[Problem] Grandstream UCM6301 – Outbound Calls brechen nach 30 Sekunden ab (RTP/NAT Problem?)

[rtuz2th]

Hi zusammen!
Ich helfe einer befreundeten Autowerkstatt bei der Netzwerkadministration und bin auf ein Problem gestoßen, bei dem ich um eure Hilfe bitten möchte.

Vor wenigen Tagen wurde endlich die anliegende Glasfaserleitung aktiviert, über die jetzt sowohl Internet als auch Telefonie laufen.
Im Prinzip funktioniert alles – nur ausgehende Anrufe brechen konstant nach ca. 30 Sekunden ab.
Eingehende Gespräche laufen stabil, auch intern funktioniert alles problemlos.

Kurz zu mir:
Ich bin Softwareentwickler mit mittlerer Erfahrung im Netzwerkbereich, aber VoIP und SIP sind ehrlich gesagt nicht mein Spezialgebiet. Ich freue mich daher über jeden Hinweis, und bitte euch um Verständnis, wenn ich nicht direkt die richtigen Fragen stelle

Umgebung:

• Provider: VSE NET (SIP-Trunk, Outbound-Proxy: 10.x.x.x)
• Router: Lancom 1790 VA (SIP ALG aus, UDP-Timeout 180 s, Port-Forward 5060 + 10000–20000 UDP auf PBX)
• PBX: Grandstream UCM6301 (Firmware 1.0.29.19)
• Endgeräte: 2× Gigaset N670 IP PRO (Firmware aktuell) mit 3 Mobilteilen
• Netz: Privates LAN, keine feste öffentliche IP, kein DynDNS

Symptom:

• Nur Outbound Calls brechen nach ~30 Sekunden ab.
• Laut Wireshark kommt der BYE vom internen Leg der PBX.
• Es scheint ein RTP-/NAT-Problem zu sein – vermutlich erkennt der Provider keine Rück-RTP-Pakete und trennt nach Media-Timeout.

Bisherige Maßnahmen:

• SIP ALG deaktiviert
• NAT-Timeout 180 s
• Port-Forwarding: 5060 + 10000–20000 UDP → UCM
• ICE deaktiviert
• Direct Media aus
• Strict RTP aus
• RTP Keepalive 20 s
• „Use IP address in SDP“ aktiviert
• „External Host“ auf öffentliche IP gesetzt
• „Local Network“ korrekt eingetragen (192.168.1.0/24)

Trotzdem bleibt der 30-Sekunden-Abbruch bestehen.
Meine Interpretation vom Wireshark Mittschnit ist, dass die UCM ihre interne IP in der SDP bewirbt, während die Gegenstelle (Provider oder internes Gerät) teils private oder nicht erreichbare IPs meldet. Aber wie gesagt - hier bin ich schon ordentlich am schwimmen, sicher bin ich mir absolut nicht.

Auf Basis meiner Wireshark-Interpretation sagt das magische openAI Orakel folgendes:
Die UCM bewirbt im SDP immer ihre lokale IP und leitet RTP nicht symmetrisch zurück.
Da VSE NET im Outbound Proxy ein 10.x.x.x-Netz verwendet, kommt vermutlich kein gültiger Media-Pfad zustande.
Ich vermute also, dass Symmetric RTP (comedia) oder ein vergleichbarer Mechanismus fehlt oder nicht greift.

Hier bin ich mit meinem Latein aber wirklich endgültig am Ende, ich kann noch nicht mal sagen ob diese Diagnose Sinn macht, ich würde mich sehr freuen wenn ihr mich in die richtige Richtung leiten könnt. Wenn es hilft, kann ich den vollständigen PCAP-Ausschnitt gerne per PN schicken. Vielen vielen Dank für Eure Hilfe!

 

[chrsto]

Port-Forwarding: 5060 + 10000–20000 UDP → UCM

Bitte wegmachen.

• „Use IP address in SDP“ aktiviert
• „External Host“ auf öffentliche IP gesetzt

Die Provider haben (fast) alle eine eingebaute NAT Erkennung. Mit sowas umgehst du diese, was zu Problemen führen kann. Ist irgendwo noch ein STUN Server eingetragen?

