VOIP O2 ankommende Anrufe (inbound) nicht möglich

alexander90

Hallo zusammen,

ich hab ein technisches Problem und bin verzweifelt. Sind vor 1 Woche auf O2 gewechselt und seit dem funktionieren die eingehenden Telefonate nicht mehr.
Genaues Fehlerbild: Beim Anrufenden klingelt es einmal, danach ist sofort besetzt. In den Logs der Fritzbox wird kein eingehender Anruf registriert. Lasse ich die Fritzbox komplett ausgeschaltet, so klingelt es beim Anrufenden nichtmal einmal, sondern es kommt die Ansage, dass der Teilnehmer zur Zeit nicht erreichbar ist. => Das deutet darauf hin, dass die Verbindung schon irgendwie zustande kommt. Ausgehende Anrufe funktionieren ja auch normal inkl. Sprache.

Mein Aufbau ist: ISP (O2) => Modem => Firewall (pfSense 10.4.4.1)=> Telefonalage (Fritzbox 10.4.4.2)

Hatte zunächst O2 im Verdacht, aber wenn ich die Fritzbox als All-in-One-Lösung einsetze funktioniert alles. Ich denke also es liegt eine Fehlkonfiguration in der Firewall vor.
Dass O2 hier ein wenig speziell ist habe ich schon gemerkt, da ich den O2 DNS-Server einsetzen musste um überhaupt eine Anmeldung in der Fritzbox zu realisieren...
Aber dieses Problem lässt sich auch nach allen Konfigurationsmöglichkeiten die ich im Internet gefunden habe nicht lösen.
Das komische ist: Mit 1und1 ging alles mit dieser (bzw. noch weiter reduzierter) Konfiguration ohne Probleme.

Anbei meine Konfiguration.

Danke euch 2_1548523038521_Rufnummer innerhalb Fritzbox Detail.jpg 1_1548523038521_Rufnummer innerhalb Fritzbox Detail 3.jpg 0_1548523038521_Rufnummer innerhalb Fritzbox Detail 2.jpg !

4_1548522781654_WAN Rule.jpg 3_1548522781654_Port Forward.jpg 2_1548522781654_Port Alias.jpg 1_1548522781654_Outbound Nat.jpg 0_1548522781652_Fritzbox 10.4.4.2.jpg

Rico

Schon mit Disable scrub probiert unter System -> Advanced -> Firewall & NAT ?

Falls das auch nicht hilft mal die Firewall Optimization Options auf Conservative stellen.

-Rico

alexander90

Hey, ja stimmt dort habe ich auch noch Einstellungen vorgenommen. Auch bei den UDP-Timeouts habe ich überall 40 Sekunden eingetragen (Fritzbox hält ja alle 30 Sekunden den Port stabil.)

Was ich jetzt aber sehe ist folgender Log:
0_1548541827823_Logs bei anruf von extern inbound.jpg

Kann ich mir ehrlich gesagt nicht erklären. Genau dafür gibt es doch die Port-Forwarding-Regel. Warum wird 5060 geblockt? Ich habe keine Floating Rules. Gibt es hier einen Bug innerhalb pfSense?

hbauer

Ist dein O2 Modem ein reines Modem oder bekommt deine pfSense eine lokale IP zugewiesen die vielleicht über die RFC1918 Network rules geblockt werden?

alexander90

Hey, das Modem ist im Full-Bridge Modus und funktioniert bislang auch gut so.
Z.B. musste ich für Nextcloud auch eine Portweiterleitung einrichten. Diese Funktioniert ohne Probleme:

Das WAN-Interface hat die IP 10.3.1.1 und das Modem die 10.3.1.254. So kann ich mithilfe einer LAN-Firewall-Rule vom LAN auf das Modem zugreifen. Ansonsten stellt die pfSense die Verbindung per pppoe im VLAN 7 her.

