SPA 2000 mit sipgate.de hinter mehrfacher NAT

wrzlbrmpft

Neuer User
Mitglied seit
6 Jun 2005
Beiträge
9
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

tolles Forum hier - allein das Mitlesen hat mir schon viel geholfen!
Für das folgende Problem bei der Einrichtung mines Sipura SPA 2000 auf sipgate.de habe ich aber noch keine Lösung gefunden:

Das grundsätzliche Problem ist wohl, dass ich hier nur einen einzigen Ethernet Anschluss an ein privates LAN (192.168.x.x, Gemeinschaftsnetzwerk in Wohnhaus) habe und keinen administrativen Zugriff auf den Router dieses Netztes. Um nicht nur ein einziges Gerät anschliessen zu können und mich vor direktem Zugriff aus diesem privaten Netz zu sichern habe ich vor meine Geräte (ein paar Rechner über LAN/WLAN und einen Sipura SPA2000) einen Router gesetzt (WRT54GS) (siehe Sig.). Daraus resultiert natürlich, dass die Geräte zweimal durch NAT durch müssen (mein Netz 192.168.y.x -> Haus-Netz 192.168.x.x -> WAN).

Dieses doppelte NAT scheint nun für VoIP Probleme zu bereiten. Wenn ich STUN ausschalte (aber NAT Mapping an), kann sich der Sipura bei sipgate registrieren und ich kann raustelefonieren. Angerufen werden kann ich aber nicht. Der Status im Webinterface bleibt auf offline - aber die Voicemail Box geht trotzdem nicht ran, wie es sie sonst bei 'echtem' offline tut.
Bei aktiviertem STUN klappt gar nichts - auch nicht die Registrierung. Ich vermute, die Pakete von aussen kommen dann nicht durch den zweiten Router durch, da die Information über das zweite NAT fehlt.

Jetzt meine Frage(n): Kann das überhaupt gehen? Und falls ja, liegt das Problem das ich habe bei der Sipura Konfiguration, oder ist es sipgate.de spezifisch?

Eine mögliche Lösung wäre vielleicht, einen Switch direkt an meinen LAN Zugang zu hängen und den Sipura und den Router (mit den anderen Rechnern dahinter) nebeneinander an den Switch zu klemmen. Wäre natürlich etwas unsicher, da jeder im Haus dann auf den Sipura zugreifen könnte (solange er das Passwort knackt). Aber die doppelte NAT wäre nicht mehr vorhanden.

Habt ihr dazu irgendwelche Vorschläge oder Kommentare?

Vielen Dank,
wrzlbrmpft
 
Hallo wrzlbrmpft!

du könntest es versuchen, deinen Linksys WRT54GS kein NAT machen zu lassen, sondern ihn nur as Bridge mit Firewall zu betreiben. Dann würden alle deine Rechner und Geräte eine IP über DHCP aus 192.168.x.x bekommen.

Weiss aber nicht, ob das mit deiner Firmware geht. Im Zweifel erkundigst du dich mal im OpenWRT-Forum.

Eigentlich denke ich aber, dass STUN auch durch zwei NATs durchkommen müsste. Aber da bin ich kein Fachmann.


zoo
 
Hallo zoo,

gute Idee. Die original Linksys Firmware unterstützt den Bridge Mode aber so weit ich sehe tatsächlich nicht. Diese neue FW 4.50.6_US schafft es aber endlich als einzige ein ansonsten nervendes Wireless-dropout bei bestimmten Files zu vermeiden.
OpenWRT habe ich noch nicht probiert - offensichtlich (sehe ich in Deiner Signatur) unterstützt 'white russian' jetzt aber auch die GS V1.1 Router. Da scheue aber ich ein wenig den Aufwand. Wenn sonst nichts hilft, werde ich das wohl trotzdem in Angriff nehmen.

Am einfachsten wäre es natürlich, wenn STUN tatsächlich durch zwei NATs funktioniert, und der Fehler bei mir wo anders liegt. Dann ist nur die Frage, wo... ;-)

wrzlbrmpft
 
NAT-Mapping über drei Ecken

Mein Problem ist ähnlich und passt wohl am ehesten zu diesem Thread. Vorab mein System: Hole mir mit ner Antenne offene Netze auf meinen "WDS-Rechner". Der Rechner ist zudem mit meinem Router per WLAN verbunden und stellt den Internetzugang der offenen Netze der Routerverbindung zur Verfügung. An meinem WLAN-Router hängt u.a. ein PAP2 (ähnlich Sipura 2000) der ohne NAT-Mapping einwandfrei funktioniert. Naja, beinahe einwandfrei - Anrufe via Sip-Adresse klappen leider nicht. Ich glaube ich muss nun herausfinden, ob und wie ich den PAP2 mit NAT-Mapping zum laufen bekomme. Ich hoffe, dass dann Anrufe via Sip-Adresse möglich sind. Hat jemand mehr Erfahrung als ich und vielleicht Lust zu helfen? Vorab Danke und viele Grüsse aus Schwerin!
 
