Unzuverlässige SIP-Telefonie hinter Doppeltem NAT

[EVKGSys]

Hallo zusammen!

Mir haben sehr viele Posts aus diesem Forum schon in vielen Problemen weitergeholfen, allerdings fürchte ich, dass es nun an der Zeit ist, dass ich selbst einmal unter die Fragenden trete.

Ich administriere ein Netzwerk mit ca. 60 clients und um die 20 Telefonen, darunter jetzt in Ermangelung freier DECT-Plätze ein IP-Telefon des Typs SNOM D-120. Ich dachte mir: Ist ja einfach, Portfreigaben einrichten, Route einstellen und lostelefonieren. Pustekuchen. Zu Beginn lief alles nach einiger Bastelei und viel Nachlesen vernünftig und funktionierte. Jetzt ist es so, dass sporadisch die Telefonie mit diesem Gerät ab und an aussteigt, unzuverlässig ist, nicht funktioniert o.Ä. - das neuste war, dass das Telefon sich heute auf dem Display als unregistriert meldete. Ab und an wurde geklagt, dass von Außen versucht wurde anzurufen, bei uns blieb das Telefon allerdings stumm.

Nach einem Neustart des Telefons und des Routers läuft es jetzt erst einmal wieder, allerdings wurmt mich dieses Problem ungemein, sodass ich das doch gerne beheben würde, falls ich noch weitere IP-Telefone hinzufügen möchte/muss.

Das Netzwerk sieht folgendermaßen aus:
- WAN1 Router: Fritz!Box 6490 Cable (Fritz!OS 7.20) an Vodafone Business Kabeltarif
- WAN2 Router: Telekom Digitalisierungsbox Premium an Telekom Business DSL-Tarif
- Beide an: Failover Router DrayTek Vigor 2926 (Firmware 3.9.6)

Konfiguration der Fritte: DrayTek hat IP 192.168.0.254, Exposed Host
Konfiguration der Digibox: DrayTek hat IP 192.168.2.254, Exposed Host

DrayTek Konfiguration: Session-Based Load Balancing & Failover bei Ausfall eines der beiden WAN.
SNOM D-120 IP-Telefon mit Firmware 10.1.54.2 ist an der DrayTek angeschlossen.
Konfiguration der DrayTek im Zusammenhang mit SIP:
- Load-Balance Route: 10.10.11.75 immer über WAN1, kein Failover zulassen, Routing erzwingen
- ALG aktiv für 5060/SIP und 554/RTSP
- Firewall-Regel: 5060/SIP pass immediately
- NAT Open Ports: TCP/UDP 49152-49200 WAN1, Source IP ANY, 10.10.11.75 (auch im Telefon so konfiguriert)
- UPnP Enabled, Connection Control & Connection Status, WAN1

Konfiguration des SNOM Telefons:

