Fritz 7050 hinter Hardware-Firewall

[amitaba1]

Hallo,
ich ärgere mich jetzt seit drei Tagen mit der Konfiguration herum und bin reichlich am Ende meiner Geduld [schild=9 fontcolor=000000 shadowcolor=C0C0C0 shieldshadow=1]Grrr[/schild]
Habe bei GMX die Phone Flat aktiviert und recht günstig eine Fritz-Box Fon Wlan 7050 von jemandem bekommen.
Die Konfiguration meines Netzes sieht so aus: DSL-Modem, danach eine SonicWall Tele2, die die DSL-Verbindung (PPPOE) macht, sowie DHCP.
An der SonicWall hängt noch ein Switch, an dem 2 Rechner laufen. Die Fritz 7050 hängt ebenfalls an dem Switch und ist über Lan A verbunden (mit statischer IP. Für´s WLan ist ebenfalls die 7050 zuständig. Internet-Access, Wlan etc. funktioniert auch bestens. Nur eben VOIP mit analogem Telefon per "Fon1"-Port nicht Die Daten für GMX sind in der 7050 korrekt eingetragen. Hebe ich den Hörer ab, bekomme ich ein Freizeichen, wähle ich dann eine Nummer, erhalte ich stets ein Besetzt.
Zur Gegenprobe habe ich die 7050 mal direkt an den Splitter gehängt und die Sonic und den Switch rausgelassen. Und siehe da: ich konnte rausrufen, war aber über die registrierte Rufnummer nicht erreichbar.
Also habe ich die ursprüngliche Konfig wieder hergestellt (mit Sonic und Switch) und habe mir das Log in der Sonic angesehen. sie dropt UDP-Pakete auf Port 5060. Es gibt aber noch weiter Pakete (z.B. TCP), die sie verwirft, aber ich glaube nicht, dass das das Problem verursacht.
Auf die Sonic kann ich leider nicht verzichten, weil die den VPN durchleitet.
Kann mir vielleicht irgendjemand von Euch helfen ? Ich denke, ich müsste einige Ports freigeben, aber eben welche ......?
Vielen Dank erstmal an Euch
Gruß
Thomas

[marco.flawil]

Hallo

Ich habe bis selbst auf die Details die selbe Konfiguration: vor allem die SonicWall mit PPPoE und DHCP und leider die selben Probleme.

Mir scheint das symmetrische NAT die Hauptursache für unser Problem zu sein: STUN geht nicht, ein externer Verbindungsaufbau mit unbekanntem Zielport wird abgelehnt und ein Adressforward lässt sich nicht vernünftig konfigurieren.

Hast du bereits weitere Infos oder Ideen was noch zu untersuchen wäre?

Wie sieht es mit dem Punkt: Enable SIP Transformation aus? Hast du Kenntnisse wie das funktionieren soll?

Danke Marco

[marco.flawil]

Hallo

Ich habe bis selbst auf die Details die selbe Konfiguration: vor allem die SonicWall mit PPPoE und DHCP und leider die selben Probleme.

Mir scheint das symmetrische NAT die Hauptursache für unser Problem zu sein: STUN geht nicht, ein externer Verbindungsaufbau mit unbekanntem Zielport wird abgelehnt und ein Adressforward lässt sich nicht vernünftig konfigurieren.

Hast du bereits weitere Infos oder Ideen was noch zu untersuchen wäre?

Wie sieht es mit dem Punkt: Enable SIP Transformation aus? Hast du Kenntnisse wie das funktionieren soll?

Danke Marco

[amitaba1]

Hallo,
nein, so eine richtige Lösung haben wir nicht gefunden.
Du liegst absolut richtig, das Problem ist NAT. Deshalb blockt die Sonic unbestimmte Pakete über UDP fröhlich weiter und genau deshalb bekam ich ja auch ein Freizeichen, nur die Anmeldung am Server von GMX schlug fehl....
Die Sonic macht weiter fröhlich ihr VPN, dafür macht die Verbindungsherstellung mitttels PPPOE jetzt die 7050, die seither vor der Sonic hängt. Funktionieren tut es fehlerfrei.
Kommt darauf an, ob dieser Weg für Dich aufgrund Deiner Netzkonfiguration überhaupt praktikabel ist.
Gruß

[rollo]

Ich denke, ich müsste einige Ports freigeben, aber eben welche ......?
Vielen Dank erstmal an Euch
Gruß
Thomas

Die üblichen verdächtigen:

UDP 5060 für SIP und UDP 7078-7097 für RTP

jo

[marco.flawil]

hallo

danke für den tip mit den ports für SIP und RTP.

habe ich probiert; allerdings wieder mit dem selben resultat: eingende anrufe (vom festnetz via voip-provider) funktionieren nicht.

im log der sonicwall sehe ich einen sessionaufbau von extern (dem SIP server des providers) vom quellport: 5060 auf einen high port der firewall. misstrauisch stimmt mich, dass die ports beliebg sind (1024 - 32000) und ich eher einen range erwarten würde (zB. 7078-7097). ich habe auch versucht diesen sessionaufbau auf die fritzbox weiterzuleiten: portweiterleitung von 1024-32000; allerdings hat dies auch nichts gebracht (ausser dass die drop-message verschwunden ist).

