[Erledigt] Panasonic KX-TGP600 hinter Router mit VOIP in Betrieb nehmen

[MagelanM]

Hallo,

ich habe Probleme das IP-Telefon Panasonic KX-TGP600 hinter einem ASUS-Router mit Telefonfunktion in Betrieb zu nehmen.
(Ich plane perspektivisch den jetzigen Router abzulösen und wollte ein IP-Telefonlösung unabhängig vom Router.)
IP-Telefon kann sich beim Provider registrieren, beim Abheben hört man Freizeichen. Nach dem Wählen kommen als Hörtöne 6 kurze Töne in Folge.
In den Logdateien wird leider nichts protokolliert.
Das die Hörtöne einen Fehler signalisieren ist eindeutig, die konkrete Ursache lässt sich aus Administratorhandbuch und "Internetsuche" nicht ermitteln.

Hier die wichtigsten Daten:
- VOIP-Status: Registered
- Netzwerkstatus: Verbunden
- Anbieter: Telekom
- Router: ASUS DSL-AC87VG
- Portforwarding im Router ist eingerichtet:
- alternativer Portrange für SIP (5061, 5063)
- RTP: 20001:30000
- die alternativen Portbereiche sind in der Konfiguration hinterlegt, so dass die beim Anmelden mitgeteilt werden können

Der Fehler ist evtl. eine Kleinigkeit, aber ich habe momentan keinen Ansatz, weil ich keine Fehlerinformation aus dem System herausbekomme.
Wer kann helfen? Welche Informationen fehlen in meiner Beschreibung?
Vielen Dank.

 

[KunterBunter]

Ich plane perspektivisch den jetzigen Router abzulösen und wollte ein IP-Telefonlösung unabhängig vom Router.

Hast du denn die Telefonfunktion im Router schon komplett deaktiviert?

 

[MagelanM]

Nein, die Telefonfunktion im ASUS-Router habe ich noch nicht deaktiviert. Ich hatte in den Einstellungen andere Ports für SIP und RTP gewählt und es ist eine andere Telefonnummer registriert.
(Bei meinem Anschluss kann ich mehrere Telefonnummern registrieren.)
Ich kann die Einstellungen zu den Rufnummer im ASUS-Router austragen, bin mir aber nicht sicher, ob diese dadurch deaktiviert werden.

-- Zusammenführung Doppelpost gemäß Boardregeln by stoney

Ich habe die registrierten Telefonnummern aus dem Router ausgetragen und den Router auch neu gestartet.
Das Fehlerbild verändert sich dadurch leider nicht.

 

[sonyKatze]

Nur in Ausnahmefällen musst Du die Telefon-Funktion im ersten Router ausschalten. Und Port-Forwarding solltest Du auch vermeiden bzw. erstmal ausschalten. Das sollte man nur dann verwenden, wenn man sich ganz sicher ist, dass es nicht anders geht – in Deutschland brauchst man das eigentlich nur bei 1&1 und selbst dann nicht immer …

Panasonic → Web-Interface → (Reiter) VoIP → SIP Settings:

• rPort: Yes
• UDP Port random: Yes

→ Line 1: DNS SRV lookup: Yes

Nachdem Du das Port-Forwarding im ASUS-Router ausgeschaltet hast,

1. kannst Du Dich mit obigen Änderungen noch immer registrieren: Mobilteil → Menü → System Settings → Status → Line → 1: Registered?
2. klingelt es jetzt wenigstens auf der anderen Seite?
3. Welche Firmware-Version hast Du auf dem TGP-600. Aktuell für die Basis ist 13.010.

Ich plane perspektivisch den jetzigen Router abzulösen und wollte ein IP-Telefonlösung unabhängig vom Router.

Aus reiner Neugierde: Warum Panasonic KX-TGP und nicht eine FRITZ!Box (im Modus IP-Client) oder eine Gigaset GO-Box 100?

