Yealink T41S geht hinter Router, hinter 2tem aber nicht

[hausrocker]

Ich habe einen Speedport Hybrid und dahinter direkt eine Fritzbox 7490 hängen. Wegen Komfortfunktionen.
Schließe ich mein Yealink direkt hinter dem Speedport an, funktioniert Telefonie einwandfrei.
Schließe ich das Yealink aber hinter der Fritzbox an, also hinter 2 mal NAT, dann funktioniert die Registrierung, Anrufe werden signalisiert.
Ruft man vom z.B. iPhone das Yealink an, kann man am Yealink den Anrufer auf dem iPhone nicht hören. Auf dem iPhone hört man den Teilnehmer am Yealink aber anders rum nicht.

Ich habe sowohl Sipage als auch eine Telekom Nummer im Yealink registriert. Kein Unterschied.

Muss ich da irgendwo Ports weiterleiten oder freigeben oder so?
Wie finde ich den Fehler?
Danke für Hilfe

 

[KunterBunter]

Vermutlich schickt der Provider den RTP-Stream an die private IP-Adresse der Fritzbox, weil die private IP-Adresse fälschlicherweise an den Provider übertragen wurde. Mit Wireshark kannst du das verifizieren. STUN könnte dem abhelfen.
Aber Doppel-NAT ist eh Mist, wenn es keinen triftigen Grund dafür gibt.

 

[hausrocker]

Mit konfiguriertem STUN geht es. Aber da ich nicht pro Konto einen Stun konfigurieren kann geht nur entweder sipgate mit stun.sipgate.net oder telekom mit stun.t-online.de
Gibt es da noch einen Trick?

 

[KunterBunter]

Ja, natürlich. Ein STUN-Server ist immer gleich. Es geht jeder bei jedem. Such dir den zuverlässigsten aus. Oder nimm stun.1und1.de

 

[hausrocker]

Telekom geht aber wohl nur mit Telekom Stun?
Mit 1und1 geht zwar sipgate aber Telekom dann nicht.

 

[KunterBunter]

Dann hast du noch einen andern Fehler drin. Also doch wiresharken?

 

[hausrocker]

Blockiert nicht zufällig der Telekom STUN andere Anbieter? Oder umgekehrt?
Weil mit Telekom STUN geht Telekom aber nicht Sipgate. Mit Sigpage oder 1und1 Stun geht Sipgate aber nicht Telekom.

Wie schneide ich das denn am besten mit? Bleibt doch quasi nur diese Mitschneidefunktion auf der Fritzbox oder? Ansonsten muss ich da ja einen Hub dazwischen packen und auf PC dann Wireshark nehmen oder was ist da der beste weg?

 

[sonyKatze]

Normalerweise müsste völlig egal sein, welchen STUN-Server Du nimmst; auch für alle drei den selben nehmen müsste egal sein. Folglich ist was anderes krumm (oder ich stehe gerade auf der Leitung). Was spricht gegen ein Mitschneiden mittels FRITZ!Box? Ansonsten schneidest Du im Yealink selbst mit (Packet-Capture). Ansonsten holst Dir einen konfigurierbaren Switch und aktivierst Port-Mirroring. Aber die eigentliche Frage bleibt:
1. Warum macht die FRITZ!Box NAT; warum ist sie nicht im Modus IP-Client?

Speedport Hybrid

2. Wird der Internet-Anschluss auch Hybrid genutzt oder läuft alles über DSL?

 

[hausrocker]

Mitschnitt über Fritzbox und das Routing Interface:
Man sieht wohl, dass das Yealink (192.168.0.187) fleißig mit der IP vom Speedport kommuniziert (192.168.2.1):

[Edit Novize: Riesenbild gemäß der Forumsregeln auf Vorschau verkleinert]

Aber so richtig, was ich da jetzt rauslesen soll, weiß ich leider nicht.
Kann mir da noch jemand helfen?

Verbindung über den Sipgate Account hat so nicht funktioniert.
Die Verbindung geht über den Speedport Hybrid, weil die DSL Verbindung sonst einfach zu langsam ist.
Nur der Speedport Hybrid kann diesen speziellen Tunnel aufbauen von der Telekom, bei dem dann LTE und DSL gleichzeitig und nicht nur parallel verwendet werden.
Die Fritzbox soll aber über all ihre Komfortfunktionen mit Benachrichtigungen etc., auch als DHCP Server laufen und eben nicht der Speedport. VPN etc.

