VoIP über VPN funktioniert über IPSec problemlos, aber gar nicht über Wireguard

[Tikan]

Ich hoffe mir kann hier jemand auf die Sprünge helfen...
Ich betreibe 2 7490 an 2 Standorten - verbunden über IPSec.
Auf der einen Seite ist ein IP-Telefon eingerichtet und auf der anderen Seite registriert sich eine Rufnummer darauf.
So ist es nach wie vor möglich zwischen beiden Standorten ohne externen Registrar intern zu telefonieren.

Nun mein Problem: Da Wireguard für die zusätzlich zur Telefonie laufenden Daten spürbar performanter ist, wollte ich nun die beiden Boxen per Wireguard verbinden. Das funktioniert auch alles problemlos. Geräte im jeweils anderen Netz sind ereichbar. ABER die Anmeldung der Rufnummer scheitert mit: "Gegenstelle antwortet nicht. Zeitüberschreitung." Stelle ich zurück auf IPSec geht es wieder.

Ich habe einiges hin und her probiert - erfolglos...
im Wesentlichen:
- die Box, die Registrar für VoIP ist auf Werkseinstellungen zurückgesetzt und alles von Hand neu eingetragen... (bin bei einigen anderen Einstellungen noch immer dabei...)
- die Box, die sich anmelden soll auf Werkseinstellungen zurückgesetzt, jedoch alles - ausser Netzwerk und Telefonie wieder aus der Sicherung geladen..

Google kennt so ein Problem eigentlich (mit meinen Suchbegriffen) nicht... So aussergewöhnlich wird das was ich versuche wohl nicht sein?

Viele Grüße

 

[stoney]

Hast Du bei der Providerauswahl "andere/weitere Anbieter" oder "weitere FRITZ!Box" bei der VoIP-Registrierung verwendet?

Ich meine das war hier schon mal ein Thema.

Außerdem wäre es interessant zu wissen, wie die Verbindung genau(/u] eingerichtet wurde.

 

[Tikan]

Bei der Box, die sich registrieren soll steht aktuell "anderer Anbieter", mit diesen Einstellungen funktioniert es auch (über IPSec) eine Auswahl "weitere FRITZ!Box" gibt es hier nicht. Bei beiden 7490 ist OS 7.6 installiert.

+ Außerdem wäre es interessant zu wissen, wie die Verbindung genau(/u] eingerichtet wurde.

Ich nehme an, Du meinst Die Einrichtung der VoIP Verbindung?

1. habe ich auf Box 2 ein Telefoniegerät eingerichtet
2. habe ich auf Box 1 eine Rufnummer eingerichtet, die sich auf Box 2 registriert.
das hat jahrelang mittels IPSec funktioniert
mit Wireguard gibt es bei der Registrierung einen Timeout
wie beschrieben wurde alles zurückgesetzt und (fast) alles neu eingerichtet.
aber internes VoIP geht nur über IPSec, nicht über Wireguard

Die Wireguard-Verbindung habe ich frisch aufgesetzt.
Auf der Box, die Registrar für VoIP ist eingerichtet, dann die Daten an der anderen Box importiert und die Verbindung steht.

 

[chrsto]

Ich glaube, es ging eher um Screenshots beider VPN Konfigurationen.

 

[PeterPawn]

Supportdaten -> SIP-Registrierungen ansehen, welches Interface vom voipd ausgewählt wird, sofern die Interface-Auswahl auf sipiface_automatic in der voip.cfg steht (vorher nachsehen in der Sicherung).

Generell einfach mal zum Thema sipiface suchen hier im Board …

 

[Tikan]

sipiface_automatic ist gesetzt - bei allen Accounts - (welches Interface verwendet wird, habe ich noch nicht gefunden), aber aufgefallen ist mir, dass, wenn die Verbindung mit Wireguard aufgebaut wird folgende Fehlermeldung kommt:
voipd: ERROR: 21(0.0.0.0:33767) (connecting to 192.168.xxx.1:5061) 'sip client': connect to 192.168.xxx.1:5061 failed - No route to host (148)

und bei der IPSec-Verbindung alles funktioniert

 

[Tikan]

Ich glaube, es ging eher um Screenshots beider VPN Konfigurationen.

womöglich habe ich das falsch verstanden..
Da die VoIP Verbindung zwischen den über VPN verbundenen Boxen über IPSec funktioniert, wird man auf der Weboberfläche imho nichts auffälliges finden. Falls Screenshots der Weboberfläche irgendwie bei der Problemlösung helfen könnten werde ich sie gern nachliefern..

