[HowTo] Telekom-VoIP via Fritz!Box-VPN an Fremdanschlüssen nutzen

[renne]

1. Beide Fritz!Boxen bei MyFritz! anmelden.
2. Für beide Fritz!Boxen per "AVM Fritz!Fernzugang einrichten" eine VPN-Konfiguration mit den MyFritz!-Hostnamen erstellen und in die Fritzboxen laden
3. VPN testen
4. fritzbox_<hostname>_myfritz_net.cfg der Fritz!Box am Nicht-Telekom-Anschluss editieren:
Den Abschnitt für die entfernte Fritz!Box am Telekom-Anschluss

accesslist = "permit ip any 192.168.101.0 255.255.255.0";

mit

accesslist = "permit ip any 192.168.101.0 255.255.255.0", "permit ip any 217.0.0.0  255.255.255.0", "permit ip any 217.0.16.0 255.255.255.0";

ergänzen. Dadurch werden alle Anfragen an die Netze 217.0.0.0/24 (STUN) und 217.0.16.0/24 (SIP/RTP) über den Telekom-Anschluss geroutet.
5. Editierte cfg in die Nicht-Telekom-Fritz!Box laden.

Statt umständlich an der Telekom-Fritz!Box ein IP-Telefon einzurichten und an der Nicht-Telekom-Fritz!Box eine Internetrufnummer, die am IP-Telefon der Telekom-Fritz!Box angemeldet wird und **# vorwählen zu müssen, können die Telekom-Internetrufnummern jetzt direkt an der Nicht-Telekom-Fritz!Box eingerichtet werden bzw. direkt auf den an der Nicht-Telekom-Fritz!Box angeschlossenen Smartphones/IP-Telefonen.

 

[LarsIP]

Also ich sehe zwei (mögliche) kleinere Probleme:

1. Kann man eigentlich ausschließen, dass aus 217.0.0.0/24 und 217.0.16.0/24 irgendwelche Dial-In-IPs vergeben werden? Wobei, das sind ja nur jeweils 254 Hosts.

2. tel.t-online.de wird je nach Standort des DNS-Servers auf unterschiedliche Ziele aufgelöst. Beweis:

C:\>nslookup tel.t-online.de
Server: fritz.box (steht in Frankfurt, Telekom-DSL)
Address: 192.168.178.1

Nicht autorisierende Antwort:
Name: f-ipp-a01.isp.t-ipnet.de
Address: 217.0.16.170
Aliases: tel.t-online.de
ims.voip.t-ipnet.de
ims001.voip.t-ipnet.de

Zum Vergleich der Google-DNS löst auf einen anderen Telefonie-Server in München auf:

C:\Users\Lars>nslookup tel.t-online.de 8.8.8.8
Server: google-public-dns-a.google.com
Address: 8.8.8.8

Nicht autorisierende Antwort:
Name: m-ipp-a01.isp.t-ipnet.de
Address: 217.0.16.42
Aliases: tel.t-online.de
ims.voip.t-ipnet.de
ims001.voip.t-ipnet.de

Es wäre also denkbar, dass ein Telefonie-Server am anderen Ende der Republik genutzt wird (vom Telekom-Anschluss aus gesehen), weil der am Fremdanschluss verwendete DNS-Server das halt gerade mal so aufgelöst hat. Das würde dann schlechteren Ping, störanfälligere Verbindung und letzten Endes eine Qualitätsminderung bedeuten. Beispiel: Wenn der Fremdanschluss in Flensburg, der Telekom-Anschluss aber in München ist, dann sollte tel.t-online.de auch am Fremdanschluss in Flensburg auf den Münchner Knoten aufgelöst werden. Sonst laufen die Pakete ja kreuz in quer durch die Republik.

ad 2. Wenn ich (statt "T-Online") einen "anderen Internettelefonie-Anbieter" konfiguriere, kann ich statt tel.t-online.de z.B. "f-ipp-a01.isp.t-ipnet.de" als Registrar angeben. Ein STUN-Server lässt sich hier aber nicht eintragen...

