.titleBar { margin-bottom: 5px!important; }

*solved* Grandstream BT101 unerreichbar [freenet]

Dieses Thema im Forum "Grandstream" wurde erstellt von FieserKiller, 28 Sep. 2004.

  1. FieserKiller

    FieserKiller Neuer User

    Registriert seit:
    28 Sep. 2004
    Beiträge:
    19
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich bin am verzweifeln. heute um 12uhr mittags kam der UPS mann mit meinem Grandstream BT101 und seitdem sitze ich hier an der verdammten kiste und bekomme sie nicht ans laufen - aber erstmal der reihe nach:

    - hab freenet Iphone für 2,97¤ im monat incl. Telnr
    - QDSL home von QSC Internetanschluss [1024/512]
    - Gentoo Linux 2.6.8er kernel mit iptables als router

    Der Stand der Dinge ist folgender: ich habe das telefon angeschlossen, es hat per DHCP eine IP 192.168.0.246 bekommen, mein dhcpd ist so eingestellt dass es die IPs für jedes gerät rund 1 Jahr lang reserviert, also ist die IP quasi fest...
    Auch der DNS ist ok, das telfon holt sich die richtige uhrzeit und datum aus dem netz.
    Dann habe ich mal die ganzen einwahldaten, server, etc auf der freenet-seite rausgesucht und per webinterface in das telefon geladen -> nach dem reboot konnte ich direkt jemanden anrufen :)
    Nur, mich anrufen kann keiner, das BT101 sagt keinen mucks, und im Anrufenden telefon hört man entweder einen ton der an ein besetztzeichen erinnert (bei ISDN) oder die "The person you have called ist temporaly ot avaible"-ansage (Handy).
    Egal ob ich den STUN-server eingebe oder nicht, die wirkung ist immer die gleiche - anrufen geht, angerufen werden nicht.
    Der Witz ist nun, die blöde iphone-software von freenet funktioniert problemlos!

    Ich habe mich mittlerweile wundgegooglet, habe meine firewall quasi abgestellt, habe testweise die UDP-ports 1 bis 65000 an das telefon geforwarded aber es hilft nichts, keiner kann mich anrufen.
    Habe auch schon workarounds versucht wie z.b. siproxd einzurichten doch dass hab ich nicht hinbekommen (immer 408-fehler beim rauswählen) und bin grad dabei asterisk zu compilieren da mir nichts mehr einfällt :/

    Die Firmware des Telefons ist 1.0.5.11 - macht es sinn eine ältere zu nehmen?

    Wie gesagt, das Iphone-tool funktioniert auf meinem notebook trotz NAT völlig ohne portforwardings tadellos, auf dem router selbst habe ich kphone ausprobiert, das klappt auch, nur das Grandstream nicht.

    Kann mir jemand helfen? oder hat jemand eine ähnliche config wie ich mit freenet und kann mir seine Telefoneinstellungen und IPtableregeln zeigen? Oder eine funktionierende siproxd-config oder überhaupt irgendeine lösung?
    Ich werde morgen noch irgendwie versuchen asterisk ans laufen zu bringen dann bin ich mit meinem latein am ende :/
     
  2. TOM

    TOM Mitglied

    Registriert seit:
    31 Mai 2004
    Beiträge:
    701
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    kannst du mal die konfig des bt101 hier posten (ohne passwörter bzw. bitte xxx)
    sofern du ports weiterleiten mußt dann
    alles udp 5060 (sip), 5004 - 5007 (rtp) ggf. noch 3478 (stun).
     
  3. FieserKiller

    FieserKiller Neuer User

    Registriert seit:
    28 Sep. 2004
    Beiträge:
    19
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    so hier ist die config in 3 bildern, dabei ist mir grade folgendes aufgefallen:

    auf screenshot1 steht "detected NAT type is open Internet" obwohl ich jetzt grade gar keine ports geforwarded hab da es mit STUN auch ohne gehen müsste.
    Das "Open-Internet" bedeutet wohl dass das Telefon noch gar nicht gemerkt hat dass es hinter einem Router ist.. Wie kann ich das Ändern?
     

