[Gelöst] Anmeldung eines VoIP-Telefons aus einem anderem Subnetz

direx

Neuer User
Mitglied seit
10 Mrz 2010
Beiträge
19
Punkte für Reaktionen
2
Punkte
3
Hallo,

ich verwende eine Fritz!Box 7390 mit Fritz!OS 06.85 als reine VoIP/DECT-Telefonanlage im IP-Client-Modus. Den Internetzugang stellt eine OPNSense-Firewall her. Die Firewall ist der zentrale Router in meinem Netzwerk, dort laufen unter anderem mein LAN-Netz (192.168.1.0/24) und mein Gast-Netz (192.168.100.0/24) zusammen (jeweils verkabelt). Die Fritte selber befindet sich als normaler IP-Client in meinem LAN-Netz und erhält IP, DNS und Gateway per DHCP.

Direkt an der 7390 betreibe ich ein FRITZ!Fon, was auch prima funktioniert. Jetzt möchte ich im Gastnetz ein verkabeltes VoIP-Telefon an der Fritz!Box registrieren. Dazu habe ich folgendes gemacht:

  • Ein neues VoIP-Telefoniegerät in der Fritte angelegt (interne Nummer **620)
  • Bei den Zugangsdaten für das VoIP-Telefon die Option "Anmeldung aus dem Internet erlauben" aktiviert, weil das Gerät in einem anderen Subnetz sein wird
  • Meine Firewall so angepasst, dass zunächst testhalber! sämtlicher Traffic vom Gastnetz ins LAN-Netz und umgekehrt durch geht
Leider kann sich das VoIP-Telefon im Gastnetz nicht an der Fritz!Box anmelden ("Anmeldung fehlgeschlagen" erscheint). Stecke ich das VoIP-Telefon im LAN-Netz an, funktioniert die Anmeldung an der Fritz!Box.

Irgendwie blockiert die Fritte also noch die Anmeldung aus anderen lokalen/privaten Subnetzen. Mit einem Softphone und einem Wireshark-Mitschnitt kann ich auch die REGISTER-Nachricht des Softphones sehen. Die Fritz!Box weist die Registrierung vom Gastnetz aus allerdings mit einem Fehler „Status-Line: SIP/2.0 404 Not Found“ ab, vom LAN-Netz aus geht es einfach.

Hat jemand noch einen Tipp für mich, was mit der Fritte nicht stimmt? An der OPNSense-Firewall kann es ja erstmal nicht liegen, weil die Fritte ja grundsätzlich erreichbar ist.


Danke und viele Grüße
direx


BTW: Die Firmware habe ich schon per Recovery-Image komplett neu aufgespielt und alles per Hand neu konfiguriert.
 
Da wirst Du vermutlich in Deiner Firewall für das IP-Telefon im Gastnetz per NAT eine Umsetzung auf eine LAN-Adresse machen müssen.

Außerdem müßtest Du ja vermutlich später ohnehin noch entsprechende Firewall-Regeln einführen, wenn nicht dauerhaft jedes Gerät aus dem Gastnetz auch an die FRITZ!Box (oder gar an die anderen Geräte im LAN) kommen soll.

Ob in der FRITZ!Box die Anmeldung aus dem Internet erlaubt ist oder nicht, interessiert die Box vermutlich gar nicht wirklich ... als IP-Client hat sie gar kein passendes Internet-Interface und das ist vermutlich auch der Grund, warum der "voipd" die 192.168.100.0/24-Adressen auf seinem LAN-Interface nicht mag - sie liegen für ihn schlicht nicht im lokalen Netz.

Als Test kann man ja mal versuchen, die Netzwerk-Maske der FRITZ!Box auf 17 zu reduzieren ... dann liegen 192.168.1.0/24 und 192.168.100.0/24 beide innerhalb dieses Subnetzes und damit aus Sicht der FRITZ!Box im LAN.

Außerdem sieht man in der Support-Datei der Box viel besser als in einem Wireshark-Mitschnitt, welchem Interface die FRITZ!Box (genauer der "voipd") welche Messages zuordnet ... DAS kann man im Packet-Dump ja nicht erkennen.
 