 

[MagelanM]

Danke. Das ist schon mal sehr aufschlussreich, dass man Portforwarding nicht braucht und auch die Telefonfunktion nicht ausgeschaltet werden muss.

• Portforwarding im Router habe ich deaktiviert.
• Die SIP-Settings habe ich so wie empfohlen übernommen.
• Der VOIP-Status ist "Registered", so wie vorher auch.
• Die Firmware-Version ist 13.010 (hatte ich schon geupdated)
• STUN-Server hatte ich eingerichtet und habe jetzt auch mal einen anderen STUN-Server stun.gigaset.net anstatt den von telekom ausprobiert

Das Fehlerbild bleibt leider gleich.
Nach dem Wählen höre ich 6 kurze Hörtöne, bei der Gegenstelle klingelt es nicht.
Wirklich hinderlich ist, dass man keine Fehlerinformation z.B. im log aus dem Gerät bekommt. Die Bedeutung der 6 kurzen Töne konnte ich auch in den Anleitung (auch Admin) nicht finden.
Vielleicht habe ich irgendwo nur einen trivialen Einstellungsfehler gemacht.
Ich versuche am Wochenende nochmal alle Einstellungen zurückzusetzen und nur die genannten Einstellungen zu machen.

Zu der anderen Frage bzgl. der Hardware:
Ich hatte sehr lange Fritzboxen im Einsatz und finde sie sehr gut. Mit Abstand besser als Speedport und easyBox.
Früher hatte einige Funktion gefehlt, die ich benötigt hätte. Im freetz-Projekt hatte ich damals eine wirkliche Verbesserung gefunden. Inzwischen haben die aktuellen Firmwares wahrscheinlich das alles schon an Bord. (Ich wollte z.B. einen ordentlichen OpenVPN-Server auf dem Gerät)
Freetz hatte dann irgendwann angefangen keine stable-Version mehr zu veröffentlichen, dann wurde das für mich zu fehleranfällig. Dazu kamen technische Probleme bei den Fritz-Boxen, dass mir zweimal eine Box abgeraucht ist wegen eine Spannungsspitze o.ä..
Dann habe ich mich auf die Suche nach einer Alternative gemacht und wollte einen Router mit OpenSource-Firmware und den Features wie z.B. OpenVPN-Server und Telefonfunktion. Ich bin schließlich bei ASUS gelandet.
Mir mach das von der Hardware einen subjektiv einen besseren Eindruck. Was dort ein absoluter Nachteil ist, das die Firmware nicht sehr lange gepflegt wird bzw. dass man das vorher nicht weiß.
Das nächste Gerät wird wahrscheinlich was von TP-Link, jedenfalls ein Gerät wo OpenWRT, DD-WRT o.ä. installierbar wäre.

Das Panasonic-Gerät schien mir laut einem Test in der c't passend. Verschlüsselung, Weboberfläche für Administration und die vielfältigen Einstellungsmöglichkeiten hatten mich begeistert.
Hätte ich geahnt, das es so kompliziert wird, dann wäre die Entscheidung evtl. anders ausgefallen. Vielleicht bin ich auch zu experimentierfreudig.

Update:
Das Problem ist gelöst. Vielen Dank für eure Tipps.
Ich habe alle Einstellungen zurückgesetzt und nur die empfohlen Einstellungen von sonyKatze eingetragen.
z.B. keinen STUN-Server.
bei SIP-Settings war "TLS Port random" aktiviert und "UDP Port random" deaktiviert, habe ich so gelassen.
NAT Identity aktiviert
----
Nach weiteren Tests bin ich der Meinung es lag am STUN-Server / bzw. -Einstellung.

 

[sonyKatze]

Du hast Dein Problem zwar gelöst, aber wenn es (oder was Vergleichbares) wieder kommen sollte:

bei der Gegenstelle klingelt es nicht

Dann liegt ein Problem bereits auf der Signalisierungsebene (SIP) nahe. Das müsstest Du über System → Maintenance → SIP-Pakets mitschneiden können. Ansonsten einen Smart-Switch holen – die können Port-Mirroring. So könntest Du mittels Wireshark dann live Konfigurationsänderungen mitverfolgen. Wie analysieren dann gerne gemeinsam, was los ist.

