VOIP O2 ankommende Anrufe (inbound) nicht möglich



  • Kann jemand vielleicht was mit dieser Paket Capture anfangen?
    (Hab meine Ip durch 93.133.ano.nym ersetzt und die telefonummern auch teilweise durch anonym ersetzt...)

    13:29:53.710230 AF IPv4 (2), length 1304: (tos 0x68, ttl 249, id 43011, offset 0, flags [+], proto UDP (17), length 1300)
        195.71.31.3.5060 > 93.133.ano.nym.5060: SIP, length: 1272
    	INVITE sip:4952anonym1@93.133.ano.nym;uniq=DAA0D47233091949044DB3A222A8D SIP/2.0
    	Max-Forwards: 68
    	Via: SIP/2.0/UDP 195.71.31.3:5060;branch=z9hG4bKg3Zqkv7i4xyc82j58r592hnqpdfd61rv4
    	To: "4952anonym1 VoIP" <sip:4952anonym1@sip.alice-voip.de>
    	From: "01anonym5589" <sip:01anonym5589@sip.alice-voip.de;user=phone>;tag=h7g4Esbg_1143711707-1548592193649-
    	Call-ID: BW1329536492701191048261448@10.30.224.184
    	CSeq: 128241721 INVITE
    	Contact: <sip:sgc_c@195.71.31.3;transport=udp>
    	Accept-Contact: *;+g.3gpp.icsi-ref="urn%3Aurn-7%3A3gpp-service.ims.icsi.mmtel"
    	Min-Se: 900
    	P-Asserted-Identity: "+491anonym5589" <sip:01anonym5589@ims.telefonica.de;user=phone>
    	P-Called-Party-ID: <sip:4952anonym1@sip.alice-voip.de>
    	Privacy: none
    	Session-Expires: 1800;refresher=uac
    	Supported: timer
    	Content-Type: application/sdp
    	Content-Disposition: session;handling=required
    	Content-Length: 409
    	Recv-Info: x-broadworks-client-session-info
    	Allow: ACK, BYE, CANCEL, INFO, INVITE, OPTIONS, PRACK, REFER, NOTIFY, UPDATE
    	Accept: application/dtmf-relay
    	Accept: application/media_control+xml
    	Accept: application/sdp
    	Accept: multipart/mixed
    	
    	v=0
    	o=BroadWorks 60562463 1 IN IP4 195.71.31.3
    	s=-
    	c=IN IP4 62.52.129.138
    	t=0 0
    	m=audio 36456 RTP/AVP 100 101 8 103
    	b=AS:80
    	a=rtpmap:[!sip]
    13:29:54.213143 AF IPv4 (2), length 1304: (tos 0x68, ttl 249, id 43012, offset 0, flags [+], proto UDP (17), length 1300)
        195.71.31.3.5060 > 93.133.ano.nym.5060: SIP, length: 1272
    	INVITE sip:4952anonym1@93.133.ano.nym;uniq=DAA0D47233091949044DB3A222A8D SIP/2.0
    	Max-Forwards: 68
    	Via: SIP/2.0/UDP 195.71.31.3:5060;branch=z9hG4bKg3Zqkv7i4xyc82j58r592hnqpdfd61rv4
    	To: "4952anonym1 VoIP" <sip:4952anonym1@sip.alice-voip.de>
    	From: "01anonym5589" <sip:01anonym5589@sip.alice-voip.de;user=phone>;tag=h7g4Esbg_1143711707-1548592193649-
    	Call-ID: BW1329536492701191048261448@10.30.224.184
    	CSeq: 128241721 INVITE
    	Contact: <sip:sgc_c@195.71.31.3;transport=udp>
    	Accept-Contact: *;+g.3gpp.icsi-ref="urn%3Aurn-7%3A3gpp-service.ims.icsi.mmtel"
    	Min-Se: 900
    	P-Asserted-Identity: "+491anonym5589" <sip:01anonym5589@ims.telefonica.de;user=phone>
    	P-Called-Party-ID: <sip:4952anonym1@sip.alice-voip.de>
    	Privacy: none
    	Session-Expires: 1800;refresher=uac
    	Supported: timer
    	Content-Type: application/sdp
    	Content-Disposition: session;handling=required
    	Content-Length: 409
    	Recv-Info: x-broadworks-client-session-info
    	Allow: ACK, BYE, CANCEL, INFO, INVITE, OPTIONS, PRACK, REFER, NOTIFY, UPDATE
    	Accept: application/dtmf-relay
    	Accept: application/media_control+xml
    	Accept: application/sdp
    	Accept: multipart/mixed
    	