    Anhänge:

  4. TOM

    TOM Mitglied

    Registriert seit:
    31 Mai 2004
    Beiträge:
    701
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    es sind mir ein paar dinge aufgefallen, die du ändern solltest, ob es aber dein originäres problem behebt ist fraglich. trial and error

    1. du hast dhcp eingestellt. wenn du portforwarding benutzen möchtest, dann sollte es eine feste ip sein z.b. 192.168.1.160, als gateway und dns server deinen router eingeben. (trotz deines langen dhcp renew interval)

    2. nimm mal den tftp server eintrag raus 0.0.0.0, da er sonst unnötig nach neuer firmware sucht.

    3. probier mal stun auf YES, aber den eintrag für stunserver freilassen und keep-alive interval auf 14.

    4. unregister on reboot auf NO

    5. send dtmf auf via sip info

    6. die 5.10 hat sich nach den aussagen vieler user als die stabilere bzw. unproblematischere firmware herausgestellt.

    7. du kannst auch noch versuchen, den stunserver eintrag so wie jetzt zu lassen, aber mal den sip proxy rausnehmen.
     
  5. betateilchen

    betateilchen Grandstream-Guru

    Registriert seit:
    30 Juni 2004
    Beiträge:
    12,882
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    am Letzenberg
    sei doch froh, daß das Telefon nicht bemerkt, daß es hinter einem Router läuft.

    falsch - tut hier aber nichts zur Sache.

    Probiere mal, bei "SIP-Server" anstatt "freenet.de" die IP 194.97.54.97 einzutragen.
     
  6. FieserKiller

    FieserKiller Neuer User

    Registriert seit:
    28 Sep. 2004
    Beiträge:
    19
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    @betateilchen: Die Iphone-windows-software funktioniert auf meinem notebook im lan - völlig ohne portforwardings. Man kann damit angerufen werden und auch raustelefonieren... Ich dachte das liegt am STUN - woran denn sonst?

    Das mit der IP statt freenet.de hab ich auch grad schon ausprobiert, ebenso die tipps vom TOM, leider ohne wirkung.

    Vielleicht will das grandstream mit meinen iptables einfach nicht

    meine karte fürs interne LAN ist eth0
    raus gehts mit ppp0 über eth1 und hier sind meine rules:

    iptables -I INPUT 1 -i eth0 -j ACCEPT
    iptables -I INPUT 1 -i lo -j ACCEPT
    iptables -A INPUT -p UDP --dport bootps -i ! eth0 -j REJECT
    iptables -A INPUT -p UDP --dport domain -i ! eth0 -j REJECT

    #Drop TCP / UDP packets to privileged ports
    iptables -A INPUT -p TCP -i ! eth0 -d 0/0 --dport 0:1023 -j DROP
    iptables -A INPUT -p UDP -i ! eth0 -d 0/0 --dport 0:1023 -j DROP

    #Finally we add the rules for NAT
    iptables -I FORWARD -i eth0 -d 192.168.0.0/255.255.0.0 -j DROP
    iptables -A FORWARD -i eth0 -s 192.168.0.0/255.255.0.0 -j ACCEPT
    iptables -A FORWARD -i ppp0 -d 192.168.0.0/255.255.0.0 -j ACCEPT
    iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE


    Ich hab die regeln aus dieser howto http://www.gentoo.org/doc/en/home-router-howto.xml die meinen gentoo zum router machte...

    Zusätzlich hatte ich noch testweise die hier eingefügt

    iptables -t nat -A PREROUTING -p UDP --dport 1:65500 -i ppp0 -j DNAT --to 192.168.0.246

    die einfach mal alle UDP ports zum telefon forwardete - die Regel hab ich mir selbst zurechtgebaut, ist doch richtig, oder?
    derzeit ist sie nicht mehr drin, soll ich sie wieder reinpacken? wie kann ich denn testen ob das forwadring funktioniert??

    Kann mir jemand mal bitte seine rules schicken mit denen das läuft?
     