Symmetric RTP (comedia) oder ein vergleichbarer Mechanismus fehlt

Ich sehe viele UDP Pakete in beide Richtungen. Ich vermute mal, dass das RTP Pakete sind. Damit sollte das so korrekt sein.

 

[rtuz2th]

Erst mal vielen Dank für deine Antwort! Die Portweiterleitung nehme ich auf jeden Fall wieder raus, ich wollte erst mal einfach Probleme ausschließen.

Die Provider haben (fast) alle eine eingebaute NAT Erkennung. Mit sowas umgehst du diese, was zu Problemen führen kann. Ist irgendwo noch ein STUN Server eingetragen?

Ich hatte zwischenzeitlich mal einen der Google STUN Server eingetragen, das hat an meinem Problem leider nichts verändert. Auch die öffentliche IP habe ich wieder entfernt, auch hier keine Veränderung.

Ich sehe viele UDP Pakete in beide Richtungen. Ich vermute mal, dass das RTP Pakete sind. Damit sollte das so korrekt sein.

Okay. Wenn ich dich richtig verstehe bedeutet das, dass ich die UCM anders konfigurieren muss? Ich kann im Manual leider nichts dazu finden, das einzige was hier noch auftaucht wäre die Möglichkeit einen TURN Server einzutragen, damit habe ich mich noch nicht beschäftigt. Von Werk aus war kein TURN Server eingetragen.

 

[chrsto]

Turn kommt bei VoIP nicht zum Einsatz.

Kannst du mal ein paar Screenshots deiner UCM erstellen? Sowohl von den Trunks, als auch von den SIP Settings (Nat und Session Timer)

 

[rtuz2th]

Ein paar habe ich noch greifbar, ich bin gerade leider nicht vor Ort. Die Media Codecs habe ich eingeschränkt um zu debuggen, leider auch ohne Erfolg.

 

[chrsto]

Vorab: Wie stellst du sicher, dass die IP des Outbound Proxy geroutet wird?

 

[rtuz2th]

[Edit Novize: Überflüssiges Fullquote des Beitrags direkt darüber gelöscht - siehe Forumsregeln]
Bis jetzt nur darüber dass ich ihn in der UCM eingetragen habe. Gibt es hier mehr zu beachten?

 

[chrsto]

Ich lese gerade, dass VSE seinen Kunden einen Router mit einem dedizierten Port für die Telefonie bereitstellt. Kann ich davon ausgehen, dass das der Router von LANCOM ist?Dann vergiss das wieder mit dem Routing der IP Adresse.

Wenn das nicht der Fall ist, dann würde ich gerne wissen, ob VSE der direkte Provider ist, oder ob ihr eine White Label Lösung nutzt und bei einem anderen Provider Kunde seid.

Welche Daten (Benutzername und Kennwort bitte anonymisieren) wurden euch zur Einrichtung der Telefonie überlassen?

Und letzter Punkt: vervollständige bei Gelegenheit noch die Screenshots.

 

[rtuz2th]

Moin chrsto - erst mal vielen Dank für deine Ausdauer.

Die Werkstatt ist direkt bei der VSE als Geschäftskunde registriert, keine Whitelabel Lösung sondern VSE als direkter Provider und Ansprechpartner. Die VSE hat hier keinen Router zur Verfügung gestellt, der ONT wurde in meiner Abwesenheit installiert, beim ONT handelt es sich zwar um einen Nokia Router, für diesen habe ich allerdings keinerlei Zugangsdaten.

Für Internet hat mir die VSE keinerlei Zugangsdaten zur Verfügung gestellt, ich bin mit zwei Vermutungen ans Ziel gekommen - Ich habe einen Lan-Port von Lancom so konfiguriert, dass er über IPoE mit dem ONT kommuniziert, Internet kommt aus VLAN 132, beides habe ich über den Lancom Setup Assistenten eingerichtet.
Auf Nachfrage wurden mir Zugangsdaten für Telefonie zugemailt, ich habe einen anonymisierten Screenshot angehangen. Heute kam eine Bereitstellungsanzeige per Mail, in dieser gibt es auch einen Punkt 'Zugangsdaten', hier steht allerdings nur eine IP Adresse (nicht die des Telefon-Proxies!) ohne weitere irgendwelche weiteren Informationen dazu, auch hiervon habe ich einen anonymisierten Screenshot angehängt.

