Eingehende Anrufe auf gut Glück

Hallo,
nachdem ich eine neue COMpact 4000 eingerichtet habe, gibt es Probleme mit eingehenden Anrufen: mal werden Sie signalisiert - meistens jedoch nicht. Rufumleitungen über 1&1 funktionieren, die Probleme müssten also im Lancom Router oder der COMpact liegen.

Die Konfig der COMpact ist ganz normal eingerichtet: die aktuelle Anbieterdatei 1&1 von Auerswald ist eingespielt, die VOIP-Nummern sind registriert, STUN ist grün, Register-Port 5060, SIP-Port 5062, RTP 49152-49407.

Der Lancom Router ist in der Konfiguration unverändert, wie vor dem Tausch der TK-Anlage. Eingehende Rufe, die nicht signalisiert werden, werden in den Gesprächsdaten der COMpact aber auch nicht angezeigt. Nun bin ich ratlos…

Leider kenne ich mich mit Netzwerkprotokollierung mit Wireshark o. ä. nicht aus.

Wie würdet Ihr bei der Fehlersuche vorgehen?
Könnt Ihr einen Servicepartner im Gebiet Hamburg-Lübeck empfehlen, der sich auch mit Lancom-Routern auskennt?
Grüße

Hallo,
hast Du die Ports weitergeleitet ?

http://www.auerswald.de/de/service?option=com_auerservice&view=faq&faq_id=38

Moin, Moin,

Hallo,
hast Du die Ports weitergeleitet ?

In der Port-Forwarding-Tabelle sind die Ports 5060-5062 und 49.152-49.408 freigegeben, alle als UDP mit der Gegenstelle 1und1. Intranet-Adresse ist die IP-Adresse der COMpact.

Grüße

Bei der Port-Konfig bin ich nun unsicher geworden.
Im Lancom habe ich jetzt die Portfreigabe auf den Port 5062 begrenzt (5060 und 5061 gelöscht) wegen Angreifbarkeit.
In der COMpact wurden die Ports eingetragen gem. Auerswald Anbieterdatei.

Aufgefallen ist mir, dass in der VOIP-Konfig der COMpact die RTP-Ports nur bis 49407 vorgegeben sind, in dem Workaround von Auerswald für die Einrichtung 1und1 geht der Portbereich bis 49408.

Grüße

Moin,
ich habe die selben Probleme mit 1&1 bei mir zu Hause. 3,4 mal funktionieren die eingehenden Anrufe, dann kein Rufaufbau. Das ganze aber mit der originalen Fritzbox von 1&1. Hab es auch schon mit einer 7490 versucht, aber keine Besserung. Das mit den RTP Ports prüf ich gerne auch nochmal.

Moin,
ich habe die selben Probleme mit 1&1 bei mir zu Hause. 3,4 mal funktionieren die eingehenden Anrufe, dann kein Rufaufbau. Das ganze aber mit der originalen Fritzbox von 1&1. Hab es auch schon mit einer 7490 versucht, aber keine Besserung. Das mit den RTP Ports prüf ich gerne auch nochmal

Nach heutigen Telefonat mit dem Auerswald Support vermutete man aufgrund der verschiedenen IP-Server von 1und1 ein zu kurzes UDP-Aging. Im Lancom habe ich dieses dann auf 120 Sekunden und danach auf 300 Sekunden hochgestellt, leider ohne Besserung.

Ich hab deshalb die Servicedaten der Anlage und einen Trace zu den Auerswäldlern hingeschickt zur Prüfung. Mal sehen, ob das ein Ergebnis bringt. Lancom hat leider den Endkunden Telefon-Support vor vier Wochen eingestellt, so dass ich dort noch nicht weiter gekommen bin.

