*solved* Grandstream BT101 unerreichbar [freenet]

FieserKiller

Neuer User
Mitglied seit
28 Sep 2004
Beiträge
19
Punkte für Reaktionen
0
Punkte
0
Ich bin am verzweifeln. heute um 12uhr mittags kam der UPS mann mit meinem Grandstream BT101 und seitdem sitze ich hier an der verdammten kiste und bekomme sie nicht ans laufen - aber erstmal der reihe nach:

- hab freenet Iphone für 2,97¤ im monat incl. Telnr
- QDSL home von QSC Internetanschluss [1024/512]
- Gentoo Linux 2.6.8er kernel mit iptables als router

Der Stand der Dinge ist folgender: ich habe das telefon angeschlossen, es hat per DHCP eine IP 192.168.0.246 bekommen, mein dhcpd ist so eingestellt dass es die IPs für jedes gerät rund 1 Jahr lang reserviert, also ist die IP quasi fest...
Auch der DNS ist ok, das telfon holt sich die richtige uhrzeit und datum aus dem netz.
Dann habe ich mal die ganzen einwahldaten, server, etc auf der freenet-seite rausgesucht und per webinterface in das telefon geladen -> nach dem reboot konnte ich direkt jemanden anrufen :)
Nur, mich anrufen kann keiner, das BT101 sagt keinen mucks, und im Anrufenden telefon hört man entweder einen ton der an ein besetztzeichen erinnert (bei ISDN) oder die "The person you have called ist temporaly ot avaible"-ansage (Handy).
Egal ob ich den STUN-server eingebe oder nicht, die wirkung ist immer die gleiche - anrufen geht, angerufen werden nicht.
Der Witz ist nun, die blöde iphone-software von freenet funktioniert problemlos!

Ich habe mich mittlerweile wundgegooglet, habe meine firewall quasi abgestellt, habe testweise die UDP-ports 1 bis 65000 an das telefon geforwarded aber es hilft nichts, keiner kann mich anrufen.
Habe auch schon workarounds versucht wie z.b. siproxd einzurichten doch dass hab ich nicht hinbekommen (immer 408-fehler beim rauswählen) und bin grad dabei asterisk zu compilieren da mir nichts mehr einfällt :/

Die Firmware des Telefons ist 1.0.5.11 - macht es sinn eine ältere zu nehmen?

Wie gesagt, das Iphone-tool funktioniert auf meinem notebook trotz NAT völlig ohne portforwardings tadellos, auf dem router selbst habe ich kphone ausprobiert, das klappt auch, nur das Grandstream nicht.

Kann mir jemand helfen? oder hat jemand eine ähnliche config wie ich mit freenet und kann mir seine Telefoneinstellungen und IPtableregeln zeigen? Oder eine funktionierende siproxd-config oder überhaupt irgendeine lösung?
Ich werde morgen noch irgendwie versuchen asterisk ans laufen zu bringen dann bin ich mit meinem latein am ende :/
 
kannst du mal die konfig des bt101 hier posten (ohne passwörter bzw. bitte xxx)
sofern du ports weiterleiten mußt dann
alles udp 5060 (sip), 5004 - 5007 (rtp) ggf. noch 3478 (stun).
 
so hier ist die config in 3 bildern, dabei ist mir grade folgendes aufgefallen:

auf screenshot1 steht "detected NAT type is open Internet" obwohl ich jetzt grade gar keine ports geforwarded hab da es mit STUN auch ohne gehen müsste.
Das "Open-Internet" bedeutet wohl dass das Telefon noch gar nicht gemerkt hat dass es hinter einem Router ist.. Wie kann ich das Ändern?
 

Anhänge

  • screenshot1.jpg
    screenshot1.jpg
    76.1 KB · Aufrufe: 34
  • screenshot2.jpg
    screenshot2.jpg
    76.7 KB · Aufrufe: 26
  • screenshot3.jpg
    screenshot3.jpg
    92.6 KB · Aufrufe: 36
es sind mir ein paar dinge aufgefallen, die du ändern solltest, ob es aber dein originäres problem behebt ist fraglich. trial and error

1. du hast dhcp eingestellt. wenn du portforwarding benutzen möchtest, dann sollte es eine feste ip sein z.b. 192.168.1.160, als gateway und dns server deinen router eingeben. (trotz deines langen dhcp renew interval)

2. nimm mal den tftp server eintrag raus 0.0.0.0, da er sonst unnötig nach neuer firmware sucht.