Hallo,

erstmal vielen Dank für die schnelle Antwort. Ich habe am Wochenende stundenlang herumgespielt und experimentiert und bin Dank deines letzten Tipps auch zu einem positiven Ergebnis gekommen. Um auch Leuten zu helfen, die vielleicht später mal mit ihren VoIP-Problemen über diesen Thread stolpern, gehe ich mal auf alle genannten Punkte ein:

Da wirst Du vermutlich in Deiner Firewall für das IP-Telefon im Gastnetz per NAT eine Umsetzung auf eine LAN-Adresse machen müssen. Außerdem müßtest Du ja vermutlich später ohnehin noch entsprechende Firewall-Regeln einführen […]

Also ein Doppel-NAT-Szenario im VoIP-Kontext halte ich für keine so gute Idee. Das bereitet in der Regel noch viel mehr Schmerzen, als ein Setup, wo die Fritte ohnehin schon als Client *hinter* einem NAT betrieben wird. Mit dem Single-NAT und einem SIP-Proxy ist es im Grunde genommen jetzt schon kompliziert genug.

Das mit den Firewall-Regeln ist soweit klar, natürlich wird nur ein Zugriff auf die SIP und RTP-Ports der FritzBox aus dem Gastnetz erlaubt. Das ist aber der unproblematische Teil des Setups :)

Ob in der FRITZ!Box die Anmeldung aus dem Internet erlaubt ist oder nicht, interessiert die Box vermutlich gar nicht wirklich ... als IP-Client hat sie gar kein passendes Internet-Interface und das ist vermutlich auch der Grund, warum der "voipd" die 192.168.100.0/24-Adressen auf seinem LAN-Interface nicht mag - sie liegen für ihn schlicht nicht im lokalen Netz.

Da habe ich andere Erfahrungen gemacht. Wenn ich z.B. das Webinterface der Box aus dem Gastnetz (anderes Subnetz) aufrufe, werde ich nach Benutzername und Passwort gefragt. Bei der Anmeldung aus dem gleichen Subnetz hingegen wird nur das Passwort verlangt. Die Box erkennt also schon irgendwie das andere lokale Subnetz als "Internet".

Als Test kann man ja mal versuchen, die Netzwerk-Maske der FRITZ!Box auf 17 zu reduzieren ... dann liegen 192.168.1.0/24 und 192.168.100.0/24 beide innerhalb dieses Subnetzes und damit aus Sicht der FRITZ!Box im LAN.

Das könnte zwar dem voipd auf die Sprünge helfen, allerdings macht das dann das Routing ins Gastnetz kaputt. Die Box könnte dann mein "richtiges" Gastnetz gar nicht mehr erreichen. Schließlich wüsste sie dann ja nicht mehr, dass sie die Gast-Clients nur über das Default-Gateway erreichen kann, weil dann für die Box alles ein großes Subnetz ist.

Außerdem sieht man in der Support-Datei der Box viel besser als in einem Wireshark-Mitschnitt, welchem Interface die FRITZ!Box (genauer der "voipd") welche Messages zuordnet

An das Support-Interface hatte ich gar nicht mehr gedacht. Das war ein guter Hinweis, der mich auch ein Stück weiter brauchte – danke dafür. In der Support-Datei war zu erkennen, dass der voipd die Anmeldung für den entsprechenden Nutzer aus dem "Internet" nicht erlaubt. Die genaue Meldung habe ich jetzt nicht mehr parat, aber die Meldung stützt natürlich meine Vermutung, dass es etwas mit dem Häkchen "Anmeldung aus dem Internet erlauben" zu tun hat. Im Prinzip war die Meldung aber trotzdem Unsinn, weil das Häkchen ja gesetzt war. Löschen und Neuanlegen des Telefoniegerätes schafften auch erstmal keine Abhilfe.

Durch stundenlanges googeln bin ich aber dann über einen Kommentar im heise-Forum gestolpert, der die Lösung brachte.

