[Problem] LAN/WAN Telefongerät an Fritzbox per DNS statt IP

Olaf Ligor

Mitglied
Mitglied seit
21 Mai 2019
Beiträge
569
Punkte für Reaktionen
76
Punkte
28
Wenn die Fritzbox nur IP-Client ist, kann doch auch "Anmeldung aus dem Internet erlauben" nicht greifen.
Prinzipiell ist mit dem Wegfall der Routerfunktion auch die Fritzbox komplett "aus dem Schneider" und wenn es intern funktioniert, musst du jetzt nur noch das "Anmeldung aus dem Internet erlauben" per USG nachbauen und fertich.
 

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
2,244
Punkte für Reaktionen
194
Punkte
63
Wie Olaf schrieb, weil Deine FRITZ!Box im Modus IP-Client ist, ist der Haken unter „Anmeldedaten → Anmeldung aus dem Internet erlauben“ egal.
alternativ an einem anderen sip-server
Das würde ich erstmal lassen. VoIP/SIP ist dermaßen komplex, dass man von einem Produkt bzw. Dienst so gut wie nie auf einen anderen schließen kann. Dabei kann man sich mehr selbst verwirren, als das es hilft.

Sehe gerade, dass Du als DNS-A nicht Deine öffentliche IP sondern eine private IP hinterlegt hast. Upps. Dann hilft STUN mal überhaupt nicht. Problem dürfte FRITZ!OS sein. Dein SIP-Client „Telephone“ schreibt den DNS-Namen trotz Auflösung in die SIP-Nachrichten. Aber die FRITZ!Box kennt diesen DNS-Namen nicht. Sie selbst ist zu faul, den aufzulösen. Nur so könnte die Box merken, dass sie unter diesem DNS-Namen erreichbar ist. Puh. Das müsste ich mal nachbauen, ob dann FRITZ!OS aus dem Tritt kommt.

Egal, lass uns schauen, was Wireshark sagt.

Aus reiner Neugierde:
  1. Warum überhaupt ein UniFi Security Gateway?
  2. Warum ein eigener DNS-Server?
 

nicx

Neuer User
Mitglied seit
22 Dez 2006
Beiträge
72
Punkte für Reaktionen
2
Punkte
8
Ich habe eben mal versucht über Wireshark herauszufinden wo es haken könnte. Interessant ist:
  • Bei Nutzung der IP Adresse als SIP Server kommt auf den Request auch eine Antwort von der Fritz!Box. Lustigerweise immer zuerst einmal ein "Unauthorized" und im zweiten Versuch ein "Status; 200 OK".
  • Bei Nutzung des DNS Namens als SIP Server kommt auf den Request überhaupt keine Antwort.
Bildschirmfoto 2021-01-14 um 16.05.03.png
[Edit Novize: Riesenbild gemäß der Forumsregeln auf Vorschau verkleinert]

Im Screenshot sind die ersten 4 Einträge der IP-Versuch, die letzten 3 Einträge der DNS-Versuch.

Irgendwelche Ideen wo ich ansetzen könnte?
 
Zuletzt bearbeitet von einem Moderator:

eisbaerin

IPPF-Urgestein
Mitglied seit
29 Sep 2009
Beiträge
10,394
Punkte für Reaktionen
786
Punkte
113

nicx

Neuer User
Mitglied seit
22 Dez 2006
Beiträge
72
Punkte für Reaktionen
2
Punkte
8
Aus reiner Neugierde:
  1. Warum überhaupt ein UniFi Security Gateway?
  2. Warum ein eigener DNS-Server?
1. weil ich komplett Unifi Produkte nutze und ich die Administration über den Controller (bei mir als Docker Variante) klasse finde
2. weil ich Pi-Hole als DNS Server einsetze um Werbung für alle Clients zentral rauszufiltern
 

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
2,244
Punkte für Reaktionen
194
Punkte
63
Lustigerweise immer zuerst einmal ein "Unauthorized"
401 ist normal solange nicht zwei 401 aufeinander folgen. Das nennt sich Digest-Authentication und wurde direkt bei HTTP geklaut, daher … also 401 und dann 200 sind genau richtig (RFC 3665 Kapitel 2.1).
Irgendwelche Ideen, wo ich ansetzen könnte?
Sieht so aus, als würde die FRITZ!Box das REGISTER verwerfen. Die FRITZ!Box müsste wissen, dass der DNS-Name ihr gehört. Oder Dir gelingt es den VoIP/SIP-Client so umzustricken, in SIP kein DNS sondern nur IP-Adressen einzutragen.

