[Problem] Fritzbox 7390 => Ansitel / Asterisk vs. PhonerLite

TDS

Neuer User
Mitglied seit
11 Sep 2009
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Moin,
folgendes Problem:
Wir haben 2 Telekom All-IP-Anschlüsse. Via Asterisk (von Ansitel, v4.4) sind diese 1x direkt (tel.t-online.de) und 1x via Fritzbox 7390 als "VoIP-Proxy" verbunden. Dir 1. Anschluss funktioniert ohne Problem.
Vom 2. Anschluss kann nach draußen telefoniert werden. Jedoch kommt von außen nichts an der Asterisk an.

ansitel.jpg
[Edit Novize: Riesenbild gemäß der Forumsregeln auf Vorschau verkleinert]

ABER:
Wenn ich auf einem benachbarten Windows-Server mit PhonerLite mich an die FB anmelde kann ich anrufen und angerufen werden. Somit schließe ich ein Firewall-Problem aus.

FRAGE:
Wer kann helfen? ;-)

Code:
trust_id_outbound=no
sendrpid=no
type=peer
insecure=invite
defaultuser=0511x5x3x9x0
fromuser=0511x5x3x9x0
fromdomain=192.168.252.1
secret=Hannoverx5x3x9x0
host=192.168.252.1
qualify=yes
directmedia=no
dtmfmode=rfc2833
context=from-FritzBox-0511x5x3x9x0
srvlookup=yes
disallow=all
allow=alaw
transport=udp
PS: Ich kann nicht beide Anschlüsse direkt bei der Telekom anmelden da keine nomadischen Anmeldungen mehr erlaubt sind und ich der Asterisk nicht sagen kann das bei Leitung XYZ auch eth1 zu verwenden ist (mit der 2. Fritzbox).
 
Zuletzt bearbeitet von einem Moderator:

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
2,036
Punkte für Reaktionen
181
Punkte
63
Besteht das Problem noch? Welche Funktion hat die OPNsense, die man ich Deinem Schaubild sieht?
Klingt so, als würden eingehende Anrufe gar nicht erst signalisiert. Oder meinst Du, dass zwar der Anruf „ankommt“ aber keine Sprache hörbar ist? In jeden Fall würde ich einen Paketmitschnitt hinter der FRITZ!Box 2 und vor dem Digium Asterisk machen. Weißt Du, wie das geht? Zum Beispiel: Switch mit Port-Mirroring oder FRITZ!Box. Damit dann Wireshark füttern und nach „sip || rtp“ filtern. Ich vermute, dass die Firewall eingehend zu macht. Ja, PhonerLite klappt – aber macht PhonerLite sein re-REGISTER zur selben Zeit? Macht PhonerLite kein Keep-Alive? Wie lange ist das UDP-Timeout in der OPNsense? Das kannst Du messen …
Ich kann nicht beide Anschlüsse direkt bei der Telekom anmelden da keine nomadischen Anmeldungen mehr erlaubt sind und ich der Asterisk nicht sagen kann das bei Leitung XYZ auch eth1 zu verwenden ist (mit der 2. Fritzbox).
Schön dass Du das erwähnst, aber hast Du dazu eigene Threads am Laufen? Wäre mir neu, dass die Telekom Deutschland in ihrem Netz keine nomadische Nutzung mehr zulässt. Auch der Asterisk müsste eigentlich Multi-Homing können, also das Ethernet-Interface bestimmen. Hast Du dazu einen Thread in der Asterisk-Community am laufen? Und was ich gar nicht verstehe, wie Du mit dem Channel-Driver chan_sip überhaupt zuverlässig (direkt) Telekom Deutschland nutzen kannst. Ich dachte, dazu wäre der neue Channel-Driver chan_pjsip nötig … hat aber alles mit Deiner Frage nichts zu tun.
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
13,069
Punkte für Reaktionen
405
Punkte
83
Moinsen


Ich sehe qualify=yes, was macht denn das? Eventuell genau das Gegenteil?
Und ein Fan von *.252.*, also IPs die eigentlich fürs FRITZ!Box VPN reserviert sind, bin ich auch nicht.
Asterisk: Ab in die Asterisk-Konsole sip set debug on und mal ein Weilchen den Schlamassel beobachten?
 