Für VoIP hat der Speedport meiner Info nach eine Regel drin, die das automatisch nur über DSL schickt.
Telefonie selbst direkt am Speedport über Speedport ISDN Adapter (und im nächsten Schritt die Fritzbox) funktioniert auch einwandfrei.

 

[sonyKatze]

Für VoIP hat der Speedport meiner Info nach eine Regel drin, die das automatisch nur über DSL schickt.

Dann solltest Du testweise Hybrid ausschalten, um so gegenzutesten, ob die Regel greift. Ist auch erstmal einfacher für das Debugging von dem Problem hier.

all ihre Komfortfunktionen mit Benachrichtigungen etc.

1. Welche Funktion(en) genau geht im FRITZ!Box-Modus IP-Client dann nicht?
2. Was spricht dagegen, das Yealink nicht hinter der FRITZ!Box zu betreiben sondern direkt am Telekom Speedport Hybrid?

was ich da jetzt rauslesen soll, weiß ich leider nicht.

Laut dem Mitschnitt schickt das Yealkink (IP: …0.187) seine Audio-Daten (RTP) nicht an Sipgate sondern an …1.2. Das siehst aus, als würde dieser Telekom Speedport irgendein Application-Layer-Gateway (ALG) für SIP/RTP spielen. Die Frage ist, ob sich durch diese RTP-Pakete die Firewall in der FRITZ!Box öffnet. Offenbar nicht, denn es kommt kein RTP von Sipgate an.

3. Geschah dieser Mitschnitt im Heimnetz (LAN) der FRITZ!Box oder am WAN der FRITZ!Box?​

4. Wir müssten mal in Frame 1449 schauen (also im ersten ankommenden SIP-INVITE), was dort im SDP als c= IP-Adresse steht.​

​

Ich kenne den Telekom Speedport Hybrid zu wenig. Kann man den irgendwie einstellen, dass der kein SIP-ALG machen soll? Laut Telekom-Hilft, angeblich so … Alternativ: Bei Sipgate kannst Du auch SIP-over-TLS nehmen. So griffe der SIP-ALG ebenfalls nicht. Eine andere Alternative – eine Haudrauf-Methode – wäre das Yealink in der FRITZ!Box als Exposed-Host zu konfigurieren.

 

[hausrocker]

Die Fritzbox ist dann nicht DHCP, VPN Server, nicht das System auf dem ich alle Portweiterleitungen konfiguriere.
Das Yealink direkt hinter dem Speedport hat den Nachteil, dass die Geräte dann ja den VPN Tunnel nicht nutzen können oder ich den Gateway dann auf die LAN IP der Fritzbox legen muss, wenn es kein "route add" gibt, wie auf dem Yealink.
Der Mitschnitt war auf LAN der Fritzbox. Welche Schnittstelle soll ich denn am besten nehmen?
Die Info, was in dem Paket steht schaue ich nachher mal nach. Aber wenn da nicht das richtige steht, wie stelle ich das denn um?
Und bezüglich DMZ: Das Problem ist schon, dass ich im Speedport Hybrid nicht den Port 5060 weiterleiten kann, den will der speedport für sich selbst.

Und eben durch den VPN Tunnel habe ich das selbe Verhalten, dass die Gegenseite mich hören kann, ich aber die Gegenseite nicht.
Wenn der Speedport Hybrid SIP ALG machen würde, würde er das nicht auch für direkt hinterm Speedport hängende Geräte dann machen und das filtern/stören?

 

[sonyKatze]

Port 5060 brauchst Du nicht. Was wir bräuchten wären die RTP-Ports. Die sind vermutlich dynamisch. Daher DMZ. Aber das DMZ konfigurierst Du in der FRITZ!Box und nicht im Telekom Speedport.

wie stelle ich das denn um?

Indem Du den SIP-ALG im Telekom Speedport ausschaltest. Aber erstmal ein Schritt nach dem anderen. Erstmal müssen wir wissen, ob das tatsächlich das Problem ist und was genau im SDP steht.

