SIP-Registrar nutzen über Dyndns oder VPN Fernzugang

[joemouth]

Hallo,

ich nutze die Labor-Version 54.04.97-13483 und möchte gerne vom Notebook mit PhonerLite über meine Fritzbox 7270 telefonieren.
Im lokalen Netz funktioniert es enwandfrei.

Kann ich vom Notebook über einen fremdem Einwahlpunkt ebenfalls über den SIP-Registrar der Fritbox telefonieren?
Geht das dann über eine Dnyndns Adresse oder über den VPN Fernzugang?
Was muss ich in der Fritzbox und in PhonerLite einstellen?

Vielen Dank für Eure Hilfe!

 

[smart-gp]

Theoretisch ja, praktisch funktioniert es (noch) nicht.

http://www.ip-phone-forum.de/showthread.php?t=182718&page=6

 

[frank_m24]

Hallo,

die Box hat den Port 5060 ja eh nach draußen offen, aber für den eigenen VoIP Client, für die ankommende Signalisierung des SIP Servers. Den Port 5060 kann man also unmöglich für die Anmeldung von SIP Clients an den Box-internen SIP Server benutzen. Man müsste den Port des SIP Servers verändern und dann eine Portweiterleitung darauf einrichten. Keine Ahnung, ob das geht. Hat schon mal jemand die Konfigs daraufhin untersucht?

 

[smart-gp]

Hallo Frank,

die Box hat den Port 5060 ja eh nach draußen offen, aber für den eigenen VoIP Client, für die ankommende Signalisierung des SIP Servers.

ich denke da liegst Du falsch. Es ist schon der SIP-Server, der die Verbindung nach außen offen hält. Daher kann man sich mit ihm ja auch verbinden.

Der SIP-Client kommuniziert über Port xyz mit dem Ziel-Port 5060 am externen SIP-Server.

So wirklich ganz erschlossen hat es sich mir aber auch noch nicht, wo das per Proxy/VPN nun wirklich klemmt.

 

[frank_m24]

Hallo,

VoIP benötigt definitiv im Client einen offenen Port. Deshalb auch das ganze Theater mit Portweiterleitungen und STUN, wenn man mal eine Fritzbox hinter einem NAT Router einrichten muss. Der Port 5060 ist auch seit jeher in der Fritzbox nach draußen offen, auch schon lange vor der SIP Server Funktionalität.
Es wurde auch früher immer schon gewünscht, dass sich eine Fritzbox im LAN an einem Asterisk anmeldet. Geht nicht: Der SIP Client ist nur auf dem WAN Device aktiv. Genau so ist der SIP Server bislang nur im LAN aktiv.

Das ist die definitiv Ausgangssituation. Daraus müsste man jetzt die Lösung konstruieren.

Ich hab es auch gerade mehrfach versucht, mich von außen zu verbinden (N95, N79, andere Fritzbox), aber keine Chance. Immer nur "Gegenstelle antwortet nicht". Egal ob mit oder ohne Proxy oder wie auch immer.

Zum Thema VPN: Zugriffe auf Dienste in der Fritzbox sind per VPN nicht möglich, außer der Zugriff auf die Weboberfläche, der gesondert geroutet wird. Aber z.B. FTP, SAMBA oder auch selbst durch Freetz hinzugefügte Dienste sind nicht erreichbar. Die Box routet VPN Verkehr nur ins LAN, nicht auf localhost. Das dürfte der Grund sein, warum man übers AVM VPN keine Verbindung zum SIP Server bekommt. Über OpenVPN könnte es gehen.

 

[smart-gp]

Vielen Dank für Deine Ausführungen, Frank.

VoIP benötigt definitiv im Client einen offenen Port. Deshalb auch das ganze Theater mit Portweiterleitungen und STUN

Ich muß zugeben, daß ich die entsprechenden RFC noch nicht zu Rate gezogen habe. Bisher dachte ich, daß der Client den Port aushandelt, auf dem er erreichbar ist und der im STUN-Server hinterlegt ist.

wenn man mal eine Fritzbox hinter einem NAT Router einrichten muss. Der Port 5060 ist auch seit jeher in der Fritzbox nach draußen offen, auch schon lange vor der SIP Server Funktionalität.

