[Problem] Registrierungsproblem mit SIP-Client aus dem lokalen Netzwerk

[Kermit23]

Hallo,

ich habe einen einfachen Weg gesucht für Videotelefonie über Android-Smartphones und bin dabei auf dem SIP-Client "Linphone" gekommen. Da ich einen kleinen Asterisk-Homeserver (1.8.13 auf/von debian wheezy) habe, wollte ich es darüber probieren. Im Grunde funktioniert das ganz gut, bis auf ein ärgerliches Problem: Linphone verbindet sich mit meinem Asterisk über eine dynamische Domain, welche auf meine aktuelle IP vom ISP zeigt. Von extern klappt das soweit einwandfrei, doch befindet sich ein (oder mehrere) Linphone Teilnehmer in meinem lokalen Netzwerk, so funktioniert das nicht mehr so gut. Sie kontaktieren meinen Asterisk über die ISP-IP, bekommen aber dann Antwort von der lokalen IP des Asterisks. Es entsteht offenbar eine Registrierungsschleife (welche ich mit 'sip set debug on') bis Linphone nach einigen Minuten sagt "Registrierung fehlgeschlagen". Aus- und eingehende Anrufe funktionieren dabei zwar, aber der unnötige traffic und die Fehlermeldungen von Linphone nerven.

Wie könnte man das Problem lösen? Wenn ich die interne IP als SIP-Proxy angebe, funktioniert es zwar intern, aber von extern natürlich überhaupt nicht mehr. Ich würde auch ungern meine Dynamische Domain in der /etc/hosts auf die lokale Server-IP setzen, weil ich dann nicht mehr die Funktion richtig testen kann, bzw. die Domainupdater Probleme bekommen (auch Endlosschleife beim Registrieren, weil die IP nie stimmen würde bei Abfrage).

Danke im Voraus,
Kermit

 

[rentier-s]

Ich hab auf meinem Pi nebst Asterisk dnsmasq als DHCP/DNS Server laufen, da habe ich einen Eintrag, der meine DDNS Adresse auf die lokale IP Adresse des Pi auflöst. Vielleicht hast Du bei Dir ein ähnliche Möglichkeit.

 

[Kermit23]

Ich habe die dyndomain nun erst mal fest eingetragen (in meinen lokaen DNS-Server).
Jedoch kann ich nach wie vor meinen Asterisk nicht von außen nutzen: Meine Firewall (ipfilter-regeln) blocken alles außer Port 5060. Damit läuft mein Asterisk nun schon seit Jahren einwandfrei (mit sipgate und gmx als SIP-Provider). Ich habe aber auch noch nie versucht einen Client von außen anzumelden. Ich habe einen User in der /etc/asterisk/sip.conf angelegt und die ACL ausnahmsweise nicht auf's lokale Netzwerk beschränkt.
Von außen kann ich mich auch problemlos in meinem Asterisk anmelden. Wenn ich jedoch eine Nebenstelle anwähle, dann klingelt es und die Verbindung ist scheinbar aufgebaut. Jedoch habe ich weder Audio noch Video. Ich vermute, dass Asterisk noch weitere lokale Ports für die Kanäle öffnet?

Jetzt habe ich probiert einen openvpn Server aufzusetzen, der angeblich über einen einzigen Port (den ich in den iptables dann freigebe) funktionieren soll. Allerdings bin ich an den komplizierten Zertifikaten gescheitert. Offenbar muss jeder Client ein eigenes Zertifikat haben? Eine Anmeldung nur über Passwort (so wie ich es seit Jahren mit sshd praktiziere) ist wohl nicht möglich . Die Lösung gefällt mir sowieso nicht wirklich, da ich jedesmal erst die VPN-Verbindung aufbauen müsste

Kann man Asterisk mitteilen, dass er nur eine kleine Port-Range für Audio/Video nutzen soll? Dann würde ich ein paar Ports dafür freigben in den iptables?

 

[rentier-s]

Dafür ist die rtp.conf da.