[Leider nicht mehr ganz erledigt]: VoIP Block eines Anbieters mit Asterisk umgehen?

[jakarta]

Nachdem ich seit letzter Woche keinen Zugang zu meinen VoIP Anbietern und meinen Asterisk Server mehr bekomme, obwohl nichts verstellt wurde (weder mit der Hardware noch über X-Pro Software Lösung) habe ich den bösen Verdacht, dass mein Internet Anbieter sich den aktuellen Gemeinheiten einiger Länder (Israel, China) angeschlossen hat und VoIP sperrt. Verständlich wäre es, wenn man sich die entgangenen Auslandsgesprächsgebühren anschaut.

Nun frage ich mich, wie so eine Blockade technisch funktioniert und kennt jemand eine Lösung, wie ich es mit meiner Hardware Draytek Router oder PAP-2 unter Zuhilfenahme meines Asterisk-Servers (zum Glück ein vServer mit Standort Deutschland) umgehen kann.

Kann ich einfach einen anderen Port nutzen und diesen Asterisk beibringen? Oder hat jemand eine andere Idee, wie die Sperre und Lösung aussieht?

Der Anbiter gibt mir keine Auskunft, ob er sperrt. Mit einem anderen Zugang in der Arbeit funktioniert jedoch die Softwarelösung.

Danke und beste Grüße aus Jakarta

Jörg

 

[Thomas007]

Hi,

nimm einen OpenVPN Tunnel und leite die Daten dadurch.
Das funktioniert.
Dann kann keiner mehr sehen was Du da transportierst.
Ob der Provider noch andere Methoden nutzt um auf VoIP in verschlüsselten Übertagungen zu schließen oder generell UDP Traffic streams zeitweise stört kann ich Dir nicht sagen.

Gruß

Thomas

 

[rollo]

Du kannst versuchen, Dich über IAX2 auf einem anderen Port zu connecten.

jo

 

[TinTin]

Richte Dir einen IAX account auf Deinem Asterisk ein, falls Du das nicht auch schon probiert hast und nutze ein Softphone das IAX beherrscht wie dieses

Gruß,
Tin

 

[merkc]

Ich stimme rollo und thomas007 zu.
ABER dennoch: was ist denn genau gesperrt? SIP Port 5060? oder RTP Audio? oder was denn genau? Ansonten nimm Deinen deutschen vServer her, und sag Asterisk er soll sattt 5060 mit der über Port 81 Verbinden. Merkt kein Indonese , dass nun statt http darüber sip läuft. Beim rtp wird's dann schon kniffliger.... Aber IAX ist immer schick ... und sicher nicht geläufig in Jarkarta
Gruss aus der Schweiz
Chris

 

[jakarta]

Herzlichen Dank

Jungs (und vielleicht Mädels) Ihr habt mir viel Zeit gespart und meine Kinder werden sích freuen, dass Papa am Wochenende Zeit zum Spielen hat.

Und meine Frau kann wieder telefonieren und dankt Euch ebenfalls.

Kurz gesagt die indonesischen Knallköpfe haben den Port 5060 gesperrt, denn als ich Eurn tipp genutzt habe und auf Port 81 umgestellt habe klappte wieder alles Bestens.

Und Betateilchen, nochmals einen Dank auch an dieser Stelle an Deinen Kurs, denn so habe ich bereits vor wochen meinen vServer aufgebaut und konnte die guten Tipps nutzen.

Nun muss ich nur noch hoffen, dass diese Knallköpfe hier nicht auch noch einen Weg finden den Zugang über andere Ports zu sperren. Die die anderen Alternativen IAX und VPN-Tunnel gefallen mir nicht so sehr, denn ich telefoniere lieber mit einnem telefon über den Draytek und kann angerufen werden, ohne dass der Computer läuft.

Beste Grüße aus Jakarta

Jörg

 

[jakarta]

Das Katz und Maus Spiel geht weiter

Also im Moment "jagt" mich die Telkom in Indonesien. Wenn immer ich ein Gespraech über VoIP führe ist spätestens nach 24 Stunden dieser Port ebenfalls gesperrt. Manchmal brauchen Sie auch nur eine Stunde.

Noch nutze ich VoIP und wechsele die Ports. Da ich meinen Router als Hardware nutze habe ich noch nicht ganz raus, wie ich einen VPN Tunnel damit aufbaue zu meinem vServer und den Router darüber leite. Jede Hilfe ist hier willkommen, denn irgend wann gehen mir mal die Ports aus.