0_1548579160730_WAN Modem.jpg

Was ich nicht verstehe: Wenn die Fritzbox den Port zur VOIP offen hält, warum muss dann überhaupt die Weiterleitung greifen? (Aber es geht ja sowieso weder mit noch ohne Weiterleitung).

Warum greift die Blocking-Regel auf Port 5060? Wäre das nicht müsste es ja gehen...

Rico

Poste mal die Übersicht deiner Interfaces.

-Rico

alexander90

Rico

Ich habe von dem O2 Kram ja keine Ahnung, aber der VoIP Server von denen kommt nicht zufällig von einer RFC1918 Adresse über das WAN wieder rein?
Den Block 1918 networks am WAN Interface dann mal testweise deaktivieren.

-Rico

alexander90

Leider keine Änderung der Situation

alexander90

Kann jemand vielleicht was mit dieser Paket Capture anfangen?
(Hab meine Ip durch 93.133.ano.nym ersetzt und die telefonummern auch teilweise durch anonym ersetzt...)

13:29:53.710230 AF IPv4 (2), length 1304: (tos 0x68, ttl 249, id 43011, offset 0, flags [+], proto UDP (17), length 1300)
    195.71.31.3.5060 > 93.133.ano.nym.5060: SIP, length: 1272
	INVITE sip:4952anonym1@93.133.ano.nym;uniq=DAA0D47233091949044DB3A222A8D SIP/2.0
	Max-Forwards: 68
	Via: SIP/2.0/UDP 195.71.31.3:5060;branch=z9hG4bKg3Zqkv7i4xyc82j58r592hnqpdfd61rv4
	To: "4952anonym1 VoIP" <sip:4952anonym1@sip.alice-voip.de>
	From: "01anonym5589" <sip:01anonym5589@sip.alice-voip.de;user=phone>;tag=h7g4Esbg_1143711707-1548592193649-
	Call-ID: BW1329536492701191048261448@10.30.224.184
	CSeq: 128241721 INVITE
	Contact: <sip:sgc_c@195.71.31.3;transport=udp>
	Accept-Contact: *;+g.3gpp.icsi-ref="urn%3Aurn-7%3A3gpp-service.ims.icsi.mmtel"
	Min-Se: 900
	P-Asserted-Identity: "+491anonym5589" <sip:01anonym5589@ims.telefonica.de;user=phone>
	P-Called-Party-ID: <sip:4952anonym1@sip.alice-voip.de>
	Privacy: none
	Session-Expires: 1800;refresher=uac
	Supported: timer
	Content-Type: application/sdp
	Content-Disposition: session;handling=required
	Content-Length: 409
	Recv-Info: x-broadworks-client-session-info
	Allow: ACK, BYE, CANCEL, INFO, INVITE, OPTIONS, PRACK, REFER, NOTIFY, UPDATE
	Accept: application/dtmf-relay
	Accept: application/media_control+xml
	Accept: application/sdp
	Accept: multipart/mixed
	
	v=0
	o=BroadWorks 60562463 1 IN IP4 195.71.31.3
	s=-
	c=IN IP4 62.52.129.138
	t=0 0
	m=audio 36456 RTP/AVP 100 101 8 103
	b=AS:80
	a=rtpmap:[!sip]
13:29:54.213143 AF IPv4 (2), length 1304: (tos 0x68, ttl 249, id 43012, offset 0, flags [+], proto UDP (17), length 1300)
    195.71.31.3.5060 > 93.133.ano.nym.5060: SIP, length: 1272
	INVITE sip:4952anonym1@93.133.ano.nym;uniq=DAA0D47233091949044DB3A222A8D SIP/2.0
	Max-Forwards: 68
	Via: SIP/2.0/UDP 195.71.31.3:5060;branch=z9hG4bKg3Zqkv7i4xyc82j58r592hnqpdfd61rv4
	To: "4952anonym1 VoIP" <sip:4952anonym1@sip.alice-voip.de>
	From: "01anonym5589" <sip:01anonym5589@sip.alice-voip.de;user=phone>;tag=h7g4Esbg_1143711707-1548592193649-
	Call-ID: BW1329536492701191048261448@10.30.224.184
	CSeq: 128241721 INVITE
	Contact: <sip:sgc_c@195.71.31.3;transport=udp>
	Accept-Contact: *;+g.3gpp.icsi-ref="urn%3Aurn-7%3A3gpp-service.ims.icsi.mmtel"
	Min-Se: 900
	P-Asserted-Identity: "+491anonym5589" <sip:01anonym5589@ims.telefonica.de;user=phone>
	P-Called-Party-ID: <sip:4952anonym1@sip.alice-voip.de>
	Privacy: none
	Session-Expires: 1800;refresher=uac
	Supported: timer
	Content-Type: application/sdp
	Content-Disposition: session;handling=required
	Content-Length: 409
	Recv-Info: x-broadworks-client-session-info
	Allow: ACK, BYE, CANCEL, INFO, INVITE, OPTIONS, PRACK, REFER, NOTIFY, UPDATE
	Accept: application/dtmf-relay
	Accept: application/media_control+xml
	Accept: application/sdp
	Accept: multipart/mixed
	