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
2,036
Punkte für Reaktionen
181
Punkte
63
Ich bin kein Freund vom Command-Line-Interface (CLI), weil mir das schon durch zu viele Ebenen lief und man keine exakten Zeitstempel bekommt. Aber weil hier mindestens zwei Provider-Registrierungen laufen, man kann auch direkt auf eine IP debuggen: sip set debug ip …
Ich sehe qualify=yes, was macht denn das?
In chan_sip, für eine Client-Registrierung … gar nichts. Offiziell bietet Digium Asterisk für Provider-Registrierungen (über UDP) kein Keep-Alive …
 

TDS

Neuer User
Mitglied seit
11 Sep 2009
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Moin,
Ich habe das Problem jetzt so gelöst das die Fritzbox für beide Anschlüsse als SIP Proxy dient.

Antworten:
UDP Timeout ist in der FB auf 5min gestellt. Ein Paket-Mitschnitt zeigt keine Auffälligkeiten bei PhonerLite. Habe aber mitbekommen das ich Phonerlite im INTRANET (IPs 1.x) und die Telefonie im VOIP-Netz (2.x) verwende. Und da schein die OpnSense nicht korrekt zu routen. Kommt jedenfalls nicht an der Asterisk an. Phonerlite: FB 252.x => auf OpnSense 1.x => geht, VOIP 252.x auf 1.x auf 2.x => geht nicht.
Nomadische Nutzung ist definitiv nicht mehr erlaubt. Das habe ich hin und her probiert (mit privat, business und TK-Anschlüssen). Hotline hat mir das besttätigt. Auf Anfrage geht's evtl. noch, aber beim nächsten Port-Update muss das wieder manuell gesetzt werden sonst alles wieder blockiert..
Multi-Homing, respektive sagen welchen Interface die Asterisk nutzen soll, geht nicht. Haben auch viel bestätigt. Sprich zu sagen das ein Anschluss X nur über Interface Y gehen soll (Multi-Gateway) ist nicht möglich.
Da die VPN-Funktion der Fritzboxen nicht genutzt wird kann ich auch 252.x, etc., als IP-Bereich wählen.

Resultat:
Das Routing von FB via OpnSense auf TK-Netzwerk hat nicht funktioniert. Irgendwo dazwischen war nen Fehler. Über die Feiertage konnte ich da leider nichts erfolgreich beheben. Also Umweg über SIP Proxy mit den Fritzboxen.
 

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
2,036
Punkte für Reaktionen
181
Punkte
63
Das heißt, Du hast das Problem umgangen und es ist erledigt?
Wenn nicht, welche Funktion hat die OPNsense, die man ich Deinem Schaubild sieht?
zu sagen das ein Anschluss X nur über Interface Y gehen soll (Multi-Gateway) ist nicht möglich.
Hast Du da einen Thread bzw. Issue-Report irgendwo der Asterisk-Community?
 

TDS

Neuer User
Mitglied seit
11 Sep 2009
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Die OpnSense dient als Firewall zwischen extern (Fritzboxen) und intern (INTRANET, VOIP). Ganz normale Firewall.
Link zu nem Asterisk-Thread finde ich gerade nicht. Aber wenn 2x gleiche Server als Ziel (tel.t-online.de), aber unterschiedliche Accounts, dann geht alles über das Default Gateway raus. Und da liegt ja das Problem. Die Telekom unterbindet dann die nomadische Unterstützung weil falscher Internet-Anschluss.
Hatte schon mit siproxd probiert auf der OpnSense, bloß das hat alles noch komplexer gemacht. Somit ist die jetzige Lösung die Beste.
Es sei denn jemand sagt mir wie in der Asterisk z.B. das korrekte Interface angegeben werden kann das der jeweilige Account nutzen soll.
 

