.titleBar { margin-bottom: 5px!important; }

Netgear FVX538 -> Fritz!Box 7170 & Internetcalls -> Kein Audio

Dieses Thema im Forum "Firewalls" wurde erstellt von Diggaz, 29 Okt. 2006.

  1. Diggaz

    Diggaz Neuer User

    Registriert seit:
    31 Mai 2006
    Beiträge:
    131
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    #1 Diggaz, 29 Okt. 2006
    Zuletzt bearbeitet: 29 Okt. 2006
    Hallo,

    ich versuche schon seit Tagen die Fritz!Box hinter dem FVX538 zu betreiben. Nach dem gestrigen Update auf die neueste Firmware-Version, v2.0, funktioniert das Meiste schon wunderbar. Ich kann mit dus.net telefonieren. Dagegen habe ich mit einem Betamax-Ableger, Internetcalls, Schwierigkeiten. Bei eingehenden Telefonaten klingelt das Telefon, nach dem Abnehmen höre ich nix, der Anrufer hört weiterhin das Anrufsignal. Bei abgehenden Telefonaten hören beide nix.

    Meine Einstellungen sehen folgendermaßen aus:
    VoIP1 UDP 5060 5069
    VoIP2 UDP 5000 5009
    VoIP3 UDP 7078 7097

    Diese Ports werden an die Fritz!Box weitergeleitet und sind auch nur ausgehend erlaubt. In den VoIP-Account-Konfigurationen der Fritz!Box habe ich nur den Registrar eingetragen. Die Option "Portweiterleitung des Internet-Routers für Internettelefonie aktiv halten" ist nicht angeklickt, ändert aber auch nix, wenn sie angeklickt wär.

    Wie bereits geschrieben, dus.net funktioniert. Es benutzt die oben angegebenen Ports, auch Internetcalls verwendet diese Ports (Ist ja nach dem, was ich bisher gelesen habe, Endgeräte abhängig). Dies habe ich u.a. durch Paketmitschnitte festgestellt.
    Wenn ich ausgehend alle Pakete erlaube, funktioniert es. Ich will aber die VoIP-Pakete priorisieren und auch eine gewisse Sicherheit haben.
    In einigen Threads stand auch, dass man die SIP ALGs abstellen soll. Nur ist dies (nach dem Firmware-Update) auf die beschriebene Weise nicht mehr möglich, vielleicht auch gar nicht mehr möglich und nötig (?).

    Ich finde es sehr merkwürdig, wieso mit dus.net keine Probleme gibt, mit Internetcalls aber schon.

    Habe ich etwas übersehen oder ist evtl. bei der Firewall/Router etwas nicht i.O.?

    Deswegen habe ich die Blockierungen loggen lassen. Jedes Mal wurde gesagt, dass die Ports 7078/79 geblockt werden. Bei mehreren Versuchen ein Workaround für diese Ports zu finden, kam neben dem bereits oben beschriebenen "Symptomen" bei eingehenden Anrufen auch die selben Symptome von ausgehenden Anrufen auch bei eingehenden Anrufen vor.

    Ich hoffe, Ihr könnte mir da helfen. Sonst müsste ich mich ja an Netgear wenden...

    Viele Grüße,
    Diggaz
     
  2. gandalf94305

    gandalf94305 Guest

    Hallo und guten Morgen :)

    Ich verwende nach dem Firmware-Upgrade auf 2.0.0 nur noch eine Potrweiterleitung für 5060/udp für meine FBF 5050 und internetcalls.com funktioniert eingehend und ausgehend ohne Probleme. Nun muss ich zugeben, daß ich eingehend Audio noch nicht getestet habe... nur ob es klingelt (SIP). Das werde ich später, wenn es hell ist, mal tun :)

    Sollten 7078-7087/udp weiterzuleiten sein (war mit 1.6.50 erforderlich), dann dürfte das das Problem beheben.

    Rätselhaft ist mir, warum abgehend bei Dir kein Ton kommt. Was ist denn noch auf dem Router konfiguiert?

    --gandalf.
     
  3. Diggaz

    Diggaz Neuer User

    Registriert seit:
    31 Mai 2006
    Beiträge:
    131
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Was willst Du denn genau wissen?