… schließlich bei ASUS gelandet.

Mein Vorschlag war, die FRITZ!Box rein für die Telefonie, also als DECT-Basis zu nehmen.

Panasonic […] c't […] Verschlüsselung

Jenen Zeitschriften-Artikel kenne ich. Ich empfand ihn als zu kurz. Bei Telekom Deutschland kannst Du SDES-sRTP nur dann nutzen, wenn der VoIP/SIP-Client auch Media-Sec kann, siehe diesen Artikel … daher wäre eine FRITZ!Box mit FRITZ!OS 7.2x ideal für Dich, also z.B. eine FRITZ!Box 7430.

Weboberfläche für Administration

Die bei Panasonic noch nicht einmal über HTTPs abgesichert ist. Nicht falsch verstehen. Ich mag meine KX-TGP600 und ihre vielfältigen DECT-Mobilteile (seit kurzem auch eines mit Bluetooth) inklusive DECT-Tisch-Telefon. Aber Panasonic hat große Probleme in der Software. Ich zwiefele sehr, dass diese Basis mit irgendeinem jemals deutschen Anbieter getestet wurde bzw. laufend getestet wird. Mit AVM und Gigaset hast Du zwei Firmen, die wenigstens einmal versucht haben bei der Telekom Deutschland ein SIP-Konto zu nutzen. Daher mein Tipp mit der FRITZ!Box. An die kannst Du auch Telekom Speedphone und Gigaset HX anschließen. Sie ist getestet. Bietet Verschlüsselung. Und die 7430 bekommst Du über eBay quasi nachgeworfen. Deine Panasonic läuft jetzt. Aber wenn wieder ein Problem ist, überleg, ob Du sie nicht gegen eine FRITZ!Box 7430 mit Gigaset CL660HX austauschst.

 

[MagelanM]

Eine Ergänzung zur damaligen Lösung.
Das ich keinen STUN-Server brauchte war nur ein Punkt. Weiter hatte ich die Zeit, wann die Registratur bei VOIP erneuert wird (REGISTER Expires Timer) zu hoch eingestellt. Seit ich den für Telekom (siehe Telekom-Forum) empfohlenen Wert von 480 Sekunden verwendet, habe ich ein stabiles Verhalten.

Die Anmerkungen von sonyKatze bzgl. der Software kann ich verstehen und teile die auch. Da hätte ich mir mehr erwartet. AVM scheint da sehr viel besser zu sein. (Ich wollte und habe aber eine andere Lösung für den Router.)

 

[sonyKatze]

habe aber eine andere Lösung für den Router

Nur damit kein Missverständnis entstand: Du kannst bei Deinem 1. Router bleiben. Mein Tipp war, eine FRITZ!Box als IP-Client zu konfigurieren und diese dann für die Telefonie zu nehmen. Die FRITZ!Box kannst Du dann

(a) direkt als Single-Cell-DECT-Basis nutzen. Mit der Telekom Deutschland verbinden. Sogar verschlüsselt. Oder​

(b) Du buchst das Panasonic Basis als IP-Telefon in die FRITZ!Box ein (SIP-B2BUA).​

Dadurch verbindest Du Dein IP-Telefon nicht direkt mit dem IMS der Telekom Deutschland. Ein IMS ist nämlich nicht einfach. Selbst AVM, Bintec-Elmeg und Lancom haben damit schwer zu kämpfen, obwohl die Telekom Deutschland diesen drei Herstellern viel Testarbeit abnimmt. Solch eine FRITZ!Box bekommst Du schon für keine 10€ in eBay-Auktionen. So erhältst ein wenigstens halbwegs getesteten Aufbau für die Telefonie.

