7412 als Client: Problem mit IPv6

ne20002

Neuer User
Mitglied seit
17 Dez 2007
Beiträge
49
Punkte für Reaktionen
0
Punkte
6
Hallo
Ich habe neu einen Dual-Stack-Anschluss und mir aus diesem Grund eine 7412 für VoIP zugelegt. VoIP-Provider ist Sipgate. Mit IPv4 funktioniert alles einwandfrei, mit IPv6 klemmt die Anmeldung.

Die 7412 hängt hinter einem OpenWrt-Router in einem eigenen VLAN. Sie bekommt eine interne IPv4 und für IPv4 sind im Router die Port-Forward eingerichtet: 5060 TCP/UDP und die RTP-Ports... funktioniert einwandfrei.
Die 7412 bekommt auch eine public IPv6 (mein public Prefix plus SLAAC-Interface-Identifier) Ich habe im Router dieselben Ports wie für IPv4 für diese Adresse freigegeben. Die Anmeldung bei Sipgate funktionert aber nicht ... wenn ich auf IPv6 oder IPv6 bevorzugt umstelle, meldet sich die Fritzbox ab, bzw klappt die Anmeldung nicht. Nach einiger Zeit wird bei Sipgate unter Telefon die IPv6 und Port 5060 angezeigt, aber die Verbindung klappt nicht.

Hat jemand eine Idee?
 

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
821
Punkte für Reaktionen
66
Punkte
28
Kann sein, dass im OpenWrt eine Firewall greift und den Port irgendwann zu macht. Auch die Port-Weiterleitungen im IPv4 dürften eigentlich nicht nötig sein, denn eine FRITZ!Box „puncht“ das NAT von allein: FRITZ!Box → Telefonie → Eigene Rufnummern → Anschlusseinstellungen → Telefonieverbindung → Portweiterleitung des Internet-Routers für Telefonie aktiv halten. Scheinen zwei Dinge krumm zu sein, die vielleicht auf die selbe Ursache zurückzuführen sind. Zum Test, nur zum Test, lege die FRITZ!Box als Exposed-Host an und lösche alle anderen Weiterleitungen. Wenn das klappt, dann läuft irgendwas im OpenWrt falsch. Danach die FRITZ!Box wieder aus dem Exposed-Host rausnehmen.

Gegenfrage aus Neugier: Warum nutzt Du nicht die FRITZ!Box als Router und das Gerät mit OpenWrt als Host-Computer (AVM nennt das „IP-Client“)?
 

ne20002

Neuer User
Mitglied seit
17 Dez 2007
Beiträge
49
Punkte für Reaktionen
0
Punkte
6
Kann sein, dass im OpenWrt eine Firewall greift und den Port irgendwann zu macht. Auch die Port-Weiterleitungen im IPv4 dürften eigentlich nicht nötig sein, denn eine FRITZ!Box „puncht“ das NAT von allein: FRITZ!Box → Telefonie → Eigene Rufnummern → Anschlusseinstellungen → Telefonieverbindung → Portweiterleitung des Internet-Routers für Telefonie aktiv halten. Scheinen zwei Dinge krumm zu sein, die vielleicht auf die selbe Ursache zurückzuführen sind. Zum Test, nur zum Test, lege die FRITZ!Box als Exposed-Host an und lösche alle anderen Weiterleitungen. Wenn das klappt, dann läuft irgendwas im OpenWrt falsch. Danach die FRITZ!Box wieder aus dem Exposed-Host rausnehmen.
Im Allgemeinen und bei Sipgate wird empfohlen, beim Betrieb hinter einem anderen Router die Ports weiterzuleiten. Es sind dieselben Ports, die auch die FritzBox selbt offen hat. Zu sehen unter Diagnose, Security.
Ich gehe also nicht davon aus, dass dieses ein Problem ist.

Gegenfrage aus Neugier: Warum nutzt Du nicht die FRITZ!Box als Router und das Gerät mit OpenWrt als Host-Computer (AVM nennt das „IP-Client“)?
a) Die 7412 hat nur einen LAN Port und DSL. Mein Anschluss ist Fiber.
b) Das würde bedeuten, dass die FB das IPv6 Prefix weiterleiten müsste und das kostet. Ausserdem müsste ich alle anderen, im OpenWrt konfigurierten Ports für von aussen erreichbare Services auch durchreichen.
c) Der OpenWrt-Router ist bei weitem Leistungsstärker ... auch gegen die 7590, die hier noch rumsteht.
d) Ich will die FritzBox im VLAN telephonie isoliert betreiben. Würde ich sie vorschalten, hätten alle anderen Subnetze/VLAN wiederum Zugriff darauf.