    Services:
    Code:
    VoIP1-UDP	UDP	5060	5069
    VoIP3-UDP	UDP	7078	7097
    COD2		UDP	28960	28960
    VNC-TCP		TCP	5900	5905
    VNC-UDP		UDP	5900	5905
    IM1-TCP		TCP	6891	6901
    IM1-UDP		UDP	6891	6901
    IM2-TCP		TCP	1863	1863
    IM2-UDP		UDP	1863	1863
    IM3-TCP		TCP	5050	5050
    IM3-UDP		UDP	5050	5050
    IM4-TCP		TCP	51258	51258
    IM4-UDP		UDP	51258	51258
    IM5-TCP		TCP	1201	1201
    IM5-UDP		UDP	1201	1201
    POP3-2		TCP	995	995
    IMAP4		TCP	993	993
    All-Ports-TCP	TCP	1 	65535
    All-Ports-UDP	UDP	1	65535
    Ports-1-7077-TC	TCP	1	7077
    Ports-1-7077-UD	UDP	1	7077
    Ports-7088--TCP	TCP	7088	65535
    Ports-7088--UDP	UDP	7088	65535
    Outbound Services:
    Code:
    default: Block Always
    Service Name 	Filter 		LAN Users 	WAN Users 	Priority 	Log
    VoIP1-UDP 	Allow Always	VoIP 		ANY 	Minimize-Delay 		Never
    VoIP3-UDP 	Allow Always	VoIP 		ANY 	Minimize-Delay 		Never
    PING 		Allow Always	Rechner		ANY 	Minimize-Delay 		Never
    COD2 		Allow Always	Rechner		ANY 	Maximize-Throughput 	Never
    VNC-TCP 	Allow Always	Rechner		ANY 	Maximize-Reliability 	Never
    VNC-UDP 	Allow Always	Rechner		ANY 	Maximize-Reliability 	Never
    DNS:TCP 	Allow Always	ANY 		ANY 	Maximize-Reliability 		ever
    DNS:UDP 	Allow Always	ANY 		ANY 	Maximize-Reliability 		ever
    IM1-TCP 	Allow Always	Rechner		ANY 	Minimize-Cost 		Never
    IM1-UDP 	Allow Always	Rechner		ANY 	Minimize-Cost 		Never
    IM2-TCP 	Allow Always	Rechner		ANY 	Minimize-Cost 		Never
    IM2-UDP 	Allow Always	Rechner		ANY 	Minimize-Cost 		Never
    IM3-TCP 	Allow Always	Rechner		ANY 	Minimize-Cost 		Never
    IM3-UDP 	Allow Always	Rechner		ANY 	Minimize-Cost 		Never
    IM4-TCP 	Allow Always	Rechner		ANY 	Minimize-Cost 		Never
    IM4-UDP 	Allow Always	Rechner		ANY 	Minimize-Cost 		Never
    IM5-TCP 	Allow Always	Rechner		ANY 	Minimize-Cost 		Never
    IM5-UDP 	Allow Always	Rechner		ANY 	Minimize-Cost 		Never
    HTTP 		Allow Always	Rechner		ANY 	Minimize-Cost 		Never
    HTTPS 		Allow Always	Rechner		ANY 	Minimize-Cost 		Never
    FTP 		Allow Always	Rechner		ANY 	Minimize-Cost 		Never
    POP3 		Allow Always	Rechner		ANY 	Minimize-Cost 		Never
    POP3-2 		Allow Always	Rechner		ANY 	Minimize-Cost 		Never
    IMAP2 		Allow Always	Rechner		ANY 	Minimize-Cost 		Never
    IMAP3 		Allow Always	Rechner		ANY 	Minimize-Cost 		Never
    IMAP4 		Allow Always	Rechner		ANY 	Minimize-Cost 		Never
    SMTP 		Allow Always	Rechner		ANY 	Minimize-Cost 		Never
    Inbound Services:
    Code:
    Service Name	Filter		LAN Server IP Address	LAN Users	WAN Users	Destination	Log
    VoIP1-UDP 	Allow Always 	192.168.1.2 				ANY 		WAN1 		Never
    VoIP3-UDP 	Allow Always 	192.168.1.2 				ANY 		WAN1 		Never
    Wie Du siehst, sind die benannten Ports (außer 5000- 5009/UDP, hab ich rausgenommen) alle freigeschaltet. Testweise habe ich die 7078 - 7097/UDP sowohl In- als auch Outbound rausgenommen. Es kommt kein Ton, auch bei Dus.net nicht.
    Irgendwie scheint die Regel VoIP3-UDP (7078-7087/UDP) nicht auf die Anrufe an/von Internetcalls zu greifen. Wenn ich testweise nach der 7078-7087/UDP-Regel für ausgehende Ports eine blockende Regel von 1 bis 65535 einfüge und diese Loggen lasse, stehen bei Anruf und Annahme auf die Internetcalls-Nr. Log-Einträge, dass die Pakete auf 7078 und 7079 verworfen wurden. Bei Anrufen auf dus.net-Nr. aber nicht. Beide benutzen ja die selben Ports. Zu Erwähnen ist auch, dass die ersten zwei Pakete bei Anrufen auf dus.net aber auch verworfen werden. Erklärt dies, dass manchmal die ersten paar Worte nicht zu hören sind?
    Woran kann das alles liegen?