Hilft FRITZ!Box Web-Oberfläche → Heimnetz → FRITZ!Box-Name?​

Puh, selbst habe ich das noch nie probiert. Vielleicht kommt noch ein FRITZ!OS-Krack vorbei, der weiß, wie man den DNS-Namen der FRITZ!Box ändert. Ansonsten wäre meine Tipps:
a) die USG rauswerfen und stattdessen als Internet-Router die FRITZ!Box nehmen. Oder​
b) statt der FRITZ!Box einen eigenen VoIP/SIP-Server aufsetzen, ala SignalWire FreeSWITCH, Sangoma FreePBX oder Digium Asterisk …
 
  • Like
Reaktionen: KunterBunter

nicx

Neuer User
Mitglied seit
22 Dez 2006
Beiträge
72
Punkte für Reaktionen
2
Punkte
8
Den Einfall mit dem Fritzbox-Namen hatte ich schon vor einigen Tests... das hat aber leider auch nicht geholfen.

Die USG schmeisse ich keinesfalls raus, die ist für mich alternativlos. :)

Also bleibt mir wohl nur der Einsatz eines alternativen SIP-Servers, da versuche ich mich mal dran.

Wäre Alternativ auch Freetz möglich um doch den Hostnamen der FB anzupassen? Die Fritzbox Standartfunktionalität reicht mir ansonsten ja eigentlich allemal aus und Freetz hatte ich vor Jahren schon im Einsatz... oder sind es inzwischen doch schon Jahrzehnte? :D

EDIT: noch eine Idee: Ich könnte Asterisk ja auch nur für die problematischen SIP-Phones sozusagen als Proxy für die Fritzbox nutzen, und die Fritzbox als zentrale Telefonanlage (inkl. der ganzen Dect-Geräte und Fax) einfach lassen wie sie ist. Kann Asterisk auch einfach als "Pseudo-Proxy-SIP-Client" an der Fritzbox fungieren?
 
Zuletzt bearbeitet:

Olaf Ligor

Mitglied
Mitglied seit
21 Mai 2019
Beiträge
569
Punkte für Reaktionen
76
Punkte
28
Und jetzt nochmal das Thema VPN, oder soll das nicht oder geht das wegen USG auch nicht.
 

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
2,244
Punkte für Reaktionen
194
Punkte
63
Kann Asterisk auch einfach als "Pseudo-Proxy-SIP-Client" an der Fritzbox fungieren?
Ja.
Allerdings solltest Du die Audio-Codecs einschränken, damit so wenig wie möglich transcodiert wird. Sonst erhöhst Du die Latenz und damit das Risiko eines Echos.

-- Zusammenführung Doppelpost gemäß Boardregeln by stoney

Den Einfall mit dem Fritzbox-Namen hatte ich schon vor einigen Tests... das hat aber leider auch nicht geholfen.
Ganz wilde Idee, die ich auch noch nicht überprüft habe: Wenn Du die FRITZ!Box nicht im Modus IP-Client sondern als Router nutzt, hast Du die Möglichkeit unter „fritz.box → Freigaben → DynDNS“ einen Domain-Namen zu hinterlegen. In welchem Modus Du die FRITZ!Box nutzt, ist in Deinem Aufbau ja egal. Aber soweit ich das sehe, reagiert der SIP-Registrar in FRITZ!OS auf diesen Domain-Namen. Die FRITZ!Box dürfte dann allerdings eine private Adresse in DNS schreiben – müsste man testen, ob der DynDNS-Client überhaupt geht. Du müsstest also einen Pseudo-DynDNS-Dienst finden bzw. einen solchen auf Deinem anderen Raspberry Pi aufsetzen.
 
