Discussion:
VOIP der FritzBox hinter Firewall
(zu alt für eine Antwort)
Klose, Alex
2010-01-22 10:26:18 UTC
Permalink
Servus alle zusammen,

kurze Beschreibung der Konstellation:

Firewall-PC mit Securepoint 2010-Firewall-Software und DSL-Modem
am internen Netzwerk hängen diverse PCs und eine FritzBox 7170 mit
eingeschalteter VOIP-"Funktion" und 3 Telefonen.

Ich habe nun die Fritzbox entsprechend der Anleitung von AVM
konfiguriert, feste IP eingetragen usw.
VOIP funktionierte dann auch prima - allerdings nur bis zum
nächsten Tag. Wenn ich die Firewall jetzt aber einmal neu starte,
dann läuft die FritzBox wieder ne Weile (max. 1 Tag) dann
geht wieder nichts mehr.

Jetzt die Frage zur Konfiguration:

Firewall: Ich habe eine Regel erstellt die es erlaubt das die Fritzbox
auf allen Ports ins Internet senden darf.
Eingehend werden nur die Ports 5060 und 7078-7097 an die Fritzbox
erlaubt und weitergeleitet.

Habe ich etwas übersehen? - Stimmen die Port nicht oder woran
könnte der Fehler liegen?

Vielen Dank schonmal für eure Mithilfe.

Viele Grüße

Alex Klose
Andreas Cammin
2010-01-22 21:52:26 UTC
Permalink
Post by Klose, Alex
Firewall-PC mit Securepoint 2010-Firewall-Software und DSL-Modem
am internen Netzwerk hängen diverse PCs und eine FritzBox 7170 mit
eingeschalteter VOIP-"Funktion" und 3 Telefonen.
Ich habe nun die Fritzbox entsprechend der Anleitung von AVM
konfiguriert, feste IP eingetragen usw.
VOIP funktionierte dann auch prima - allerdings nur bis zum
nächsten Tag. Wenn ich die Firewall jetzt aber einmal neu starte,
dann läuft die FritzBox wieder ne Weile (max. 1 Tag) dann
geht wieder nichts mehr.
Da du offenbar keine der Applikationen auf der SP nutzt, mutet das
merkwürdig an.
Post by Klose, Alex
Firewall: Ich habe eine Regel erstellt die es erlaubt das die Fritzbox
auf allen Ports ins Internet senden darf.
Eingehend werden nur die Ports 5060 und 7078-7097 an die Fritzbox
erlaubt und weitergeleitet.
Habe ich etwas übersehen? - Stimmen die Port nicht oder woran
könnte der Fehler liegen?
Nicht ganz ausgeschlossen, nur sollte bei Konfigurationsfehlern auf der
FW es entweder gehen oder halt nicht. Hast du vielleicht irgendwelche
Drops vom/zum SIP-Server im Livelog?

Hast du schon mal den Support bei SP gefragt? Die helfen in der Regel
schnell und unbürokratisch weiter und können einiges an Hilfestellung
gewähren um den Fehler zu analysieren.