 

[PeterPawn]

Da ist generell etwas faul, 192.168.xxx.1 ist KEINE gültige IPv4-Adresse. Da müssen (dezimale) Ziffern stehen anstelle der kleinen Buchstaben. Heutzutage dürfte es auch ziemlich wumpe sein, ob man lokale IP-Adressen "maskiert" (außer natürlich die 127.0.0.1, denn die ist ja unmittelbar die eigene(!) IPv4-Adresse und die verrät man besser niemandem) oder nicht - die Verwundbarkeiten, die aus der Kenntnis lokaler IPv4-Adressen im FRITZ!OS entstehen konnten durch XSS o.ä. Angriffe, sollten Geschichte sein (und jeder halbwegs kenntnisreiche Angreifer würde dafür inzwischen ohnehin die "Notfall-IP" verwenden) - hält man es dennoch für erforderlich, sollte man zumindest so "maskieren", daß die verwendete Maske zum Wertebereich der ursprünglichen Angabe paßt. Notfalls schreibt man dann eben noch dazu, daß es sich nicht um den tatsächlichen Wert handelt - aber früher habe ich das (zumindest im VPN-Kontext) tatsächlich auch häufig gemacht, heutzutage ist das nach meiner Überzeugung überflüssig.

Ansonsten stehen die Versuche der SIP-Registrierungen in einem gesonderten Abschnitt der Support-Datei und (afaik) auch die Suche in dieser Support-Datei nach sipiface sollte zu irgendwelchen Fundstellen führen, zumindest war das in der Vergangenheit der Fall, z.B. hier: https://www.ip-phone-forum.de/threa...-rufnummern-nicht-möglich.320330/post-2579870

 

[chrsto]

Von dem "No route to host" mal abgesehen. Mich stört in dem Zusammenhang auch der Verbindungsversuch auf Port 5061. Mir wäre neu, dass eine Fritz!Box intern verschlüsselte Telefonie unterstützt.

 

[Tikan]

Bei der intern eingerichteten Nummer steht wenn die Verbindung über Wireguard läuft und nicht funktioniert
<sipiface=voip): not registered timeout 0 -- reachability 40 % (overvoip)>

wenn sie über IPSec läuft und funktioniert
<sipiface=voip): registered ok 0 -- reachability 27 % (overvoip)>

was mich wundert ist die kleine Prozentzahl bei reachability...

Bei den externen Nummern steht
<sipiface=internet>


Die Portnr. 5061 stammt aus einer Spielerei von mir - das dazugehörige

No route to host

ist auch nicht mehr im Protokoll aufgetaucht...


Die grundsätzliche VoIP-Konfiguration muß ja im Moment stimmen, denn wenn die Geräte per IPSec verbunden sind funktioniert es.
Irgendwas ist anders wenn statt der IPSec - Verbindung die Wireguard- Verbindung verwendet wird...

Ich habe testweise das Transportprotokoll von Automatisch auf TCP umgestellt, dann funktioniert das Registrieren auch über Wireguard, weiteres werde ich testen.

 

[PeterPawn]

Man kann es auch mal mit "Verbindung über Internet herstellen" (oder wie auch immer das inzwischen genau heißt) probieren, vermutlich sucht sich der voipd dann das passende Interface etwas "smarter".

 

[Tikan]

[Edit Novize: Überflüssiges Fullquote des Beitrags direkt darüber gelöscht - siehe Forumsregeln]
das hatte ich probiert, als die Protokollauswahl noch auf automatisch stand, da hat sich die Rufnr. auch nicht registriert...

 

[PeterPawn]

OK, hatten wir vor nicht allzu langer Zeit (ich denke weniger als einem Monat) hie auch genau andersherum - da ging es dann nach der "Zuweisung" von sipiface_internet (wofür die angesprochene Option ja steht) wieder, nachdem zuvor ein Update zum Problem wurde.

EDIT: OK, das war dann eher das umgekehrte Problem, da ging die Anmeldung über eine IPSec-Verbindung plötzlich nicht mehr: https://www.ip-phone-forum.de/threa...mehr-nach-update-auf-8-0x.323306/post-2608836