Wobei bei ein paar Tausenden und 24 Stunden kann das eine Weile dauern ;-)

Gruss

Jörg

 

[heinb]

Hi,

ich denke der Tipp mit VPN wird schon der beste sein. Wie ich es machen würde (ungetestet/aus dem Kopf): Stell Dir doch einfach einen kleinen Router mit OpenWRT hin, darauf OpenVPN drauf und ein Routing das Dein vServer nur über die VPN-Leitung erreicht werden kann. Auf Deinem vServer richtest Du ebenso OpenVPN ein und schon kann das telefonieren losgehen. Wenn ich mir so Deine Leitungsdaten in Jakarta anschaue dann solltest Du die geringste Verschlüsselung nehmen damit Dir nicht zuviel Bandbreite genommen wird. Es wäre dann vielleicht auch sinnvoll auf deinem vServer eine Firewall auf den VPN-Tunnel zu legen falls Du Dir wegen der geringen Verschlüsselung sorgen machst.

Ich hoffe Du bekommst das hin! Halt uns auf dem Laufenden!

Gruß,
HeinB

PS: Ich versteh gar nicht warum die sich das so kompliziert machen, warum priorisieren sie VoIP nicht einfach ganz nach hinten? Dann macht telefonieren doch gar keinen Spaß mehr!

 

[gandalf94305]

Indonesien gehört zu den Top3 im Felde des Internetbetrugs, d.h. ISPs unternehmen hier in letzter Zeit einige Maßnahmen, um Aktivitäten einzudämmen. VPN-Verbindungen werden von manchen ISPs gesperrt...

@jakarta: Dein "Sperren" des Ports kann einen ganz anderen Grund haben und mit der Topologie des ISP-Netzwerks zusammenhängen. Kannst Du mir eine Beispiel-IP-Adresse nennen, die dieser Provider vergibt?

--gandalf.

 

[merkc]

OpenVPN ist das einzige, das dort noch helfen könnte.. ausser die sperren das auch noch.
ABER: Du hast ca. 65000 Ports... mach Dir doch ne Tabelle und telefonier die einfach mal runter das hört sich evt. bescheuert an, ist aber am wenigsten aufwendig.
noch etwas: Hast Du ne fixe IP? Das beste ist es eigentlich, wenn Du mal über dir Ports 1 bis und mit 80 telefonierst, speziell auf den Ports 21,23,25 und 80... dann geht kein telnet, ftp, mail und www mehr

weitere überlegungen: sind die ports richtig gesperrt? oder schauen die, wohin DU (!) dich verbindest? was passiert, wenn dein vserver eine anderer ip adresse bekommen sollte? sind dann immer noch die ports gesperrt ? wie rufst du deinen vserver aus? über eine ip adresse oder über eine url (das wäre so was wie huber.vserver.1und1.de oder ähnlichem) (sorry -- herr huber, war nicht persönlich gemeint).
wie kommst du mit deinem setup ins indon. dsl netz? bei einer dynamischen ip adresse ist es dann tatsächlich so, dass zumindestens dein provider einen filter drinnen hat. was passiert, wenn du den account von einem bekannten verwendest? hat der die gleichen probleme... ich meine genauer: was passiert auf den von dir bereits verwendeten und danach blockierten ports, wenn du diese von einem bekannten aus verwendest.
wie du siehst, gibt's ne menge "arbeit" für dich... halt uns auf dem laufenden. wäre sicher ganz nett zu wissen wie ich es "remotely" aus der schweiz schaffen könnte einen code zu knacken :-Ö

aber nochmals zum mitschreiben: OpenVPN sollte Deine Probleme wirklich lösen.

 

[Thomas007]

Hi,

Du könntest UDP/53 als ServerPort nehmen.
Den kann man Dir nicht so einfach sperren ohne Dein Internetzugang kaputt zu machen. (DNS)

OpenVPN installierst Du am besten als Client Software auf Deinen PC, MAC, Win oder Linux ist egal.

 

[merkc]

noch ne frage: mit welchen codecs telefonierst du bei einem upload von 64 kbit?

 

[merkc]

Du könntest UDP/53 als ServerPort nehmen.
Den kann man Dir nicht so einfach sperren ohne Dein Internetzugang kaputt zu machen. (DNS)

oh ja, der port ist auch noch ganz cool. am besten, so lange es noch geht sich hocharbeiten von 1,3,7,21,23,25,27,80,53

danach geht sicher nix mehr :idea:

 

[gandalf94305]

Das beste ist es eigentlich, wenn Du mal über dir Ports 1 bis und mit 80 telefonierst, speziell auf den Ports 21,23,25 und 80... dann geht kein telnet, ftp, mail und www mehr

SIP und RTP verwenden UDP, die genannten Dienste verwenden TCP. Also gibt es da wohl keine Interaktionen.

