avm fritzbox in Verbindung mit einer FreePBX Anlage am Telekomanschluss - Firewall der Fritzbox blockt ab 3 Trunks

[jgraute]

Ein Hallo an alle IP Phone Freunde.

Ich nutze seit einiger Zeit eine Free-PBX Anlage auf einem Server um unsere Telefonanlage zu ersetzen. Diese funktioniert sehr erfolgreich. Als Router kommt jedoch eine Fritzbox zum Einsatz (7590) am Telekom all ip Anschluss. Die einzelnen Nummern habe ich auf der Fritzbox als SIP Telefoniegerät eingerichtet und die Freepbx Anlage verbindet sich als Hauptleitung (Trunk) über die SIP Schnittstelle mit der Fritzbox. Die Endgeräte direkt mit der Freepbx. Das funktioniert soweit sehr gut.
Es gibt nur ein sehr großes Problem. Wir haben 5 Rufnummern.
Bis 3 Nummern läuft das ganze sehr Stabil (3 Trunks von der Free-PBX verbinden sich mit der Fritzbox). Sobald ich jedoch die 4. aktiviere fängt die Fritzbox Firewall an die Free-PBX Anlage gänzlich zu blocken. Erst ein Neustart der Fritzbox und Deaktivieren der 4. Rufnummer löst das Problem. Zwar kommen wir mit den 3 Rufnummern zurecht (Habe jetzt die anderen beiden von Seiten der Fritzbox auf eine der 3 anderen Umgeleitet). Trotzdem hätte ich wegen der unterschiedlichen Sprachansagen gerne alle 5 direkt an der Freepbx angemeldet. Gibt es eine Möglichkeit die Firewall zu deaktivieren ? Zumindest für eine IP Adresse. Leider kann ich sie nicht als Exposed Host einsetzen, da die Netztopographie daneben noch eine Firewall mit eingehenden VPN Verbindungen vorsieht.
Vielen Dank für Mögliche Lösungen.

 

[kleinkariert]

Das hat nichts mit der Firewall der Fritzbox zu tun.
Wenn die die Rufnummern nicht in der Fritzbox registrierst sondern in der FreePBX-Anlage, dürftest du keine Probleme mehr haben.

 

[Novize]

Das hat nichts mit der Firewall der Fritzbox zu tun, du stößt an die Obergranze der SIP-Kanäle der Fritzbox, die bei der 7590 eigentlich bei 8 liegt und damit eigentlich 4 Gespräche von IP-Telefonen zulassen müsste.

Dss kommt doch erst zum Tragen, wenn ich diesen Kanal zum Telefonieren nutze. Die schlichte Registrierung der PBX sollte nichts damit zu tun haben.

 

[jgraute]

Danke für die ausführliche Antwort. ich denke schon das es mit der Firewall zu tun hat. Es geht wirklich nur um die registrierung. Und normalerweise kann man ja auch mehr als 4 Telefone gleichzeitig an einer Fritzbox anmelden. Hier ist es so das komplett ohne telefontraffic einfach nacheinander alle "Hauptleitungen" sind ja eigentlich normale Sip clients aktiviert werden (von seiten freepbx). bis 3 geht alles super. ab der 4. geht es auch erstmal für 1-20 Minuten, dann gibt es einen Timeout bei sämtlichen registrierungsversuchen aller verbindungen von der Freepbx zur Fritzbox (auch der vorher schon erfolgreich registrierten anderen Kanäle). Erst deaktivieren des 4. Kanals mit anschliessendem Neustart der Fritzbox löst das Problem wieder ;-( getestet schon mit einer 7490, 7590 und 7590 AX. Bei allen das gleiche ;-(

ich habe auch schon über eine direkte Registrierung der Free-PBX bei der Telekom gedacht. Nur durch die fehlende Autokonfiguration am All IP Anschluss welche die Telekom ja mit der Fritzbox machen kann ist ja das Forum hier voll mit instabilitäten fehlender Dokumentation von Seiten der Telekom und ständigen Änderungen von Seiten der Telekom die jedes Mal mit einem Totalausfall der Anlage einhergehen. Oder hat sich das mittlerweile geändert ?

Ist halt schon nen wichtiger Anschluss. Letztendlich macht die Fritzbox in diesem Setup nichts anderes als VDSL All IP in Sip und Ethernet zu wandeln. Dann geht Sip per Ethernet in die Free-PBX, und Internet per Firewall ins netz. Hinter der Free-PBX hängt noch eine zweite Fritzbox welche die DECT Telefone bereitstellt. das WLAN Mesh und eben ISDN und Analoge Telefone Bedient. Für einen Anschluss mit einer Leitung und mittlerem Telefonaufkommen eigentlich günstig und ausreichend. Wäre dieses Trunk Problem nicht. An der anderen Fritzbox hängen 4 IP Telefone und 6 DECT Telefone. Hat noch nie zicken gemacht.

 

[stsoft]

Ich vermute die FreePBX macht irgend welche zusätzlichen Anfragen an die Box, welche dies aber ablehnt. Z.B. OPTIONS oder SUBSCRIBE
Da solltest Du mal auf einen Mitschnitt schauen und dann ggf. in der FreePBX das deaktivieren.

