.CFG sind folgende Änderungen für JEDE angelegte Nummer einzeln vorzunehmen b.z.w zu Ändern :

sipping_enabled = yes;
sipping_interval = 1m;
is_nat_aware = yes;


das wars ....
 
Zuletzt bearbeitet:
Hallo, sago.
Ja, die Verbindung wird über Port 5060 aufgebaut (SIP), aber dabei handeln doch beide Partner die RTP-Ports für das nachfolgende Gespräch aus: Jede der beiden Partner schlägt einen RTP-Port vor, auf dem er empfangen möchte. Und genau hier geht es schief: meine Box schlägt NICHT einen Port aus 7078-7109 vor, sondern einen "beliebigen" >=7078.
Ich prüfe aber am Montag nochmal genau, ob das die Box macht oder etwa der MS-TMG die Pakete verfälscht - melde mich dann.

- - - Aktualisiert - - -

@feedzapper:
Nach meinem Verständnis liegt es EBEN DOCH an den nicht offenen Eingangsports für RTP.
STUN-Server ist natürlich eingetragen, und es funktioniert deshalb auch FAST alles:
- Ich kann anrufen UND angerufen werden
- Sprache geht raus ABER KOMMT NICHT REIN
Außerdem sehe ich auf der Firewall, dass die Sprachpakete, die z.B. auf Port 48007 ankommen, NICHT zur Box durchkommen - wie sollten sie auch, denn der Port ist ja nicht weitergeleitet.

Was Deine Tipps angeht: Seit Telnet nicht mehr geht, kann ich die VOIP.CFG doch nicht mehr ändern,oder?
 
Diskutiere bitte einfach nicht weiter mit mir,
tue es einfach oder lasse es bitte.
Ich glaube die Antwort war mehr als ausfürlich ?
Da ich nicht weis, ob Du Freetz verwendest, b.z.w. was für eine original Firmware, kann ich zu deinem Telnet Problem auch nichts Beitragen.
 
Zuletzt bearbeitet:
Ich will Deine Anleitung gern ausprobieren, aber wie soll ich die VOIP.CFG ändern?
Ich habe FritzOS 6.50 und darüber auf Rat des Supports die 6.69-BETA.
 
Meine spontane Antwort wäre, die 6.50 mit Freetz compilieren. Im Freetz Webinterface unter -> AVM_DIENSTE den Telnet Zugang einschalten.
Oder wenn man schon eine Freetz Version compiliert, gleich DROPBEAR mit rein compilieren (SSH Daemon)
Und mit PuTTY komfortabel von Windows aus zu benutzen
 
Nur zum Ändern der Fritzbox-Konfigurationsdateien braucht man kein Telnet und kein Freetz. Dafür gibt es seit 2005 den FBEditor. Der funktioniert dank Pikachu's ausreichender Pflege auch heute noch hervorragend. :)
 
Meine spontane Antwort wäre, die 6.50 mit Freetz compilieren.
Für ne 7430? Viel Spaß damit! :mrgreen:

Aber das beste kommt erst noch, für "sipping_enabled = yes" (und "sipping_interval = 1m") braucht es weder Telnet, SSH, Freetz oder den FB-Editor, das stinknormale Webinterface der FritzBox reicht schon aus... :rolleyes:


Ich bin erstaunt über die hier gemachte Aussage, dass die Fritzbox hinter einen Router als VoIP-Anlage funktioniert
Vielleicht weil das gar nicht so erstaunlich ist und das viele (erfolgreich) machen (mich eingeschlossen)?
 
SIPPING heißt im Webinterface :
[FONT=&amp]
X Portweiterleitung des Internet-Routers für Telefonie aktiv halten

Die darunter kurz mitgelieferte Erklärung der Option sagt eigentlich alles über dein VOIP Problem aus ...

[/FONT]
 
Zuletzt bearbeitet:
Ich bin erstaunt über die hier gemachte Aussage, dass die Fritzbox hinter einen Router als VoIP-Anlage funktioniert [usw. siehe OP]

Habe heute vor meine alte ADSL-Fritzbox (7270, mit ISDN-Telefon) eine neue VDSL-Fritzbox (7412, ohne Telefonie!) geklemmt, und die Telefonie klappte zu meinem Erstaunen sofort. Auch ich habe mich gefragt, wie das mit dem RTP dann eigentlich funktioniert.

