siproxd

[Wechseler]

Auf meinem Router läuft kein VoIP-Dienst (ist halt keine Fritzbox), statt dessen gibt es SIP-Endgeräte dahinter.

Um das sauber zu lösen, habe ich auf dem Router einen siproxd installiert. Der verhindert dann auch gleich, daß sich die Endgeräte versuchen, über eine Backup-Mobilfunkverbindung zu registrieren, was bei NAT halt automatisch passiert.

Mit allen VoIP-Anbietern (Sipgate, DUSnet, Easybell) funktioniert die Sache auch einwandfrei.

Nur bei sip.alice-voip.de bekommen ich ein 403 Forbidden zurück, sobald ich einen Outbound Proxy angebe. Was ist da los?

 

[ilvoip]

Das ist normal, da nur Voip-Dienste so möglich sind, die nomadische Nutzung zulassen. Daher klappt es bei Vodafone, O2, etc. nicht.
Die VoiP-Dienste sind nur über das DSL (DNS) des jeweiligen Anbieters erreichbar. Daher klappt es nicht mit a)Mobilfunk und b)vermutlich auch nicht wenn ein Proxydienst dazwischenhängt.

 

[Wechseler]

Das ist normal, da nur Voip-Dienste so möglich sind, die nomadische Nutzung zulassen. Daher klappt es bei Vodafone, O2, etc. nicht.
Die VoiP-Dienste sind nur über das DSL (DNS) des jeweiligen Anbieters erreichbar. Daher klappt es nicht mit a)Mobilfunk und b)vermutlich auch nicht wenn ein Proxydienst dazwischenhängt.

1. Es gibt keine nomadische Nutzung.

2. Der SIP-Proxy ist auf dem Router ans PPPoE-Interface gebunden und verhindert Registrierungen über Mobilfunk-Backup (Endgeräte selbst können das nicht feststellen).

3. Die Registrierung bei sip.alice-voip.de erfolgt ausschließlich über die DSL-Verbindung von O2.

Trotzdem gibt's nur ein 403, sobald die Registrierung über den Router als Outbound läuft. Alles klar?

 

[sparkie]

funktioniert es denn, wenn sich testweise die SIP-Endgeräte direkt bei sip.alice-voip.de registrieren?

 

[Wechseler]

funktioniert es denn, wenn sich testweise die SIP-Endgeräte direkt bei sip.alice-voip.de registrieren?

Ja, allerdings bekommen das Endgerät dann natürlich nichts von Änderungen am WAN-Interface (Zwangstrennung etc.) mit und arbeiten nach dem Prinzip Hoffnung, daß das NAT-Traversal noch funktioniert.

 

[sparkie]

ich wuerde mit tcpdump oder wireshark den Registrierungs-Traffic direkt auf dem WAN Interface aufzeichnen. Und den Gutfall (SIP Endgeraete registrieren sich direkt) mit dem Schlechtfall (SIP Endgeraete registrieren sich ueber siproxd) vergleichen.

Die Meldung '403 Forbidden' alleine sagt nicht viel aus. Ist irgendwie nur ein Sammeltopf fuer alles was schieflaufen kann

 

[ilvoip]

1. Es gibt keine nomadische Nutzung.

Habe ich auch nicht behauptet. Das ist aber der entscheidende Unterschied zwischen den Providern, bei denen es geht und dem O2-VoIP. Alles Klar?
O2 u.a. DSL-Anbieter wollen mit paar Tricks den Mißbrauch einschränken und daher sind die etwas übersensibel. Mit den Tipps von sparkie kommst Du bestimmt weiter.

 

[Wechseler]

ich wuerde mit tcpdump oder wireshark den Registrierungs-Traffic direkt auf dem WAN Interface aufzeichnen.

Habe ich gemacht, dort ist nichts Ungewöhnliches zu erkennen. Der Proxy trägt sich natürlich selbst im Via-Header mit der korrekten WAN-Adresse ein, ansonsten wird alles durchgereicht inkl. User-Agent. Fummelt sich das Endgerät die Adresse selber mit STUN raus oder knallt einfach seine RFC1918-IP dort rein, wird die Registrierung bei o2 positiv beschieden. Warum, ist mir unklar. In letzterem Fall beaufsichtigt dann natürlich keiner die RTP-Ströme und Änderungen am WAN-Interface.

### Zusammenführung Doppelpost + Zitate gekürzt by stoney ###

Habe ich auch nicht behauptet. Das ist aber der entscheidende Unterschied zwischen den Providern,

Ich verstehe nur nicht, was mein Szenario mit nomadischer Nutzung zu tun haben soll. Wenn ich letzteres im Sinn hätte, könnte ich eine VoIP-PBX aufsetzen, die sich bei o2 anmeldet und dann Endgeräte aus der ganzen Welt selbst registriert und durchstellt. Genau das habe ich aber nicht vor.

Bei mir ist halt auf dem Border-Router keine Telefon-Hardware und deswegen soll der Router als Outbound Proxy eben das machen, was er am besten kann: SIP und RTP routen, damit die Geräte dahinter nicht im Nebel stochern und sich mit irgendwelchen Workarounds (NOTIFY) die NAT-Sitzung offenhalten müssen. Abgesehen davon, daß dann der eingehende SIP-Traffic von verschiedenen Anbietern auf irgendwelche obskuren Ports gemappt wird, statt sauber auf 5060 einzugehen.