Warum funktionieren dann kaskadierte Fritze mit VoIP problemlos?

Es wurde auch früher immer schon gewünscht, dass sich eine Fritzbox im LAN an einem Asterisk anmeldet. Geht nicht: Der SIP Client ist nur auf dem WAN Device aktiv. Genau so ist der SIP Server bislang nur im LAN aktiv.

Das deckt sich nicht ganz mit meinen Versuchen, die ich hier schon mal geschildert habe: http://www.ip-phone-forum.de/showpost.php?p=1256683&postcount=112

Ich hab es auch gerade mehrfach versucht, mich von außen zu verbinden (N95, N79, andere Fritzbox), aber keine Chance. Immer nur "Gegenstelle antwortet nicht". Egal ob mit oder ohne Proxy oder wie auch immer.

Mir gelingt es mich zu verbinden und ausgehende Anrufe funktionieren auch. Nur eingehende nicht. (Nokia E51 über WLAN an anderem Fritz.)

Gingen Deine Versuche über WLAN oder GSM/UMTS?

Viele Mobilfunkanbieter sperren VoIP und IPSec.

Zum Thema VPN: Zugriffe auf Dienste in der Fritzbox sind per VPN nicht möglich, außer der Zugriff auf die Weboberfläche, der gesondert geroutet wird. Aber z.B. FTP, SAMBA oder auch selbst durch Freetz hinzugefügte Dienste sind nicht erreichbar. Die Box routet VPN Verkehr nur ins LAN, nicht auf localhost.

Die Begründung erscheint mir auch nicht ganz schlüssig. Der Verbindungsversuch geht ja nicht auf localhost, sondern auf das LAN-Interface der Box. Womit es dann theoretisch doch funktionieren sollte. Oder wo ist da mein Denkfehler?

Damit verbunden, dann noch eine andere Frage, die auch schon in nem anderen Thread steht: Hast Du es schon geschafft, Dich mit dem aktuellen Nokia-VPN-Client mit einem Fritz zu verbinden? Mir ist es bisher nicht gelungen. Der VPN-Client baut die Verbindung zur richtigen IP auf, bekommt von dort aber keine Antwort. Sagt zumindest das Log.

Hatte noch keine Zeit das näher mit Wireshark zu untersuchen.

 

[frank_m24]

Hallo,

funktioniert denn auch die Sprachübertragung? Das die Signalisierung über Port 5060 geht, kann man sich ja noch irgendwie konstruieren, aber man braucht ja auch noch RTP für die Sprache.
Hat schon mal jemand analysiert, welche Ports der Fritzbox VoIP-Server für RTP verwendet?

Ich hab es über UMTS versucht, allerdings auch nicht sonderlich lange. Vielleicht kann man da noch was tunen.

 

[smart-gp]

Hi,

ja, es funktioniert auch die Sprachübertragung. Nur die Signalisierung eingehend nicht.

Wie gesagt, UMTS ist nochmal ne ganz andere Baustelle, da das über das NAT der Mobilfunkprovider geht und die auch einiges sprerren.

Einfach ein fremdes WLAN nehmen. Am besten auch mit nem Fritz.