3. probier mal stun auf YES, aber den eintrag für stunserver freilassen und keep-alive interval auf 14.

4. unregister on reboot auf NO

5. send dtmf auf via sip info

6. die 5.10 hat sich nach den aussagen vieler user als die stabilere bzw. unproblematischere firmware herausgestellt.

7. du kannst auch noch versuchen, den stunserver eintrag so wie jetzt zu lassen, aber mal den sip proxy rausnehmen.
 
sei doch froh, daß das Telefon nicht bemerkt, daß es hinter einem Router läuft.

obwohl ich jetzt grade gar keine ports geforwarded hab da es mit STUN auch ohne gehen müsste.

falsch - tut hier aber nichts zur Sache.

Probiere mal, bei "SIP-Server" anstatt "freenet.de" die IP 194.97.54.97 einzutragen.
 
@betateilchen: Die Iphone-windows-software funktioniert auf meinem notebook im lan - völlig ohne portforwardings. Man kann damit angerufen werden und auch raustelefonieren... Ich dachte das liegt am STUN - woran denn sonst?

Das mit der IP statt freenet.de hab ich auch grad schon ausprobiert, ebenso die tipps vom TOM, leider ohne wirkung.

Vielleicht will das grandstream mit meinen iptables einfach nicht

meine karte fürs interne LAN ist eth0
raus gehts mit ppp0 über eth1 und hier sind meine rules:

iptables -I INPUT 1 -i eth0 -j ACCEPT
iptables -I INPUT 1 -i lo -j ACCEPT
iptables -A INPUT -p UDP --dport bootps -i ! eth0 -j REJECT
iptables -A INPUT -p UDP --dport domain -i ! eth0 -j REJECT

#Drop TCP / UDP packets to privileged ports
iptables -A INPUT -p TCP -i ! eth0 -d 0/0 --dport 0:1023 -j DROP
iptables -A INPUT -p UDP -i ! eth0 -d 0/0 --dport 0:1023 -j DROP

#Finally we add the rules for NAT
iptables -I FORWARD -i eth0 -d 192.168.0.0/255.255.0.0 -j DROP
iptables -A FORWARD -i eth0 -s 192.168.0.0/255.255.0.0 -j ACCEPT
iptables -A FORWARD -i ppp0 -d 192.168.0.0/255.255.0.0 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE


Ich hab die regeln aus dieser howto http://www.gentoo.org/doc/en/home-router-howto.xml die meinen gentoo zum router machte...

Zusätzlich hatte ich noch testweise die hier eingefügt

iptables -t nat -A PREROUTING -p UDP --dport 1:65500 -i ppp0 -j DNAT --to 192.168.0.246

die einfach mal alle UDP ports zum telefon forwardete - die Regel hab ich mir selbst zurechtgebaut, ist doch richtig, oder?
derzeit ist sie nicht mehr drin, soll ich sie wieder reinpacken? wie kann ich denn testen ob das forwadring funktioniert??

Kann mir jemand mal bitte seine rules schicken mit denen das läuft?
 
Problem gelöst!

Ja Ja Ja es funzt!!

Ich habe jetzt noch zusätzlich die Regel

iptables -t nat -A PREROUTING -p TCP --dport 1:65500 -i ppp0 -j DNAT --to 192.168.0.246

eingebaut die den gesammten TCP-verkehr ebenfalls an das Telefon schickt, dann sagte das Telefon auch
"detected NAT type is full cone"
und es lief!

Ich habe direkt nach dem abheben ein Freizeichen, kann rauswählen und mich anrufen lassen, sprachquali scheint aber unterschiedlich zu sein - wenn ich angerufen werde ist sie etwas besser als wenn ich selbst anrufe.

Das mit der gesamten portrange ans Telefon Forwarden ist aber auch nicht sonderlich sinnvoll, ich werde sie in den nächsten Tagen mal einschränken und die ergebnisse hier posten damit nicht noch jemand mit meinem Problem 2 Tage mit dem BT101 kämpfen muss... :)