	v=0
	o=BroadWorks 60562463 1 IN IP4 195.71.31.3
	s=-
	c=IN IP4 62.52.129.138
	t=0 0
	m=audio 36456 RTP/AVP 100 101 8 103
	b=AS:80
	a=rtpmap:[!sip]
13:29:55.215161 AF IPv4 (2), length 1304: (tos 0x68, ttl 249, id 43013, offset 0, flags [+], proto UDP (17), length 1300)
    195.71.31.3.5060 > 93.133.ano.nym.5060: SIP, length: 1272
	INVITE sip:4952anonym1@93.133.ano.nym;uniq=DAA0D47233091949044DB3A222A8D SIP/2.0
	Max-Forwards: 68
	Via: SIP/2.0/UDP 195.71.31.3:5060;branch=z9hG4bKg3Zqkv7i4xyc82j58r592hnqpdfd61rv4
	To: "4952anonym1 VoIP" <sip:4952anonym1@sip.alice-voip.de>
	From: "01anonym5589" <sip:01anonym5589@sip.alice-voip.de;user=phone>;tag=h7g4Esbg_1143711707-1548592193649-
	Call-ID: BW1329536492701191048261448@10.30.224.184
	CSeq: 128241721 INVITE
	Contact: <sip:sgc_c@195.71.31.3;transport=udp>
	Accept-Contact: *;+g.3gpp.icsi-ref="urn%3Aurn-7%3A3gpp-service.ims.icsi.mmtel"
	Min-Se: 900
	P-Asserted-Identity: "+491anonym5589" <sip:01anonym5589@ims.telefonica.de;user=phone>
	P-Called-Party-ID: <sip:4952anonym1@sip.alice-voip.de>
	Privacy: none
	Session-Expires: 1800;refresher=uac
	Supported: timer
	Content-Type: application/sdp
	Content-Disposition: session;handling=required
	Content-Length: 409
	Recv-Info: x-broadworks-client-session-info
	Allow: ACK, BYE, CANCEL, INFO, INVITE, OPTIONS, PRACK, REFER, NOTIFY, UPDATE
	Accept: application/dtmf-relay
	Accept: application/media_control+xml
	Accept: application/sdp
	Accept: multipart/mixed
	
