[HowTo] Korrekte Uhrzeit auf Cisco 8961/9951/9971 an Fritzbox

[JoergR]

Und was genau hast du in der Fritzbox als statische IPv4-Route eingetragen?

 

[seelenreiter]

Die Fritzbox ist, wie oben beschrieben im Auslieferungszustand auf der 192.168.178.1 (/24) zu finden.

Dem Gatewayrechner gibst du 2 IPs. Einmal die für das Fritzboxnetz 192.168.178.100 und für das Telefonnetz die 192.168.179.1 (/24)
Die 2. IP ist also AUSSERHALB des FritzBox IP Netzes. Geräte, die in DIESEM Netz sind, können NICHT direkt mit der Fritzbox sprechen.

Jetzt stellst du dein Telefone auf eine IP im Telefonnetz ein. Also z.B. 192.168.179.2 und als Gateway den Gatewayrechner 192.168.179.1

Jetzt kann das Telefon NUR it dem Gatewayrechner sprechen. Schickt also alles dort hin. Der Gatewayrechner ist so konfiguriert, dass er zwischen den Netzen routet. Also kommt alles vom Telefon über das Gateway zur Fritzbox.

Umgekehrt musst du der Fritzbox beibringen, was sie mit Paketen für das 192.168.179.0/24 Netz machen soll. (non routable IP Bereich geht niemals ins Internet, würde also einfach verworfen)

Also richtest du in der Fritzbox eine feste Route ein: das Netz 192.168.179.0/24 auf den Gatewayrechner 192.168.178.100 routen.

Tipp: /24 ist nur eine andere Schreibweise vom Subnetz 255.255.255.0

Die 192.168.x.y sind private IP-Adressen und dürfen auch im Forum komplett und ohne "Tarnbuchstaben" angegeben werden.
Meine FRITZ!Box hat die 192.168.178.1, der PiHole-RasPi bei mir hört auf die 192.168.178.19.

Ich denke nicht, dass es Tarnbuchstaben sind. Es sind Platzhalter, da beliebig.

 

[JoergR]

Vielen Dank, Seelenreiter!
So leuchtet es mir ein
Zwei Netze (192.168.178.* und 192.168.179.*) macht Sinn, während im ersten Post nur ein Netz (192.168.x.*) beschrieben wurde.

Der erste Post war ja auch mit dnsmasq bzw. dhcpd und ohne Fritzbox als Router. Die Fritzbox kann soweit ich weiss nicht für's selbe Netz eine statische Route.
Es geht also mit der Fritzbox, aber wohl nicht so wie im ersten Post beschrieben.

Ich habe es jedenfalls mit einem Netz nicht zum Laufen gebracht. Jetzt werde ich es mit zwei Netzen ausprobieren.

 

[seelenreiter]

Moin @JoergR,

du hast da einen kleinen Denkfehler. Er beschreibt 2 Netze.

192.168.178.1/24 ist nicht das Gleiche wie 192.168.178.1/32

Die Route, die er in den Router einträgt beinhaltet ein Netzwerk mit genau einer IP.

Du kannst der Fritzbox also sehr wohl eine Route auf einen einzelnen Rechner eintragen.

192.168.178.T Subnetz 255.255.255.255 auf 192.168.178.Pi

 

[JoergR]

Danke, immerhin bekomme ich schon mal Pakete in die eine Richtung.
Aber nicht in die andere.

Fritzbox Heimnetz:
IPv4-Adresse 192.168.137.1
Subnetzmaske 255.255.255.0

Pi: 192.168.137.10
Cisco: 192.168.137.9

statische IPv4-Route in der Fritzbox:
Netzwerk 192.168.137.9
Subnetzmaske 255.255.255.255
Gateway 192.168.137.10

Pi dnsmasq.conf:

dhcp-option=pirouter,option:router,192.168.137.10 # IP des Linux Rechners
dhcp-option=vendor:Cisco,150,192.168.137.10 # IP eures TFTPs
dhcp-host=EC:C8:82:B1:96:36,192.168.137.9,setirouter # MAC und IP des Telefons
dhcp-option=6,192.168.137.1 # dns-server

Ich sehe

fritz.box.sip > Cisco.fritz.box.sip: [udp sum ok] SIP, length: 808
SIP/2.0 200 OK
Via: SIP/2.0/UDP 192.168.137.9:5060;branch=z9hG4bK5258a808
From: <sip:[email protected]>;tag=ecc882b1963600022456cd86-06d2c79d
To: <sip:[email protected]>;tag=09823AF8D8FE1340
Call-ID: [email protected]
CSeq: 102 REGISTER
Contact: <sip:[email protected]:5060;transport=udp>;+sip.instance="<urn:uuid:00000000-0000-0000-0000-ecc882b19636>";+u.sip!devicename.ccm.cisco.com="SEPECC882B19636";+u.sip!model.ccm.cisco.com="537";expires=300
User-Agent: AVM FRITZ!Box 7590 (UI) 154.07.27 (May 4 2021)
Supported: 100rel,replaces,timer
Allow-Events: telephone-event,refer,reg
Allow: INVITE,ACK,OPTIONS,CANCEL,BYE,UPDATE,PRACK,INFO,SUBSCRIBE,NOTIFY,REFER,MESSAGE,PUBLISH
Accept: application/sdp, multipart/mixed
Accept-Encoding: identity
Content-Length: 0

aber nicht in die andere Richtung.
Was fehlt da noch?