@wrzlbrmpft

hmmm, da über den 'äußeren' Router nichts bekannt ist, muß man das schlimmste annehmen, d.h. der Port 5060 ist ev. von einem anderen Mitbewohner 'blockiert' oder wird zumindest immer dem zugeteilt, der als letzter eine Verbindung darüber innen nach aussen aufgebaut hat. Somit kann dich dann ev. kurzzeitig (nach der Registrierung) ein Anruf erreichen, bis sich ein 'gegnerisches' Gerät registriert hat.

Versuche einfach mal, dein SIP-Port auf etwas anderes, unübliches zu ändern.

P.S.: mit dd-wrt sollte ein reiner Bridgebetrieb möglich sein (DNSMasq off, DHCP-Passthrough).

@rcv

direct IP VoIP Calls funktionieren mit geNATeten IP-Adressen nur mit Portforwarding am Router. Ohne PFW wird über NAT keepalive nur die Verbindung zum Proxy offengehalten. An dem Port einlangende Pakete von anderen IP Adressen als dem Proxy verwirft der Firewallrouter (oder schickt sie zu einer anderen internen IP, die auch über diesen Port Pakete erwartet). Generell ist aber ein PFW von 5060 ein Problem, da dann ev. andere Messenger SW die direkt kontaktiert nicht funktioniert. Alternativ einen Gratisaccount bei einem Provider mit offenem Proxy (z.B. Voxalot) verwenden und über diese URI anrufen lassen.

schufti
 
Zuletzt bearbeitet:
Hi Schufti!
Provider mit offenem Proxy... interessant, gibts da ne Liste? Habe mal probiert, den PAP2 dierekt an den WDS-Rechner zu hängen und eine Netzwerkbrücke vom PAP2 zum HotSpot eingerichtet. IP-technisch hängt der PAP2 nun im gleichen Netz wie der HotSpot. Immerhin hab ich damit einen Teilerfolg erzielt: Beim anrufen einer Sipadresse kam ein Wartezeichen - das gab es hinter meinem Router definitiv nicht. Ein VoiP-Versuch zur Telekom via [email protected] ist jedoch fehlgeschlagen (dauernd besetzt). Gibt es Sipaddressen die man mal zum Testen anrufen kann, oder einen kostenfreien Service, bei dem ich auf meiner Sipadresse zurückgerufen werde (Oder hat ein Voiper vielleicht lange Weile *smile*)? Vorab Danke für jede Hilfe.
Gruss RCV
 
@rcv
VSPs mit 'offenem' Proxy: z.B.: www.voxalot.com www.bluesip.net

voxalot bietet techn. eigentlich alles, was man sich wünschen kann (aber kein Gateway ins Festnetz). Nur ist es dzt leider nicht sehr zuverlässig, wenn man es zum Zusammenführen mehrere Accounts (von Festnetz Gateway Providern) verwenden will.

einen Echotest gibt es auf voxalot unter 600. Einen interessanten Service unter
sip:[email protected]

--------- Edit ----------
(voice activated news service) geht dzt. scheinbar nur indirekt über offene Proxies sip:[email protected] oder sip:*[email protected]

andere Tests: sip:*[email protected] oder sip:[email protected]
xxx=
300 - Monkeysound
301 - Echotest
303 - Speaking Clock
304 - Festival
305 - Chill Music

-------- Edit off --------

zu deiner Netzwerkarchitektur: wäre es nicht einfacher, den Router das offene Netz holen zu lassen? Dann könntest du auch telefonieren ohne dass der PC laufen muß.
 
Zuletzt bearbeitet:
schufti schrieb:
zu deiner Netzwerkarchitektur: wäre es nicht einfacher, den Router das offene Netz holen zu lassen? Dann könntest du auch telefonieren ohne dass der PC laufen muß.
Ja, das habe ich mir auch überlegt, aber ich bräuchte wohl einen Router der Client/Bridge-Modus und AP-Modus simultan beherrscht - das Internet soll ja durch meinen Router via WLan rangeholt und verfügbar gemacht werden. Und der Client/Bridge-Modus muss zudem mit jedem beliebigen Router (Hotspot) funktionieren. Welcher Router kann das schon? Eine Clientverbindung/Brücke können Router soweit ich weiß nur zu Hauseigenen Routern bauen. Da fehlt es im WDS-Bereich wohl an Standards, oder irre ich mich?
Werd jetz mal den Service testen. Mal schaun was da passiert...
Frohes Schaffen,
RCV
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.