pfSense mit Telekom SIP-Trunk IP-Anlagenanschluss
-
Ah, danke für die Information. Schade dass Unify nicht standardmäßig die Verschlüsselung aktiviert, zumindest bei den Anbietern die das zulassen.
-
Hier nochmal ein Auszug vom Statuslog.
----- Last Diagnostic information for this User ----- User registered successfully ----- Current state ----- STUN: Disabled Registration: registered ----- Connection List: ----- [0]: peerAddr=xxxx TCP proxy=xxxx type=QsigTrunk Number of User(s)=1 [1]: peerAddr=217.0.15.69:5061 TLS proxy=reg.sip-trunk.telekom.de:0 type=Provider Number of User(s)=1 [2]: peerAddr=217.0.15.67:5061 TLS proxy=reg.sip-trunk.telekom.de:0 type=Provider Number of User(s)=1 [3]: peerAddr=217.0.26.133:5061 TLS proxy=reg.sip-trunk.telekom.de:0 type=Provider Number of User(s)=1 Local TCP-port: 38245 Remote TCP-addr: 217.0.15.69 ----- Configuration Data ----- provider name: Telekom DeutschlandLAN SIP-Trunk Registered Mode user name: +49xxxx authorization user name: xxxx domain name: sip-trunk.telekom.de transport protocol: tcp transport security: Secure media security: SDES only proxy: sip-trunk.telekom.de:0 registrar: sip-trunk.telekom.de:0 expiration time: 600 outbound proxy: reg.sip-trunk.telekom.de:0 STUN: not usedWie schon gesagt. Die Unify hängt an der Sense und nutzt diese als Gateway. Es sind keine ein- und ausgehenden Regeln notwendig.
-
Sieht gut aus. Für ein niedrigeres NAT Keep-Alive kann auch der Wert von 600 auf einen niedrigeren Wert gesetzt werden.
Aber wenn keine Probleme auftreten (das heißt pfSense die Verbindung nicht kappt) dann reicht es ja. -
Ich müsste dann mal ein längeres Telefonat führen, um zu checken, ob und wann die Verbindung gekappt wird.
-
@bahsig said in pfSense mit Telekom SIP-Trunk IP-Anlagenanschluss:
Ich müsste dann mal ein längeres Telefonat führen, um zu checken, ob und wann die Verbindung gekappt wird.
Ich habe, sofern Unterbrechungen aufgetreten, festgestellt, dass diese bei ziemlich genau 30 Min Gesprächsdauer auftreten. Dabei bleibt das Gespräch stehen, die Sprachkanäle sind aber zumindest einseitig weg.
-
Mit NAT-Keppalive meinte ich aber eher die Dauer in der keine Gespräche stattfinden, also keine Daten übertragen werden und daher die Verbindung zu Registrierungsserver von der Telekom von der pfSense gekappt werden.
Der SIP-Trunk hält ja eine Verbindung stetig offen, über den dann die Sprachdaten laufen, wenn telefoniert wird.
Das Phänomen mit Verbindungsabbrüchen nach 30-minütigen Telefonaten höre ich zum ersten Mal. -
@tpf: Unterbrechungen habe ich auch nach 1,5h nicht festellen können.
@ramup: das mit NAT-Keepalive erschließt sich mir noch nicht. Ich denke aber, dass man damit und einer halbwegs guten Telefonanlage das Problem nicht hat, das die Verbindung gekappt wird. Das würde ja im Umkehrschluss bedeuten, dass ich morgens keine Telefonate führen kann, wenn in der Nacht keiner telefoniert und die Sense den Port dicht macht.
Ich muss aber dazu sagen, dass ich die VOIP Telefonie nicht über die Telekom DSL-Leitung mache, sondern über 1&1 Glasfaser.
-
Das "Problem" ist nicht die Telefonanlage sondern pfSense, die inaktive Verbindungen aus Sicherheitsgründen nach vordefinierten Intervallen trennt und dann eine Neuverbindung nötig ist.
Die Intervalle von pfSense ändern sich, also werden z.B. länger wenn die Firewall auf Conservative Mode gestellt wird.
Aber scheinbar reichen die 600s ja aus. UPD wird von pfSense schneller gekappt als TCP Verbindungen und ich verstehe es so, dass die Telekom den Stream über TCP realisiert. -
@ramup said in pfSense mit Telekom SIP-Trunk IP-Anlagenanschluss:
Das "Problem" ist nicht die Telefonanlage sondern pfSense, die inaktive Verbindungen aus Sicherheitsgründen nach vordefinierten Intervallen trennt und dann eine Neuverbindung nötig ist.
Woher nimmst du denn diese Info bitte? States verfallen wenn die Verbindung beendet wird oder nach einem Timeout Wert kein Traffic mehr aufgenommen wird. Da wird keine "inaktive Verbindung aus Sicherheitsgründen getrennt". Das ist so nicht richtig. Und da gehts auch nicht um Intervalle, sondern wie gesagt um Timeouts, die jede normale TCP Verbindung hat.
Die Intervalle von pfSense ändern sich, also werden z.B. länger wenn die Firewall auf Conservative Mode gestellt wird.
Nein, die Timeout Werte werden "konservativer" also höher. Ich habe hier aber zig verschiedene VoIP Installationen die alle mit "normal" mode laufen und noch nie in irgendwelche Timeouts rennen, denn Protokolle die auf Kontinuität angewiesen sind, halten eine Verbindung normalerweise auch sinnvoll aufrecht, da TCP/UDP Timeouts völlig normal sind.