 

[joemouth]

@smart-gp
@frank_m24

Puh, ich muss zugeben, ihr habt mich abgehängt.
Für das Thema fehlt mir das Grundwissen.
SIP-Registrar nutzen über Dyndns oder VPN Fernzugang
- geht nicht
- geht noch nicht
- geht vielleicht
- geht teilweise
- geht

Was muss denn grundsätzlich an der Fritzbox eingestellt werden?
- Registrar z.B. "fritz.box"
- Telefoniegerät einrichten z.B.: Nummer 620 mit Kennwort
- Portfreigabe? zumindest nicht für die interne Nutzung notwendig

IP-Softphone z.B. Phoner
- Server
- Proxy/Registrar "fritz.box"
- STUN Server "leer"
- Domain/Realm "leer"

- Benutzer
- Benutzername "620"
- Kennwort s. Einrichtung Telefoniegerät FritBox
- Authentifizierungsname "leer"

- Netzwerk
- Lokaler Port 5060
- Verbindugsart UDP gewählt (TCP, TLS)
- Multicast DNS gewählt
- UPnP NAT nicht gewählt

So funktioniert es im eigenen LAN.

Die Frage stellte sich mir dann, ob das auch von außen über DynDns oder VPN Fernzugang oder anderen VPN Client gehen könnte.

Vielleicht ergeben sich ja Antworten aus Euren Kommentaren, nur wie oben zugegeben, ist mir das nicht ersichtlich,

Vielleicht könnt Ihr mir ja anhand meines Beispieles aufzeigen, wie eine externe Verbindug gehen könnte, sollte, müßte oder irgendwann mal wird.

Vielen Dank und beste Grüße

 

[smart-gp]

In #2 steht die Antwort.

Der Rest ist Fachsimpelei.

 

[PsychoMantis]

Aber du sagst doch selbst, dass es funktioniert (und nur eingehend nicht).

Ich möchte nur von meinem auf einem V-server laufenden Asterisk über meinen Festnetzanschluss zu Hause raustelefonieren.

Echtes Call-by-call für einen Asterisk wäre nämlich was feines.

Nachtrag: Nach langem Rumprobieren (= Portfreigaben ändern, es auf anderen Ports versuchen, FBEditor benutzen usw.) habe ich es immer noch nicht geschafft.
Wäre also für jede Hilfe dankbar.

 

[muenchner]

die Box hat den Port 5060 ja eh nach draußen offen, aber für den eigenen VoIP Client, für die ankommende Signalisierung des SIP Servers. Den Port 5060 kann man also unmöglich für die Anmeldung von SIP Clients an den Box-internen SIP Server benutzen.

Da kann ich nicht zustimmen,
- bei mir funktioniert es von aussen incl. Signalisierung und Sprachkanal. Getestet mit einem SoftClient auf dem MAC und einem TC 300.

registrar: fritz.box
SipProxy: myname.dyndns.org

und ich bin nicht der einzige wo es funktioniert: http://www.ip-phone-forum.de/showpost.php?p=1264200&postcount=135

mal abgesehen davon dass bei mir die Signalisierung nur sauber auf dem 620 account funktioniert, aber das ist unanhängig davon ob das Telefon innen oder aussen angemeldet wird. Also in kurzen Worten auf der 620 funktioniert es von innen und von aussen - auf 621 usw läuten die externen Nummern nicht auch wenn das SIP Telefon "intern" angemeldet ist.

 

[PsychoMantis]

Ich hätte das mit dem Registrar und Sipproxy gerne ausprobiert. Aber so weit mir das bekannt ist, gibt es in der sip.conf ja nur host und fromdomain.

 

[PsychoMantis]

Mit einer anderen FBF geht es tatsächlich mit "fritz.box" als registrar und dyndns-adresse als Proxy.
Hat jemand rausbekommen wie es mit dem Asterisk geht?

 

[gerdshi]

Hi!

Wenn ich im asterisk das eintrage:

register => [email protected]:620@<dyndns-address>/

dann kommt zumindest nicht mehr "...404 not found...", sondern immer hin ein "...Failed to authenticate on REGISTER...".

Mit Portumleitung in ar7.cfg bin ich auch nicht weiter gekommen:
"udp 0.0.0.0:5070 192.168.178.1:5060"
hilft nicht wieter. Es kommt zum timeout - anscheint wird nichts weitergeleitet.