Zuletzt bearbeitet von einem Moderator:

nicx

Neuer User
Mitglied seit
22 Dez 2006
Beiträge
72
Punkte für Reaktionen
2
Punkte
8
Und jetzt nochmal das Thema VPN, oder soll das nicht oder geht das wegen USG auch nicht.
Ich möchte die Abhängigkeit zu VPN nicht haben, da ich ansonsten je nach eingesetztem Mobilgerät irgendwie dafür sorgen muss das VPN automatisch immer aktiv ist. Das ist mir zu fehleranfällig.
Ich bin grundsätzlich Fan von "Cloud-Lösungen" die auch ohne VPN funktionieren, immer vorausgesetzt das die Sicherheit des jeweiligen Services trotzdem gewährleistet wird (verschlüsselt, Berechtigungskonzept, User/PW abgesichert, im best case 2FA, etc.).
 

dg2drf

Mitglied
Mitglied seit
1 Mai 2018
Beiträge
227
Punkte für Reaktionen
13
Punkte
18
@nicx: Bescheide frage (hoffe das ich nichts überlesen habe), das Telefon hat auch deinen DNS Server eingetragen ? Wenn nicht, kann der Name natürlich nicht aufgelöst werden.
 

dg2drf

Mitglied
Mitglied seit
1 Mai 2018
Beiträge
227
Punkte für Reaktionen
13
Punkte
18
@KunterBunter : Und wie soll dann das Telefon den Namen auflösen, wenn er über DNS Namen die Verbindung herstellen will ? Das kann nur funktionieren, wenn das Telefon weiss, welchen DNS Server es zur Namensauflösung verwenden soll. Dazu braucht man kein Wireshark......
 

KunterBunter

IPPF-Urgestein
Mitglied seit
12 Okt 2005
Beiträge
25,714
Punkte für Reaktionen
479
Punkte
83
Da hast du Recht. :) Wenn das Telefon das nicht weiss, braucht man kein Wireshark. Aber vielleicht ein anderes Telefon, dem man sagen kann, welchen DNS Server es zur Namensauflösung verwenden soll.
 
  • Like
Reaktionen: dg2drf

nicx

Neuer User
Mitglied seit
22 Dez 2006
Beiträge
72
Punkte für Reaktionen
2
Punkte
8
Hm eure Diskussion verstehe ich nun nicht wirklich... nutzt der SIP-Client nicht einfach den Netzwerk-Stack des Gerätes auf dem der SIP-Client läuft? Also "Telephone" läuft auf dem Mac und nutzt dessen Netzwerkeinstellungen inkl. DNS-Server. Der SIP-Client "vFone" hingegen läuft auf dem iOS Device und nutzt dessen Netzwerkeinstellungen. Wieso sollte da das Softphone eine spezifische DNS Server Konfiguration benötigen?!
 
  • Like
Reaktionen: KunterBunter

dg2drf

Mitglied
Mitglied seit
1 Mai 2018
Beiträge
227
Punkte für Reaktionen
13
Punkte
18
@nicx : Sorry, die MAC benehmen sich in einigen Sachen merkwürdig. Beispiel: Auf der Arbeit hat ein Mitarbeiter sich Notizen in einer PDF Datei gemacht(auf einen MAC). Zuhause wollte er auf einen PC weitermachen, hat sich die PDF mit nach Hause genommen. Auf dem PC war nicht ein einziger von den gemachten Kommentaren.... Ist nur ein Beispiel von einigen.
Wenn dein Mac den Namen auflösen kann, und dein Software Client nicht, so darf/oder kann dein Software Client nicht auf die DNS Einstellungen deines MAC zugreifen. Ich wette , mit einem Softphone unter Win hat man nicht solche Probleme.

PS: Vielleicht hat ja der Programmierer deines Softphones es gar nicht vorgesehen, das es über DNS Namen laufen kann.
 

Olaf Ligor

Mitglied
Mitglied seit
21 Mai 2019
Beiträge
569
Punkte für Reaktionen
76
Punkte
28
Vielleicht hilft hier Split DNS "für Arme", also einfach im DNS-Server des USG die lokale Fritzbox-IP unter fritzbox.domain.de eintragen.
 

nicx

Neuer User
Mitglied seit
22 Dez 2006
Beiträge
72
Punkte für Reaktionen
2
Punkte
8
Vielleicht hilft hier Split DNS "für Arme", also einfach im DNS-Server des USG die lokale Fritzbox-IP unter fritzbox.domain.de eintragen.
das war mein allererster versuch :D und leider auch ohne erfolg.