Spoiler: SNOM Config

<settings>
<phone-settings e="2">
<language perm="">Deutsch</language>
<setting_server perm="RW">https://secure-provisioning.snom.com:443/snomD120/{mac}.htm</setting_server>
<ip_adr perm="RW">10.10.11.75</ip_adr>
<netmask perm="RW">255.255.255.0</netmask>
<dns_server1 perm="RW">10.10.11.8</dns_server1>
<dns_server2 perm="RW">10.10.11.6</dns_server2>
<dhcp perm="">off</dhcp>
<gateway perm="RW">10.10.11.1</gateway>
<utc_offset perm="RW">3600</utc_offset>
<system_time perm="RW">1618597504</system_time>
<ntp_server perm="">ptbtime1.ptb.de</ntp_server>
<http_user perm="">admin</http_user>
<http_pass perm=""></http_pass>
<dst perm="">3600 03.05.07 02:00:00 10.05.07 03:00:00</dst>
<timezone perm="">GER+1</timezone>
<backlight perm="">12</backlight>
<network_id_port perm="">5060</network_id_port>
<rtp_port_start perm="">49152</rtp_port_start>
<rtp_port_end perm="">49200</rtp_port_end>
<admin_mode_password perm=""></admin_mode_password>
<tone_scheme perm="">GER</tone_scheme>
<vol_speaker perm="">5</vol_speaker>
<vol_handset perm="">7</vol_handset>
<vol_ringer perm="">1</vol_ringer>
<update_host_f perm="RW"></update_host_f>
<date_us_format perm="">off</date_us_format>
<firmware_version perm="">snomD120-SIP 10.1.54.12</firmware_version>
<show_call_status perm="">on</show_call_status>
<enable_keyboard_lock perm="">off</enable_keyboard_lock>
<use_hidden_tags perm="">on</use_hidden_tags>
<uboot_version perm="">dvf97 master 2012.04.01 (Sep 11 2017 - 08:44:15)</uboot_version>
<backlight_idle perm="">0</backlight_idle>
<advertisement perm="">off</advertisement>
<dialnumber_us_format perm="">off</dialnumber_us_format>
<swupd_failed perm="RW"></swupd_failed>
<was_never_registered perm="">off</was_never_registered>
<user_active idx="1" perm="">on</user_active>
<user_realname idx="1" perm="">Tolga Aslan</user_realname>
<user_name idx="1" perm="">tolgaaslan</user_name>
<user_host idx="1" perm="">192.168.0.1</user_host>
<user_pname idx="1" perm="">tolgaaslan</user_pname>
<user_pass idx="1" perm=""></user_pass>
<user_srtp idx="1" perm="">off</user_srtp>
<user_symmetrical_rtp idx="1" perm="">off</user_symmetrical_rtp>
<user_idle_text idx="1" perm="">Tolga Aslan</user_idle_text>
<user_auto_connect idx="1" perm="">off</user_auto_connect>
<user_uid idx="1" perm="">fab518a2-8372-45de-83eb-00041382BF50</user_uid>
<user_sipusername_as_line idx="1" perm="">on</user_sipusername_as_line>
<user_dp_exp idx="1" perm="">  </user_dp_exp>
<user_ringer idx="1" perm="">Ringer9</user_ringer>
<user_was_registered idx="1" perm="">true</user_was_registered>
<stun_server idx="1" perm="">stun.dcalling.de:3478</stun_server>
<auth_tmp_pass idx="1" perm=""></auth_tmp_pass>
<auth_tmp_realm idx="1" perm=""></auth_tmp_realm>
<user_full_sdp_answer idx="1" perm="">off</user_full_sdp_answer>
<user_media_setup_offer idx="1" perm="">any</user_media_setup_offer>
<hide_identity idx="1" perm="">false</hide_identity>
<dnd_mode idx="1" perm="">off</dnd_mode>
<codec_priority_list idx="1" perm="">pcma,pcmu,g722</codec_priority_list>
<publish_presence idx="1" perm="">on</publish_presence>
<use_contact_in_refer_to_hdr idx="1" perm="">off</use_contact_in_refer_to_hdr>
</phone-settings>
<functionKeys e="2">
</functionKeys>
<tbook e='2'/></settings>

Letzter SIP Trace mit einem erfolgreichen ausgehenden Anruf (über Webinterface initiiert da ich im HO bin und per VPN eingeloggt) - ich habe auf Hangup geklickt nachdem es bei mir auf dem Handy geklingelt hat:

Spoiler: SIP Trace

Sent to Udp:192.168.0.1:5060 from Udp:10.10.11.75:5060 at Apr 16 20:37:38.217 (947 bytes):

INVITE sip:[email protected];user=phone SIP/2.0
Via: SIP/2.0/UDP 10.10.11.75:5060;branch=z9hG4bK-j97ov06m3ebd;rport
From: "xxx" <sip:[email protected]>;tag=qouy4xnxsy
To: <sip:[email protected];user=phone>
Call-ID: xxx
CSeq: 1 INVITE
Max-Forwards: 70
User-Agent: snomD120/10.1.54.12
Contact: <sip:[email protected]:5060>
X-Serialnumber: xxx
Accept: application/sdp
Allow: INVITE, ACK, CANCEL, BYE, REFER, OPTIONS, NOTIFY, SUBSCRIBE, PRACK, MESSAGE, INFO, UPDATE
Allow-Events: talk, hold, refer, call-info
Supported: timer, 100rel, replaces, from-change
Session-Expires: 3600
Min-SE: 90
Content-Type: application/sdp
Content-Length: 210

v=0
o=root 1757002341 1757002341 IN IP4 10.10.11.75
s=call
c=IN IP4 10.10.11.75
t=0 0
m=audio 49170 RTP/AVP 8 0 9
a=rtpmap:8 PCMA/8000
a=rtpmap:0 PCMU/8000
a=rtpmap:9 G722/8000
a=ptime:20
a=sendrecv

