Fritzbox als IP-Client hinter Firewall

[ce29012]

Nachdem ich mir fast die Zähne dran ausgebissen hätte und jetzt wohl den Durchbruch habe, hier mal ein paar Hints für Menschen in ähnlicher Lage.

Aufbau: VDSL-Modem -> Edgerouter X -> Fritzbox 7590. VoIP über 1&1-Anschluß.

Problem: Manchmal klingelt es, manchmal nicht.

Kurzfassung: tcpdump auf dem Edgerouter zeigt, dass die Fritzbox nur eine Verbindung zu einem der beiden 1&1 SIP Server öffnet. 212.227.124.129 oder .130. Wobei das zufällig ist, welcher. Allerdings antwortet irgendeinder der beiden um ein Klingeln zu signalisieren. Über conntracker auf dem edgerouter geht natürlich nur die eine Verbindung nach drinnen, die von der Fritzbox geöffnet wurde. Die andere läuft auf und der Anrufer hört eine Ansage im Stil "der Teilnehmer ist vorübergehend nicht erreichbar".

Lösung: Zusätzlich zum normalen Masquerading ein Destination NAT auf dem edgerouter für beide IPs Port 5060 mit translation auf die Fritzbox 5060. die nimmt dann auch die eigentlich unbekannte zweite IP an, obwohl sie dafür ja keinen Socket offen hat. Und plötzlich klingelt es immer.

 

[otto58]

Ich habe einen ähnlichen Aufbau mit einer FB 7170 und Telekom VoIP.
Bei mir funktioniert es, nachdem ich in der FB die Einstellung "Portweiterleitung des Internet-Routers für Internettelefonie aktiv halten" deaktiviert habe, ohne jegliche Portweiterleitung im ER.

 

[sonyKatze]

FRITZ!Box [öffnet] nur eine Verbindung zu einem der beiden 1&1 SIP Server

Merkwürdig. Nutzt Du IPv4 oder IPv6? In letzterem Fall, siehe diesen Post …
Wenn Du IPv4 nutzt, was die IPs nahelegen, dann wäre das ein neuer Software-Bug. Welches FRITZ!OS nutzt Du genau? Dann teste ich das mal nach.

 

[ce29012]

Ich nutze nur IPv4 und habe die 7.29 auf dem 7590 drauf. Im Conntrack des Edgerouters sehe ich, dass jeweils nur eine der beiden IPs von 1&1 im conntrack sind. Wenn beide drin wären, wäre es kein Problem und würde out-of-the-box funktionieren.

 

[sonyKatze]

Spannend. In FRITZ!OS 7.27 hat das noch funktioniert. Ich teste mal bei Gelegenheit.

 

[ce29012]

Hallo sonyKatze, ja das wäre toll! Ich bin mit dem Support von AVM dran, aber die hängen noch bei https://avm.de/service/wissensdaten...it-FRITZ-Box-uber-anderen-Router-telefonieren fest.

 

[sonyKatze]

Gut, dass ich hier nur schreiben und nicht sprechen muss. Da bleibt mir glatt die Spucke weg …

Ich kann den Software-Bug bestätigen. FRITZ!Box 7490 FRITZ!OS 7.28 macht (in IPv4) das „Sipping“ auf alle gelernten IP-Adressen. FRITZ!OS 7.29 macht mit den gleichen Einstellungen das Sipping jetzt endlich auch in IPv6, aber sowohl in IPv4 als auch IPv6 nur noch auf die registrierte IP-Adresse.

Ich möchte gar nicht wissen, wieviele Telefonate bereits seit Anfang November deswegen verloren gegangen sind. Betrifft – soweit ich das bisher weiß – „nur“ 1&1 und auch „nur“ wenn nachgelagert zu einer anderen Firewall und auch statistisch „nur“ 50% aller eingehender Anrufe – aber trotzdem, das lief jetzt seitdem es FRITZ!Box gibt. Also entweder zurück auf FRITZ!OS 7.28 oder wie von Dir vorgeschlagen in der Firewall eine Port-Freigabe für Port 5060.

 

[ce29012]

Danke fürs Analysieren! Ich selbst bin erst Mitte November umgestiegen auf die Konfiguration mit IP-Client hinter einem Edgerouter, von daher war mir nicht klar, ob es schonmal ging und kaputtrepariert wurde.

-- Zusammenführung Doppelpost gemäß Boardregeln by stoney

Nachtrag: Um die Firewall minimalst möglich aufzumachen, habe ich aktuell nur ein DNAT laufen mit:
SOURCE: 212.227.124.129 und 212.227.124.130, Port 5060 TCP+UDP
DESTINATION: <Fritzbox> Port 5060

Gerade frage ich mich: Schickt 1&1 den INVITE immer an Port 5060, unabhängig vom abgehenden Port? Oder habe ich das Glück, dass durch das definierte DNAT der Port 5060 auf meinem Edgerouter schon reserviert ist für das passende 1&1-Mapping?