Grüße

Moin, Moin

nach langer Recherche habe ich folgenden Post aus 2015 von „Dauerbesetzt“ gefunden:

DauerbesetztMrz. '15
auch nur registrierte Anrufe, d.h. Anrufe die über Sipgate reinkommen, zuzulassen
Das ist ja aber genau das Haar in der Suppe … Welche sind denn die Anrufe von Sipgate? Woran erkennt man die? Dafür müsste die Anlage die IPs von Sipgate kennen (Davon abgesehen, dass sich die Absende-IP auch fälschen lässt). In den Paketen, die ankommen steht dazu nichts drin, bzw. kann da ja jeder reinschreiben, dass er Sipgate sei.
Ich kenne diese Problematik von 1und1. Dort wird ja immer empfohlen hinter FritzBoxen ein Portforwarding auf den für 1und1 verwendeten UDP-Port auf die Anlagen einzurichten. Warum wohl? Genau … um den Schutzmechanismus der FritzBoxen “zu überlisten”, weil - wie oben geschrieben - 1und1 selbst schon von verschiedenen IPs kommt - und nicht nur von der, bei der man sich registriert hat. Das Fehlerbild ist andernfalls, dass “manchmal eingehende Rufe funktionieren und manchmal nicht”.
Schöne neue Internettelefonie … sag ich da bloß…
Gruß Dauerbesetzt

Dies scheint genau mein Problem zu beschreiben, leider ohne Lösung :confused:

Hat jemand einen Tip, wie ich 1und1 zum Laufen bekomme?

Grüße

Hi NickName,

die Lösung steht in meinem Zitat indirekt drin. Du musst Deine Firewall (den Router) so löchrig machen, dass sie von allem und jeder IP Rufe entgegennimmt. Wenn es Dir gelingt sämtliche IPs, die 1&1 als SIP-Server verwendet, ausfindig zu machen, kannst Du das Firewallloch im Router auch so klein machen, dass Rufe nur von diesen IPs akzeptiert werden.

Gruß Dauerbesetzt

Nachtrag: Eben fällt mir noch ein, dass 1&1 inzwischen viel mit „ds lite“ macht. Sprich, Du hast dann per IPv4 zweimal NAT. Einmal beim Provider, das zweite mal in Deinem Lancom.
Unter Umständen rührt Dein Problem auch daher.
Ein Wiresharkmitschnitt würde da einiges aufklären können…

Moin. Moin

Na, das ist ja genau nach meinem Geschmack :face_with_raised_eyebrow:
Ich bin ein Verfechter der DENY_ALL Strategie für Firewalls. Bevor ich ein Fischnetz aus der Firewall mache, darf erst alles andere nicht gehen.

Heute kam schon von einem Waldarbeiter die erste Rückmeldung zur Support-Anfrage. :smiley::smiley::smiley:
Weiter gebracht hat diese mich allerdings noch nicht. Im Gegenteil, nach den Änderungen ging erst mal gar nichts mehr. Das unverändert eingeladene Anbieterprofil von 1und1 funzt (bei mir) nicht. SIP-Stack Typ 2 ??? Habe ich auf Typ 1 geändert, dann konnte ich einen Trace erstellen und an Auerswald schicken.

Grüße

Naja … grundsätzlich bin ich auch dafür eine abschließbare Haustür vor meiner Wohnung im geschlossenen Zustand zu haben. Nur wenn ich Briefe erwarte, sollte zumindest der Briefkastenschlitz noch von außen offen sein. :wink:

Nichts anderes wollte ich andeuten.

Gruß Dauerbesetzt

PS: Grundsätzlich solltest Du erstmal herausbekommen (Wireshark vor/hinter dem Router), wo die Rufe abprallen. Wenn die nie bei der Anlage ankommen und schon am Router stecken bleiben, bleibt Dir nichts weiter übrig, als den LANCOM entsprechend zu konfigurieren. Da kannst Du an der Anlage einstellen, was Du willst - das wird nichts ändern.
Wie gesagt - finde erstmal heraus, auf welcher Ebene der Ruf versackt.