gemäss sonicwall-help sollte bei aktivierter SIP transformation (menupunkt: access) die adresstranslation zwischen privater und öffentlicher adresse ausführen und auch die dazugehörigen RTP-ports freischalten. so weit so gut.

unterm strich scheinen sich sonicwall und fritz nicht so richtig zu mögen. vielleicht ist der altersunterschied zu gross?!?

hast du erfahrungen mit STUN? wie bewertest du damit meine chancen? meine beiden testprovider scheinen keine eigenen STUN server zu beteiben.

vielen dank

marco

[gbecker]

Hallo,
nein, so eine richtige Lösung haben wir nicht gefunden.
Du liegst absolut richtig, das Problem ist NAT. Deshalb blockt die Sonic unbestimmte Pakete über UDP fröhlich weiter und genau deshalb bekam ich ja auch ein Freizeichen, nur die Anmeldung am Server von GMX schlug fehl....
Die Sonic macht weiter fröhlich ihr VPN, dafür macht die Verbindungsherstellung mitttels PPPOE jetzt die 7050, die seither vor der Sonic hängt. Funktionieren tut es fehlerfrei.
Kommt darauf an, ob dieser Weg für Dich aufgrund Deiner Netzkonfiguration überhaupt praktikabel ist.
Gruß

Hallo,
wie hast Du denn die Sonicwall konfiguriert, damit das möglich ist.
Habe hier eine Sonicwall Tele3 SP. Mir gelingt es aber nicht, diese hinter einer Fritzbox 7050 so einzurichten, dass der VPN-Zugang über die Sonicwall gelingt.

Viele Grüße

gbecker

[gbecker]

Hallo,
nein, so eine richtige Lösung haben wir nicht gefunden.
Du liegst absolut richtig, das Problem ist NAT. Deshalb blockt die Sonic unbestimmte Pakete über UDP fröhlich weiter und genau deshalb bekam ich ja auch ein Freizeichen, nur die Anmeldung am Server von GMX schlug fehl....
Die Sonic macht weiter fröhlich ihr VPN, dafür macht die Verbindungsherstellung mitttels PPPOE jetzt die 7050, die seither vor der Sonic hängt. Funktionieren tut es fehlerfrei.
Kommt darauf an, ob dieser Weg für Dich aufgrund Deiner Netzkonfiguration überhaupt praktikabel ist.
Gruß

Hallo,
wie hast Du denn die Sonicwall konfiguriert, damit das möglich ist.
Habe hier eine Sonicwall Tele3 SP. Mir gelingt es aber nicht, diese hinter einer Fritzbox 7050 so einzurichten, dass der VPN-Zugang über die Sonicwall gelingt.

Viele Grüße

gbecker

[Tuxi]

Meine FBF befindet sich seit gestern hinter einen Linuxrouter. Für die Firewall habe ich folgendes eingetragen:

Code:

    # VoIP
    SIPPORT="5004 5005 5006 5007 5008 5009 5060 5061 5062 5063 5064 5065 5066 5067 5068 5069 7077 7078 7079 7080 7081 7082 7083 7084 7085 7086 7087 7088 7089 7090 7091 7092 7093 7094 7095 7096 7096 7097 10000"
    for pt in $SIPPORT; do
    $IPTAB -t nat -A PREROUTING -i ppp0 -p udp --sport $pt  -j DNAT --to-destination 192.168.1.1:$pt
    $IPTAB -A FORWARD -s 192.168.1.1 -p udp --dport $pt -j ACCEPT
    done

Evtl. einwenig umständlich, aber es funzt hier.

Bye Michael

[daFreak]

hallo!
meine fritzbox ist auch hinter einem linux router
ich benutze 1und1!
müsste ich dann dem entsprechend nur die ports in die von 1und1 umändern?
http://faq.1und1.de/voip/einrichtung...uration/2.html
oder muss ich noch zusätzliche ports beachten?

[gandalf94305]

Die FBF verwendet die Ports 5060/udp (SIP) und 7077/udp (DNS) sowie 7078-7087/udp (RTP).

--gandalf.

[daFreak]

alles klar! läuft alles!
danke!

[Tuxi]

Die FBF verwendet die Ports 5060/udp (SIP) und 7077/udp (DNS) sowie 7078-7087/udp (RTP).

7077/udp ist nicht DNS. DNS ist 53/udp.

Bye Michael

[gandalf94305]

7077/udp ist nicht DNS. DNS ist 53/udp.

DNS ist serverseitig 53/udp, clientseitig kann jedoch Beliebiges verwendet werden... und /var/flash/voip.cfg sagt ganz klar:

dnsport = 7077;
rtpport_start = 7078;

In diesem Sinne...

--gandalf.

[Tuxi]

Okay. Aber wenn ich Iptraf laufen lasse, gehen DNS-Anfragen auf Port 53. Oder ist für SIP ein zusätzliches/anderes DNS-System da am werkeln?

Bye Michael

[gandalf94305]

Anfragen gehen auf Port 53 auf die im Internet befindlichen Systeme. Anfragen kommen jedoch von Port 7077 von der FBF.

--gandalf.