 

[sonyKatze]

Bin mir nicht sicher, ob ich die Frage verstanden habe. Ich probiere mal:
1&1 schickt von allen seinen IP-Adressen zurück an den selben Port. Der Port der FRITZ!Box ist in der voipcfg definiert … Aber das ist nur der Port in Deinem Intranet. Deine Firewall bestimmt den Port im Internet. Also theoretisch (und praktisch) nimmt ein SIP-Client normalerweise nicht fix 5060 sondern irgendeinen UDP-Port. Deine Firewall schaut dann: (a) Manche Firewalls mappen immer um. Sie nehmen irgendwas anderes. (b) Andere Firewalls mappen nur dann um, wenn der Port schon ein „Binding“ hat. Sie bleiben bei dem Port, den der SIP-Client gewählt hatte.

TCP+UDP

Für 1&1 brauchst Du aktuell nur UDP und kein TCP. Aber 1&1 könnte das täglich ändern, denn die FRITZ!Box erkennt das automatisch über DNS-NAPTR. Um DNS-NAPTR in der FRITZ!Box auszuschalten: fritz.box → Telefonie → Eigene Rufnummern → (Taste) Bearbeiten → Telefonie-Anbieter: von 1&1 auf Anderer Anbieter → (Taste) Weitere Einstellungen → Transportprotokoll: von Automatisch auf UDP.

212.227.124.129 und 212.227.124.130

Gefährlich. 1&1 könnte jederzeit die IP-Adressen ändern. Auch könnte die FRITZ!Box auf IPv6 umschwenken. Letzteres kannst Du ebenfalls ausschalten. Daher wenn möglich nimm lieber sip.1und1.de oder noch besser DNS-SRV für _sip._udp.1und1.de. Wenn das nicht geht, würde ich eher Port 5060 ganz aufmachen. FRITZ!OS ist gewohnt, dass auf dem Port 5060 haufenweise Schund ankommt.

 

[Auerswald Fan]

Moin Moin.
1und1 ist meines Erachtens schon seit sehr langer Zeit ein Anbieter, der Für mich „etwas“ (;-)) ungewohnt arbeitet. Anrufe werden bei ihm kommend wechselnd von verschiedenen Servern signalisiert. Arbeitet die Fritz-Box als Router und SIP-Client direkt am Internet-Übergabepunkt, fällt dies in der Regel auch nicht auf.
Herstellern wie z. B. Auerswald, die am internen Netzwerk arbeiten, stellen hierfür jedoch FAQs bereit: https://www.auerswald.de/de/support/faq/wie-richte-ich-1amp1-voip-anschluss-ein
Wir müssen uns nicht darüber unterhalten das das natürlich eine „Notlösung“ ist, die jedoch in der grundsätzlichen Arbeitsweise von 1und1 begründet ist.

 

[ce29012]

Oh no. Frisch aus dem Urlaub zurück werfe ich gerade einen Blick ins NAT-conntracking des Edgerouters und sehe: Warum auch immer aber jetzt mapped der edgerouter im NAT die Fritzbox nicht mehr mit Port 5060 auf meine öffentliche IP, sondern mit einem zufälligen Port 1089. Damit klappt natürlich der Workaround mit dem festen Portforwarding von 5060 nicht mehr. Denn 1&1 klingelt tatsächlich auf Port 1089, allerdings mit den beiden wechselnden IPs.

@sonyKatze : hast du einen Link für mich, wie ich an die 7.28 komme? Ich muss wohl downgraden, aber AVM scheint da nichts mehr auf dem Server zu haben. Nur die neue 7.29 oder irgendso ein recovery-Tool auf 7.21. So ein riesenmist.

 

[KunterBunter]

Hattest du die vorherige Version nie? Immer diese Downgrader.

 

[ce29012]

Doch, aber bin über den Update-Mechanismus der Box gegangen. Da lädt sie es ja selbst runter und man hat keine Kopie auf dem Rechner! Danke für den Tipp mit der wayback-Machine!!

 

[ce29012]

Downgrade hat geklappt. Auch wenn es unnötig mühsam war. Musste auf die 7.21 restoren, dann auf 7.28 updaten und dann die letzte Config nehmen, kurz vor dem Update auf 7.29. Dann die Nachkonfigurationen.

Aber: ich kann bestätigen: mit der 7.28 werden die notwendigen 2 SIP-Verbindungen zu 1&1 aufgemacht.