Gruss

 

[sf3978]

Zum Thema VPN: Zugriffe auf Dienste in der Fritzbox sind per VPN nicht möglich, außer der Zugriff auf die Weboberfläche, der gesondert geroutet wird. Aber z.B. FTP, SAMBA oder auch selbst durch Freetz hinzugefügte Dienste sind nicht erreichbar. Die Box routet VPN Verkehr nur ins LAN, nicht auf localhost. Das dürfte der Grund sein, warum man übers AVM VPN keine Verbindung zum SIP Server bekommt. Über OpenVPN könnte es gehen.

Doch, Zugriffe auf Dienste in der FritzBox sind per AVM-IPsec-VPN (LAN - LAN) möglich. Das ging bei mir schon ohne Freetz (z. B. mit AVM-FTP) und geht auch jetzt mit Freetz (vsftpd und dropbear). Diese Dienste funktionieren mit TCP. Und dieser TCP-VPN-Verkehr wird anscheinend auf localhost geroutet. Leider ist nicht so beim UDP-VPN-Verkehr. Ich kann meine Softclients im eigenen LAN an der FritzBox (Port 5060) registrieren. Ich kann sie aber nicht über AVM-IPsec-VPN (LAN-LAN oder client-LAN) an der FritzBox im anderen LAN (... mit dem LAN-LAN-Verbindung besteht) registrieren.

Siehe hier den TCP-AVM-IPsec-VPN-Verkehr (rot=vsftpd, blau=dropbear):

# netstat -na
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 0.0.0.0:5060            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:8080            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:81              0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:1011          0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:YYYYY              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:8888          0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:XXXXX           0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:3945          127.0.0.1:1011          ESTABLISHED
tcp        0      0 [COLOR="Red"]192.168.188.1[/COLOR]:YYYYY    [COLOR="#ff0000"]192.168.138.185[/COLOR]:51861   ESTABLISHED
tcp        0      0 192.168.188.1:38053     192.168.138.185:55981   TIME_WAIT
tcp        0      0 192.168.188.1:53540     192.168.138.185:54565   TIME_WAIT
tcp        0      0 127.0.0.1:1011          127.0.0.1:3945          ESTABLISHED
tcp        0      0 192.168.188.253:XXXXX   192.168.138.186:62210   ESTABLISHED
tcp        0      0 127.0.0.1:3649          127.0.0.1:8888          ESTABLISHED
tcp        0    176 [COLOR="Blue"]192.168.188.1[/COLOR]:XXXXX     [COLOR="#0000ff"]192.168.138.185[/COLOR]:52370   ESTABLISHED
tcp        0      0 127.0.0.1:8888          127.0.0.1:3649          ESTABLISHED
udp        0      0 0.0.0.0:2049            0.0.0.0:*
udp        0      0 0.0.0.0:2051            0.0.0.0:*
udp        0      0 0.0.0.0:2061            0.0.0.0:*
udp        0      0 0.0.0.0:2062            0.0.0.0:*
udp        0      0 0.0.0.0:4500            0.0.0.0:*
udp        0      0 0.0.0.0:7077            0.0.0.0:*
udp        0      0 0.0.0.0:53              0.0.0.0:*
udp        0      0 0.0.0.0:5060            0.0.0.0:*
udp        0      0 0.0.0.0:500             0.0.0.0:*
raw        0      0 0.0.0.0:2               0.0.0.0:*               2
raw        0      0 0.0.0.0:2               0.0.0.0:*               2
raw        0      0 0.0.0.0:2               0.0.0.0:*               2
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node Path
unix  5      [ ]         DGRAM                      1795 /dev/log
unix  2      [ ACC ]     STREAM     LISTENING       1555 /var/tmp/pbctrl
unix  2      [ ACC ]     STREAM     LISTENING       1557 /var/tmp/pb_event
unix  2      [ ]         DGRAM                      1562 /var/tmp/me_phonebook.ctl
unix  2      [ ACC ]     SEQPACKET  LISTENING       1572 /var/tmp/foncontrol
unix  2      [ ]         DGRAM                      1575 /var/tmp/me_foncontrol.ctl
unix  2      [ ]         DGRAM                     26408 /var/tmp/to_wpa_hidden_sock
unix  2      [ ]         DGRAM                     26410 /var/tmp/wpa_debug_sock
unix  2      [ ]         DGRAM                      1587 /var/tmp/me_voipd.ctl
unix  2      [ ]         DGRAM                     38331 /var/tmp/me_dsld.ctl
unix  2      [ ]         DGRAM                     38340 /var/tmp/me_logic.ctl
unix  2      [ ]         DGRAM                     38342 /var/tmp/me_ctlmgr.ctl
unix  2      [ ]         DGRAM                      1268 /var/tmp/me_multid.ctl
unix  3      [ ]         STREAM     CONNECTED      51410
unix  3      [ ]         STREAM     CONNECTED      51409
unix  3      [ ]         STREAM     CONNECTED      51408
unix  3      [ ]         STREAM     CONNECTED      51407
unix  3      [ ]         STREAM     CONNECTED      38421 /var/tmp/pb_event
unix  3      [ ]         STREAM     CONNECTED      38420 /var/tmp/pbctrl
unix  3      [ ]         STREAM     CONNECTED      38419
unix  3      [ ]         STREAM     CONNECTED      38418
unix  2      [ ]         DGRAM                      2038
unix  2      [ ]         DGRAM                      2017
unix  2      [ ]         DGRAM                      1798
unix  3      [ ]         STREAM     CONNECTED       1571 /var/tmp/pb_event
unix  3      [ ]         STREAM     CONNECTED       1570 /var/tmp/pbctrl
unix  3      [ ]         STREAM     CONNECTED       1569
unix  3      [ ]         STREAM     CONNECTED       1568
unix  2      [ ]         DGRAM                      1176
/ #