--gandalf.

 

[Netview]

Es gibt hier einen 'sip over tcp'-patch, vielleicht dürfte dies die Lösung sein:

http://bugs.digium.com/view.php?id=4903

 

[rollo]

Du könntest auch mal realtunnel ausprobieren. Mehr Infos über die Forensuche.

jo

 

[jakarta]

Indonesien gehört zu den Top3 im Felde des Internetbetrugs, d.h. ISPs unternehmen hier in letzter Zeit einige Maßnahmen, um Aktivitäten einzudämmen. VPN-Verbindungen werden von manchen ISPs gesperrt...

@jakarta: Dein "Sperren" des Ports kann einen ganz anderen Grund haben und mit der Topologie des ISP-Netzwerks zusammenhängen. Kannst Du mir eine Beispiel-IP-Adresse nennen, die dieser Provider vergibt?

--gandalf.

222.124.44.5 zum Beispiel
oder
222.124.92.45
222.124.92.61

frueher hatte ich andere IP Serien, aber ich kann mich nicht mehr entsinnen.

Aber warum sperren die, die Ports immer nach einem Telefongespräch? Im Moment bekomme ich aber sogar gar keine Verbindung mehr zu meinem vServer zu Stande. Interessanterweise geht aber Skype ohne Probleme. Nur ich habe keine Lust ueber ein Mikro und Lautsprecher zu telefonieren und die Quaöität ist auch nicht so berauschend, durch das langsame Netz.

 

[betateilchen]

222.124.92.45

Interessantes Traceroute dorthin:

[root@server udo]# traceroute 222.124.92.45
traceroute to 222.124.92.45 (222.124.92.45), 30 hops max, 38 byte packets
 1  asterisk (192.168.1.1)  1.009 ms  0.766 ms  0.766 ms
 2  217.0.116.58 (217.0.116.58)  50.180 ms  49.054 ms  54.867 ms
 3  217.0.68.50 (217.0.68.50)  44.890 ms  44.442 ms  45.552 ms
 4  nyc-e5.NYC.US.net.DTAG.DE (62.154.14.53)  137.518 ms  137.394 ms  137.927 ms
 5  62.156.138.46 (62.156.138.46)  138.537 ms  138.323 ms  138.394 ms
 6  bcs2-so-4-0-0.Washington.savvis.net (204.70.192.1)  141.066 ms  140.828 ms                                              140.564 ms
 7  bcs1-so-7-0-0.Washington.savvis.net (204.70.192.33)  141.561 ms  163.687 ms                                              140.618 ms
 8  dcr1-so-3-0-0.Atlanta.savvis.net (204.70.192.53)  155.534 ms  156.270 ms  15                                            7.581 ms
 9  dcr2-as0-0.Atlanta.savvis.net (204.70.192.42)  156.504 ms  156.072 ms  157.1                                            46 ms
10  dcr2-so-2-0-0.dallas.savvis.net (204.70.192.70)  176.956 ms  176.786 ms  176                                            .079 ms
11  dcr1.lay-so-3-2-0.losangeles.savvis.net (204.70.194.53)  214.365 ms  214.498                                             ms  215.512 ms
12  bpr3-so-7-0-0.losangelesequinix.savvis.net (204.70.194.2)  215.686 ms bpr3-s                                            o-0-0-0.LosAngelesEquinix.savvis.net (208.172.44.106)  213.995 ms bpr3-so-7-0-0.                                            losangelesequinix.savvis.net (204.70.194.2)  214.200 ms
13  singapore-telecommunications-ltd.LosAngelesEquinix.savvis.net (208.174.196.6                                            )  218.099 ms  297.400 ms  243.847 ms
14  laxeq-cr1.ge-3-0-0.ix.singtel.com (203.208.182.45)  217.118 ms ge-0-3-0.laxeq-cr1.ix.singtel.com (203.208.168.221)  216.713 ms laxeq-cr1.ge-3-0-0.ix.singtel.com (203.208.182.45)  219.429 ms
15  so-2-1-0.sngc3-cr2.ix.singtel.com (203.208.182.133)  388.526 ms 203.208.182.73 (203.208.182.73)  428.202 ms  423.556 ms
16  so-1-0-0.sngc3-cr2.ix.singtel.com (203.208.172.150)  402.643 ms p1-0.sngtp-cr2.ix.singtel.com (203.208.172.129)  394.560 ms  394.007 ms
17  p4-0.sngtp-cr1.ix.singtel.com (203.208.182.105)  397.995 ms  397.376 ms  398.811 ms
18  203.208.145.98 (203.208.145.98)  406.579 ms  397.056 ms  402.276 ms
19  203.208.145.98 (203.208.145.98)  400.516 ms  405.497 ms 61.94.1.250 (61.94.1.250)  406.114 ms
20  * * *
21  * * *
22  * * *
23  203.130.231.249 (203.130.231.249)  426.033 ms  424.702 ms  427.329 ms
24  * * 203.130.231.249 (203.130.231.249)  430.217 ms
25  * * 203.130.239.29 (203.130.239.29)  510.744 ms
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *

Ehrlich gesagt - ich glaube nicht an eine wechselnde Portsperre deines ISP vor Ort ...

 

[jakarta]

OpenVPN ist das einzige, das dort noch helfen könnte.. ausser die sperren das auch noch.
ABER: Du hast ca. 65000 Ports... mach Dir doch ne Tabelle und telefonier die einfach mal runter das hört sich evt. bescheuert an, ist aber am wenigsten aufwendig.
noch etwas: Hast Du ne fixe IP? Das beste ist es eigentlich, wenn Du mal über dir Ports 1 bis und mit 80 telefonierst, speziell auf den Ports 21,23,25 und 80... dann geht kein telnet, ftp, mail und www mehr

weitere überlegungen: sind die ports richtig gesperrt? oder schauen die, wohin DU (!) dich verbindest? was passiert, wenn dein vserver eine anderer ip adresse bekommen sollte? sind dann immer noch die ports gesperrt ? wie rufst du deinen vserver aus? über eine ip adresse oder über eine url (das wäre so was wie huber.vserver.1und1.de oder ähnlichem) (sorry -- herr huber, war nicht persönlich gemeint).
wie kommst du mit deinem setup ins indon. dsl netz? bei einer dynamischen ip adresse ist es dann tatsächlich so, dass zumindestens dein provider einen filter drinnen hat. was passiert, wenn du den account von einem bekannten verwendest? hat der die gleichen probleme... ich meine genauer: was passiert auf den von dir bereits verwendeten und danach blockierten ports, wenn du diese von einem bekannten aus verwendest.
wie du siehst, gibt's ne menge "arbeit" für dich... halt uns auf dem laufenden. wäre sicher ganz nett zu wissen wie ich es "remotely" aus der schweiz schaffen könnte einen code zu knacken :-Ö

aber nochmals zum mitschreiben: OpenVPN sollte Deine Probleme wirklich lösen.

Hallo,

jede Hilfe ist willkommen. Und alleine diese ist das Größte Lob auf dieses Forum.

OpenVPN hört sich gut an, aber ich vermute ich habe ein Problem mich mdirekt mit meinem Draytek Router (mit VoIP Funktion) anzumelden. Ich bin nicht begeistert über Mikro und lautsprecher zu telefonieren. Da ich kein Linux Spezioalist bin bräuchte ich auch kleinen Einstiegstipp in die Installation eines OpenVPN auf dem Server.

Nun zu Deinen fragen, die ich gerne beantworte:
- OK ich habe es mit den Ports erst so gemacht. Nun komme ich im Moment ueber keinen Port mehr raus. Werde es morgen nochmals versuchen, da die Jung heute schnell mit dem Schleßen waren und die telekom Sonntags immer kaum besetzt ist. (War meine erste Hoffnung)

- Ich wähle mich über den Draytek Router ein und wechsele iegentlich regelmäßig meine IP Adressen. Den vServer rufe ich ueber eine feste IP auf. Ob ich die ändern kann ist mri nicht klart, aber ich hatte es mal Anfangs mit VoIP Anbietern alternativ (also direkt= probiert, als die ersten Schwierigkeiten kamen und auch kein Erfolg gehabt.

- Port 80 (HTTP) Hatte ich bereits genutzt und der geht nun asuch nicht mehr. Es muss eine Kombi-Sperre sein zwischen Port und SIP. Auch einige andere geläufige Ports wie 443 waren schnell für SIP zu.

- Habe leider keinen Bekannten mit der gleichen Verbindung (Anbieter=. Die meisten nutzen ier Kabelmodem, aber das ist noch langsamer (je es geht wirklich noch langsamer)

Gruss aus Jakarta
Jörg

 

[jakarta]

noch ne frage: mit welchen codecs telefonierst du bei einem upload von 64 kbit?

Codec G729. Der Upüload mit 64kb ist die Traumangabe. Nur selten im Download erreicht. Obwohl, seit dem die VoIP sperren ist das Netz schneller geworden