  7. FieserKiller

    FieserKiller Neuer User

    Registriert seit:
    28 Sep. 2004
    Beiträge:
    19
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Problem gelöst!

    Ja Ja Ja es funzt!!

    Ich habe jetzt noch zusätzlich die Regel

    iptables -t nat -A PREROUTING -p TCP --dport 1:65500 -i ppp0 -j DNAT --to 192.168.0.246

    eingebaut die den gesammten TCP-verkehr ebenfalls an das Telefon schickt, dann sagte das Telefon auch
    "detected NAT type is full cone"
    und es lief!

    Ich habe direkt nach dem abheben ein Freizeichen, kann rauswählen und mich anrufen lassen, sprachquali scheint aber unterschiedlich zu sein - wenn ich angerufen werde ist sie etwas besser als wenn ich selbst anrufe.

    Das mit der gesamten portrange ans Telefon Forwarden ist aber auch nicht sonderlich sinnvoll, ich werde sie in den nächsten Tagen mal einschränken und die ergebnisse hier posten damit nicht noch jemand mit meinem Problem 2 Tage mit dem BT101 kämpfen muss... :)

    PS: Thx für die Hilfe@all
     
  8. betateilchen

    betateilchen Grandstream-Guru

    Registriert seit:
    30 Juni 2004
    Beiträge:
    12,882
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    am Letzenberg
    Das Telefon braucht aber definitiv keine TCP Ports :shock:
     
  9. FieserKiller

    FieserKiller Neuer User

    Registriert seit:
    28 Sep. 2004
    Beiträge:
    19
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    ganz recht - es braucht wirklich keine

    um ganz genau zu sein, mit STUN braucht es noch nicht mal portforwardings (siehe RFC http://www.faqs.org/rfcs/rfc3489.html )

    habe meine iptables komplett geleert und NUR folgendes eingetragen:

    iptables -I INPUT 1 -i eth0 -j ACCEPT
    iptables -I INPUT 1 -i lo -j ACCEPT
    iptables -A INPUT -p UDP --dport bootps -i ! eth0 -j REJECT
    iptables -A INPUT -p UDP --dport domain -i ! eth0 -j REJECT
    iptables -A INPUT -p TCP -i ! eth0 -d 0/0 --dport 0:1023 -j DROP
    iptables -A INPUT -p UDP -i ! eth0 -d 0/0 --dport 0:1023 -j DROP
    iptables -I FORWARD -i eth0 -d 192.168.0.0/255.255.0.0 -j DROP
    iptables -A FORWARD -i eth0 -s 192.168.0.0/255.255.0.0 -j ACCEPT
    iptables -A FORWARD -i ppp0 -d 192.168.0.0/255.255.0.0 -j ACCEPT
    iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

    Diese Config sperrt einfach alle known-ports 0-1023 aus dem Internet am Router (ppp0-device), und erlaubt alle verbindungen aus dem Lan (eth0-device) nach aussen und zurück durch masquerading

    und es funktioniert einwandfrei!
    Ich weiss nicht so recht was das gerät anfangs für eine macke hatte, aber jetzt meldet es "detected NAT type is symmetric NAT"

    ich habe ihm mal testweise verschiedene IPs vom dhcp zuweisen lassen und PC inclusive Telefon mehrfach rebootet, und es klappt immernoch

    Das hier ist die config:
    [hr:f67d3553d3]
    Product Model: BT100
    Software Version: Program--1.0.5.11 Bootloader--1.0.0.18 HTML--1.0.0.37 VOC--1.0.0.6
    Custom Ring Tone: ring1--1.0.0.0 ring2--1.0.0.0 ring3--0.0.0.0
    (all zeroes means unavailable or unsupported)
    detected NAT type is symmetric NAT

    IP Address:
    dynamically assigned via DHCP (default)

    SIP Server: freenet.de (e.g., sip.mycompany.com, or IP address)
    Outbound Proxy: iphone.freenet.de (e.g., proxy.myprovider.com, or IP address, if any)
    SIP User ID: "freenet-username" (the user part of an SIP address)
    Authenticate ID: "freenet-username" (can be identical to or different from SIP User ID)
    Authenticate Password: *******
    Name: "dein name" (optional, e.g., John Doe)

