AGFEO LAN510 von extern erreichen

reinhartlinke

Neuer User
Mitglied seit
28 Sep 2020
Beiträge
11
Punkte für Reaktionen
0
Punkte
1
Hallo,

ich habe eine AGFEO AS45 mit einem LAN Modul 510 im ersten Slot der Anlage stecken. Nun möchte ich gerne einen SIP-Client extern (im Homeoffice) einrichten. Dazu habe ich entsprechende SIP-Konten konfiguriert, die im lokalen LAN wunderbar funktionieren. Dazu muss man wissen, dass ich nicht die DSL-Funktionalitäten der 510 nutze, das Modul hängt bei mir als Client im bestehenden Netzwerk hinter einem Router/Firewall. Was nicht klappt, ist die Port-Weiterleitung. Von extern komme ich überhaupt nicht an die Anlage dran, auch nicht auf 5080/5081 zur Konfiguration, obwohl die Firewall entsprechend konfiguriert ist.

Für andere Clients kann ich Port-Weiterleitungen einrichten, nur bei der TK-Anlage klappt das nicht. Jemand eine Idee?

Viele Grüße,
Reinhart
 
Ein paar mehr Informationen wären recht: Wie ist das LM 510 konfiguriert? Wie viele SIP extern/intern/ASIP bzw. IoP intern/IoP extern? Sind Rufnummern (SIP extern) eingerichtet, und funktionieren diese? Ist "Anmeldung aus dem Internet erlauben" aktiv? Welchen "SIP Client" willst Du benutzen? Welcher Router/Firewall wird eingesetzt?

Ganz unabhängig davon, dass es "auch ohne" geht: eine externe Nebenstelle solltest Du aus Sicherheitsgründen nur mit einem VPN-Tunnel betreiben
 
Das LAN-Modul hat eine statische IP-Adresse, es wird hinter einer Digitalisierungsbox betrieben. Die Digitalisierungsbox ist DSL-Modem, Firewall und Router. Ich habe intern erstmal eine SIP-Nebenstelle als "Gerät" eingerichtet, "Anmeldung aus dem Internet erlauben" ist aktiv. Ich habe zum Testen PhonerLite installiert. Intern aus dem LAN kann ich mich mit dem eingerichteten SIP-"Gerät"/-Teilnehmer anmelden und telefonieren, nur außerhalb vom Netzwerk geht es nicht. In der Firewall sind die Ports 5060/5061 und 5004 - 5019 zum LAN-Modul freigegeben, aber dort kommen die offenbar gar nicht.
 
Sind Deine Rufnummernkonten (also die vom Telefonnetzbetreiber) in der Digibox eingetragen oder im LAN-Modul? Externe Anbindung zwischen Digibox und Anlage per VoIP oder S0?

Wie sind die Netzwerkeinstellungen des PhonerLite, wenn Du versuchst, von extern auf das LAN-Modul zuzugreifen? Hast Du eine feste IP-Adresse bei Deinem Internetanbieter, oder einen dynamischen DNS-Dienst?
 
Zuletzt bearbeitet:
Die Rufnummernkonten sind in der Digibox eingetragen und gehen per S0 auf zwei Ports der AS45.

Bei PhonerLite habe ich beide Varianten getestet: (Feste) IP vom Internetanschluss als auch DynDNS-Konto, kommt beides nicht zur Anlage durch.
 
Wenn ich das richtig sehe, erfolgt zwischen LANModul und Internet überhaupt keine Kommunikation. Hast Du zufällig noch einen SIP-Account übrig, den Du mal testweise als "SIP extern" in das LM eintragen kannst? (Sipgate oder ähnlich?) Einfach um zu sehen, ob da überhaupt eine externe Kommunikation stattfindet? Ich vermute nämlich eine fehlerhafte Konfiguration in der Digibox. (Leider bietet das LM nicht allzuviele Parameter zur Konfiguration, da muss also schon in der Umgebung alles stimmen.)
 
Danke, ich bin ein bisschen weiter, aber es funktioniert immer noch nicht: Ein Sipgate-Konto konnte ich im LAN-Modul erfolgreich registrieren, das klappt. Die Ports 5060 kann ich von der Digibox nicht nutzen, weshalb ich das LAN-Modul und die Firewall auf andere Ports umkonfiguriert habe. Doch leider klappt auch mit den anderen Ports die Anmeldung am LAN-Modul von extern (aus dem Internet) nicht. Hat noch jemand eine Idee?
 
Mache einen Wireshark Mitschnitt auf dem lan-Modul und schaue, ob überhaupt was da ankommt.

wenn nicht, dann ist die Digibox symmetric NAT Firewall noch „dicht“.
 
Das Problem ist offenbar, dass im LAN-Modul die lokale IP-Adresse ankommt von dem Client aus dem externen Netz. Jemand eine Idee, ob sich das ändern lässt?
 
Danke, aber einen STUN-Server habe ich nicht. Der SIP-User liegt auf der Telefonanlage. Inzwischen probiere ich das auch per VPN, aber hier tritt das gleiche Problem auf: PhonerLite übermittelt immer die IP aus dem entfernten Netz, nicht die VPN-IP. Jemand noch eine Idee?
Via: SIP/2.0/UDP LOKALE_IP:pORT;branch=XXXXXXXXXXXXXXXXXXXXXXXXXXXX;rport
From: "PhonerLite" <sip:USER@VPN_IP>;tag=XXXXX
To: <sip:USER@VPN_IP>
Call-ID: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX@LOKALE_IP
 
Die Tücke ist, der ext. Client bekommt eigentlich immer eine IP-Adresse aus einem anderen Adressbereich als das über den Tunnel zu erreichende ... muss ja auch fürs Routing der Firewall. Die muss ja entscheiden können ob LAN oder VPN-Tunnel....

Kommst wohl bei den SIP intern Einstellungen nicht drum herum Anmeldung aus den Internet oder aus fremden Netz zu erlauben.
Dann aber definitiv gute Passwörter verwenden ... ggf. SIP Intern auf einen anderen Port legen der definitiv nicht durch die Firewall kommt, nur via VPN oder LAN...
 
Aber nur, wenn er mit seiner Firewall Ip whitelisting und Geo blocking machen kann!
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.