	v=0
	o=BroadWorks 60562463 1 IN IP4 195.71.31.3
	s=-
	c=IN IP4 62.52.129.138
	t=0 0
	m=audio 36456 RTP/AVP 100 101 8 103
	b=AS:80
	a=rtpmap:[!sip]
13:29:57.216897 AF IPv4 (2), length 1304: (tos 0x68, ttl 249, id 43014, offset 0, flags [+], proto UDP (17), length 1300)
    195.71.31.3.5060 > 93.133.ano.nym.5060: SIP, length: 1272
	INVITE sip:4952anonym1@93.133.ano.nym;uniq=DAA0D47233091949044DB3A222A8D SIP/2.0
	Max-Forwards: 68
	Via: SIP/2.0/UDP 195.71.31.3:5060;branch=z9hG4bKg3Zqkv7i4xyc82j58r592hnqpdfd61rv4
	To: "4952anonym1 VoIP" <sip:4952anonym1@sip.alice-voip.de>
	From: "01anonym5589" <sip:01anonym5589@sip.alice-voip.de;user=phone>;tag=h7g4Esbg_1143711707-1548592193649-
	Call-ID: BW1329536492701191048261448@10.30.224.184
	CSeq: 128241721 INVITE
	Contact: <sip:sgc_c@195.71.31.3;transport=udp>
	Accept-Contact: *;+g.3gpp.icsi-ref="urn%3Aurn-7%3A3gpp-service.ims.icsi.mmtel"
	Min-Se: 900
	P-Asserted-Identity: "+491anonym5589" <sip:01anonym5589@ims.telefonica.de;user=phone>
	P-Called-Party-ID: <sip:4952anonym1@sip.alice-voip.de>
	Privacy: none
	Session-Expires: 1800;refresher=uac
	Supported: timer
	Content-Type: application/sdp
	Content-Disposition: session;handling=required
	Content-Length: 409
	Recv-Info: x-broadworks-client-session-info
	Allow: ACK, BYE, CANCEL, INFO, INVITE, OPTIONS, PRACK, REFER, NOTIFY, UPDATE
	Accept: application/dtmf-relay
	Accept: application/media_control+xml
	Accept: application/sdp
	Accept: multipart/mixed
	
	v=0
	o=BroadWorks 60562463 1 IN IP4 195.71.31.3
	s=-
	c=IN IP4 62.52.129.138
	t=0 0
	m=audio 36456 RTP/AVP 100 101 8 103
	b=AS:80
	a=rtpmap:[!sip]
13:30:01.218983 AF IPv4 (2), length 1304: (tos 0x68, ttl 249, id 43015, offset 0, flags [+], proto UDP (17), length 1300)
    195.71.31.3.5060 > 93.133.ano.nym.5060: SIP, length: 1272
	INVITE sip:4952anonym1@93.133.ano.nym;uniq=DAA0D47233091949044DB3A222A8D SIP/2.0
	Max-Forwards: 68
	Via: SIP/2.0/UDP 195.71.31.3:5060;branch=z9hG4bKg3Zqkv7i4xyc82j58r592hnqpdfd61rv4
	To: "4952anonym1 VoIP" <sip:4952anonym1@sip.alice-voip.de>
	From: "01anonym5589" <sip:01anonym5589@sip.alice-voip.de;user=phone>;tag=h7g4Esbg_1143711707-1548592193649-
	Call-ID: BW1329536492701191048261448@10.30.224.184
	CSeq: 128241721 INVITE
	Contact: <sip:sgc_c@195.71.31.3;transport=udp>
	Accept-Contact: *;+g.3gpp.icsi-ref="urn%3Aurn-7%3A3gpp-service.ims.icsi.mmtel"
	Min-Se: 900
	P-Asserted-Identity: "+491anonym5589" <sip:01anonym5589@ims.telefonica.de;user=phone>
	P-Called-Party-ID: <sip:4952anonym1@sip.alice-voip.de>
	Privacy: none
	Session-Expires: 1800;refresher=uac
	Supported: timer
	Content-Type: application/sdp
	Content-Disposition: session;handling=required
	Content-Length: 409
	Recv-Info: x-broadworks-client-session-info
	Allow: ACK, BYE, CANCEL, INFO, INVITE, OPTIONS, PRACK, REFER, NOTIFY, UPDATE
	Accept: application/dtmf-relay
	Accept: application/media_control+xml
	Accept: application/sdp
	Accept: multipart/mixed
	
	v=0
	o=BroadWorks 60562463 1 IN IP4 195.71.31.3
	s=-
	c=IN IP4 62.52.129.138
	t=0 0
	m=audio 36456 RTP/AVP 100 101 8 103
	b=AS:80
	a=rtpmap:[!sip]

Wenn ich die Paket Capture auf "normal" stelle kommt der Fehler:

"13:38:56.950120 IP 195.71.31.3.5060 > 93.133.ano.nym.5060: UDP, bad length 1880 > 1272"

Was beutet das?

wkn

Hi @alexander90,

hast du mal das probiert? Eine Portweiterleitung brauchst du für VOIP in der pfSense normal nicht, da ja der Port von innen geöffhet wird.