 

[koyaanisqatsi]

Moinsen


Eine Registrierung kostet nicht einen einzigen Sprachkanal.
Aber...
Die FRITZ!Box erlaubt authorisierte OPTIONS (SIP-Ping) und SUBSCRIBE (MWI, nicht BLF), also vom VoIP Account welcher registriert ist.
Wird versucht OPTIONS oder SUBSCRIBE ohne eine Authentifizierung zu fahren, wird die FRITZ!Box zickig und sperrt die Quell-IP wohl für 300 Sekunden.
@sonyKatze nennt das: Hammer Protection

 

[sparkie]

wenn ich sowas schon wieder höre, dann fühle ich mich darin bestätigt, dass mir eine Fritte niemals ins Haus käme

 

[koyaanisqatsi]

Dann haste es nicht so mit der "gefühlten Sicherheit"?
Denn die "Hammer Protection" ist vergleichbar mit: Fail2Ban
Wer also mit Ungewissheit (weiss nicht was er tut) Registrierungen fehlschlagen lässt, rennt genau in diese Falle.
Denn für meinen lokalen Raspberry Pi Asterisk (nur im LAN erreichbar, experimentelle PBX, auch für Home-Automation ohne externe "gratis aber nicht umsonst" Fremdserver ) welche ich mit der FRITZ!Box verknüppert habe, ist genau dieses Verhalten ein Sicherheitsgewinn (FRITZBox ist VoIP-Gateway).
192.168.188.1 ist die fritz.box...

osmc*CLI> sip show peers
Name/username             Host                                    Dyn Forcerport Comedia    ACL Port     Status      Description
1000/1000                 192.168.188.1                            D  No         Yes            5060     Unmonitored User/Peer
1001/1001                 192.168.188.1                            D  No         Yes            5060     Unmonitored User/Peer
1002/1002                 192.168.188.1                            D  No         Yes            5060     Unmonitored User/Peer
1003/1003                 192.168.188.1                            D  No         Yes            5060     Unmonitored User/Peer
1004/1004                 192.168.188.1                            D  No         Yes            5060     Unmonitored User/Peer
1005/1005                 192.168.188.1                            D  No         Yes            5060     Unmonitored User/Peer
1006                      (Unspecified)                            D  No         Yes            0        Unmonitored User/Peer
1007/1007                 (Unspecified)                            D  No         Yes            0        Unmonitored User/Peer
1008                      (Unspecified)                            D  No         Yes            0        Unmonitored User/Peer
1009                      (Unspecified)                            D  No         Yes            0        Unmonitored User/Peer
fbfgateway0/koyaanisqatsi 192.168.188.1                               Auto (No)  No             5060     Unmonitored Peer/NAT
11 sip peers [Monitored: 0 online, 0 offline Unmonitored: 7 online, 4 offline]

...die 6 Rufnummern am Asterisk registriert, ohne Probleme.

Der letzte Peer (fbfgateway0) wird nur für Spezialfälle genutzt und ist nur registriert, genauer authorisiert, wenn er mal im seltenen Fall via extra Kontext genutzt wird und das Authorisieren geschieht dann "on the fly", also beispielsweise bei einem: INVITE
Denn dieser Peer darf praktisch alles, was nicht unbedingt gewollt ist.
Beispiele:
1. Interne Telefonie auf alle internen Nummern ohne das die in der Anrufsliste auftauchen.
2. Vorauswahlen aller eingerichteten Telefonnummern nutzen.
( Beispiel: *121# für die erste Internetrufnummer )
3. Über DTMF Bypass (*#) externe Weiterleitungen beim Anbieter einrichten.
( Über die Vorauswahl eben auch jede Internetrufnummer )

Ich registriere aber keinen Peer des Asterisk an der FRITZ!Box.
Es existieren also nur Asteriskrufnummern in der FRITZ!Box, die ich munter Telefonen zuweisen kann oder mit der "Rufbehandlung" weiterverwurstet werden.
Außerdem sind das aus FRITZ!Box ihrer Sicht alles externe Anrufe (rein und raus) die auch von der Anrufsliste geloggt werden.

...es muss nur verstanden sein, dann kann auch mit gearbeitet werden.

 

[sparkie]

und wo genau ist dieses Verhalten und deren Wirkweise dokumentiert?

Oder muss man das alles selber durch mühsames Reverse Engineering rausfinden?

So nach dem Motto "wo hat denn AVM diesmal wieder zufällig irgendwelche fragwürdigen Falltüren eingebaut"

 

[koyaanisqatsi]

Du und ich sind die glücklichen Foren nutzenden Menschen, wo auch andere Mitglieder mal ein Körnchen finden.

Yealink SIP-T41S Konto an Fritz Box 6490 Cable Verbindungsproblem

Hallo, versuche schon seit gestern mein neues Yealink SIP-T41S mit eine Fritz Box 6490 Cable zu verbinden. Ich verwende nur eine einfache Konfig, zwar nur das Yealink SIP-T41S. Das Yealink SIP-T41S hangt an einem Pop Switsh der direkt mit der FritzBox verbunden ist. Mein Provider ist Vodafone...

www.ip-phone-forum.de

...deshalb gibt es solche Foren wie Unseres hier

 

[sparkie]

ist ja toll, dass inzwischen schon ganze Foren auf Trab gehalten werden müssen, nur um herauszufinden, was AVM seinen Produkten mal wieder für eine fragwürdige Willkür angedeihen ließ

 

[jgraute]

Vielen Dank für den Input. Das klingt wirklich logisch. Wede ich am Wochenende mal ausprobieren und hier berichten.

 

[sonyKatze]

jgraute, Du müsstest für diese Hammer-Protection eigentlich nur die SIP-Nachrichten mitschneiden. Aber wenn das erst beim vierten IP-Telefon in der FRITZ!Box passiert, könnte der AVM eigene Algorithmus noch komplizierter sein, als was ich bisher ermittelt habe. Berichte mal! Auch wenn kein Erfolg bzw. wenn Du nichts siehst! Dann baue ich Dein Szenario mal nach.