Und zwar muss das SIP-Telefoniegerät wie folgt angelegt werden (kein Scherz):

  1. Altes LAN-Telefoniegerät löschen
  2. Box neu starten (wichtig!)
  3. Neues LAN-Telefon anlegen
  4. Box neu starten (wichtig!)
  5. Neues Passwort für das Telefoniegerät setzen (anderes PW als in Schritt 3 verwenden) und die Option "Anmeldung aus dem Internet erlauben" auswählen
  6. Box neu starten (nur zur Sicherheit)
  7. SIP-Anmeldung aus dem anderen Subnetz geht jetzt! :)

Lange Rede, kurzer Sinn: Es war wieder mal einer der unzähligen Bugs der Fritz!Box. Ich dachte mit einer frisch geplätteten Fritte und aktueller (und vermutlich finaler) Firmware sollte das eigentlich gehen. Ich habe die Fritz!Box schon aus guten Gründen zur reinen VoIP-Anlage degradiert, weil ich bisher davon ausging, dass AVM wenigstens Telefonie einigermaßen gut kann. Aber naja, das ganze passt halt doch irgendwie gut zu dem Bild, was ich von AVM mittlerweile habe.


Viele Grüße
direx
 
Hallo,


Und zwar muss das SIP-Telefoniegerät wie folgt angelegt werden (kein Scherz):

  1. Altes LAN-Telefoniegerät löschen
  2. Box neu starten (wichtig!)
  3. Neues LAN-Telefon anlegen
  4. Box neu starten (wichtig!)
  5. Neues Passwort für das Telefoniegerät setzen (anderes PW als in Schritt 3 verwenden) und die Option "Anmeldung aus dem Internet erlauben" auswählen
  6. Box neu starten (nur zur Sicherheit)
  7. SIP-Anmeldung aus dem anderen Subnetz geht jetzt! :)

Viele Grüße
direx

Ganz lieben Dank. War nach 2 Stunden konfig. leicht verzweifelt.

Meine Situation:

2x Fritzbox 7490 - Jeweils IP-Client
über VPN verbunden, durch vorgeschaltete Router
Pingen ging problemlos, alles erreichbar, natürlich fragt die FB auf der jeweils anderen Seite immer Nutzer und Passwort ab, daher auch bei mir "Über Internet erreichbar".

Aber dieses Neustartgewurschtel kenne ich nur von Redmond.

Das brachte bei mir die Lösung - auch ohne das letzte Neustarten (Punkt 6)!
 
Zuletzt bearbeitet:
Hallo,
auch wenn dieser Artikel schon recht alt ist, ich habe aktuell das Problem mit OS7.12 und einer 7430. Ich betreibe die BOX im IP-Client Mode hinter einem Miktotik Router. Aktuell gibt es keine FW zwischen FB und SIP Soft-Phone, aber trotzdem bricht die Verbindung nach ein paar Minuten ab und das Phone wird nicht mehr registriert. Im gleichen SUBNETZ gibt es keine Proleme. Hat jemand noch einen Tipp, wo man ansetzten könnte?

Christian
 
Moin,
danke für die Antwort. "FW" steht für Firewall und nicht für Firmware :) .
Ich werde mal in die Diagnose -Datei gucken. Die Keep-Alive Funktion habe ich in den SIP-Phones immer aktiv. Habe unterschiedliche SIP-Phones probiert, inkl. Zoiper. Vielleicht kennt ja noch jemand einen prima SIP-Client für Android.
 
Moin,
ich noch mal! Tja, das mit dem SIP-Phone auf einem Android Gerät funzt irgendwie nicht, wenn das Handy sich in einem anderen Subnetz befindet. Zoiper läuft für ein paar Stunden und dann ist es vorbei. MAn kann den Client auch erst wieder nach einem Neustart der FritzBox verbinden... Phoner auf einem WindowsPC hingegen läuft stabil, mein FhemSip-Phone unter debian Buster ebenfalls. Sind auch beide in einem anderen Subnetz.

Keine Ahnung was bei dem Androiden so anders ist. Ich vermute es liegt an dem Softphone. Was gibt es für gute Alternativen zu Phoner?

Im FritzBox Log sehe ich nix. Das liegt aber daran, dass ich nicht weiß, wonach ich suchen soll :-(

Christian
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.