    	v=0
    	o=BroadWorks 60562463 1 IN IP4 195.71.31.3
    	s=-
    	c=IN IP4 62.52.129.138
    	t=0 0
    	m=audio 36456 RTP/AVP 100 101 8 103
    	b=AS:80
    	a=rtpmap:[!sip]
    13:29:55.215161 AF IPv4 (2), length 1304: (tos 0x68, ttl 249, id 43013, offset 0, flags [+], proto UDP (17), length 1300)
        195.71.31.3.5060 > 93.133.ano.nym.5060: SIP, length: 1272
    	INVITE sip:4952anonym1@93.133.ano.nym;uniq=DAA0D47233091949044DB3A222A8D SIP/2.0
    	Max-Forwards: 68
    	Via: SIP/2.0/UDP 195.71.31.3:5060;branch=z9hG4bKg3Zqkv7i4xyc82j58r592hnqpdfd61rv4
    	To: "4952anonym1 VoIP" <sip:4952anonym1@sip.alice-voip.de>
    	From: "01anonym5589" <sip:01anonym5589@sip.alice-voip.de;user=phone>;tag=h7g4Esbg_1143711707-1548592193649-
    	Call-ID: BW1329536492701191048261448@10.30.224.184
    	CSeq: 128241721 INVITE
    	Contact: <sip:sgc_c@195.71.31.3;transport=udp>
    	Accept-Contact: *;+g.3gpp.icsi-ref="urn%3Aurn-7%3A3gpp-service.ims.icsi.mmtel"
    	Min-Se: 900
    	P-Asserted-Identity: "+491anonym5589" <sip:01anonym5589@ims.telefonica.de;user=phone>
    	P-Called-Party-ID: <sip:4952anonym1@sip.alice-voip.de>
    	Privacy: none
    	Session-Expires: 1800;refresher=uac
    	Supported: timer
    	Content-Type: application/sdp
    	Content-Disposition: session;handling=required
    	Content-Length: 409
    	Recv-Info: x-broadworks-client-session-info
    	Allow: ACK, BYE, CANCEL, INFO, INVITE, OPTIONS, PRACK, REFER, NOTIFY, UPDATE
    	Accept: application/dtmf-relay
    	Accept: application/media_control+xml
    	Accept: application/sdp
    	Accept: multipart/mixed
    	
    	v=0
    	o=BroadWorks 60562463 1 IN IP4 195.71.31.3
    	s=-
    	c=IN IP4 62.52.129.138
    	t=0 0
    	m=audio 36456 RTP/AVP 100 101 8 103
    	b=AS:80
    	a=rtpmap:[!sip]
    13:29:57.216897 AF IPv4 (2), length 1304: (tos 0x68, ttl 249, id 43014, offset 0, flags [+], proto UDP (17), length 1300)
        195.71.31.3.5060 > 93.133.ano.nym.5060: SIP, length: 1272
    	INVITE sip:4952anonym1@93.133.ano.nym;uniq=DAA0D47233091949044DB3A222A8D SIP/2.0
    	Max-Forwards: 68
    	Via: SIP/2.0/UDP 195.71.31.3:5060;branch=z9hG4bKg3Zqkv7i4xyc82j58r592hnqpdfd61rv4
    	To: "4952anonym1 VoIP" <sip:4952anonym1@sip.alice-voip.de>
    	From: "01anonym5589" <sip:01anonym5589@sip.alice-voip.de;user=phone>;tag=h7g4Esbg_1143711707-1548592193649-
    	Call-ID: BW1329536492701191048261448@10.30.224.184
    	CSeq: 128241721 INVITE
    	Contact: <sip:sgc_c@195.71.31.3;transport=udp>
    	Accept-Contact: *;+g.3gpp.icsi-ref="urn%3Aurn-7%3A3gpp-service.ims.icsi.mmtel"
    	Min-Se: 900
    	P-Asserted-Identity: "+491anonym5589" <sip:01anonym5589@ims.telefonica.de;user=phone>
    	P-Called-Party-ID: <sip:4952anonym1@sip.alice-voip.de>
    	Privacy: none
    	Session-Expires: 1800;refresher=uac
    	Supported: timer
    	Content-Type: application/sdp
    	Content-Disposition: session;handling=required
    	Content-Length: 409
    	Recv-Info: x-broadworks-client-session-info
    	Allow: ACK, BYE, CANCEL, INFO, INVITE, OPTIONS, PRACK, REFER, NOTIFY, UPDATE
    	Accept: application/dtmf-relay
    	Accept: application/media_control+xml
    	Accept: application/sdp
    	Accept: multipart/mixed
    	