Andreas
Klose, Alex
2010-01-27 09:54:49 UTC
Permalink
Hallo Andreas,

vielen Dank für deine Antwort.
Post by Andreas Cammin
Post by Klose, Alex
Firewall-PC mit Securepoint 2010-Firewall-Software und DSL-Modem
am internen Netzwerk hängen diverse PCs und eine FritzBox 7170 mit
eingeschalteter VOIP-"Funktion" und 3 Telefonen.
Ich habe nun die Fritzbox entsprechend der Anleitung von AVM
konfiguriert, feste IP eingetragen usw.
VOIP funktionierte dann auch prima - allerdings nur bis zum
nächsten Tag. Wenn ich die Firewall jetzt aber einmal neu starte,
dann läuft die FritzBox wieder ne Weile (max. 1 Tag) dann
geht wieder nichts mehr.
Da du offenbar keine der Applikationen auf der SP nutzt, mutet das
merkwürdig an.
Das verstehe ich jetzt nicht so richtig. Wie meinst du das ich nutze
keine Applikationen auf der Firewall? POP3-Proxy, HTTP-Proxy usw. sind
aktiv und werden auch genutzt. Die Firewall baut direkt die Verbindung
über ein DSL-Modem ins Internet auf und die FritzBox macht nur die
VOIP-Funktionalität weil ich dort die Telefone angeschlossen habe.
Den VOIP-Gateway von der Firewall hatte ich auch schon aktiviert, aber
das Verhalten bleibt genau gleich.
Post by Andreas Cammin
Post by Klose, Alex
Firewall: Ich habe eine Regel erstellt die es erlaubt das die Fritzbox
auf allen Ports ins Internet senden darf.
Eingehend werden nur die Ports 5060 und 7078-7097 an die Fritzbox
erlaubt und weitergeleitet.
Habe ich etwas übersehen? - Stimmen die Port nicht oder woran
könnte der Fehler liegen?
Nicht ganz ausgeschlossen, nur sollte bei Konfigurationsfehlern auf der
FW es entweder gehen oder halt nicht. Hast du vielleicht irgendwelche
Drops vom/zum SIP-Server im Livelog?
Leider tauchen dort keine Drops auf, alle Verbindungsversuche von der
FritzBox kommen mit "Accept".
Komischerweise kommen alle nur von der FritzBox ins Internet und nichts
vom SIP-Server zu der FritzBox. Das muss ich mir auch noch einmal anschauen.
Post by Andreas Cammin
Hast du schon mal den Support bei SP gefragt? Die helfen in der Regel
schnell und unbürokratisch weiter und können einiges an Hilfestellung
gewähren um den Fehler zu analysieren.
Den support habe ich jetzt auch kontaktiert, vielleicht wissen die da
noch einen Tip dazu.

Viele Grüße

Alex
Andreas Cammin
2010-01-27 13:46:35 UTC
Permalink
Post by Klose, Alex
Das verstehe ich jetzt nicht so richtig. Wie meinst du das ich nutze
keine Applikationen auf der Firewall? POP3-Proxy, HTTP-Proxy usw. sind
aktiv und werden auch genutzt. Die Firewall baut direkt die Verbindung
über ein DSL-Modem ins Internet auf und die FritzBox macht nur die
VOIP-Funktionalität weil ich dort die Telefone angeschlossen habe.
Den VOIP-Gateway von der Firewall hatte ich auch schon aktiviert, aber
das Verhalten bleibt genau gleich.
naja, keine Applikationen die voip betreffen 8-)

Wie der voip-proxy zu konfigurieren ist, kannst du hier nachlesen:

http://www.securepoint.de/dokumente/How-to_Securepoint2007nx_SIP-VoIP-Proxy.pdf

Das Dokument bezieht sich zwar auf die 2007nx, aber vom Prinzip her hat
sich da nichts geändert. Die Einstellung im Security Manager 10 sollte
identisch sein.
Post by Klose, Alex
Post by Andreas Cammin
Nicht ganz ausgeschlossen, nur sollte bei Konfigurationsfehlern auf der
FW es entweder gehen oder halt nicht. Hast du vielleicht irgendwelche
Drops vom/zum SIP-Server im Livelog?
Leider tauchen dort keine Drops auf, alle Verbindungsversuche von der
FritzBox kommen mit "Accept".
Komischerweise kommen alle nur von der FritzBox ins Internet und nichts
vom SIP-Server zu der FritzBox. Das muss ich mir auch noch einmal anschauen.
wenn die Fritzbox beim Verbindungsaufbau die private IP in die payload
schreibt (swyx macht das z.b. so) dann hast du mit Zitronen gehandelt,
dann versucht der Server nämlich auf diese IP zu antworten.