Ein Betrieb als Router hinter dem OpenWrt-Router geht im ersten Anlauf nicht, da sie so keinen Prefix für ein LAN, sondern nur eine eigene Adresse bekommen könnte. Damit ignoriert sie aber IPv6 komplett. Ich werde mal sehen, was passiert, wenn ich ihr ein /60 spendiere. Vielleicht zeigt sie dann die genutzten Ports an.
 

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
821
Punkte für Reaktionen
66
Punkte
28
Im Allgemeinen und bei Sipgate …
Tja. Leider halt Blödsinn. Ein SIP-Client kann ausgehend den Port aufmachen wo er will. Nachdem Rufaufbau über SIP können die RTP-Ströme auf jeglichem Port liegen. Daher ist eine Lösung, den SIP-Client (auch bei IPv6) die Firewall machen zu lassen. Die andere Lösung ist, dass sich der SIP-Client um alles kümmert (Keep-Alive für SIP und Punch für RTP).

Die FRITZ!Box nimmt zufälligerweise – ist halt deren Implementierung – Port 5060 für SIP und 7078-7110 für RTP; was man ändern kann. Andere SIP-Clients nehmen dynamische Ports. Egal. Wie kommst Du darauf, dass die Firewall kein Problem ist? Siehst Du auf dem OpenWrt welche Ports aktuell offen sind? Hast Du zum Test mal die FRITZ!Box als Exposed-Host deklariert? Alternativ zum Test die Firewall ausschalten. Was Du auch machen kannst, ist den Datenverkehr mitschneiden. In Deinem Fall wahnsinnig schwer weil UDP-Traffic, daher würde ich auch vor und nach dem OpenWrt mitschneiden. Andere Idee wäre, Dich selbst über Mobilfunk anzurufen und dabei das Zeit-Intervall zum letzten Anruf vergrößern, also 5 Minuten warten, dann 10 Minuten warten … um so wenigstens die Zeitspanne genau zu ermitteln. Mit dem Zahlenwert könntest Du dann auf eine Internet-Suche begeben.

Und ich würde nur mal zum Test die FRITZ!Box als Haupt-Router machen. Ich weiß nicht welchen Tarif Du bei Sipgate hast – theoretisch könnte die FRITZ!Box auch Probleme mit Sipgate/IPv6 haben. Welchen Tarif hast Du bei Sipgate? Dann könnte ich mal testen. Wenn Du kein Basic hast, wäre ein Workaround die 7590 mit der neusten FRITZ!OS Labor bestücken und dann SIP-over-TLS versuchen. Damit wirst Du vermutlich in das selbe Problem rennen. Aber bei TCP-Verbindungen sieht man etwas einfacher, wenn diese abbrechen.
Ein Betrieb als Router hinter dem OpenWrt-Router …
Ne, ich meine schon als Haupt-Router – damit das SIP-Gateway auch die Firewall macht. Alternativ (auch wieder ein Workaround) könntest Du auch einen SIP-Back-to-Back-User-Agent (SIP-B2BUA) auch in OpenWrt installieren (Asterisk oder FreeSWITCH). Aber dann verlierst Du Deine Isolierung.
Alles irgendwie keine Gründe gegen die FRITZ!Box. Was genau könntest Du mit einer FRITZ!Box (mit zwei LAN-Anschlüssen) als Haupt-Router nicht machen?
 
Zuletzt bearbeitet:

ne20002

Neuer User
Mitglied seit
17 Dez 2007
Beiträge
49
Punkte für Reaktionen
0
Punkte
6
Alles irgendwie keine Gründe gegen die FRITZ!Box. Was genau könntest Du mit einer FRITZ!Box (mit zwei LAN-Anschlüssen) als Haupt-Router nicht machen?
War eigentlich nicht die Frage. Z.B. den 10GBit Glasfaser-Anschluss mit 10Gbit nutzen (und das klappt zu zwei offsites).

Ich habe nun diesen Anschluss inkl IPv6 bekommen und möchte nun IPv6 auch für VoIP nutzen. Ich will hier nicht alles umbauen. Es muss ja auch hinter einem anderen Router gehen. Die Frage bleibt also: klemmt es an der 7412, am OpenWrt und wenn ja, wie kann ich das lösen, oder liegt es an sipgate?

Hat jemand eine 7412 (oder andere FritzBox) hinter einem anderen Router mit IPv6 laufen und wenn ja, muss man an dem Router etwas spezielles einstellen?
 

stoney

Moderator
Teammitglied
Mitglied seit
7 Okt 2015
Beiträge
5,336
Punkte für Reaktionen
403
Punkte
83

ne20002

Neuer User
Mitglied seit
17 Dez 2007
Beiträge
49
Punkte für Reaktionen
0
Punkte
6
die 7412 kann eh nur 100MBit/s (LAN und DSL).