PS: Thx für die Hilfe@all
 
Das Telefon braucht aber definitiv keine TCP Ports :shock:
 
ganz recht - es braucht wirklich keine

um ganz genau zu sein, mit STUN braucht es noch nicht mal portforwardings (siehe RFC http://www.faqs.org/rfcs/rfc3489.html )

habe meine iptables komplett geleert und NUR folgendes eingetragen:

iptables -I INPUT 1 -i eth0 -j ACCEPT
iptables -I INPUT 1 -i lo -j ACCEPT
iptables -A INPUT -p UDP --dport bootps -i ! eth0 -j REJECT
iptables -A INPUT -p UDP --dport domain -i ! eth0 -j REJECT
iptables -A INPUT -p TCP -i ! eth0 -d 0/0 --dport 0:1023 -j DROP
iptables -A INPUT -p UDP -i ! eth0 -d 0/0 --dport 0:1023 -j DROP
iptables -I FORWARD -i eth0 -d 192.168.0.0/255.255.0.0 -j DROP
iptables -A FORWARD -i eth0 -s 192.168.0.0/255.255.0.0 -j ACCEPT
iptables -A FORWARD -i ppp0 -d 192.168.0.0/255.255.0.0 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Diese Config sperrt einfach alle known-ports 0-1023 aus dem Internet am Router (ppp0-device), und erlaubt alle verbindungen aus dem Lan (eth0-device) nach aussen und zurück durch masquerading

und es funktioniert einwandfrei!
Ich weiss nicht so recht was das gerät anfangs für eine macke hatte, aber jetzt meldet es "detected NAT type is symmetric NAT"

ich habe ihm mal testweise verschiedene IPs vom dhcp zuweisen lassen und PC inclusive Telefon mehrfach rebootet, und es klappt immernoch

Das hier ist die config:
[hr:f67d3553d3]
Product Model: BT100
Software Version: Program--1.0.5.11 Bootloader--1.0.0.18 HTML--1.0.0.37 VOC--1.0.0.6
Custom Ring Tone: ring1--1.0.0.0 ring2--1.0.0.0 ring3--0.0.0.0
(all zeroes means unavailable or unsupported)
detected NAT type is symmetric NAT

IP Address:
dynamically assigned via DHCP (default)

SIP Server: freenet.de (e.g., sip.mycompany.com, or IP address)
Outbound Proxy: iphone.freenet.de (e.g., proxy.myprovider.com, or IP address, if any)
SIP User ID: "freenet-username" (the user part of an SIP address)
Authenticate ID: "freenet-username" (can be identical to or different from SIP User ID)
Authenticate Password: *******
Name: "dein name" (optional, e.g., John Doe)

Advanced Options:
Preferred Vocoder:(in listed order) PCMU,PCMA,G723,G729,G726-32,G728,iLBC,G722
G723 rate: 6.3kbps encoding rate
iLBC frame size: 20ms
iLBC payload type: 99 (between 96 and 127, default is 98 )
Silence Suppression: No
Voice Frames per TX: 2 (up to 10/20/32/64 for G711/G726/G723/other codecs respectively
Layer 3 QoS: 48 (Diff-Serv or Precedence value)
Layer 2 QoS: 802.1Q/VLAN Tag 0 802.1p priority value 0(0-7)
Use DNS SRV: No
User ID is phone number: No
SIP Registration: Yes
Unregister On Reboot: No
Register Expiration: 60 (in minutes. default 1 hour, max 45 days)
Early Dial: No
Dial Plan Prefix: "nix" (this prefix string is added to each dialed number)
No Key Entry Timeout: 4 (in seconds, default is 4 seconds)
Use # as Dial Key: No
local SIP port: 5060 (default 5060)
local RTP port: 5004 (1024-65535, default 5004)
Use random port: No
NAT Traversal: Yes, STUN server is: iphone-stun.freenet.de (URI or IP:port)
keep-alive interval: 14 (in seconds, default 20 seconds)
Use NAT IP "nix" (if specified, this IP address is used in SIP/SDP message)
TFTP Server: 0.0.0.0 (for remote software upgrade and configuration)
Voice Mail UserID:*nix* (User ID/extension for 3rd party voice mail system)
SUBSCRIBE for MWI: No, do not send SUBSCRIBE for Message Waiting Indication
Auto Answer: No
Offhook Auto-Dial: *nix* (User ID/extension to dial automatically when offhook)
Enable Call Features: No
Disable Call-Waiting: No
Send DTMF: via SIP INFO
DTMF Payload Type: 101
Send Flash Event: No
NTP Server: time.nist.gov (URI or IP address)
Time Zone: "GMT +1:00"
Date Display Format: Day-Month-Year
Daylight Savings Time: Yes (if set to Yes, display time will be 1 hour ahead of normal time)
Default Ring Tone: system ring tone
Send Anonymous: No
Lock keypad update: No
[hr:f67d3553d3]