    Ich habe noch ein paar Fragen:
    Die ersten beiden beziehen sich auf die neueste Firmware:
    - Wieso gibt es keine Priorität mehr auf eingehende Verbindungen? Weiß das jemand?
    - Warum gibt es in Inbound Services "LAN Users"? Diese ist unter keiner von mir getesteten Konstellation überhaupt anwählbar. Zudem ist es meiner Meinung nach unsinnig.

    Zwei Fragen beziehen sich auf die Netgear-Fritz!Box-Konstellation:
    - Ich habe gestern testweise die Verbindung zum Internet getrennt. Die Fritz!Box hat dies nicht realisiert. Erst nach Deaktivieren und Reaktivieren wurden die VoIP-Accounts wieder registriert. Wird es diese Probleme auch bei Zwandgstrennung geben? Oder war das nur ein zufälliger Effekt?
    - Wenn ich die Internet-Verbindung im Netgear manuell trenne und anschließend wieder verbinden lasse, verbindet er sich manchmal nicht. Erst nach mehrmaligem trennen und verbinden drücken, verbindet er sich. Bin ich zu ungeduldig oder ist das vermutlich ein Fehler?
    Ich stelle diese Frage, weil ich die schon mit der vorigen Firmware-Version hatte und ich den Router aus einer ebay-Auktion als "erneuerte" Ware gekauft habe. Ich bin mir dann nämlich nicht sicher, ob ich sie heil erhalten hab.

    Die letzte Frage ist so ziemlich OT:
    Ich habe dazu leider nichts gefunden. Wenn ich die VoIP-Account-Einstellungen in der Fritz!Box vornehme und die Ort- und Länderkennzahlen einstelle, sind diese nach einem Neustart wieder weg bzw. kaputt. Woran liegt das? Oder ist das ein Bug von der Box?

    Vielen Dank erstmal für Deine Antwort gandalf94305 und für die kommenden auch.

    Gruß,
    Diggaz
     
  4. Diggaz

    Diggaz Neuer User

    Registriert seit:
    31 Mai 2006
    Beiträge:
    131
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Neue Erkenntnis:
    Ich habe im Internetcalls-Account den STUN-Server eingetragen und ausgehend 3478-3479/UDP freigegeben. Ich kann somit raustelefonieren. Rein geht immer noch nicht. Dies ist mir auch fast egal, andererseits...möchte ich schon zurückgerufen werden können, wenn jemand "zufällig" diese Nummer wählt. Ich hoffe, ihr könnt mir da helfen.
    Solange helfe ich mir selbst aus, indem alle ausgehenden Pakete von der Fritz!Box akzeptiert werden. Ist ja auch egal, da ich auf der Box nur VoIP-Funktionen in Anspruch nehme, keinerlei Routing-Funktionen stattfinden und keinerlei anderer Datenverkehr dort stattfindet.

    Die anderen Fragen aus dem vorigen Posting würde ich trotzdem gern beantwortet bekommen.

    Gute Nacht allerseits,
    Diggaz
     
  5. gandalf94305

    gandalf94305 Guest

    Oops, STUN-Server darf keiner benutzt werden, da der Netgear FVX538 symmetrisches NAT macht. Mit STUN geht es nicht.