Mit Wireshark kann ich beobachten, daß zuerst meine innere Fritzbox mit der Übertragung via RTP beginnt, z.B. von Port 7078 zu 49123. Dann erst kommen Pakete in der umgekehrten Richtung rein, aber genau von 49123 zu 7078. Also exakt dieselben Portnummern und kommt somit durch die Firewall der äußeren Fritzbox, die diese Kombination von Ports für die rausgehenden Pakete natürlich geöffnet hat, aber daraufhin auch umgekehrt reinkommende durchläßt.

Das ist aber wohl allgemein üblich, und kein pfiffiger Trick speziell eines Providers. Das nennt sich "Symmetric RTP" und ist in RFC 4961 so beschrieben.

Das habe ich mir heute zusammengesucht und klingt meines Erachtens plausibel.

Grüße.
 
Zuletzt bearbeitet:
Tja , das kann man sogar noch toppen.
Man kann sogar im Heimnetz z.B. zwei Fritzboxen im client Mode laufen lassen und in beiden Boxen die gleichen Nummern für VOIP registrieren. Dabei muss man noch nicht einmal irgendwelche Ports ändern in den Boxen. Es sind dann einfach beide Boxen über Port 5060 am SIP Server registriert.
Bei Anrufen klingelt es dann auch an BEIDEN Boxen. Zuschlag bekommt die Box, wo zuerst der Hörer abgenommen wird.
Hier ist es z.B. eine Fritzbox7272, die an einer ISDN Telefonanlage hängt und eine alte Fritzbox 7270v2, die zwei Stockwerke höher die Privat-Telefonie macht. Das alles an einem Netgear R7000 mit Tomato shibby V1.38 Firmware.
 
Zuletzt bearbeitet:
Tja , das kann man sogar noch toppen.
Man kann sogar im Heimnetz z.B. zwei Fritzboxen im client Mode laufen lassen und in beiden Boxen die gleichen Nummern für VOIP registrieren.

Unter #7 bestreitest du zwar, dass man dir widersprechen darf. Ich versuche es trotzdem.
Zumindest was Sipgate Basic angeht. Und dus.net-prepaid Tarife überstehen das keine 30 Minuten.

Man könnte vermuten, dass du lediglich geprüft hast, ob's klingelt.
 
Meine Ausführungen bezogen sich auf einen Telekom VOIP Anschluss
Lass mich überlegen ..
Läuft alles seit Juli 2014, glaube wäre nicht so prickelnd am Geschäftsanschluss, wenn man es seitdem nur klingeln lässt .... ?!
 
Zuletzt bearbeitet:
Auch auf die Gefahr hin, zu widersprechen und störrisch zu sein :p, fasse ich meine bisherigen Erfahrungen noch einmal zusammen:


  • Vorab bemerkt: ich kann nicht "freetzen", weil ich noch auf die Quelltexte warte, die AVM freigeben will.
    .
    .

  • Es geht mir NICHT um SIP, denn der Verbindungsaufbau klappt problemlos.
    (Ich habe sowohl "SIPPING" aktiviert als auch einen STUN-Server eingetragen, ich kann problemlos anrufen und angerufen werden.).
    .
  • Mein Problem ist, dass Audiodaten (RTP) nicht durch meine Firewall (MS-TMG) ins interne Netz bis auf die Fritzbox gelangen, und das liegt meines Erachtens daran, dass der entsprechende Port eben nicht offen ist.
    .
  • Warum das so ist? Ich weiß es nicht, vermute jedoch einen Bug in der Firmware meiner 7430.
    Im Widerspruch zum Eintrag udp 0.0.0.0:7078+32 0.0.0.0:7078 in den voip_forwardrules beschränkt sich meine Box eben NICHT auf diesen Portbereich, sondern sie schlägt im INVITE beliebig hohe Nummern vor. Und diese Ports sind natürlich NICHT offen in meiner Firewall.
    .
  • Jetzt die Frage an die Experten: Wie sollen denn die Audiodaten durch meine Firewall kommen, wenn der Port, auf dem sie empfangen werden sollen, nicht geöffnet ist? Das kann doch nicht gehen.
    .
  • Und jetzt eine mögliche Erklärung, warum es bei manchen dann eben doch geht (und dieses Verhalten ist mit Wireshark eindeutig zu belegen). Ein Provider, der diesen "Workaround" anwendet, ist SIPGATE:
    1. Meine Box schreibt im INVITE, dass sie auf Port 48000 lauschen will.
    2. Die Gegenstelle sagt, sie hingegen wolle auf Port 7088 lauschen.
    3. Meine Fritzbox sendet dann also auf Port 7088
      (dann ist DIESER Port - für etwaige Antworten - natürlich offen!).
    4. Die Gegenstelle sendet auf Port 48000, kommt aber nicht durch die Firewall;
      das merkt die Gegenstelle und schaltet daraufhin um auf Port 7088, weil sie von diesem WEISS, dass er offen ist.
      .
  • [FONT=&amp]In der Doku der Box steht übrigens ebenfalls, dass man die Ports 7078-7109 (also 32 Stück!) auf die Box weiterleiten solle - aber genau das reicht eben nicht aus, wie ich gerade erläutert habe.
    .[/FONT]
Natürlich kann ich nicht ausschließen, etwas falsch verstanden zu haben oder einen Denkfehler zu machen, aber unsere Protokolle scheinen genau das zu bestätigen, was ich oben beschrieben habe.