Weiter hatte ich die Zeit, wann die Registratur bei VOIP erneuert wird (REGISTER Expires Timer) zu hoch eingestellt. Seit ich den für Telekom (siehe Telekom-Forum) empfohlenen Wert von 480 Sekunden verwendet, habe ich ein stabiles Verhalten.

Diese Zeitspanne ergibt sich nicht durch die Telekom Deutschland – das wird dynamisch korrekt ausgehandelt – sondern durch Deine lokalen Firewalls, also die Firewall in Deinem Asus Router. Firewall schließen die Ports automatisch, wenn nichts auf dem Port geschieht, z.B. nach fünf Minuten. Deine Panasonic Basis versucht sich x Sekunden vor 480 Sekunden bei der Telekom anzumelden – und erhält damit den UDP-Port in der Firewall offen. Wie lange Dein Timeout genau ist, kannst Du ermitteln …

siehe Telekom-Forum

Wo genau? Zwar klappt es, aber die Zusammenhänge sind – wie geschildert – andere. Das würde ich dort gerne berichtigen.

bei SIP-Settings war "TLS Port random" aktiviert und "TLS Port random" deaktiviert, habe ich so gelassen.

KunterBunter meint, dass Du beides Mal „TLS“ geschrieben hast. Er will Dich auf einen Schreibfehler aufmerksam machen. Er hat Dein Panasonic nicht, sonst wüsste er, dass das selbst nach Deiner Beschreibung niemand falsch wird, weil es einmal UDP und einmal TLS ist und Du es sowieso so gelassen hast. Wenn Du oben Deinen Beitrag bearbeitest, einmal TLS durch UDP ersetzt, ist das gelöst. Dann kannst Du KunterBunters Beitrag als inzwischen überholt zur Löschung melden.

 

[MagelanM]

Danke für die Erläuterung, die bringt schon etwas Licht ins Dunkel. Ich finde die Unterstützung wirklich toll.
Die FRITZ!Box als IP-Client zu verwenden hatte ich verstanden. Ich hatte diese Option bisher nicht in Erwägung gezogen, weil ich es erstmal so hinbekommen wollte.

Bei den Einstellungen muss ich zugeben, das ich einiges experimentiert habe, weil mir die Grundlagen fehlen um die Fehlereingrenzung richtig zu machen.
Meine Beschreibung der aktuellen Konfiguration ist damit evtl. nicht vollständig / richtig.
Da müsste ich vermutlich erst einmal etwas zuarbeiten, falls jemand sich nochmal damit beschäftigt. (Ich hoffe ihr kriegt keine grauen Haare)
Momentan habe ich eine Konfiguration, die funktioniert und würde Schritt für Schritt versuchen das zu verbessern. Ich muss mir dafür wahrscheinlich etwas mehr Zeit nehmen und nochmal an die Grundlagen ran.

Den ASUS-Router habe ich 2021 ausrangiert.
Mein Aufbau ist jetzt: DSL-Modem (Vigor 167) - Router (pfsense) - Voip-Telefon (KX-TGP600)

Ich denke ich habe verstanden, warum meine Konfiguration zufällig funktioniert. Den Punkt mit den NAT-Timeout muss ich mir nochmal anschauen.
Das Transport Protokoll ist momentan TLS, damit TCP.
Momentan gehe ich davon aus, dass ich eine entsprechende Outbout-NAT-Regel erstellen muss. Da gibt es ja noch andere Punkte wie source port rewriting abschalten.

Timeouts: Hier die Ausgabe von pfctl -s timeouts:

tcp.first	120s
tcp.opening	30s
tcp.established	86400s
tcp.closing	900s
tcp.finwait	45s
tcp.closed	90s
tcp.tsdiff	30s
udp.first	60s
udp.single	30s
udp.multiple	60s
icmp.first	20s
icmp.error	10s
other.first	60s
other.single	30s
other.multiple	60s
frag	30s
interval	10s
adaptive.start	968400 states
adaptive.end	1936800 states
src.track	0s

Interpretiere ich das dann richtig, dass ich "REGISTER Expires Timer" auf 86400s stellen könnte/sollte?