 

[seelenreiter]

In einem Terminal startet ihr jetzt

./sip-date.pl

und in einem anderen führt ihr diesen Befehl aus:

iptables -A FORWARD -s 192.168.x.f/32 -d 192.168.x.z/32 -p udp -m udp --sport 5060 --dport 5060 -j NFQUEUE --queue-num 0

wobei x.f die Fritzbox und x.z das Telefon.

Du hast auch die Weiterleitung auf dem Pi eingerichtet?
Achtung, hier ist das Subnetz 255.255.255.255

 

[JoergR]

Du hast auch die Weiterleitung auf dem Pi eingerichtet?

Nein, noch nicht.
Sollte es auch nur mit

und in einem anderen führt ihr diesen Befehl aus:

iptables -A FORWARD -s 192.168.x.f/32 -d 192.168.x.z/32 -p udp -m udp --sport 5060 --dport 5060 -j NFQUEUE --queue-num 0

gehen, also ohne die ./sip-date.pl? Das ist dann nämlich meine nächste Baustelle, da auf meinem OrangePi Zero2 das Älteste was läuft focal bzw. buster ist.

Achtung, hier ist das Subnetz 255.255.255.255

Das geht mit
dhcp-option=1,255.255.255.255 # netmask
in der dnsmasq.conf, hoffe ich.

 

[seelenreiter]

Äh, wenn du dir die Anleitung noch einmal anschaust, wird als erstes die Weiterleitung eingerichtet.

1.

Als erstes müssen wir die Routing-Funktionalität des Kernels aktivieren.

2.

Bevor es auf dem Linux Rechner weitergeht, müssen wir das Routing für das Telefon verändert

3.

Nun müsst ihr noch in eurem Router eine spezifische Route für euer Telefon über den Linux Rechner einrichten

Erst, wenn man mit

tcpdump -v udp port 5060

sehen kann, dass das Telefon jetzt nur noch über den Linux Rechner (raspberry Pi oder ähnliche) spricht,
kommt das spi-date.pl Script ins Spiel, welches dann die fehlende Zeile mit dem Datum ergänzt. Das funktioniert nur so lange, wie das Script auch läuft.

Deshalb muss dieses Script mit jedem Rechnerneustart wieder ausgeführt werden.

Entweder "altmodische" mit der spi-date.sh Datei oder "modern" als Dienst über systemd.

Den Befehl iptables muss man im übrigen nur einmalig ausführen. Die Einstellung bleibt erhalten.

 

[JoergR]

iptables -A FORWARD -s 192.168.137.1/32 -d 192.168.137.9/32 -p udp -m udp --sport 5060 --dport 5060 -j ACCEPT

funktioniert ohne Skript.

iptables -A FORWARD -s 192.168.137.1/32 -d 192.168.137.9/32 -p udp -m udp --sport 5060 --dport 5060 -j NFQUEUE --queue-num 0

funktioniert mit einem C Programm basierend auf libnetfilter_queue, dass einfach die Pakete mit NF_ACCEPT weiterreicht.
Beim Weiterreichen von Paketen mit eingefügtem Datum gibt es noch Fehler, da bin ich noch dran.
Auf Stretch zurückgehen geht bei mir nicht, das gibt es nicht für den Orange Pi Zero 2.

Subnetz 255.255.255.255 auf dem Pi funktioniert nicht, da meldet sich das Telefon nicht an. Subnetz 255.255.255.255 auf dem Telefon geht auch nicht.

Ich sehe immer noch nur Pakete von der Fritzbox zum Telefon:

Chain FORWARD (policy ACCEPT 269 packets, 23128 bytes)
    pkts      bytes target     prot opt in     out     source               destination
       0        0 ACCEPT     udp  --  *      *       192.168.137.9        192.168.137.1        udp spt:5060 dpt:5060
    1204   703662 NFQUEUE    udp  --  *      *       192.168.137.1        192.168.137.9        udp spt:5060 dpt:5060 NFQUEUE num 0

Vom Telefon zur Fritzbox geht es anscheinend direkt, nicht über den Pi. Vielleicht stört das gar nicht?

 

[JoergR]

Mein Code läuft, das Telefon hat korrekte Uhrzeit mit der neuesten Firmware, das asymmetrische Routing scheint nicht zu stören, denn Alles funktioniert einwandfrei.
Sobald der Code etwas aufgeräumt ist, veröffentliche ich ihn (das kann noch etwas dauern).