Received from Udp:192.168.0.1:5060 on Udp:10.10.11.75:5060 at Apr 16 20:37:38.221 (417 bytes):

SIP/2.0 401 Unauthorized
Via: SIP/2.0/UDP 10.10.11.75:5060;branch=z9hG4bK-j97ov06m3ebd;rport=47428
From: "xxx" <sip:[email protected]>;tag=qouy4xnxsy
To: <sip:[email protected];user=phone>;tag=A17EDC961A870B44
Call-ID: 313631383539383235303631383535-s06d4baf59ll
CSeq: 1 INVITE
WWW-Authenticate: Digest realm="fritz.box", nonce="C5EDDAA7319223CB"
User-Agent: FRITZ!OS
Content-Length: 0


Sent to Udp:192.168.0.1:5060 from Udp:10.10.11.75:5060 at Apr 16 20:37:38.229 (438 bytes):

ACK sip:[email protected];user=phone SIP/2.0
Via: SIP/2.0/UDP 10.10.11.75:5060;branch=z9hG4bK-j97ov06m3ebd;rport
From: "xxx" <sip:[email protected]>;tag=qouy4xnxsy
To: <sip:[email protected];user=phone>;tag=A17EDC961A870B44
Call-ID: 313631383539383235303631383535-s06d4baf59ll
CSeq: 1 ACK
Max-Forwards: 70
User-Agent: snomD120/10.1.54.12
Contact: <sip:[email protected]:5060>
Content-Length: 0


Sent to Udp:192.168.0.1:5060 from Udp:10.10.11.75:5060 at Apr 16 20:37:38.238 (1139 bytes):

INVITE sip:[email protected];user=phone SIP/2.0
Via: SIP/2.0/UDP 10.10.11.75:5060;branch=z9hG4bK-vuj3cupl863z;rport
From: "xxx" <sip:[email protected]>;tag=qouy4xnxsy
To: <sip:[email protected];user=phone>
Call-ID: 313631383539383235303631383535-s06d4baf59ll
CSeq: 2 INVITE
Max-Forwards: 70
User-Agent: snomD120/10.1.54.12
Contact: <sip:[email protected]:5060>
X-Serialnumber: 00041382BF50
Accept: application/sdp
Allow: INVITE, ACK, CANCEL, BYE, REFER, OPTIONS, NOTIFY, SUBSCRIBE, PRACK, MESSAGE, INFO, UPDATE
Allow-Events: talk, hold, refer, call-info
Supported: timer, 100rel, replaces, from-change
Session-Expires: 3600
Min-SE: 90
Authorization: Digest username="xxx",realm="fritz.box",nonce="C5EDDAA7319223CB",uri="sip:[email protected];user=phone",response="5823cbcaca0469a02e0473637d9c613d",algorithm=MD5
Content-Type: application/sdp
Content-Length: 210

v=0
o=root 1757002341 1757002341 IN IP4 10.10.11.75
s=call
c=IN IP4 10.10.11.75
t=0 0
m=audio 49170 RTP/AVP 8 0 9
a=rtpmap:8 PCMA/8000
a=rtpmap:0 PCMU/8000
a=rtpmap:9 G722/8000
a=ptime:20
a=sendrecv

Received from Udp:192.168.0.1:5060 on Udp:10.10.11.75:5060 at Apr 16 20:37:38.244 (370 bytes):

SIP/2.0 100 Trying
Via: SIP/2.0/UDP 10.10.11.75:5060;branch=z9hG4bK-vuj3cupl863z;rport=47428
From: "xxx" <sip:[email protected]>;tag=qouy4xnxsy
To: <sip:[email protected];user=phone>
Call-ID: 313631383539383235303631383535-s06d4baf59ll
CSeq: 2 INVITE
User-Agent: AVM FRITZ!Box 6490 Cable (lgi) 141.07.20 TAL (Aug 7 2020)
Content-Length: 0


Received from Udp:192.168.0.1:5060 on Udp:10.10.11.75:5060 at Apr 16 20:37:38.272 (700 bytes):