Um sicher zu gehen, ob wirklich keine Antwort vom SIP-Server kommt, mach
mal folgendes: Leg dir einen root-User an, logg dich per ssh ein (putty)
und gib mal folgendes Kommando ein:

tcpdump -i ppp0 host <sip-server>
Post by Klose, Alex
Post by Andreas Cammin
Hast du schon mal den Support bei SP gefragt? Die helfen in der Regel
schnell und unbürokratisch weiter und können einiges an Hilfestellung
gewähren um den Fehler zu analysieren.
Den support habe ich jetzt auch kontaktiert, vielleicht wissen die da
noch einen Tip dazu.
Ich seh noch nix B*)

Andreas
--
Offizielles Mitglied von Roland Mösls Killfile
"Photovoltaik ersetzt 10cm Benzin pro Jahr."
(Roland Mösl in de.rec.fahrrad)
Klose, Alex
2010-01-29 11:21:33 UTC
Permalink
Servus Andreas,
Post by Andreas Cammin
http://www.securepoint.de/dokumente/How-to_Securepoint2007nx_SIP-VoIP-Proxy.pdf
Hm, nicht wirklich hilfreich, das betrifft eher die standard-Einrichtung
und die habe ich so schon gemacht.
Post by Andreas Cammin
wenn die Fritzbox beim Verbindungsaufbau die private IP in die payload
schreibt (swyx macht das z.b. so) dann hast du mit Zitronen gehandelt,
dann versucht der Server nämlich auf diese IP zu antworten.
Um sicher zu gehen, ob wirklich keine Antwort vom SIP-Server kommt, mach
mal folgendes: Leg dir einen root-User an, logg dich per ssh ein (putty)
tcpdump -i ppp0 host <sip-server>
Habe einmal nach den Drops gesucht und erst einmal keine gefunden. Nach
langem suchen habe ich dann doch einen Fehler entdeckt. Ich hatte bei
den Netzwerkobjekten einen Rechner eingerichtet und dort unter "NAT-IP"
das ppp0-Interface eingetragen. Dadurch wurden aber alle "Rückantworten"
von der FritzBox anscheinend "abgefangen" und umgeleitet. Im moment
läuft die FritzBox noch ohne Probleme. Mal schauen ob es nach dem WE
auch noch so ist, dann sollte das Problem gelöst sein.

Vielen Dank für deine Hilfe!

Viele Grüße und ein schönes WE !

Alex
Andreas Cammin
2010-01-29 13:59:23 UTC
Permalink
Post by Klose, Alex
Habe einmal nach den Drops gesucht und erst einmal keine gefunden. Nach
langem suchen habe ich dann doch einen Fehler entdeckt. Ich hatte bei
den Netzwerkobjekten einen Rechner eingerichtet und dort unter "NAT-IP"
das ppp0-Interface eingetragen. Dadurch wurden aber alle "Rückantworten"
von der FritzBox anscheinend "abgefangen" und umgeleitet. Im moment
läuft die FritzBox noch ohne Probleme. Mal schauen ob es nach dem WE
auch noch so ist, dann sollte das Problem gelöst sein.
Ja, das erklärt einiges. Die NAT-IP ist die "alte" Methode für ein
Portforwarding. Wenn für ein Netzwerkobjekt "Rechner" eine Nat-IP
konfigurierst und du dann eine Regel wie "Rechner -> Internet -> any ->
ACCEPT" einrichtest, dann wird damit ein Portforwarding für "any" auf
den Rechner impliziert, ungeachtet der "Richtung" der Regel.

Weil man sich damit trefflich in die Füsse schiessen kann, wurde in der
neuen Version wieder ein explizites Portforwarding/translation
eingeführt. Die NAT-IP ist aber aus Kompatiblitätsgründen mit
Konfigurationen von der 2007nx noch in der 10er enthalten.

Noch mal interessehalber, bist du bei 1&1?

Andreas
--
Offizielles Mitglied von Roland Mösls Killfile
"Photovoltaik ersetzt 10cm Benzin pro Jahr."
(Roland Mösl in de.rec.fahrrad)
Klose, Alex
2010-02-01 08:41:01 UTC
Permalink
Servus Andreas,
Post by Andreas Cammin
Ja, das erklärt einiges. Die NAT-IP ist die "alte" Methode für ein
Portforwarding. Wenn für ein Netzwerkobjekt "Rechner" eine Nat-IP
konfigurierst und du dann eine Regel wie "Rechner -> Internet -> any ->
ACCEPT" einrichtest, dann wird damit ein Portforwarding für "any" auf
den Rechner impliziert, ungeachtet der "Richtung" der Regel.
Ah ok. Schön die FritzBox meldet immernoch "Nummer xxxx REGISTRIERT" -
prima!
Post by Andreas Cammin
Weil man sich damit trefflich in die Füsse schiessen kann, wurde in der
neuen Version wieder ein explizites Portforwarding/translation
eingeführt. Die NAT-IP ist aber aus Kompatiblitätsgründen mit
Konfigurationen von der 2007nx noch in der 10er enthalten.
OK, wir hatten vorher die 2007er-Version im Einsatz und ich dachte auch
ich hätte dort KEIN Portforwarding gesehen.
Post by Andreas Cammin
Noch mal interessehalber, bist du bei 1&1?
Ja, warum?