-- Zusammenführung Doppelpost gemäß Boardregeln by stoney

Ganz wilde Idee, die ich auch noch nicht überprüft habe: Wenn Du die FRITZ!Box nicht im Modus IP-Client sondern als Router nutzt, hast Du die Möglichkeit unter „fritz.box → Freigaben → DynDNS“ einen Domain-Namen zu hinterlegen. In welchem Modus Du die FRITZ!Box nutzt, ist in Deinem Aufbau ja egal. Aber soweit ich das sehe, reagiert der SIP-Registrar in FRITZ!OS auf diesen Domain-Namen. Die FRITZ!Box dürfte dann allerdings eine private Adresse in DNS schreiben – müsste man testen, ob der DynDNS-Client überhaupt geht. Du müsstest also einen Pseudo-DynDNS-Dienst finden bzw. einen solchen auf Deinem anderen Raspberry Pi aufsetzen.
@sonyKatze das ist wirklich wild, aber eine sehr coole Idee die ich gleich mal ausprobiert habe: die dyndns Einstellung scheint auch wirklich zu greifen (selbst mit fiktiven werten, lediglich die domain ist hier wichtig), d.h. wenn ich dort "fritzbox.domain.de" eintrage dann funktioniert innerhalb meines Netzwerkes der Zugriff per DNS-Namen aus dem Siphone-Client heraus. Damit verwirft also zumindest die FB keine SIP-Pakete mehr.

Sobald der Client ausserhalb des lokalen Netzwerkes ist funktioniert es aber leider trotzdem nicht.

Hier muss ich noch ein wenig testen, da sich die recht FB seltsam verhält, egal ob ich das WAN-Interface (LAN1) der FB oder das LAN-Interface (LAN2) der FB auf mein "normales internes LAN" patche und konfiguriere. Ich glaube die FB versucht bei Nutzung des DNS Namens immer irgendwie zu Routen, was sie ja in meinem Fall gar nicht bräuchte. Zudem braucht die FB je nach Patchung dann ein zweites Netzwerk für z.b. den Internetverbindung für die SIP-Rufnummern, die werden beim Routermodus grundsätzlich übers WAN aufgebaut.

Ein bisschen habe ich auch noch eine Knoten im Kopf wie sinnvollerweise der Netzwerkaufbau aussähe der überhaupt "richtig" funktionieren könnte:

Die SIP-Clients sollen im INET und im Unifi-LAN funktionieren.

Option1:
INET --- USG --- Unifi-LAN
INET --- FB --- Unifi-LAN
(Die FB hängt mit dem WAN-Interface im Internet und auf LAN Seite direkt im Unifi-LAN)

Option2:
INET --- USG --- Unifi-LAN --- FB --- LAN2
(Die FB hängt mit dem WAN-Interface im LAN und besitzt ein nicht benutztes LAN2)

Option3:
INET --- USG --- Unifi-GästeLAN --- FB --- Unifi-LAN
(Die FB hängt mit dem WAN-Interface im Unifi-Gäste-LAN mit Internetzugang und auf LAN Seite direkt im Unifi-LAN)

Ich hoffe das ist verständlich :)
 
Zuletzt bearbeitet von einem Moderator:

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
2,244
Punkte für Reaktionen
194
Punkte
63
Du musst Dir vorstellen, dass die FRITZ!Box immer entfernt ist. Wenn Du lokal in Deinem Heimnetz bist, dann sollte die IP-Adresse ebenfalls global auflösen. Also bitte keine privaten IP-Adressen. Das schlägt dann bei Deiner Firewall auf. Die leitet das dann (Exposed-Host oder Port-Forwarding) an Deine FRITZ!Box weiter. Du bist folglich aus Sicht der FRITZ!Box immer von unterwegs aktiv. Das ist die logische Ebene. Physikalisch hängt die FRITZ!Box hinter Deinem UniFi-LAN, also Option2.

Problem bei diesem Aufbau:
Dein SIP-Client muss öffentliche IP-Adressen (und den öffentlichen Port?) in SIP und SDP schreiben, denn eine FRITZ!Box leitet nicht um. Dafür brauchst Du dann (doch) z.B. STUN. Wenn in SIP oder SDP private IP-Adressen auftauchen (SIP Contact oder SDP Connection-Data-Address), ist was im SIP-Client nicht richtig eingestellt.