SIP/2.0 183 Session Progress
Via: SIP/2.0/UDP 10.10.11.75:5060;branch=z9hG4bK-vuj3cupl863z;rport=47428
From: "xxx" <sip:[email protected]>;tag=qouy4xnxsy
To: <sip:[email protected];user=phone>;tag=E03664E03C956B83
Call-ID: 313631383539383235303631383535-s06d4baf59ll
CSeq: 2 INVITE
Contact: <sip:[email protected]>
User-Agent: AVM FRITZ!Box 6490 Cable (lgi) 141.07.20 TAL (Aug 7 2020)
Content-Type: application/sdp
Content-Length: 206

v=0
o=user 12485322 12485322 IN IP4 192.168.0.1
s=call
c=IN IP4 192.168.0.1
t=0 0
m=audio 7080 RTP/AVP 9 8 0
a=rtpmap:8 PCMA/8000
a=rtpmap:0 PCMU/8000
a=rtpmap:9 G722/8000
a=sendrecv
a=rtcp:7081

Sent to Udp:192.168.0.1:5060 from Udp:10.10.11.75:5060 at Apr 16 20:37:41.028 (628 bytes):

CANCEL sip:[email protected];user=phone SIP/2.0
Via: SIP/2.0/UDP 10.10.11.75:5060;branch=z9hG4bK-vuj3cupl863z;rport
From: "xxx" <sip:[email protected]>;tag=qouy4xnxsy
To: <sip:[email protected];user=phone>
Call-ID: 313631383539383235303631383535-s06d4baf59ll
CSeq: 2 CANCEL
Max-Forwards: 70
User-Agent: snomD120/10.1.54.12
Reason: SIP;cause=487;text="Request terminated by user"
Authorization: Digest username="xxx",realm="fritz.box",nonce="C5EDDAA7319223CB",uri="sip:[email protected];user=phone",response="60c6beffb8c0c0f2f70877a51be29cba",algorithm=MD5
Content-Length: 0


Received from Udp:192.168.0.1:5060 on Udp:10.10.11.75:5060 at Apr 16 20:37:41.309 (402 bytes):

SIP/2.0 487 Request Cancelled
Via: SIP/2.0/UDP 10.10.11.75:5060;branch=z9hG4bK-vuj3cupl863z;rport=47428
From: "xxx" <sip:[email protected]>;tag=qouy4xnxsy
To: <sip:[email protected];user=phone>;tag=E03664E03C956B83
Call-ID: 313631383539383235303631383535-s06d4baf59ll
CSeq: 2 INVITE
User-Agent: AVM FRITZ!Box 6490 Cable (lgi) 141.07.20 TAL (Aug 7 2020)
Content-Length: 0


Sent to Udp:192.168.0.1:5060 from Udp:10.10.11.75:5060 at Apr 16 20:37:41.322 (630 bytes):

ACK sip:[email protected];user=phone SIP/2.0
Via: SIP/2.0/UDP 10.10.11.75:5060;branch=z9hG4bK-vuj3cupl863z;rport
From: "xxx" <sip:[email protected]>;tag=qouy4xnxsy
To: <sip:[email protected];user=phone>;tag=E03664E03C956B83
Call-ID: 313631383539383235303631383535-s06d4baf59ll
CSeq: 2 ACK
Max-Forwards: 70
User-Agent: snomD120/10.1.54.12
Contact: <sip:[email protected]:5060>
Authorization: Digest username="xxx",realm="fritz.box",nonce="C5EDDAA7319223CB",uri="sip:[email protected];user=phone",response="f16616524771d192d6bbad5f44583bfd",algorithm=MD5
Content-Length: 0


Received from Udp:192.168.0.1:5060 on Udp:10.10.11.75:5060 at Apr 16 20:37:41.337 (437 bytes):

SIP/2.0 200 OK
Via: SIP/2.0/UDP 10.10.11.75:5060;branch=z9hG4bK-vuj3cupl863z;rport=47428
From: "xxx" <sip:[email protected]>;tag=qouy4xnxsy
To: <sip:[email protected];user=phone>
Call-ID: 313631383539383235303631383535-s06d4baf59ll
CSeq: 2 CANCEL
User-Agent: AVM FRITZ!Box 6490 Cable (lgi) 141.07.20 TAL (Aug 7 2020)
Supported: 100rel,replaces,timer
Allow-Events: telephone-event,refer
Content-Length: 0