Auch von den relevanten Grandstream Menüs habe ich vollständige Screenshots angehängt, wenn Dir noch etwas bestimmtes fehlt, sag bitte bescheid!

EDIT: Ich konnte das Problem zusammen mit dem Support von VSE NET lösen. Turns Out: Die Zugangsdaten die ich erhalten hatte waren nicht korrekt. Statt zu sip.vsenet.de verbinde ich jetzt zu sipconnect.vsenet.de, ich habe auch eine andere Proxy IP erhalten (Nein, nicht die aus der Bereitstellungsanzeige, das wäre ja langweilig!), mit diesen neuen Zugangsdaten und kleineren Umstellungen (Inbound war vorher National über die 0 signalisiert, nach der Umstellung auf die neuen Zugangsdaten International über +49) kann ich endlich problemlos in- und outbound telefonieren, und das auch länger als 30 Sekunden. Trotzdem Tausend Dank für deine Hilfe @chrsto und ein schönes Wochenende!

 

[sonyKatze]

Abgesehen davon, dass es gelöst ist. Wenn dort ein Lancom und Grandstream ist, müsste das System nicht einen Betreuer haben? Als Normalo kommt man weder auf den einen noch den anderen Hersteller. Mein Tipp: Den dann informieren bzw. das für den dokumentieren, nicht dass der eine (Fern-)Wartung und das dann irgendwann unabsichtlich überschreibt.

Ganz andere Frage aus reiner Neugierde: Was genau macht der Grandstream? Klingt so, als hätte der Lancom keine All-IP Lizenz Option sondern die Telefonanlage ist allein der Grandstream? Wozu genau ist der Grandstream da? Ich würde den nämlich rauswerfen und jene Software-Option holen. Kann nämlich sein, dass Deine Telefonie-Anbieter (irgendwann) auf IMS umstellt – und sowas ist ein Grandstream nicht gewachsen.

 

[rtuz2th]

Abgesehen davon, dass es gelöst ist. Wenn dort ein Lancom und Grandstream ist, müsste das System nicht einen Betreuer haben? Als Normalo kommt man weder auf den einen noch den anderen Hersteller. Mein Tipp: Den dann informieren bzw. das für den dokumentieren, nicht dass der eine (Fern-)Wartung und das dann irgendwann unabsichtlich überschreibt.

Grundsätzlich gebe ich dir völlig Recht - ich bin da ein bisschen reingestolpert, bei Unternehmensgründung vor etwas über einem Jahr lag am Standort gar kein Internet an, es musste also irgendeine Bastellösung her um Festnetztelefonie über eine 4G Verbindung zu ermöglichen, ich hatte damals meine Hilfe angeboten und den Moment verpasst das alles an jemanden abzugeben der wirklich vom Fach ist. Mit Lancom hatte ich in anderen Projekten sehr positive Erfahrungen gemacht und wollte hier nach der Umstellung auf Glasfaser Hardware einsetzen mit der ich mich auskenne.

Ganz andere Frage aus reiner Neugierde: Was genau macht der Grandstream?

Ich hatte mich mit einem Bekannten, der tatsächlich eher aus dem Telefonbereich kommt als ich unterhalten. Meine Anforderung war möglichst günstig eine on premise TK Anlage einzurichten, die zeitbasierte Ansagen unterstützt (also der Klassiker - "leider rufen Sie außerhalb unserer Geschäftszeiten an ..."). Der Lancom VCM kann das meines Wissens nicht, daher hatte mein Bekannter mir zur Grandstream geraten. Vielen Dank für den Hinweis mit dem IMS - so tief war ich da gar nicht eingestiegen, ich hoffe die VSE NET bleibt erst mal länger bei dieser Konfiguration.