 

[sonyKatze]

hierfür jedoch

Die Anleitung (mit einer Port-Freigabe) wäre nicht nötig, wenn Auerswald auf alle gelernten IP-Adressen ein Keep-Alive machen würde. Hat man das Host-System (Betriebssystem) der Telefon-Anlage unter Kontrolle, kann man das sogar selbst nachrüsten …

Ich muss wohl downgraden, …

Die Threads dazu sind im IP-Phone-Forum etwas verstreut. Für Dich zu spät, aber für jene, die über eine Internet-Suche hier vorbeikommen, finde ich diesen aktuellen Post ganz nett …

 

[ce29012]

Danke für den Link @sonyKatze . In der Tat hab ich mich jetzt manuell zurückgekämpft. Normalerweise würde das jetzt meinen Basteltrieb triggern, aber die Fritzbox läuft derzeit nur noch im DECT-only Mode, und damit kann ich sie vermutlich sogar noch eine Weile auf 7.28 verkraften, bis AVM das Problem dann gelöst hat. Randnotiz: Habe die Nachricht bekommen, dass wir nun eine Ebene weiter sind, es geht also in die Technik. Bist du mit deinem Ticket schon weiter?

 

[ce29012]

Ich fall vom Stuhl. AVM schreibt mir:
[...]
Der bei Ihnen auftretende Fall ist sehr exotisch, da uns bisher keine weiteren Anfragen mit diesem Fehlerbild erreicht haben. Aus den zugesandten Daten lässt sich auch kein Problem seitens der FRITZ!Box erkennen.
[...]
Für den Moment kann ich Ihnen leider keine Lösung anbieten. Sollten uns weitere solcher Fälle bekannt werden, werden wir uns das Verhalten noch einmal genauer anschauen.
[...]

@sonyKatze : kannst du mir mal bitte deine Ticketnummer geben? Anscheinend wurde der Zusammenhang bei AVM nicht erkannt - oder ich werde aktiv abgewimmelt.

 

[ce29012]

Heureka, ein Wunder ist passiert. Nachdem ich AVM alles haarklein aufbereitet habe, wurde der Fehler endlich bestätigt.

Aufgrund Ihrer Daten können wir Ihnen hier ein ungewolltes Verhalten der FRITZ!Box bestätigen. Wir haben dies bereits an die Entwicklung weitergegeben. Einen Fix werden Sie in einem zukünftigen FRITZ!OS-Update oder auch schon in einer Laborversion auffinden können.

Wie bereits vermutet, wird das Verhalten folgendermaßen ausgelöst:
Der SIPPing wird seit dem letzten Update leider nur noch an die registrierte Adresse gesendet und nicht auch noch zusätzlich an die zweite (also hier an die 212.227.124.130).
Der SIPPing bleibt hier leider aus und somit kommen INVITEs von 212.227.124.130 nicht bei FRITZ!Box an. Diese können vom vorgeschalteten Router nicht zugeordnet werden und werden daher nicht an die FRITZ!Box weitergereicht.

Ein möglicher Workaround wäre hier im vorgeschalteten Router eine Portweiterleitung von UDP 5060 auf die lokale IP der FRITZ!Box zu setzen. Bitte dabei nicht die IP-Adressen der 1&1-Registrare verwenden, sondern einfach alles über UDP 5060 zur FRITZ!Box. Über eine solche Einstellung sollte jeder Router verfügen. Das wäre dann auch ein Workaround bis unsererseits der SIPPing wieder korrekt implementiert ist.

Leider klappt der Workaround mit Portforwarding 5060 nicht, weil heute morgen schon wieder nach der Zwangstrennung der Port im NAT "versprungen" ist. Diesmal willkürlich auf 1032. Ich probiere einen Workaround und flushe die conntrack-Table 10 Minuten nach der Zwangstrennung nochmal. Vorhin hatte das eine spontane Rückkehr auf 5060 bewirkt.

 

[sonyKatze]

Normal klappt das mit der Port-Freigabe wirklich. Das ist jetzt ein spezifisches Problem Deines Ubiquiti EdgeRouter X. Aber dazu hast Du ja ein Thread in der Ubiquiti-Community. Wilde Idee: Frage dort auch mal, ob das Problem auch ohne PPPoE auftritt. Du könntest in Deinem Fall nämlich auch das DSL-Modem die PPPoE-Einwahl machen lassen – mit dem potentiellen Nachteil, dass eine Leitungsstörung vielleicht zu lange nicht erkannt wird, so dass sich ein Fallback auf das andere WAN (von Dir gewünscht: LTE) leider unnötig verzögert.

 

[ce29012]

Ich bin an einer Theorie dran. Ob es daran hängt, ob nach dem Drop der PPPOE-Verbindung eine neue IP zugewiesen wurde oder nochmal die gleiche (das passiert bei 1&1 in letzter Zeit häufiger, so dass man die gleiche IP für 3-4 Tage hat). Ich beobachte das mal.