    Advanced Options:
    Preferred Vocoder:(in listed order) PCMU,PCMA,G723,G729,G726-32,G728,iLBC,G722
    G723 rate: 6.3kbps encoding rate
    iLBC frame size: 20ms
    iLBC payload type: 99 (between 96 and 127, default is 98 )
    Silence Suppression: No
    Voice Frames per TX: 2 (up to 10/20/32/64 for G711/G726/G723/other codecs respectively
    Layer 3 QoS: 48 (Diff-Serv or Precedence value)
    Layer 2 QoS: 802.1Q/VLAN Tag 0 802.1p priority value 0(0-7)
    Use DNS SRV: No
    User ID is phone number: No
    SIP Registration: Yes
    Unregister On Reboot: No
    Register Expiration: 60 (in minutes. default 1 hour, max 45 days)
    Early Dial: No
    Dial Plan Prefix: "nix" (this prefix string is added to each dialed number)
    No Key Entry Timeout: 4 (in seconds, default is 4 seconds)
    Use # as Dial Key: No
    local SIP port: 5060 (default 5060)
    local RTP port: 5004 (1024-65535, default 5004)
    Use random port: No
    NAT Traversal: Yes, STUN server is: iphone-stun.freenet.de (URI or IP:port)
    keep-alive interval: 14 (in seconds, default 20 seconds)
    Use NAT IP "nix" (if specified, this IP address is used in SIP/SDP message)
    TFTP Server: 0.0.0.0 (for remote software upgrade and configuration)
    Voice Mail UserID:*nix* (User ID/extension for 3rd party voice mail system)
    SUBSCRIBE for MWI: No, do not send SUBSCRIBE for Message Waiting Indication
    Auto Answer: No
    Offhook Auto-Dial: *nix* (User ID/extension to dial automatically when offhook)
    Enable Call Features: No
    Disable Call-Waiting: No
    Send DTMF: via SIP INFO
    DTMF Payload Type: 101
    Send Flash Event: No
    NTP Server: time.nist.gov (URI or IP address)
    Time Zone: "GMT +1:00"
    Date Display Format: Day-Month-Year
    Daylight Savings Time: Yes (if set to Yes, display time will be 1 hour ahead of normal time)
    Default Ring Tone: system ring tone
    Send Anonymous: No
    Lock keypad update: No
    [hr:f67d3553d3]

    Damit funktioniert es endlich bei mir einwandfrei, wobei der Hauptteil der config einfach die Standardvorgaben des Telefons geblieben sind. Meine vermutung wieso es davor nicht klappte ist dass das STUN des Telefons irgendwie durch die Portforwardings, meine eigene frickelei am Router mit selbst gehosteten SIP-proxies, weggelassenen firewall-regeln, etc mehr verwirrt war als dass es geholfen hat und so sachen wie Open internet trotz NAT erkannte... :roll:

    Deswegen der Tip an alle die ein ähnliches Problem haben:
    Ruhig bleiben, iptables sauber einrichten, STUN braucht definitiv NUR NAT und KEINEN portforwarding/DMZ hickhack, schaut euch meine config an und passt eure dementsprechend an, schaut nach ob ihr noch irgendwelche iptable tables vergessen habt (iptables -L zeigt nicht alles an!!), bootet den rechner und das telefon neu - und schon läuft es rund :)

    Ich denke wenn alles erstmal läuft kann man die config sicherlich noch bezüglich tonquali, trafficoptimierung, etc. verbessern - und das werd ich als nächstes in Angriff nehmen ;)
     
  10. data111

    data111 Neuer User

    Registriert seit:
    24 Sep. 2004
    Beiträge:
    8
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo,
    wo gibt man das ein.