0_1548595620996_2019-01-27 14_24_23.png

Gruß
wkn

Rico

Hmmm bei bad length im Log würde ich mal Hardware Checksum Offloading deaktivieren.
Danach aber die pfSense durchbooten.
Welche Hardware mit welchen Netzwerkkarten hast du eigentlich?

-Rico

alexander90

@wkn: ja mit genau den Einstellungen lief es bei 1und1. Jetzt bei o2 nicht mehr.

@Rico: Hatte ich schon deaktiviert.

pfSense läuft auf einer Proxmox vm. Hardware Intel(R) Pentium(R) Silver J5005 CPU @ 1.50GHz

eine NIC onboard (LAN) und eine per USB (WAN)...

alexander90

@rico said in VOIP O2 ankommende Anrufe (inbound) nicht möglich:

Disable scrub probiert unter System -> Advanced -> Firewall & NAT

Jetzt läuft es! Die Einstellung muss aber lauten: KEIN Harken gesetzt bei Disable scrub unter System -> Advanced -> Firewall & NAT

Wahnsinn was mich dieser Harken an Zeit gekostet hat. Unglaublich. Danke euch für die Unterstützung!!!

Rico

Naja kein Haken ist ja der Default Wert - generell ist es immer ratsam mit den Standardeinstellungen zu testen, wenn etwas nicht geht wie es soll dann langsam nacheinander an den Stellschrauben drehen.

-Rico

JeGr

Generell: wenn im Firewall Log immer noch die externe IP steht und als Interface WAN dann greift hier aus irgendeinem Grund die NAT vom Port Forwarding nicht. Das wäre mein erster Ansatz gewesen, denn ohne inbound udp/5060 wird es mit klingeln schwer weil das signalling fehlt.

@wkn said in VOIP O2 ankommende Anrufe (inbound) nicht möglich:

hast du mal das probiert? Eine Portweiterleitung brauchst du für VOIP in der pfSense normal nicht, da ja der Port von innen geöffhet wird.

Das stimmt so leider nicht. Viele Provider sind auf inbound udp/5060 zur Anrufsignalisierung angewiesen, wenn die Anlage intern nicht ständig und dauerhaft eine Verbindung mit der SIP Gegenstelle außen aufbaut und hält. Und selbst dann ist es ggf. bevorzugt, da es oft schneller ist.

Grüße

wkn

@jegr
Darum habe ich im Outbound NAT Static Port und das Keep-Alive des Telefons gesetzt. Für die Telekom funktioniert es, da wird ein symetrisches Verfahren unterstützt.

pet_nie

Hallo,

kannst du mir bitte sagen, welche DNS Server du wo und wie gesetzt hast?
Bei mir werden keine Sip Accounts der Fritzbox registriert. Ich bekomme an der Fritzbox einen DNS Fehler.

Die Fritzbox läuft auch als IP Client.

Danke Peter

mike69

Moin Peter und Willkommen im Forum.

Der Thread ist knapp ein Jahr alt und der Owner hat seit gut 6 Monaten hier nicht mehr reingeschaut. In diesem Sinne, viel Glück.
Mach am Besten einen eigenen Thread auf. Da sind die Chancen höher, dass einem geholfen wird.

Mike

alexander90

hier ist der "owner": Anbei die DNS-Adresse: 62.109.121.2 hinterlegt direkt in der Fritzbox unter Zugangsdaten DNS