Wenn der Speedport Hybrid SIP ALG machen würde, würde er das nicht auch für direkt hinterm Speedport hängende Geräte dann machen und das filtern/stören?

Ja, aber dann ist das egal, weil er seine Firewall entsprechend konfiguriert. Das Problem ist, dass der Telekom Speedport hier Pakete wild herumschickt und die Firewall der FRITZ!Box nichts von ihrem Glück weiß.

Welche Schnittstelle soll ich denn am besten nehmen?

Der Mitschnitt war schon gut. Zusätzlich bzw. jetzt bräuchten wir aber noch die WAN-Schnittstelle (1. Internet) der FRITZ!Box. Die Frage ist, ob die von Sipgate kommenden RTP-Pakete auch bei der FRITZ!Box ankommen oder ob die vorher schon (Telekom Speedport oder noch weiter davor) abhanden kommen.

Die Fritzbox ist dann nicht DHCP

Muss ja nicht, macht der Telekom Speedport eh schon. Oder anders formuliert: Das ist erstmal kein Begründung.

Die Fritzbox ist dann nicht […] das System auf dem ich alle Portweiterleitungen konfiguriere. Oder anders formuliert: Das ist erstmal kein Begründung.

Muss ja nicht, macht der Telekom Speedport eh schon. Oder anders formuliert: Das ist erstmal kein Begründung.

Die Fritzbox ist dann nicht […] VPN Server

Das müsste ich nochmals schauen, aber das müsste auch so im Modus IP-Client gehen. Oder anders formuliert: Das ist erstmal kein Begründung.

Um es nochmals deutlich zu machen:

• Doppel-NAT ist das Schlimmste was Du bei VoIP/SIP machen kannst.
• SIP-ALG ist das Schlimmste, was Du bei VoIP/SIP machen kannst.

Du siehst die Unlogik der beiden Sätze? Die Kombination von beidem ist völliges Glücksspiel, weil jede Änderung für das Eine wieder etwas völlig Unvorhergesehenes für das Andere bedeutet kann. Nebenbei bzw. als Beispiel: Wenn Du das SIP-ALG behalten willst, solltest Du STUN im Yealink abschalten. Vermutlich geht dann erstmal noch weniger. Aber so hätten wir eine Glückskugel weniger.

Daher würde ich so gerne wenigstens vom Doppel-NAT weg. Und da bräuchten wir wirklich harte Fakten, warum Du bei Doppel-NAT bleiben musst.

 

[pw2812]

Welche Funktion(en) genau geht im FRITZ!Box-Modus IP-Client dann nicht?

Die Fritzbox ist dann nicht [...] VPN Server, nicht das System auf dem ich alle Portweiterleitungen konfiguriere.

Link: https://avm.de/service/fritzbox/fri...show/3244_FRITZ-Box-als-IP-Client-einrichten/

Siehe dort "Voraussetzungen/Einschränkungen". Ich meine sogar (aber das weiß ich jetzt nicht genau), das der VPN-Tab im IP-Client-Modus gar nicht angezeigt wird.

 

[hausrocker]

Ok. Ich sehe schon, irgendwie muss wohl das Doppel NAT weg. Aber wie, wenn ich den VPN Teil z.B. weiterhin brauche. Den hat der Speedport ja gar nicht. Und dafür irgendwas anderes einrichten...

Verbindung mit TK Anlage via VPN:
Wenn ich auf der 1. Internetverbindung mitschneide, ist weder die IP von der Telefonanlage, noch die vom Yealink im Trace. Nur die LAN IP vom Speedport mit 2.1 und die WAN IP vom Drytek.
An sich bin ich ja davon ausgegangen, dass ich mit dem VPN Tunnel durch den Speedport komplett durch bin und der an den Daten im Tunnel auch nichts rumfuschen kann mit NAT oder SIP ALG.
Der Trace zeigt auch Null Pakete wenn ich nach SIP filter.

Wenn ich das auf der Routingschnittstelle mitschneide:

und


Warum will das Yealink auf einmal die 82.70 - das ist ein Lancom Router vor dem Drytek kontaktieren? Den habe ich heute auch kontrolliert, SIP ALG ist ausgeschaltet.