Sowohl die Fritzbox 7412 als auch der Router zeigen die Verbindung als 1000MBit an. Im Handbuch steht aber auch 100MBit. Ist die 1&1-Version da etwas aktualisiert worden?

Ist aber belanglos. Auch 100 MBit reichen für VoIP (und was anderes geht da nicht drüber) völlig aus.
 

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
821
Punkte für Reaktionen
66
Punkte
28
Hat jemand eine 7412 (oder andere FritzBox) hinter einem anderen Router mit IPv6 laufen und wenn ja, muss man an dem Router etwas spezielles einstellen?
Ja, hier. Und es geht einfach so. Daher vermute ich die Firewall in Deinem OpenWrt. Wenn Du uns noch Dein Sipgate-Produkt verrätst kann ich Deine Situation mal genauer nachbauen. Aktuell nutze ich meinen eigenen VoIP-Server.
 

ne20002

Neuer User
Mitglied seit
17 Dez 2007
Beiträge
49
Punkte für Reaktionen
0
Punkte
6
Ja, hier. Und es geht einfach so. Daher vermute ich die Firewall in Deinem OpenWrt.
Ich auch. Fragt sich nur, was ...

Der Router hat, die Fritzbox liegt in der iot-Zone, seitens dieser Zone nur begrenzt Ports offen. Dabei natürlich 546, 547 für DHCPv6. Die anderen Geräte haben damit kein Problem, alles geht. Die Fritzbox (ist als IP-Client konfiguriert) kriegt keine DHCPv6 IP (aber SLAAC). Wenn ich am Router selbst (input) alle Ports öffne, geht es. Ist schon weird.

Ich werde da weitersuchen ..

-- Zusammenführung Doppelpost by stoney

Wenn Du uns noch Dein Sipgate-Produkt verrätst kann ich Deine Situation mal genauer nachbauen.
Basic
 
Zuletzt bearbeitet von einem Moderator:

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
821
Punkte für Reaktionen
66
Punkte
28
Irgendwie habe ich in der Schule nur geschlafen. Warum machst Du in der Firewall die Ports für DHCPv6 auf? Die FRITZ!Box bekommt doch Ihre IPv6 von OpenWrt.
Wenn ich am Router selbst (input) alle Ports öffne, geht es.
Heißt das, die Firewall in OpenWrt ist die Ursache und Du suchst jetzt selbst in OpenWrt? Oder soll ich trotzdem mal Dein Szenario nachbauen?
 

ne20002

Neuer User
Mitglied seit
17 Dez 2007
Beiträge
49
Punkte für Reaktionen
0
Punkte
6
Das Gefühl kenne ich. Nein, die Sache ist folgende:

Ich habe mein OpenWrt hier schon länger laufen. Früher war es mal eine 7590, aber OpenWrt kann einiges, was die FB leider nicht kann. Das Setup sieht grob so aus:
Mehrere interne Zonen (LAN, DMZ, IoT, WORK), einen VPN Wireguard-Zugang um mit den Mobiles gesichert via Router ins Internet zu gehen (public WLAN ist ja so ne Sache), zwei Wireguard-VPN-Verbindungen zu offsites in USA und Indien. Drei unterschiedliche domains inkl richtigem Routing nach Namensauflösung via VPN zu den offsites ....
Die internen Zonen DMZ und IoT betrachte ich als unsicher, deshalb ist der Router an deren Interfaces genauso gesichert wie das WAN-Interface (fast alles zu am Router selbst, ausser DNS und NTP).
Bisher war das alles IPv4. Damit ging das auch alles ohne Probleme.

Nun habe ich einen schnellen Glasfaser-Anschluss und IPv6 zusätzlich. Und IPv6 ist etwas anspruchsvoller. Mein Problem scheint nun zu sein, dass sie 7412 im IoT Probleme mit IPv6 hat, solange auf dem Interface am Router alles zu ist. Ich muss zumindest einiges an ICMPv6 öffnen, damit das klappt. ;)
Nachdem ich auf dem Interface ICMPv6 offen habe, funktionieren die Router-Services für IPv6 auch. Ich muss nur noch rauskriegen, welche ICMP ich freigeben muss, der Rest kommt wieder zu.

Momentan läuft die 7412 so ... ich habe trotzdem das Gefühl, als ob sie zeitweilig nicht von aussen erreichbar ist (sipgate sagt das Gerät ist nicht angeschlossen). Kurz danach geht es wieder . Das muss ich noch beobachten...
 