Viele Grüße

Alex
Andreas Cammin
2010-02-01 11:54:47 UTC
Permalink
Post by Klose, Alex
Post by Andreas Cammin
Noch mal interessehalber, bist du bei 1&1?
Ja, warum?
Weil es dort möglicherweise mit den Portranges bisschen tricky ist.

Andreas
--
Offizielles Mitglied von Roland Mösls Killfile
"Photovoltaik ersetzt 10cm Benzin pro Jahr."
(Roland Mösl in de.rec.fahrrad)
Klose, Alex
2010-02-02 14:28:42 UTC
Permalink
Servus!
Post by Andreas Cammin
Post by Klose, Alex
Post by Andreas Cammin
Noch mal interessehalber, bist du bei 1&1?
Ja, warum?
Weil es dort möglicherweise mit den Portranges bisschen tricky ist.
Hm, also bis jetzt läuft es ohne Probleme. Haben die bei 1&1 andere
Standard-Ports für VOIP?

Gruß Alex
Andreas Cammin
2010-02-02 20:57:01 UTC
Permalink
Post by Klose, Alex
Post by Andreas Cammin
Weil es dort möglicherweise mit den Portranges bisschen tricky ist.
Hm, also bis jetzt läuft es ohne Probleme. Haben die bei 1&1 andere
Standard-Ports für VOIP?
Ich hab vor anderthalb Jahren oder so deswegen mal angefragt und ne
ziemlich lange Portliste zurückgekriegt. Muss ich mal schauen ob ich die
noch mal rauskramen kann...

Andreas
Klose, Alex
2010-02-03 08:00:38 UTC
Permalink
Post by Andreas Cammin
Post by Klose, Alex
Post by Andreas Cammin
Weil es dort möglicherweise mit den Portranges bisschen tricky ist.
Hm, also bis jetzt läuft es ohne Probleme. Haben die bei 1&1 andere
Standard-Ports für VOIP?
Ich hab vor anderthalb Jahren oder so deswegen mal angefragt und ne
ziemlich lange Portliste zurückgekriegt. Muss ich mal schauen ob ich die
noch mal rauskramen kann...
Das wäre super. Kann man bestimmt brauchen!

Viele Grüße

Alex
Andreas Cammin
2010-02-03 10:15:10 UTC
Permalink
Post by Klose, Alex
Post by Andreas Cammin
Ich hab vor anderthalb Jahren oder so deswegen mal angefragt und ne
ziemlich lange Portliste zurückgekriegt. Muss ich mal schauen ob ich die
noch mal rauskramen kann...
Das wäre super. Kann man bestimmt brauchen!
Hat schon Vorteile wenn man keine Mails löscht :-)
Post by Klose, Alex
UDP 3478
UDP 5070 - 5079
UDP 30000 - 30019
UDP 5060 (Eventuell muss bei verschiedenen Endgeräten auch dieser Port noch freigegeben werden)
Achtung:Dieser Port kann in der FritzBox nicht freigegeben werden, da dieser für die FritzBox reserviert ist und deshalb die Freigabe von der FritzBox nicht zugelassen wird.
UDP 5070-5079 entspricht ja den Default-einstellungen des VoIP-Proxy auf
der SP. Wozu der 30000er Bereich gut sein soll - keine Ahnung.

Bei mir funktioniert der Proxy mit den Standardwerten und freenet (wurde
ja von 1%1 übernommen) einwandfrei.

Andreas
--
Offizielles Mitglied von Roland Mösls Killfile
"Photovoltaik ersetzt 10cm Benzin pro Jahr."
(Roland Mösl in de.rec.fahrrad)
Lesen Sie weiter auf narkive:
Loading...