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
2,036
Punkte für Reaktionen
181
Punkte
63
Ganz normale Firewall.
… und die hat Timeouts wie lange die Ports offen bleiben. Eine FRITZ!Box verlangt ein SIP re-REGISTER alle 600 Sekunden. Digium Asterisk macht das dann 15 Sekunden früher. Deren UDP-Timeout gilt nur für FRITZ!OS als Client nicht als Server. Das bedeutet, dass die Firewall den Port für knapp zehn Minuten offen lassen muss. Das macht on-Default für UDP keine Firewall. Jedenfalls keine, die ich bisher kenne. Entweder eine Ausnahme basteln, Timeout erhöhen und/oder im Asterisk-Server (für diese FRITZ!Box) von UDP auf TCP umschwenken. Alternativ kannst Du auf dem Asterisk-Server ein Skript schreiben, dass laufend UDP-Pakete mit CRLNCRLN mit Port 5060 abgehend an diese FRITZ!Box verschickt.

Die ganz andere Frage ist, warum überhaupt noch OPNsense? Die FRITZ!Boxen ganz vorne haben jeweils bereits eine Firewall.
 

TDS

Neuer User
Mitglied seit
11 Sep 2009
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Die Timeouts waren auf Maximum in der Fritzbox. Und das Port Forwarding in Firtzbox (auch exposed Host) und OpnSense war auch aktiviert. Aber es gingen nur Telefonate raus, aber nicht rein. Und da war ich an der OpnSense überfragt. Muss auch sagen das ich erst 3 Wochen davor angefangen habe damit zu arbeiten. Davor war eine alte SecurePoint im Einsatz.
Fritzboxen als Firewall zu betrachten finde ich weit hergeholt. Da läuft nen iptables oder nftables. Für eine Firma sollte etwas besseres für Sicherheit sorgen. pfSense oder OpnSense als Einstieg, SecurePoint oder Sophos als Mitteklasse oder z.B. WatchGuard als Premium-Klasse.
 

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
2,036
Punkte für Reaktionen
181
Punkte
63
Wie in Post #2 beschrieben, kann man das UDP-Timeout messen.
Die Timeouts waren auf Maximum in der Fritzbox.
Welche Timeouts … ist die FRITZ!Box der Registrar, dann greift kein Timeout. AVM erwartet, dass der SIP-Client die Verbindung offen hält. Du kannst in der FRITZ!Box nix einstellen. Das muss auf dem SIP-Client oder in der OPNsense geschehen.
 

TDS

Neuer User
Mitglied seit
11 Sep 2009
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Äh, doch.
Eigene Rufnummern => Anschlusseinstellungen => Portweiterleitung des Internet-Routers für Telefonie aktiv halten => 5min
Es geht um den weitergeleiteten Port 5060. Da die FB zwar alles an den exposed Host, also OpnSense, weiterleitet, gibt es bei SIP Probleme. Die FB grätscht leider immer dazwischen und will teilweise alles an Telefonie abfangen. Die FB hat nen internen SIP Proxy, und der lässt sich auch nicht abschalten.
Auf der Asterisk habe ich nen Timeout von 50s. das reicht voll aus. siproxd auf der OpnSense hatte auch 50s eingestellt gehabt.

Nun ja, jetzt geht alles über FB als Proxy und die Asterisk meldet sich dort an. Funktioniert.
 

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
2,036
Punkte für Reaktionen
181
Punkte
63
Wenn Du alle Telefon-Nummern auf der FRITZ!Box abschaltest, dann ist deren B2BUA aus und Port 5060 frei.
Eigene Rufnummern => Anschlusseinstellungen => Portweiterleitung des Internet-Routers für Telefonie aktiv halten => 5min
Das ist die Verdingung zwischen der FRITZ!Box zu seinen Internet-Rufnummern.
Das ist nicht die Verbindung zwischen der FRITZ!Box und seinen IP-Telefonen.