UPD wird von pfSense schneller gekappt als TCP Verbindungen
Nur nochmal zum Verständnis. Es wird nichts gekappt, die Verbindung wird geschlossen bzw. der State gelöscht, wenn innerhalb der Timeout Values kein Traffic läuft. Völlig normales Vorgehen auf L3, kein Gerät auf L3 will ewig und für immer State Informationen für Millionen Quell-Ziel-Paare mit sich rumschleppen. UDP wird damit auch nicht früher gekappt oder sowas, sondern hat einfach schon weil es Stateless ist ein ganz anderes Timeout Verhalten, da der 3-Wege-Handshake wie bei TCP wegfällt, weswegen UDP deshalb auch gern für Echtzeit-nahe Anwendungen verwendet wird und sich nicht erst mit: "Hallo", "Hallo, na?" "Gut, selbst?" "Auch, dann los" rumschlagen muss bevor es anfangen kann, Daten zu übermitteln. Die Standard PF Timeouts sind BTW:
[2.4.4-RELEASE][root@pfs-stable.lab.test]/root: pfctl -s timeouts tcp.first 120s tcp.opening 30s tcp.established 86400s tcp.closing 900s tcp.finwait 45s tcp.closed 90s tcp.tsdiff 30s udp.first 60s udp.single 30s udp.multiple 60s icmp.first 20s icmp.error 10s other.first 60s other.single 30s other.multiple 60s frag 30s interval 10s adaptive.start 58200 states adaptive.end 116400 states src.track 0sAllein an den ganzen TCP Arten sieht man schon, dass da viel mehr abläuft als bei UDP, ICMP oder anderen. Die Timeouts sind in System>Advanced u.a. anpassbar, wem die Standard 60/30/60 von UDP nicht genügen.
Grüße
-
@JeGr said in pfSense mit Telekom SIP-Trunk IP-Anlagenanschluss:
UDP deshalb auch gern für Echtzeit-nahe Anwendungen verwendet wird und sich nicht erst mit: "Hallo", "Hallo, na?" "Gut, selbst?" "Auch, dann los" rumschlagen.
Gehört zwar nicht zum Thema, aber dein "Erzählstil" treibt mir oft ein Schmunzeln ins Gesicht.
-
@mike69 said in pfSense mit Telekom SIP-Trunk IP-Anlagenanschluss:
Gehört zwar nicht zum Thema, aber dein "Erzählstil" treibt mir oft ein Schmunzeln ins Gesicht.
Darf ja auch mal OT sein, aber danke das freut mich. Muss ja nicht immer alles bierernst sein
-
@JeGr said in pfSense mit Telekom SIP-Trunk IP-Anlagenanschluss:
@mike69 said in pfSense mit Telekom SIP-Trunk IP-Anlagenanschluss:
Gehört zwar nicht zum Thema, aber dein "Erzählstil" treibt mir oft ein Schmunzeln ins Gesicht.
Darf ja auch mal OT sein, aber danke das freut mich. Muss ja nicht immer alles bierernst sein
Wohl war.
-
Zum einen eine kurze Rückmeldung und Bestätigung. SIP-Trunk ist geschaltet und funktioniert ohne besondere statische Portzuweisung. Die Anlage läuft verschlüsselt mit SIPs und SDES (Media Stream) zum Telekom SIP-Trunk.
Ich habe noch versucht einen Traffic Shaper gemäß dieser Anleitung: Traffic Shapingeinzurichten, der mir "Floating Rules" erstellt hat, basierend auf dem SIP-Trunk Netz der Telekom als Alias mit dem Netzwerk 217.0.0.1 / 16.
Aufgrund der Angabe der geringen Datenmenge in den Floating Rules habe ich jedoch das Gefühl, dass der Traffic Shaper nicht ordnungsgemäß funktioniert. Hat hier jemand eine bessere Anleitung?
Die Verbindungen zu Telekom laufen über TCP Port 5061 für die konstante Verbindung zum Registrierungssserver und über die Ports 53 und diversen weiteren Ports für die UPD Verbindungen.
Die Floating Rules sehen nur UPD Verkehr vor, damit könnte ich leben, aber ich habe das Gefühl, dass nicht alle UDP Pakete vom Shaper erfasst werden. Starte ich z.B. ein neues Gespräch verändern sich nicht die Datenwerte. Auch wenn man auf die Datenmenge klickt, dann werden keine aktiven States aufgelistet? -
Habe heute umgestellt. Ohne static port kein Ton. Ist ein Telekom SIP Trunk. Kommuniziert auf TCP5061 und halt UDP10000-X
Warum gehts beim einen nur mit static port und beim anderen nicht? Ich verstehe es nicht.
-
So, nach längerem Testen mit einer verschlüsselten Verbindung und regelmäßigen Neustarts der Anlage/ITSP, bin ich nun wieder zurück zur unverschlüsselten Übertragung.
Fehlerbild: Ruf kommt an oder geht raus. Sprache wird aber nicht durchgereicht. Gespräch wird nach 10 Sekunden beendet. Neustart des ITSP half dann, ist aber keine Lösung. Also zurück zur Standardeinstellung:
Transportsicherheit: traditional (udp or tcp) Mediensicherheit: RTP onlyMal schauen, wie stabil VOIP jetzt läuft.
-
Ich hab an einem Standort über zwei Jahre den SIP Trunk mit SRTP betrieben, solche Probleme gab es da nicht.