 

[sparkie]

Habe ich gemacht, dort ist nichts Ungewöhnliches zu erkennen. Der Proxy trägt sich natürlich selbst im Via-Header mit der korrekten WAN-Adresse ein, ansonsten wird alles durchgereicht inkl. User-Agent.

aber irgendein entscheidender Unterschied muss ja im Protokollablauf doch existieren, weswegen O2 glaubt einen 403 schicken zu muessen?

Kann es sein, dass O2 Probleme bekommt wenn mehr als ein Client ueber den Proxy laeuft?

Ich nutze selber lieber Konstruktionen in denen genau ein Asterisk (der auch Kenntnisse ueber die korrekte WAN-Adresse hat) mit dem Provider als einziger Client in Kontakt tritt. Dieser tut dem Provider gegenueber so, als wuerde er NAT-frei direkt auf dem Border-Router laufen. Mehr Kontakt moechte ich den zickigen Provider-Servern erst gar nicht zumuten. Wenn man dann noch den User-Agent String einer Fritte eintraegt erhoeht das die Erfolgschancen ungemein. Das funktioniert dann sogar mit Vodafone-SIP Meine lokalen Clients wiederum sprechen nur mit diesem Asterisk. Damit geht man auch allen Problemen mit Portnummernvergabe aus dem Weg.

 

[Wechseler]

aber irgendein entscheidender Unterschied muss ja im Protokollablauf doch existieren, weswegen O2 glaubt einen 403 schicken zu muessen?

Bisher kann ich nur Vermutungen anstellen. Vielleicht mag er die korrekten Header nicht:

Via: SIP/2.0/UDP 85.176.xxx.xxx:5060;branch=z9hG4bK...
Contact: <sip:[email protected]:5060>

und möchte es lieber so haben:

Via: SIP/2.0/UDP 192.168.2.29:5060;branch=z9hG4bK...;rport
Contact: <sip:[email protected]:5060>

Letzteres kommt per NAT direkt vom Endgerät und klaglos wird akzeptiert und mit 200 beantwortet, wenn man den Outbound Proxy ganz rausnimmt und STUN abschaltet. Anschließend schickt der o2-Server seine SIP-Requests an den Source-Port der SIP-Nachricht, was natürlich nur so lange funktioniert, wie das NAT-Gateway diese UDP-Session offenhält. Das ist halt totales Gefrickel.

Kann es sein, dass O2 Probleme bekommt wenn mehr als ein Client ueber den Proxy laeuft?

Es registriert sich immer nur ein Client pro SIP-Adresse, das heißt es meldet sich also genau ein IP-Telefon bei o2 an. Das ist auch nicht anders gewollt.

Ein SIP-Outbound-Proxy ist ja keine PBX, der reicht die Requests und RTP-Ströme nur intelligent weiter, um Ärger durch das NAT-Umschreiben zu vermeiden. Da ist auf dem Router kein Dialplan vorhanden oder irgendein Wissen über SIP-Zugangsdaten (und das ist auch gut so).

Ich nutze selber lieber Konstruktionen in denen genau ein Asterisk (der auch Kenntnisse ueber die korrekte WAN-Adresse hat) mit dem Provider als einziger Client in Kontakt tritt.

Die Asterisk-Kanone (auf Spatzen) möchte ich vermeiden. Den siproxd einrichten dauerte 30 Sekunden und funktioniert perfekt mit allen Providern außer einem.

 

[sparkie]

Die Asterisk-Kanone (auf Spatzen) möchte ich vermeiden.

naja, eine Software, die sogar problemlos auf einem Raspberry laeuft (wenn nicht zuviele Codecs gleichzeitig gewandelt werden muessen) kann so eine 'Kanone' nicht sein Zumindest was den Hardware-Resourcenbedarf angeht.

Zudem koenntest du mit einem 'asterisk' deine SIP-Header so hinfummeln, dass es vielleicht sogar O2 kapiert. Ob diese Flexibilitaet 'siproxd' auch bietet - keine Ahnung...

Kann dein Border-Router evtl. SIP ALG? Vielleicht wuerde das mit O2 zufaellig besser funktionieren als 'siproxd'. Falls du den Problemen nicht unbedingt auf den Grund gehen willst. Obwohl ich bis jetzt mit SIP ALG eher schlechte Erfahrungen gemacht habe.

 

[Wechseler]

Kann dein Border-Router evtl. SIP ALG? Vielleicht wuerde das mit O2 zufaellig besser funktionieren als 'siproxd'. Falls du den Problemen nicht unbedingt auf den Grund gehen willst. Obwohl ich bis jetzt mit SIP ALG eher schlechte Erfahrungen gemacht habe.

Siproxd ist ein SIP ALG. Ärger machen wohl nur die transparenten ALGs, die sich in ungefragt in die SIP-Verbindung schalten. Ich kann am Endgerät hingegen wählen, ob ich einen SIP Outbound Proxy verwende oder nicht, automatisch passiert da nichts.

Übrigens funktioniert die Registrierung über NAT sowohl mit als auch ohne STUN, wobei im ersten Fall die Via- und Contact-Header vom Endgerät selbst mit der WAN-IP-Adresse versehen werden. Nur über den Outbound Proxy haut es ums Verrecken nicht hin.

Das führt dann zu der seltsamen Konstruktion, daß es auf Port 5060 der WAN-Adresse sowohl einen Proxy gibt, der dort lauscht, als auch eine NAT-Session mit dem O2-SIP. Der Linux-Kernel kann das offenbar problemlos auseinandersortieren. Aber schön ist was anderes.