Der andere Anbieter:

Verbindung mit sipgate ohne Stun:

Klingelt auch und aber Gegenseite nicht hörbar.
2.100 ist die WAN Schnittstelle von der Fritzbox, das mit 217... vermutlich der sipgate server.
RTP geht von 2.100 zu 2.1, also Fritzbox WAN zu Speedport LAN.

Beim Speedport SIP ALG deaktivieren ist wohl nicht so einfach und heißt dann für immer firmware mit dieser Spezialversion aktualisieren, weil sonst LTE evtl. nicht mehr funktioniert. Klingt nicht so schön.
Wäre ja praktisch, wenn ich auf dem Speedport oder von mir aus der Fritzbox NAT deaktivieren und echtes Routing aktivieren könnte.

 

[sonyKatze]

Lancom, DrayTek … was ist los?
Kannst Du bitte ein Netz mal komplett schildern bzw. für das Debugging nicht nur LTE sondern auch alle VPNs ausschalten? Wenn LTE und VPN aus ist, dann dürfte Dein Heimnetz nur noch aus Telekom Speedport Hybrid, FRITZ!Box 7490 und Yealink T41S bestehen.

für VPN irgendwas anderes einrichten …

Ist vergleichsweise schnell aufgesetzt. Neuen Thread starten oder spezialisiertes Diskussionsforum suchen. Also nur wegen VPN würde ich am Doppel-NAT nicht festhalten; an einer FRITZ!Box 7490 schon gar nicht.

Wenn ich auf der 1. Internetverbindung mitschneide …

Das ist normal. Das Yealink ist lokal in hinter der FRITZ!Box. Wenn das Yealink nach außen redet, siehst das für den Telekom Speedport so aus, als wäre es die FRITZ!Box.

Was mich wundert ist, dass Du vor der FRITZ!Box auch keine ankommenden RTP-Pakete siehst. Das würde darauf hindeuten, dass bereits der Telekom Speedport jene Pakete verwirft (oder Sipgate Dir jene Pakete gar nicht schickt). Meine Tipps, wenn Du weiter probieren willst,
a) nimm SIP-over-TLS statt -UDP, dann greift das SIP-ALG im Telekom Speedport nicht. Oder
b) nimm IPv6 statt IPv4, dann hat Du Dir in Deinem Glücksspiel komplett neue Karten gezogen.

 

[hausrocker]

Ich habe zwei Standorte: Home Office und Firma.
Im Home Office: Speedport Hybrid als Internetverbindung, dahinter die Fritzbox. Hinter der Fritzbox das Yealink (bzw. 2: T41S und T48G)

Firma: Draytek Dual WAN Router mit ADSL Verbindung auf dem einen WAN Port und am zweiten WAN Port ist ein Switch dran, an dem ein mal der Telekom Glasfaseranschluss hängt und ein Lancom Router der als SIP Trunk für die Swyx/Netphone Telefonanlage konfiguriert ist. Vom Lancom aus geht es ins LAN auf einen Switch. Der ist aber an sich nirgendwo als Gateway konfiguriert.

Und vom Draytek geht es auch ins LAN. Klingt mir auch etwas wie eine Schleife...

Und auf dem Yealink sind aktuell 3 Telefonnummern registriert: Telekom, Sipgate und NetPhone. NetPhone durch einen Tunnel der zwischen Draytek und Fritzbox aufgebaut ist.

Und alle haben das Problem mit Gegenseite nicht hören können. Evtl. aus unterschiedlichen Gründen.

edit: So, Teil 1 habe ich gelöst: NetPhone funktioniert, nachdem ich auf dem Lancom, der im NetPhone als Trunk eingetragen ist eine Route hinzugefügt habe für das neue Home Office VPN. Jetzt geht auch Sprache in beide Richtungen.
Sieht so aus:
Die Route mit 84.0 war schon drin, das ist ein über einen anderen draytek angeschlossene Zweigstelle. Das mit 0.0 ist mein Netzwerk. Die NetPhone TK Anlage gibt die SIP Sache quasi nur weiter an den Lancom. Die eigentliche RTP Verbindung haben dann jetzt der Lancom und mein Yealink via Tunnel zwischen Draytek und Fritzbox. Der Speedport kann nichts machen und auch mit seinem SIP-ALG ja die VPN Tunnel Daten nicht behindern. So habe ich mir das schon mal vorgestellt. Sehr schön.