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
821
Punkte für Reaktionen
66
Punkte
28
Also, ich habe Dein Szenario mal so gut wie möglich nachgebaut; AVM FRITZ!Box 7412 (FRITZ!OS 6.86) mit Sipgate Basic Plus:
  1. FRITZ!Box Web-Oberfläche → Menüleiste → Optionen → Erweiterte Ansicht
  2. … → Internet → Zugangsdaten → Internetanbieter: Weitere: Andere → Anschluss an externes Modem oder Router → Betriebsart: IP-Client-Modus → IP-Einstellungen: DHCP
  3. … → Internet → Zugangsdaten → (Reiter) IPv6
  4. … → Telefonie → Eigene Rufnummer → (Rufnummern) Neue Rufnummer → Telefonie-Anbieter: sipgate … kontaktieren über: nur via IPv6.
Sowohl die eingehende als auch die abgehende Telefonie klappt auch nach einem Tag ohne Problem. Ich habe die ganze Zeit über Port-Mirroring Wireshark mitlaufen lassen und kurz vor Re-Registrierung eingehend und ausgehend probiert. Auch in der Web-Oberfläche von Sipgate sehe ich die ganze Zeit (nur) meine IPv6 unter Telefone → Angemeldete Geräte. In meinem Haupt-Router (FRITZ!Box 7590 mit FRITZ!OS 7.12) habe ich kein Port-Forwarding eingerichtet oder sonst etwas geändert. Ich habe parallel eine „DMZ“ also einen Exposed-Host. Dieser bekommt während der ganzen Zeit schön weiter Datenpakete auf Port 5060 rein (SIP-Scanner sei Dank) – sowohl IPv4 als auch IPv6.

Was mit aufgefallen ist:
  • Sipgate sendet alle 15 Sekunden ein UDP-Paket mit vier Null-Bytes. Das ist auch dokumentiert. Aber das könnte eine Storm-Protection in Deinem OpenWrt auslösen. Und auch stromsparende Geräte wie Apple iOS könnten das als böse empfinden und die App killen. Leider fand ich keine Möglichkeit das auszuschalten. Ich halte das für unser Szenario für Blödsinn.
  • Sipgate verwendet 600 Sekunden für das SIP-REGISTER. Folglich macht die FRITZ!Box alle 280 Sekunden ein Re-Register. Auch das ist sehr kurz und stromsparende Geräte könnten das nicht mögen. Auch hier fand ich keine Möglichkeit, auf Seiten von Sipgate zu ändern.
  • Sipgate nutzt bei IPv6 nicht-transparentes Load-Balancing – ich bekomme vier IPv6-Adressen und meine FRITZ!Box 7412 nahm den dritten bzw. verletzen Server.
  • AVM macht bei Sipgate trotz einer öffentlichen IPv6 weiterhin STUN. Auch bevorzugt AVM für die DNS-Auflösung den DNSv4-Server. Aus Spaß habe ich der FRITZ!Box 7412 mal DHCP und damit IPv4 genommen. Jetzt macht die FRITZ!Box die Auflösung über den DNSv6-Server und macht auch kein STUN mehr.
  • AVM nutzt von Haus aus den NTP-Server 0.europe.pool.ntp.org. Das bestätigt auch mein Wireshark-Mitschnitt. Aber die 0er-Domains sind nicht über IPv6 auflösbar. AVM müsste die 2er nehmen… ich habe noch nicht herausbekommen, wie die FRITZ!Box jetzt ohne IPv4 ihr NTP macht. Kann deren NTP-Client überhaupt IPv6? Ich habe ihn nicht mehr gesehen. Selbst wenn, normal kann man den zu nutzenden NTP-Server unter „Heimnetz → Netzwerk → (Reiter) Netzwerkeinstellungen → Zeitsynchronisation“ ändern. Aber bei meiner FRITZ!Box 7412 fehlt der Menüpunkt – ist das wegen IP-Client-Modus oder wegen FRITZ!OS 6?
Eine FRITZ!Box babbelt von Haus aus viel:
  • Heimnetz → Mediaserver: alles löschen
  • Heimnetz → Heimnetzübersicht → (Reiter) Netzwerkeinstellungen → Heimnetzfreigaben: alles deaktivieren
  • Internet → Zugangsdaten → AVM-Dienste: alles deaktivieren
  • (erst ab FRITZ!OS 7) System → Update → Auto-Update → Updates über andere Heimnetzgeräte anstoßen: deaktivieren
Folglich könntest Du intern erstmal nur ICMPv6, DNS (Port 53) und SIP (Port 5060) aufmachen. Bei DNS empfehle ich Dir
  • die DNS-Antwort von Sipgate zu filtern, so dass nicht mehrere sondern nu eine IPv6 zurückgegeben wird.
  • die DNS-Antwort von 0.europe… auf 2.europe… oder einen eigenen vertrauenswürdigen Server mit IPv6-Auflösung umzubiegen.
und dann musst Du schauen, ob irgendeine UDP-Storm-Protection greift. Auf jeden Fall die Port-Forwardings löschen. Die braucht kein Mensch und öffnet Deine FRITZ!Box – jedenfalls deren SIP-Teil – völlig unnötig für Jedermann von Außen.