Ich freue mich über Erklärungen oder über Vorschläge, wie ich mein Problem lösen kann. Danke!


- - - Aktualisiert - - -

von 49123 zu 7078. Also exakt dieselben Portnummern und kommt somit durch die Firewall der äußeren Fritzbox, die diese Kombination von Ports für die rausgehenden Pakete natürlich geöffnet hat, aber daraufhin auch umgekehrt reinkommende durchläßt.

Ja, und genau hier ist ja mein Problem:
  • Ich KENNE diesen "äußeren Port" nicht. Meine Box nutzt hierfür "beliebige" Ports zwischen 7078 und "65000" und eben NICHT nur den in der Doku genannten Bereich 7078-7109 (also 32 Stück).
  • AUSGEHEND lasse ich für die Fritzbox für RTP ALLE Ports zu, daran kann es also nicht liegen.
  • Die Antwort von der Gegenstelle kommt einfach auf einem anderen Port rein, als meine Box sendet.

Der "Trick" des Providers ist unseren Beobachtungen nach der, dass er merkt, über den Fritzbox-Wunschport nicht reinzukommen und deshalb den nimmt, auf dem die Fritzbox sendet. Ok, wenn das "symmetric RTP" ist, dann macht SUPGATE das eben.
Mein andere Provider TELETEK macht das aber nicht so: Er sendet ausschließlich auf dem von der Fritzbox vorgeschlagenen Port - und der ist eben nicht offen. Und "Symmetric RTP" ist ja auch nicht Pflicht.
 
Zuletzt bearbeitet:
Mein Problem ist, dass Audiodaten (RTP) nicht durch meine Firewall (MS-TMG) ins interne Netz bis auf die Fritzbox gelangen, und das liegt meines Erachtens daran, dass der entsprechende Port eben nicht offen ist.

Kluge Erkenntnis.

Doch was kann die F!B dafür, dass du bei deiner vorgelagerten Firewall diese Daten nicht durchlässt?
(Ich habe deine Aussage mal etwas kenntlicher gemacht)
 
Kluge Erkenntnis.
Danke für Deine Erläuterung - und "danke" dafür, dass Du offenbar meine Erläuterung nur halb gelesen hast.

Habe ich nicht ausführlich genug erklärt, wo das Problem ist (bzw. WAR, s.u.):
Dass meine Firewall die Daten nicht durchlässt, ist nicht der Grund für das Problem, sondern eine Folge bzw. ein Symptom des Problems.

  • Im Widerspruch zum Eintrag [FONT=&quot]udp 0.0.0.0:7078+32 0.0.0.0:7078[/FONT] in den [FONT=&quot]voip_forwardrules[/FONT] beschränkt sich meine Box eben NICHT auf diesen Portbereich, sondern sie schlägt im INVITE beliebig hohe Nummern vor. Und diese Ports sind natürlich NICHT offen in meiner Firewall.
(...)

  • Ja, und genau hier ist ja mein Problem:

  • Ich KENNE diesen "äußeren Port" nicht. Meine Box nutzt hierfür "beliebige" Ports zwischen 7078 und "65000" und eben NICHT nur den in der Doku genannten Bereich 7078-7109 (also 32 Stück).

Und, es geschehen noch Zeichen und Wunder, dickes Dankeschön an die AVM-Leute:
Nach vieler Quängelei und vielen übermittelten Mitschnitten meiner Box, gibt es nun eine Firmware, bei der das Problem behoben ist!
VoIP mit der Fritzbox 7430 funktioniert auch durch eine Firewall, und zwar genau so, wie ich es oben erklärt habe.
 

Statistik des Forums

Themen
244,692
Beiträge
2,216,637
Mitglieder
371,311
Neuestes Mitglied
agl7
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.