 

[renne]

1. Kann man eigentlich ausschließen, dass aus 217.0.0.0/24 und 217.0.16.0/24 irgendwelche Dial-In-IPs vergeben werden? Wobei, das sind ja nur jeweils 254 Hosts.

Die IP-Netze müssen ja geroutet werden und die Server mit Firewalls, etc. abgesichert werden. Kundenanschlüsse und produktive Server in Subnetzen zu mischen ist Admin's Alptraum (Routing-/Firewall-Tabellen).

2. tel.t-online.de wird je nach Standort des DNS-Servers auf unterschiedliche Ziele aufgelöst.

Als Workaround kann man in der Nicht-Telekom-Fritzbox die private IP der Telekom-Fritzbox als bevorzugten Nameserver eintragen und z.B. 8.8.8.8 (Google) als alternativen Nameserver.

ad 2. Wenn ich (statt "T-Online") einen "anderen Internettelefonie-Anbieter" konfiguriere, kann ich statt tel.t-online.de z.B. "f-ipp-a01.isp.t-ipnet.de" als Registrar angeben. Ein STUN-Server lässt sich hier aber nicht eintragen...

Ich hatte erst Schwierigkeiten, dass keine Sprachverbindung zustande kam. Ich bin dann zufällig darauf gestossen, dass es mit dem Subnetz der STUN-Server funktioniert hat.

Außerdem habe ich inzwischen bei der Auflösung auch 217.0.17.xxx erhalten. Vielleicht können wir in diesen Thread alle IPs sammeln. Ich habe schon ein PHP-Skript für eine rekursive Auflösung inklusive NATPR- und SRV-Records geschrieben. Das automatische Senden der ermittelten IPs an einen Datenbankserver wird aber aufwändiger.

 

[LarsIP]

Als Workaround kann man in der Nicht-Telekom-Fritzbox die private IP der Telekom-Fritzbox als bevorzugten Nameserver eintragen und z.B. 8.8.8.8 (Google) als alternativen Nameserver.

EDIT: Dann würde an den mit der Nicht-Telekom-Fritzbox lokal verbundenen Clients die Namensauflösung immer um 30-100ms oder so ausgebremst. Außer man stellt an den Clients wiederum manuell einen anderen (lokalen) DNS ein.

Außerdem habe ich inzwischen bei der Auflösung auch 217.0.17.xxx erhalten.

Was wäre eigentlich, wenn man in der Accesslist die Subnetzmaske einfach ein wenig verschiebt, um "safe zu sein" und sich nicht die Mühe machen zu müssen - statt 217.0.0.0/24 also z.B. 217.0.0.0/16? Das schließt ja dann 217.0.16.0/24 mit ein.

Dann müsste man aber auch noch diese Zeilen davor schreiben (davor deshalb, weil die Routing-Tabelle ja von oben nach unten abgearbeitet wird und Einträge dahinter evtl. gar nicht mehr beachtet werden):

"reject udp any any eq 53", (sorgt dafür, dass DNS-Anfragen nicht über den Tunnel geschickt werden)
"reject udp any any eq 500", (sorgt dafür, dass IP-Sec-Pakete nicht über den Tunnel laufen)
"reject udp any any eq 4500", (sorgt dafür, dass IP-Sec-Pakete nicht über den Tunnel laufen)

Oder man routet exakt den kompletten von RIPE.NET zugeteilten IP-Adressbereich durch den Tunnel, einschließlich eventueller Dial-In-IPs (oben drüber hat man dafür ja einige Verkehre "rejected"). Aber wie sieht dann die entsprechende Subnetzmaske dazu aus?

inetnum: 217.0.0.0 - 217.5.127.255
netname: DTAG-DIAL13
descr: Deutsche Telekom AG
country: DE

EDIT: Wenn man im heise Netzwerk-Rechner im unteren Teil ("Das kleinste Subnetz ermitteln, das beide IP-Adressen enthält") angibt:

1. IP-Adresse: 217.0.0.0
2. IP-Adresse: 217.5.127.255

dann kommt als Subnetzmaske 255.248.0.0 heraus (also CIDR-Suffix /13) und eine Broadcast-Adresse von 217.7.255.255. Diese Broadcast-Adresse (=das obere Ende des Adressbereichs) liegt zwar schon außerhalb des zugeteilten Netzes, aber ich schlage vor, in die Accesslist folgendes hinein zu schreiben:

accesslist = "reject udp any any eq 53", "reject udp any any eq 500", "reject udp any any eq 4500", "permit ip any 217.0.0.0 255.248.0.0";

(Wichtig ist, dass die rejects vor dem permit-Eintrag stehen.)

Außerdem an der Nicht-Telekom-Fritz!Box die DNS-Server-Einstellungen nicht zu verändern, sondern dort als Registrar statt tel.t-online.de eben z.B. f-ipp-a01.isp.t-ipnet.de (vorher mit Hilfe von nslookup tel.t-online.de an der Telekom-Fritz!Box ermitteln wie der lokale Registrar genau heißt) einzutragen.

 

[JensOsterwohldt]

Hallo,
ich nutze meine Telekom VoIP Nummern auch über einen Fritz Box VPN Tunnel von einem zweiten Standort. Ich habe dazu die Telekom VoIP Nummern auf eine IP Telefon Nebenstelle gelegt. Von der anderen Tunnelseite spreche ich die Fritz Box (die am Telekom Anschluss) dann als SIP Server an. Das klappt seit vielen Monaten störungsfrei
Viele Grüße
Jens Osterwohldt

 

[LarsIP]

Von der anderen Tunnelseite spreche ich die Fritz Box (die am Telekom Anschluss) dann als SIP Server an. Das klappt seit vielen Monaten störungsfrei

Stimmt, das funktioniert auch. Aber die prinzipielle Frage dahinter ist, ob man die SIP-Accounts nicht in jedem Fall am besten in das oder die verwendeten Endgeräte einträgt und an allen Stellen dazwischen (Fritzbox 1, Fritzbox 2, etc.) lediglich dafür sorgt, dass das Routing intakt ist.

Kann jemand einen Anhaltspunkt geben wieviele ms Verzögerung durch das Einfügen einer zusätzlichen Zwischenstufe SIP-Server/SIP-Client einer Verbindung hinzugefügt werden?

 

[Freetz!Box]

@LarsIP

Eine vernachlässigbar geringe Verzögerung. Du würdest keinen Unterschied merken. Die Verzögerung des extra Umweges über die VPN-Verbindung ist da weitaus erheblicher.

 

[robert78]

Hi,

wenn ich das richtig verstehe willst du mit der fritzbox zuhause von außerhalb telefonieren ?!

nehmen wir an du hast ein Iphone, dann erstelle mit fritz!box fernzugang VPN Cfg für zuhause, richte auf deinen iphone VPN ein. lade dir das tool : fritz fon app
VPN öffnen , fon app öffnen, telefonieren. das kann ich auch alles von unterwegs aus, solange Umts brusselt

wer ausführliche tutorial sucht, habe ich auf meine HomePage
Sobald ich im ausland eine Wlan station finde, kann ich von zuhause aus meine kumpels einladen

 

[KunterBunter]

nehmen wir an du hast ein Iphone

Er hat aber keins, sondern eine zweite Fritzbox an einem anderen Anschluss. Genau dafür ist die von ihm vorgeschlagene Lösung gedacht. Deine unbekannte Homepage braucht man dazu nicht.

 

[robert78]

nun, dann richte die zweite fritzbox mit VPN aus!
ferntool kann das

wichtig das beide im gleichen netz liegen .

 

[KunterBunter]

Du wolltest sagen: wichtig ist, dass beide Fritzboxen nicht im gleichen Netz liegen. Aber die Lösung steht ja schon im ersten Beitrag.

Hast du ein Problem mit deiner Shifttaste?

 

[ktw2003]

Zumindest die Frage im ersten Beitrag sollte man sich schon durchlesen bevor man einfach los postet.