 

[dg2drf]

Mit dem Subnetz 255.255.255.255 kann es nicht klappen. Mit der Submask legt man den Netz und Host Anteil des Netzwerkes fest. Bei Deiner Submask gibt es nur den Netzanteil und keinen Hostanteil (Bei Firewall wird die Submask genommen, wenn man nur 1 IP filtern will).
Übliche Submask für das 192iger Netz ist die 255.255.255.0.

 

[seelenreiter]

Mit dem Subnetz 255.255.255.255 kann es nicht klappen. Mit der Submask legt man den Netz und Host Anteil des Netzwerkes fest. Bei Deiner Submask gibt es nur den Netzanteil und keinen Hostanteil (Bei Firewall wird die Submask genommen, wenn man nur 1 IP filtern will).

Aber es geht genau im 1 IP.

Da der Router das Standartgateway für das Subnet ist, wird er alle IPs in seinem Subnet immer direkt ansprechen.
Nun musst du dem Router irgendwie beibringen, dass er diese eine IP nicht direkt sondern über die "Dritte IP" als "man in the middle" ansprechen soll.
Deshalb die statische Route im /32 Netz auf den Pi
Auf dem Pi wird ja auch die statische Route zum Telefon gesetzt.

Ich halte das auch für eine schmutzige Lösung. Offensichtlicher ist die Lösung mit einem trennten Netzwerksegment für das Telefon. 192.168.178.0/24 und 192.168.179.0/24 für das Telefon.

 

[dg2drf]

Ich halte die Lösung mit den unterschiedlichen IP Bereich für die bessere Lösung.
Zumal das auch verständlicher ist. (Und wenn entsprechende HW vorhanden ist, dieses über VLAN machen kann).

 

[Joe_57]

Aber es geht genau im 1 IP.

Da könnte man auch die Subnet-Maske 255.255.255.252 nehmen, da passen dann genau zwei IP-Adressen rein.

Zum selber Nachrechnen geht es z.B. hier weiter:

Netzwerk-Rechner | heise online

www.heise.de

 

[dg2drf]

@Joe_57 : Da hast du recht. Das wäre auch eine Möglichkeit. Man darf dann aber nicht vergessen, in der Fritte die richtige Submask einzutragen.(Neben einer Statischen Route)

 

[JoergR]

Mein Code liegt auf github.

 

[JoergR]

Mit Subnet-Maske 255.255.255.252 durch
dhcp-option=1,255.255.255.252 # netmask
in der dnsmasq.conf gehen die Packete vom Telefon trotzdem immer noch nicht durch den Pi.

Mein nächster Versuch werden dann wie vorgeschlagen unterschiedliche IP Bereiche sein.



Bild gemäß Boardregeln als Vorschaubild eingebunden by stoney

 

[Theo Tintensich]

Die Route, die er in den Router einträgt beinhaltet ein Netzwerk mit genau einer IP.

Es müssen aber mindestes vier IP-Adressen sein, da zu einem Netz geroute wird, und ein Netz hat schein einmal zwei IP-Adressen, die technisch nicht verwendet werden können (Netzname und Broadcast) und dann, da es ein Netz ist, eine IP für das im Netz befindliche System sowie für den Gateway-
Damit beschreibt /32 kein routbares Netz.
Solche Schreibweisen werden allerhöchstens bei einer Firewall verwendet, um den Netzbereich zu beschreiben, für den auf diesem Port der Verkehr durchgelassen wird.
Nie aber ein wirkliches Netz.
(Die Subnetzmaske 255.255.255.255 bei Einwahlverbindungen funktioniert,da hier kein Netz zum Routen angesprochen wird, sondern 'Host-Routing' verwendet wird.)

Mit Subnet-Maske 255.255.255.252 durch
dhcp-option=1,255.255.255.252 # netmask
in der dnsmasq.conf gehen die Packete vom Telefon trotzdem immer noch nicht durch den Pi.

Wie sollte er? Er soll Router spielen, und dafür muss man ein Netz, und keine IP zur Verfügung haben.

 

[JoergR]

Laut heise sieht das 255.255.255.252-Netz so aus wie das Vorschaubild.

dafür muss man ein Netz, und keine IP zur Verfügung haben.

Was muss ich denn ändern, damit es funktioniert?

 

[dg2drf]

Die Pakete gehen nur durch einen Router, wenn das Ziel der Pakete NICHT im eigenen IP Bereich liegt.
Da die Fritzbox und dein Telefon im 192.168.178.x Bereich liegt, muss nichts durch einen Router geschickt werden. Anders sieht das aus, wenn das Telefon im 192.168.179.x Netz liegen würde. Um dieses Netz erreichen zu können, müssen die Pakete durch einen Router gerouted werden.