Hallo Dauerbesetzt,

Ja klar, sehe ich prinzipiell genauso. Man muss nur aufpassen, dass in den Briefkastenschlitz keine angezündeten Böller reingeschmissen werden. :wink: Das macht ansonsten im Hausflur so eine Unordnung oder schlimmeres…

Mit Traces und Wireshark kenne ich mich nicht aus, deshalb habe ich Auerswald kontaktiert. Wenn neue Erkenntnisse vorliegen, berichte ich gerne (hoffentlich gute Nachrichten).

Grüße

Hi NickName,

yep - und der „Böllervermeider“ wäre in Deinem Fall eine Stateful-Inspection-Firewall, die die eingehenden Pakete inhaltlich prüft. Blöderweise prüfen die dann oft in einer Art, die zu genau dem Verhalten führt, das Du beobachtest.

UDP-Hole-Punching ist da der Stichpunkt. Firewalls mögen das nicht wirklich, muss aber sein, wenn man hinter 'nem NAT-Router telefonieren will.

Gruß Dauerbesetzt

PS:

Dann wäre das ein guter Zeitpunkt, um es zu lernen … lohnt sich!

Moin, Moin

Nach einem heutigen Telefonat mit dem Lancom Emergency Support und parallelen Traces, habe ich im Router folgende Änderungen vorgenommen:

  1. Port-Forwarding für die Ports 5060-5080 eingestellt (weniger reicht nicht aufgrund der unbekannten SIP-Ports von 1&1)
  2. Die Firewall des Lancom (Stateful-Inspection) bleibt unverändert Deny_All mit vorheriger Zulassung von SIP und Regeln für QoS
  3. Entgegen dem Anbieterprofil von Auerswald wird in der COMpact ein STUN-Server eingetragen (sipgate) und NAT entsprechend aktiviert.
  4. Entgegen den Anbieterprofil von Auerswald bleibt SIP-Stack-Typ 1. Warum Typ 2 nicht funktioniert war nicht eindeutig, aufgrund der dem Lancom Support unbekannten Parameter des Typ 2.

Bis gerade haben die eingehenden Telefonate funktioniert, ich hoffe das bleibt so

Grüße

Die Aussage stammt von dem Lancom Supporter? … Wenn, dann muss da nur EIN einziger Port weitergeleitet werden - und das ist laut Deinem Screenshot der Port 5062 - Der ist ziemlich bekannt, da Du ihn ja selbst in Deiner TK konfigurieren kannst, bzw. er ist vorausgewählt.

Dadurch, dass Du jetzt den Port 5060 auch noch mit auf die Anlage lenkst, hast Du gleich noch ein großes Schild an Deinen Briefkastenschlitz gehängt - mit der Aufschrift „Böller - aber nur die wirklich großen → hier hinein“.
Mal im Ernst - das ist der Port, wo sich DEINE SIP-Telefone an der Anlage anmelden sollen. Jetzt hängt Deine TK als SIP-Provider im Wilden Weiten Web. Da gab’s in der Vergangenheit immer wieder Fälle, wo Passwörter erraten wurden und dann teure Nummern im Ausland angerufen wurden … ich würd’s so nicht lassen!

Gruß Dauerbesetzt

Moin, Moin

In der Tat, Portforwarding für 5060-5080, so die Aussage vom Support. Deine Bedenken sind/waren meine Bedenken. Einige Postings vorher hatte ich ganau das auch geschildert. Per TeamViever hatte ich dem Supporter die Konfig des VOIP Anbieters der COMpact4000 gezeigt und auch auf die SIP-Ports hingewiesen.

Grüße

Moin, Moin

Seit einigen läuft die COMpact4000 stabil und eingehende Rufe kommen auch an. :wink: Das Forwarding der Anlagen SIP-Ports habe ich eingeschränkt und 5060 rausgenommen (wie es vorher auch schon so war).

Grüße