    iptables -I INPUT 1 -i eth0 -j ACCEPT
    iptables -I INPUT 1 -i lo -j ACCEPT
    iptables -A INPUT -p UDP --dport bootps -i ! eth0 -j REJECT
    iptables -A INPUT -p UDP --dport domain -i ! eth0 -j REJECT
    iptables -A INPUT -p TCP -i ! eth0 -d 0/0 --dport 0:1023 -j DROP
    iptables -A INPUT -p UDP -i ! eth0 -d 0/0 --dport 0:1023 -j DROP
    iptables -I FORWARD -i eth0 -d 192.168.0.0/255.255.0.0 -j DROP
    iptables -A FORWARD -i eth0 -s 192.168.0.0/255.255.0.0 -j ACCEPT
    iptables -A FORWARD -i ppp0 -d 192.168.0.0/255.255.0.0 -j ACCEPT
    iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

    Gruß
    Klaus
     
  11. FieserKiller

    FieserKiller Neuer User

    Registriert seit:
    28 Sep. 2004
    Beiträge:
    19
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    na an der bash - wo denn sonst?!

    ggf musst du noch die IPtables installieren, ist zumindest bei gentoo-linux von nöten. Andere Distries bringen das wohl schon mit...

    natürlich musst du die interfaces deinem netz entsprechend anpassen - bei mir ist eth0 die karte ins LAN und ppp0 Das PPPoE device ins internet...
     
  12. Globetrotter

    Globetrotter Neuer User

    Registriert seit:
    29 Sep. 2004
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo,

    @FieserKiller:

    Deine Filterregeln sind ja ganz toll.. nur wofür benutzt Du überhaupt eine Firewall? Deine Filterregeln öffnen für einen Durchschnittshacker/ Virus/ Tojaner alle Tore!

    Grüße Karsten

    PS: Weiß denn hier jemand, welche UDP- Ports minimal benötigt werden?
     
  13. GTRDRIVER

    GTRDRIVER Neuer User

    Registriert seit:
    5 Okt. 2004
    Beiträge:
    65
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi

    Normal sollte das riechen:

    Port: 5060 / UDP (SIP-Signalisierung)
    Port: 5004-5007 / UDP (RTP, Sprache)
    Port: 10000 UDP (STUN)
     
  14. Globetrotter

    Globetrotter Neuer User

    Registriert seit:
    29 Sep. 2004
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Manchmal ist es ganz einfach!

    Freenet hatte "meine" Telefonnummer nicht freigeschaltet! Kein Wunder daß ich nicht angerufen werden konnte...
     
  15. FieserKiller

    FieserKiller Neuer User

    Registriert seit:
    28 Sep. 2004
    Beiträge:
    19
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    @Globetrotter:
    Zeig mir mal bitte ein szenario auf, wo die filterregeln nicht greifen?!
    was soll da gehackt werden? Ports bis 1023, also da wo die relevanten services des routers liegen sind aus dem internet nicht erreichbar, und ab port 1023 läuft kein dienst, bzw. keiner der nicht sicher ist.
    Ich weiss nicht ob du iptable-regeln lesen und verstehen kannst, aber nach diesen wird überhaupt nichts ins lan geforwarded, denn das ist mit STUN auch nicht nötig. :p
     
  16. betateilchen

    betateilchen Grandstream-Guru

    Registriert seit:
    30 Juni 2004
    Beiträge:
    12,882
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ort:
    am Letzenberg
    Hallo - über das Firewallproblem könnt Ihr gerne in der entsprechenden Forumsrubrik diskutieren. Interessiert dort bestimmt auch andere Leute :wink:

    Prima, daß das Telefon nun funktioniert :!:
     
  17. Globetrotter

    Globetrotter Neuer User

    Registriert seit:
    29 Sep. 2004
    Beiträge:
    7
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Sorry, ich kenne KEINEN Dienst der zu 100% sicher wäre!
    Daher, jeder offene Port ist ein schlechter Port man muß ja nicht gleich direkt an das System herankommen, es gibt auch genügend Möglichkeiten per Umweg.
    @FieserKiller:
    Ich wollte Dich nicht igendwie angreifen, sondern nur darauf aufmerksam machen.

    Grüße
    Globetrotter