    Trage nur Registrar sip.internetcalls.com für internetcalls.com ein. Bei mir funktioniert das so. Proxy und STUN-Server bleiben offen.

    Weiterhin habe ich SIP/UDP und SIP/TCP definiert. Du hast nur SIP/UDP.

    Schau Dir auch mal das Log der FBF an, ob dort Fehler stehen (insbes. DNS-Fehler).

    Auch eingehende Rufe funktionieren bei mir übrigens auf der internetcalls.com 032-Rufnummer...

    Zu den Fragen:
    Das ist wohl eine radikal andere Firmware nun, die nur QoS, jedoch keine Priorisierungen mehr erlaubt. QoS ist für die nachfolgenden Router relevant. Zuvor konnte man in der alten Firmware ja echt Traffic priorisieren.
    Es hilft manchmal, in die Hilfe zu schauen ;-)
    Es macht in der Tat bei Inbound Rules Sinn, einzelne LAN-Clients zu unterscheiden, da im Routing-Modus nämlich Port-Mapping nicht mandatorisch für die Erreichbarkeit ist.
    Wie sollte die FBF das mitbekommen? Im Normalfall nicht - erst bei der Neuregistrierung ggf. eine Stunde später.
    Ich würde sagen, zu ungeduldig ;-) Aber ich betreibe den Router hier am Kabelanschluss und da habe ich keine Zwangstrennungen und sonstigen DSL-Verluste ;-)
    Diese Einstellungen sollten persistent bleiben. Irgendetwas Spezielles habe ich hier nicht eingestellt. Ggf. hilft Reset auf Werkseinstellungen und Neueingabe aller Daten.

    --gandalf.
     
  6. Diggaz

    Diggaz Neuer User

    Registriert seit:
    31 Mai 2006
    Beiträge:
    131
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Kannst Du mir das mit dem symmetrischen NAT evtl. erklären oder verstehe ich das richtig, was das ist? Eingehender Port wäre dann ausgehender Port, richtig?

    Diese Konstellation habe ich auch schon probiert. SIP/TCP hatte ich auch schon mal sowohl eingehend als auch ausgehend freigegeben. Den Stun-Server hatte ich zuletzt eingerichtet. Deine Einstellungen habe ich gerade noch einmal versucht (war übrigens auch meine ersten Einstellungen). Ändert sich nichts. Keine eingehenden und ausgehenden Gespräche möglich. Die Telefone klingeln, aber kein Ton.

    Hast Du auch den ausgehenden Traffic per default gesperrt? Wenn ich das ändere, habe ich keine Probleme.
     
  7. Diggaz

    Diggaz Neuer User

    Registriert seit:
    31 Mai 2006
    Beiträge:
    131
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Habe ich schon oft gemacht, jedes Mal die selben Symptome. Werde dies aber bei Gelegenheit nochmals tun, um sicher zu gehen...
     
  8. gandalf94305

    gandalf94305 Guest

    Siehe hier: http://sarwiki.informatik.hu-berlin.de/NAT_Traversal

    :blonk: Ok, das kleine Detail hätte ich erkennen müssen... steht ja auch groß drüber ;-) Das kann so natürlich nicht funktionieren, da bei Outbound Services natürlich der Remote Port angegeben wird... und der hängt von der Gegenstelle ab. Dein Local Port (nach dem Du nicht filtern kannst) ist das, was in VoIP3-UDP steht... der Remote Port ist ein ganz anderer. Damit greift diese Regel nicht - der Traffic wird geblockt.

    Vielleicht solltest Du dann mit Port Triggern arbeiten...

    --gandalf.
     
  9. Diggaz

    Diggaz Neuer User

    Registriert seit:
    31 Mai 2006
    Beiträge:
    131
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Wenn ich das mit dem Triggern richtig verstanden habe, muss ich nur noch wissen, welche Ports Internetcalls alle verwendet. So wie ich das bisweilen von den Loggs in Erinnerung habe, sind es eine ganze Menge...

    Weißt Du die zufällig? Ich nehme mal an, ich müsste sie mir "erarbeiten"...

