Sip über VPN-Tunnel (zwischen 2 FBF)

NetSupport

Neuer User
Mitglied seit
10 Okt 2004
Beiträge
140
Punkte für Reaktionen
0
Punkte
16
Hallo,


ich habe bislang meine beiden Fritz!Boxen mittels OpenVPN verbunden und konnte dann über den eingerichteten Tunnel Sip-Gespräche führen:

[192.168.0.1] >>> openVPN >>> [192.168.1.1] (läuft)

Jetzt probiere ich gerade die "Fernzugang VPN-Lösung" von AVM aus, welche die Boxen seit des letzten FW-Updates unterstützen:

[192.168.0.1] >>> AVM VPN >>> [192.168.1.1] (geht nicht!)

Leider enden hier alle Versuche mit einem Timeout, obwohl der eigentliche Tunnel steht (Zugriff auf Konfiguration und andere Geräte im Netzwerk).

Da ich meine Gespräche gerne verschlüsselt übertragen möchte, will ich nicht auf einen Anruf über die DynDNS-Adresse zurückgreifen, welcher problemlos geht.

Wo steckt hier der Fehler, braucht die Box noch eine zusätzliche Firewall-Regel? Wenn ich mittels Telnet einen Ping auf die jeweils andere Box schicken möchte, passiert leider nichts. Scheinbar sind die Adressen im Netzwerk selbst vorhanden, die FritzBoxen haben dort aber keinen Zugriff drauf.
Gibt es interne Adressen des VPN-Tunnels, die ich statt der eigentlichen IPs nehmen kann?


Anbei die VPN-Konfiguration einer Box (Box zu Box Verbindung):
Code:
/*
 * C:\Dokumente und Einstellungen\ich\Anwendungsdaten\AVM\FRITZ!Fernzugang\box1_dyndns_org\fritzbox.cfg
 * Wed Aug 13 14:54:50 2008
 */

vpncfg {
        connections {
                enabled = yes;
                conn_type = conntype_lan;
                name = "box2.dyndns.org";
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = yes;
                localip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remoteip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                remotehostname = "box2.dyndns.org";
                localid {
                        fqdn = "box1.dyndns.org";
                }
                remoteid {
                        fqdn = "box2.dyndns.org";
                }
                mode = phase1_mode_aggressive;
                phase1ss = "all/all/all";
                keytype = connkeytype_pre_shared;
                key = "xxx";
                cert_do_server_auth = no;
                use_nat_t = no;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.1.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";
                accesslist = "permit ip any 192.168.0.0 255.255.255.0";
        }
        ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500", 
                            "udp 0.0.0.0:4500 0.0.0.0:4500";
}


// EOF
 
Zuletzt bearbeitet:
Ich habe das gleiche Problem, wie ich in einem anderen Thread erfahren habe, unterstützt die AVM VPN-Lösung wohl kein UDP - und das wird für die SIP-Anmeldung benötigt. Ist richtig ärgerlich, denn eigentlich wäre das eine so schicke, einfache Lösung. Und UDP braucht man oft auch für andere Zwecke...

http://www.ip-phone-forum.de/showpost.php?p=1135687&postcount=8
Cava schrieb:
Fritz VPN kann kein UDP, das wurde mir von AVM auch bereits bestätigt
 
UDP über VPN???
VPN arbeitet auf der Transport-Schicht, das heißt, dass das Protokoll schon festgelegt ist, sprich eine Schicht darunter liegt. nämlich TCP. Das heißt, alle Vortile von UDP in die Tonne, denn TCP versaut das Pakete verloren gehen dürfen und damit, dass Zeitkritische geschichten wie z.B. Telefonie reibungslos gehen. Aber gehen wir mal davon aus wir hätten die perfekte Verbindung...

Hat Jemand den Voip-Stream der FBF schon mal über den eigenen VPN geschickt bekommen?
 
Die Pakete des VPN werden zwar über TCP/IP versendet, das heist aber nicht, dass innerhalb eines VPN nicht beliebige Protokolle gefahren werden dürften (ich habe mit anderem Gerät sogar vor Ewigkeiten mal NetBui vermittelt). Richtig ist natürlich, dass die Vorteile des UDP Datenstroms flöten gehen, wenn er mittelbar durch eine TCP-Verbindung tunnelt, und man eine wirklich gute Anbindung haben sollte.
Mit den FritzBoxen selbst habe ich sowas noch nicht hinbekommen, mich würde auch ziemlich interessieren, ob die freetz-OpenVPN-Lösung eine Alternative wäre.
 
Lösung?

Hallo, schon über ein Jahr alt der Thread, aber ich probiere es gerade aus ... Timeout.

Gibt es eine Lösung des Problems? Geht es mit freez und openVPN?

Danke!
 
zumindest, wenn nicht NAT-Traversal genutzt wird, dann arbeitet das AVM-VPN per IPSec auf einer Ebene unter TCP oder UDP. Es kann grundsätzlich beides transportieren und dabei auch UDP-typische Transportfehler an die Anwendung weitergeben (Pakete verlieren, in anderer Reihenfolge empfangen als sie gesendet wurden usw.).

Bei OpenVPN wird standardmäßig leider TCP als Grundlage verwendet. Man kann es aber auch über UDP betreiben, dann sollten keine Nachteile für VoIP entstehen (außer der vgerringerten Pakektgröße und der zusätzlichen Verzögerung durch die Zeit, die das Ver- und Entschlüsseln braucht).

Es ist schon etwas her, dass ich das getestet habe. Damals ging es mit dem AVM dem AVM-VPN nicht, weil der Registrar nicht korrekt mit VoIP-Telefonen umgegangen ist, die nicht im lokalen Netz waren.
Du könntest deswegen mal versuchen, on es hilft in der voip.cfg "regfromoutside=yes" zu setzen.

Gruß,
Pfeffer.
 
Zur Ursprungsanfrage: koppelt man 2 FBF über das FBF-interne Open-VPN, "sehen" sich die VoIP Teile nicht. VoIP der FBF ist immer direkt am Internet und sämtliches andere "dahinter". Hat also nichts mit fehlenden Portweiterleitungen etc. zu tun.

Gruss vöxchen
 
nur zur Klarstellung: das VPN, das in der FritzBox integriert ist, ist NICHT Open-VPN, sondern IPSec.

Gruß,
Pfeffer.
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.