Bleibt noch SIP Gate...
Ich habe ja schon mal gesucht: Wie sind denn die SIP over TLS Einstellungen von Sipgate? Die Anleitung bei denen sagt nur etwas von UDP. Und ich habe auch nur den gratis Account da.
Einfach umstellen von UDP auf TCP oder auch TLS hat nicht ausgereicht. Dann schlägt die Registrierung fehlt.

 

[sonyKatze]

ich habe auch nur den gratis Account da

Sipgate Basic? Dann hier lang …
Zum Test solltest Du alles abbauen, also nur noch Telekom Speedport Hybrid, AVM FRITZ!Box 7490 und Yealink T41S.

 

[hausrocker]

Was muss ich da denn genau umstellen, damit TLS funktioniert? Einfach nur im Webinterface das verlinkte Zertifikat hochzuladen bei "trusted Certificates", dann beim Account auf den Server mit tls01.sipgate.de wechseln bei Server Host, als Transport Protokoll dann TLS auswählen hat nicht gereicht.

Das mit dem VPN Teil habe ich nur mal mit angefügt als Info, weil ich dachte, dass da ja STUN und co. außen vor sind und das Ergebnis trotzdem das selbe ist, mit Gegenseite nicht hörbar. Das Resultat war aber zwar das selbe, der Auslöser aber ein anderer. Aber das ist ja erledigt. Mit neuster Firmware nimmt der Draytek jetzt auch die WAN2 Verbindung freundlicher Weise für den Tunnel.

Dass Sipgate nicht geht, ist nicht sooo schlimm an sich. Da kann ich eh nur angerufen werden. Aber wäre natürlich schöner, wenn das auch klappt.

Wenn du mir also noch sagen kannst, was ich da für TLS alles umstellen muss, neben den Sachen da oben, wäre das toll.

 

[sonyKatze]

Mhm. Sipgate hat sich wieder ein neues, anderes Zertifikat geholt. Ich werden den anderen Thread anpassen.

Yealink Web-Interface → Account → Register → Account x →

• Line Active: Enabled
• Register Name: siehe Sipgate Basic Web-Interface → Telefone → SIP-ID
• Username: das selbe wie bei „Register Name“
• Password: …
• SIP Server 1
  • Server Host: sip.sipgate.de
  • Port: 0
  • Transport: TLS

Was Du unter dem Reiter „Security → Trusted Certificates“ angibst, ist egal. Bei mir ist „Only Accept Trusted Certificates“ und „Common Name Validation“ aktiv. Weil Yealink dem Trust-Anchor „DigiCert Global Root G2“ von Haus aus vertraut, erlaubt Yealink nicht jenes Zertifikat erneut zu installieren. Entsprechend muss „CA Certificates“ auf „All“ stehen. Wenn Dir das alles zu heikel ist, stelle beides auf „Disabled“. Dann authentifizierst Du Sipgate nicht; jemand könnte sich dazwischen schalten und mithören. Das wäre in Deinem Szenario kein Sicherheitsverlust, denn vorher konnte man Deine Gespräche dank UDP sowieso mitlesen. Aber wenn Du mutig bist, kannst Du unter Account → Advanced → RTP Encryption (SDES-sRTP) auf „Fallweise“ (Yealink: Optional) oder sogar „Verpflichtend“ (Yealink: Compulsory) stellen. Das habe ich mit Sipgate nicht ausgiebig getestet. Lass es lieber aus. Hier in Deinem Szenario geht es allein darum ein SIP-ALG zu umgehen.

 

[hausrocker]

Registrierung ging als ich den Sipgate Proxy entfernt habe und Testanruf bei 10000 und 10005 hat auch funktioniert, ich kann die Nummer aber nicht anrufen... Dann kommt tututut, wie Teilnehmer nicht verfügbar. Im Log auf der sipgate Webseite sehe ich dann 2 verpasste Anrufe als Einträge mit gleicher Uhrzeit. Auch wenn ich ja nur ein mal angerufen habe.