Die falschen Timestamps bitte ignorieren, das lag daran, dass das Telefon den standardmäßig konfigurierten Zeitserver nicht erreichen konnte. Das habe ich mittlerweile korrigiert und einen erreichbaren eingetragen. Die beiden DNS-Server, die konfiguriert sind, sind zwei Pi-Hole VMs die keine Werbeblockierung machen, sondern nur Filter wie Malwaredomains o.Ä. enthalten, also konfiguriert werden könnten.

Ich bin für jede Hilfe dankbar.
-Fabian

 

[chrsto]

Über wen läuft denn die Telefonie (Anbieter? SIP Trunk mit Durchwahl oder einzelne Rufnummern?) und wie sind die restlichen Telefone angebunden? SIP? Telefonanlage?

 

[sonyKatze]

Wenn ich das SIP-Trace richtig lese, dann ist das Snom in der FRITZ!Box Cable als IP-Telefon eingerichtet. Richtig? Vielleicht ganz dumme Rückfrage: Wenn die Telefonie auf der Fritte genutzt wird, warum das Snom nicht direkt in die FRITZ!Box stecken – wirklich das Ethernet-Kabel – also ganz ohne Failover DrayTek? Das Snom funktioniert sowieso nicht, wenn Vodafone Cable ausfällt. Hast Du das wenigstens testweise probiert, um den DrayTek als Ursache auszuschließen?

 

[EVKGSys]

Die Telefonie läuft über Vodafone Kabel - das SNOM ist als IP-Telefon in der Fritte eingestellt, das ist richtig. Ich hatte auch schon im Sinn, das Telefon dort per Kabel direkt anzuschließen. Das Problem ist hierbei allerdings der Standort des Telefons, ich müsste sonst ein weiteres Kabel quer durch die Räumlichkeiten ziehen. Das ist leider keine Option. Testweise probiert hatte ich das auch noch nicht, bisher lief ja alles stabil. Nur seit einigen Tagen zickt das SNOM herum.

Gerade jetzt schon wieder - es beschwert sich, die Identität sei unregistriert. Ich probiere gerade, die Firmware auf die neueste verfügbare Version zu aktualisieren. Allerdings kann das Telefon anscheinend den Update-Server nicht erreichen und nichts, was in irgend einer Form DNS verwendet, scheint zu funktionieren. NTP geht nicht, Software Update geht nicht, SIP geht nicht... das einzige, was zuverlässig funktioniert, ist der Login per Webinterface. Ich schließe das Telefon gleich mal direkt an die Fritte an und stelle wieder auf DHCP, dann schauen wir mal, ob es sich dann telefonieren lässt.

Wenn das so weiter geht, und obiges ohne Probleme funktionieren sollte, denke ich darüber nach, das DECT-Telefon an diesem Standort zu annektieren und das SNOM direkt an der Fritte zu betreiben... aber eins nach dem anderen.

Edith sagt: Direkt an der Fritte funktioniert es (wie solls auch anders sein) auf Anhieb.

 

[Kalle2006]

Der DrayTek ist meiner Meinung nach überflüssig, denn die DigiBox Premium kann auch Dual-WAN.

 

[sonyKatze]

Wenn das so weiter geht, und obiges ohne Probleme funktionieren sollte, denke ich darüber nach, das DECT-Telefon an diesem Standort zu annektieren und das SNOM direkt an der Fritte zu betreiben... aber eins nach dem anderen.

Wenn Du ein Tisch-Telefon brauchst, kannst Du auch zum Gigaset T480HX greifen. Auch wenn Du den DrayTek rauswirfst und stattdessen die Digitalisierungsbox Premium als Dual-WAN-Router nimmst, hast Du dann immer noch eine Firewall zwischen FRITZ!Box und Snom. Wir müssten in beiden Fällen mittels Protokoll-Mitschnitt schauen, was genau schief geht. Spontan fällt mir nichts ein.

 

[Theo Tintensich]

Die Telefonverbindungen dürfen natürlich nicht banciert werden, dieser verkehr muss vom DrayTeck also immer zur F!B geleitet werden.