Wenn nach all diesen Beschreibungen eingehende Telefonate endlich klingeln, öffnest Du intern noch die RTP-Ports (siehe oben). Wenn Du es immer noch nicht hinbekommst, dann packe ich auch noch einem meiner OpenWrt-Router aus und nehme den als Haupt-Router. Aber sorry, entweder
a) habe ich das Problem nicht verstanden oder​
b) die Ursache ist eine Fehlkonfiguration in OpenWrt oder​
c) Dein Internet-Anbieter macht irgendwas anders oder​
d) Sipgate erkennt Deinen Internet-Anbieter und macht was anders.​
 

ne20002

Neuer User
Mitglied seit
17 Dez 2007
Beiträge
49
Punkte für Reaktionen
0
Punkte
6
DAS nenne ich mal eine Analyse.

Ich bin momentan noch am Testen und werde die 7412 mal in einen eigene Zone verlegen (OpenWrt kann pro Zone loggen).

Was mir auffiel: gester war die IPv6-Registrierung weg. In der FB zeigte sie als genutzte IPv6-Adresse eine ULA-Adresse an. Damit geht natürlich nichts ... wieso sie plötzlich die ULA und nicht die public IPv6 genommen hat, erschliesst sich mir nicht.
 

ne20002

Neuer User
Mitglied seit
17 Dez 2007
Beiträge
49
Punkte für Reaktionen
0
Punkte
6
Ich habe das nun eine Weile beobachtet (VoIP nur per IPv6) und ich stelle folgendes fest:
  • Ab und zu ist das Telefon nicht mehr bei Sipgate registriert
Schaue ich dann in die Oberfläche der FritzBox,
  • listet das Ereignisprotokoll diverse Fehlermeldungen, dass die Anmeldung fehlgeschlagen ist und
  • zeigt die Übersicht eine ULA-Adresse (DHCPv6 zugewiesen) für IPv6
Mit ULA geht natürlich nichts. Wieso die FritzBox nur eine IPv6 anzeigt ist mir auch schleierhaft, sie müsste wie alle Geräte in der Zone deren vier haben (ULA DHCPv6 und SLAAC und Public-Prefix DHCPv6 und SLAAC).

Ich werde mal mit den Einstellungen im Router spielen und sehen, wie es sich verhält, wenn ich die ULA für die Zone deaktiviere und auf nur Statefull (DHCP) einstelle. Ich bevorzuge DHCP, weil so die hostnamen im DNS landen, mit SLAAC ist das ja leider nicht gegeben. Jedenfalls müsste die FritzBox so nur eine IPv6 bekommen und hätte keine Möglichkeit, diese zu wechseln.

Und wieso macht die FB alle Nase lang IGMP broadcasts? Kann man das abstellen?


Wed Feb 26 18:37:29 2020 kern.warn kernel: [878655.272076] REJECT IoT in: IN=eth0.44 OUT= MAC=xx:xx:xx.xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=192.168.44.206 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=28324 DF PROTO=2
 

ne20002

Neuer User
Mitglied seit
17 Dez 2007
Beiträge
49
Punkte für Reaktionen
0
Punkte
6
Ok, für mich ist es gelöst. Offensichtlich wechselt die Fritzbox ohne erkennbaren Plan die IP-Adresse, die sie nutzt. Dabei wählt sie aus dem public-Prefix und ULA ... mit ULA aber kommt natürlich keine Verbindung zustande.
Ich habe für die Zone die ULA deaktiviert und nun wählt die 7412 nur nach aus dem public-Prefix, entweder die DHCPv6 zugewiesene Adressse oder die SLAAC-Adresse. So geht es.
 

3CX PBX - GRATIS
Linux / Win / Cloud

Neueste Beiträge

Statistik des Forums

Themen
234,397
Beiträge
2,045,917
Mitglieder
354,089
Neuestes Mitglied
lagazoi