 

[PsychoMantis]

@ gerdshi
Ja, seltsam ist das schon. Eine andere FBF kann man problemlos anmelden. Asterisk komischerweise nicht. Es muss irgendwie gehen. Habe mal ein Ticket bei AVM aufgemacht.

 

[sf3978]

Ich habe jetzt auf der fernen FritzBox die DTMFBox (keine AVM-Anwendung) installiert. Die lauscht auf dem UDP-Port 5061. Das gleiche Problem: Im eigenen LAN kann man Softclients/Webphone an der DTMFBox anmelden, aus dem fernen LAN kann man keine Softsclients/Webphone anmelden.

Werde mal versuchen die beiden FritzBoxen nicht mit dem AVM-IPsec-VPN (LAN-LAN über UDP) zu verbindern, sondern mit dem OpenVPN (mit dem TCP-Protokoll) aus dem Freetz. Mal schauen ob ich dann Softclients aus dem eigenen LAN an der fernen Box anmelden kann.

 

[PsychoMantis]

Nein, das muss auch ohne VPN gehen. Eine entfernte FBF oder manche Softfones lassen sich schließlich problemlos am SIP-Server benutzen und alles ohne VPN.
Ich habe es selbst mit einer alten 7050 erfolgreich getestet.

 

[muenchner]

Nein, das muss auch ohne VPN gehen.

Hier reden zwei aneinader vorbei.
Du möchtest von der Asterisk drauf zugreifen und kannst bereits von einem client (ohne VPN) auf den internen SIP Server zugreifen. Dein Problem ist: was muss ich in der Asterisk eingeben damit frit.box bzw. Proxy:deinname.dyndns.org angesprochen wird. Ich würde da im Asterisk Thread nachfragen.

Das andere Thema SIP wenn 2 Boxen mit VPN verbunden werden ist auch im Forum schon angesprochen worden. Ich habe es nicht mehr im Kopf (suche verwenden) aber mit Open VPN hat es anscheinend funktioniert. Dies hat aber mit deinem Asterisk Problem wenig zu tun.