Damit funktioniert es endlich bei mir einwandfrei, wobei der Hauptteil der config einfach die Standardvorgaben des Telefons geblieben sind. Meine vermutung wieso es davor nicht klappte ist dass das STUN des Telefons irgendwie durch die Portforwardings, meine eigene frickelei am Router mit selbst gehosteten SIP-proxies, weggelassenen firewall-regeln, etc mehr verwirrt war als dass es geholfen hat und so sachen wie Open internet trotz NAT erkannte... :roll:

Deswegen der Tip an alle die ein ähnliches Problem haben:
Ruhig bleiben, iptables sauber einrichten, STUN braucht definitiv NUR NAT und KEINEN portforwarding/DMZ hickhack, schaut euch meine config an und passt eure dementsprechend an, schaut nach ob ihr noch irgendwelche iptable tables vergessen habt (iptables -L zeigt nicht alles an!!), bootet den rechner und das telefon neu - und schon läuft es rund :)

Ich denke wenn alles erstmal läuft kann man die config sicherlich noch bezüglich tonquali, trafficoptimierung, etc. verbessern - und das werd ich als nächstes in Angriff nehmen ;)
 
Hallo,
wo gibt man das ein.

iptables -I INPUT 1 -i eth0 -j ACCEPT
iptables -I INPUT 1 -i lo -j ACCEPT
iptables -A INPUT -p UDP --dport bootps -i ! eth0 -j REJECT
iptables -A INPUT -p UDP --dport domain -i ! eth0 -j REJECT
iptables -A INPUT -p TCP -i ! eth0 -d 0/0 --dport 0:1023 -j DROP
iptables -A INPUT -p UDP -i ! eth0 -d 0/0 --dport 0:1023 -j DROP
iptables -I FORWARD -i eth0 -d 192.168.0.0/255.255.0.0 -j DROP
iptables -A FORWARD -i eth0 -s 192.168.0.0/255.255.0.0 -j ACCEPT
iptables -A FORWARD -i ppp0 -d 192.168.0.0/255.255.0.0 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Gruß
Klaus
 
na an der bash - wo denn sonst?!

ggf musst du noch die IPtables installieren, ist zumindest bei gentoo-linux von nöten. Andere Distries bringen das wohl schon mit...

natürlich musst du die interfaces deinem netz entsprechend anpassen - bei mir ist eth0 die karte ins LAN und ppp0 Das PPPoE device ins internet...
 
Hallo,

@FieserKiller:

Deine Filterregeln sind ja ganz toll.. nur wofür benutzt Du überhaupt eine Firewall? Deine Filterregeln öffnen für einen Durchschnittshacker/ Virus/ Tojaner alle Tore!

Grüße Karsten

PS: Weiß denn hier jemand, welche UDP- Ports minimal benötigt werden?
 
Hi

Normal sollte das riechen:

Port: 5060 / UDP (SIP-Signalisierung)
Port: 5004-5007 / UDP (RTP, Sprache)
Port: 10000 UDP (STUN)
 
Manchmal ist es ganz einfach!

Freenet hatte "meine" Telefonnummer nicht freigeschaltet! Kein Wunder daß ich nicht angerufen werden konnte...
 
@Globetrotter:
Zeig mir mal bitte ein szenario auf, wo die filterregeln nicht greifen?!
was soll da gehackt werden? Ports bis 1023, also da wo die relevanten services des routers liegen sind aus dem internet nicht erreichbar, und ab port 1023 läuft kein dienst, bzw. keiner der nicht sicher ist.
Ich weiss nicht ob du iptable-regeln lesen und verstehen kannst, aber nach diesen wird überhaupt nichts ins lan geforwarded, denn das ist mit STUN auch nicht nötig. :p
 
Hallo - über das Firewallproblem könnt Ihr gerne in der entsprechenden Forumsrubrik diskutieren. Interessiert dort bestimmt auch andere Leute :wink:

Prima, daß das Telefon nun funktioniert :!:
 
und ab port 1023 läuft kein dienst, bzw. keiner der nicht sicher ist

Sorry, ich kenne KEINEN Dienst der zu 100% sicher wäre!
Daher, jeder offene Port ist ein schlechter Port man muß ja nicht gleich direkt an das System herankommen, es gibt auch genügend Möglichkeiten per Umweg.
@FieserKiller:
Ich wollte Dich nicht igendwie angreifen, sondern nur darauf aufmerksam machen.

Grüße
Globetrotter
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.