    Viele Grüße,
    Diggaz
     
  10. gandalf94305

    gandalf94305 Guest

    :-Ö Das war meine Befürchtung ;-)

    --gandalf.
     
  11. gandalf94305

    gandalf94305 Guest

    Nachtrag: die Performance des Routers mit der neuen Firmware ist deutlich schlechter. Wenn ich Bittorrent verwende, bekomme ich nach kurzer Zeit des Einschwingens zum Router keine Verbindung und HTTP-Verbindungen durch den Router ins Internet sind auch sehr langsam. Das war vorher nicht so, da wahrscheinlich die Priorisierung einerseits zum Tragen kam, andererseits jedoch auch der Router wesentlich leistungsfähiger war (Durchsatz).

    Sorry, ich gehe auf 1.6.50 zurück.

    --gandalf.
     
  12. Diggaz

    Diggaz Neuer User

    Registriert seit:
    31 Mai 2006
    Beiträge:
    131
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Hmmm. Ich kann das leider nicht so sehr beantworten, weil ich den Router nicht so lange habe, erst seit vergangenen Mittwoch. Ich hatte mit der vorigen Version ziemliche Probleme, VoIP zum Laufen zu bringen. Mit der neuen ging es beinahe auf Anhieb (bis auf die kleinen Probleme). Ich empfinde keine Verschlechterung des Datendurchsatzes. Ich kann immer noch mit knapp 1,5 MByte/s runterladen. In den nächsten Wochen erhalte ich eine 100 MBit-Leitung. Da werde ich mal berichten, wie es mit dem Datendurchsatz so ist.

    Kannst Du bitte in diesen Thread mal gucken und berichten, ob es bei Dir auch so ist?

    Es passt zwar nicht mehr so sehr in diesen Thread, wobei es geht schon u.a. um die Firewall-Einstellung des Netgears. Ich habe einen Nokia E70. Über den ich per WLAN (über dus.net) VoIPen kann. Wenn ich den Port 5060 auf das Handy weiterleit, gibt es keinerlei Probleme. Aber wenn ich die Fritz!Box nutzen will, kann/darf ich diesen Port ja auf dem Handy nicht benutzen. Nun hab ich im Handy den Port 5066 festgelegt, sowohl in den Proxy- als auch in den Anmelde-Einstellungen. Port-Weiterleitungen usw. habe ich auch eingerichtet. Warum klappt das nicht? Ich denke mir, dass dus.net keine Anmeldungen über diesen Port akzeptiert, richtig?
     
  13. gandalf94305

    gandalf94305 Guest

    Das Problem scheint weniger die Performance generell zu sein, sondern eher die Anzahl von Verbindungen bzw. Verbindungsversuchen. Ich habe perfekte Performance (Bandbreite und Latenz) ohne Azureus... der Arcor Speedcheck liefert mit Werte um die 4000/400 kbit/s, was meiner gebuchten Leistung entspricht.

    Starte ich Azureus auch nur mit ein paar Downloads, so bricht innerhalb von weniger als 30 Sekunden die Performance ein.
    - HTTP-Aufrufe (per Browser, jedoch auch per telnet direkt auf Port 80) laufen in Timeouts
    - HTTP-Verbindungen brechen ab
    - FTP-Verbindungen laufen in Timeouts
    - DNS-Antworten kommen mit Fehlern zurück
    - Mein VPN-Tunnel in die Firma bricht zusammen
    - Selbst das GUI des Routers selbst ist nicht mehr zuverlässig zu erreichen (Timeout, Broken Images, Abbruch beim Seitenaufbau)

    Stoppe ich Azureus, ist alles wieder innerhalb von Sekunden perfekt.

    Ich gehe daher davon aus, daß es sich um ein Problem der Behandlung vieler paralleler Verbindungen handelt. Das erfolgte unter 1.6.50 und 1.6.49 sehr performant und robust. Damit hatte ich nie Probleme.

    Ein Support-Ticket an Netgear ist unterwegs... allerdings habe ich da keine so große Hoffnung, denn die Lösung mit SIP hinter dem Router musste ich selbst finden. Von Netgear kam damals kein einziger sinnvoller Vorschlag. Na ja, wenn es nicht klappt, dann werde ich mir nächstes Jahr eben einen Lancom-Router zulegen ;-)

    --gandalf.