Wo genau ich die Angabe mit dem Timeout für die SIP-Registrierung gelesen hatte, habe ich mir leider nicht gespeichert.
Das könnte gut der Artikel gewesen sein: SIP Trunks registrieren sich nicht neu
Den Wert 600s als Empfehlung von der Telekom hatte ich gefunden und auch, das jemand einen etwas kürzeren Wert eingestellt hat um es zum laufen zu bekommen. (Völlig falsche Fährte, aber wie sagt Heinz Erhardt so schön: Es hat keinen Sinn, den Brunnen zuzuschütten, wenn das Kind verbrannt ist)

Meinen Schreibfehler wegen zweimal "TLS" habe ich korrigiert.

 

[sonyKatze]

Momentan habe ich eine Konfiguration, die funktioniert und würde Schritt für Schritt versuchen das zu verbessern.

Problem ist, dass es nur scheinbar funktioniert. Abgesehen davon dass Du haufenweise Tests machen müsstest, um die Lage zu verbessern, hast Du die Panasonic nicht vollständig unter Kontrolle. Das heißt, findest Du einen Software-Bug, war es das. Die Panasonic soll eigentlich nur ein privates Telefonnetz irgendwie DECT tauglich machen. Panasonic bietet gar nicht die Support-Strukturen an, um diese DECT-Basis mit einem öffentlichen IMS wie der Telekom Deutschland zu verheiraten. Anders formuliert: Wenn Du einen Software-Bug findest, war’s das. Und durch das IMS hast Du unschierig viele Testfälle. Daher mein Tipp keine weitere Sekunde investieren und stattdessen eine FRITZ!Box entweder (a) als DECT-Basis oder (b) als Übergangsbox für diese Panasonic-Basis.

Könnte ich „REGISTER Expires Timer“ auf 86400s stellen?

Wir, jedenfalls ich, kenne die Definition der Parameter nicht. Ich weiß nicht, welcher zutrifft. Ja, „tcp.established“ klingt logisch. Klingt. Daher mein Tipp das auszumessen. Dann kannst Du an einem Parameter Deine pfSense spielen und ermitteln, welcher Parameter in welchem Zustand passen könnte. Aber eigentlich macht es keinen Sinn, den Wert im Panasonic zu hoch zu setzen. Wenn die Telekom Deutschland fünf Minuten erlaubt, stelle zehn Minuten ein. Du hast keinerlei Nachteil, wenn Du einen kleineren Wert nutzt. Es ist die Telekom Deutschland, die mit so vielen Anmeldungen klar kommen muss. Und wenn sie es Dir erlaubt, gibt es keinen Grund für Dich das nicht auszunutzen. Und wenn Du mal eine andere Firewall hast, läuft Deine Panasonic weiterhin.

Das Transport Protokoll ist momentan TLS

Anmerkung: Bei meiner TGP600 fand ich noch keinen Trick MediaSec zu aktivieren. Ohne das, geht nach meinem letzten Stand – noch nicht selbst probiert – kein SDES-sRTP bei der Telekom Deutschland. Folglich ist zwar der Gesprächsaufbau verschlüsselt, aber nicht das Gespräch selbst. Mal ganz abgesehen davon, dass Panasonic vom Nutzer erfordert die Web-Oberfläche zu verlassen und mit Konfigurationsdateien herumzufuhrwerken, damit die TLS-Authentifzierung so läuft, wie man das eigentlich seit 25 Jahren von HTTPs kennt. In anderen Worten: Von Haus aus – ohne die Konfigurationsänderung – authentifiziert eine Panasonic TGP600 Dein Gegenüber nicht, was aktiven Angreifern erlaubt sich dazwischen zu schalten und dann doch alles mitzulesen. Und wieder die FRITZ!Box, die macht „Verschlüsselte Telefonie“ schön mit einem Haken in der Web-Oberfläche.