    	v=0
    	o=BroadWorks 60562463 1 IN IP4 195.71.31.3
    	s=-
    	c=IN IP4 62.52.129.138
    	t=0 0
    	m=audio 36456 RTP/AVP 100 101 8 103
    	b=AS:80
    	a=rtpmap:[!sip]
    13:30:01.218983 AF IPv4 (2), length 1304: (tos 0x68, ttl 249, id 43015, offset 0, flags [+], proto UDP (17), length 1300)
        195.71.31.3.5060 > 93.133.ano.nym.5060: SIP, length: 1272
    	INVITE sip:4952anonym1@93.133.ano.nym;uniq=DAA0D47233091949044DB3A222A8D SIP/2.0
    	Max-Forwards: 68
    	Via: SIP/2.0/UDP 195.71.31.3:5060;branch=z9hG4bKg3Zqkv7i4xyc82j58r592hnqpdfd61rv4
    	To: "4952anonym1 VoIP" <sip:4952anonym1@sip.alice-voip.de>
    	From: "01anonym5589" <sip:01anonym5589@sip.alice-voip.de;user=phone>;tag=h7g4Esbg_1143711707-1548592193649-
    	Call-ID: BW1329536492701191048261448@10.30.224.184
    	CSeq: 128241721 INVITE
    	Contact: <sip:sgc_c@195.71.31.3;transport=udp>
    	Accept-Contact: *;+g.3gpp.icsi-ref="urn%3Aurn-7%3A3gpp-service.ims.icsi.mmtel"
    	Min-Se: 900
    	P-Asserted-Identity: "+491anonym5589" <sip:01anonym5589@ims.telefonica.de;user=phone>
    	P-Called-Party-ID: <sip:4952anonym1@sip.alice-voip.de>
    	Privacy: none
    	Session-Expires: 1800;refresher=uac
    	Supported: timer
    	Content-Type: application/sdp
    	Content-Disposition: session;handling=required
    	Content-Length: 409
    	Recv-Info: x-broadworks-client-session-info
    	Allow: ACK, BYE, CANCEL, INFO, INVITE, OPTIONS, PRACK, REFER, NOTIFY, UPDATE
    	Accept: application/dtmf-relay
    	Accept: application/media_control+xml
    	Accept: application/sdp
    	Accept: multipart/mixed
    	
    	v=0
    	o=BroadWorks 60562463 1 IN IP4 195.71.31.3
    	s=-
    	c=IN IP4 62.52.129.138
    	t=0 0
    	m=audio 36456 RTP/AVP 100 101 8 103
    	b=AS:80
    	a=rtpmap:[!sip]
    
    

    Wenn ich die Paket Capture auf "normal" stelle kommt der Fehler:

    "13:38:56.950120 IP 195.71.31.3.5060 > 93.133.ano.nym.5060: UDP, bad length 1880 > 1272"
    

    Was beutet das?



  • Hi @alexander90,

    hast du mal das probiert? Eine Portweiterleitung brauchst du für VOIP in der pfSense normal nicht, da ja der Port von innen geöffhet wird.

    0_1548595620996_2019-01-27 14_24_23.png

    Gruß
    wkn


  • LAYER 8 Rebel Alliance

    Hmmm bei bad length im Log würde ich mal Hardware Checksum Offloading deaktivieren.
    Danach aber die pfSense durchbooten.
    Welche Hardware mit welchen Netzwerkkarten hast du eigentlich?

    -Rico



  • @wkn: ja mit genau den Einstellungen lief es bei 1und1. Jetzt bei o2 nicht mehr.

    @Rico: Hatte ich schon deaktiviert.
    0_1548597140331_2019-01-27_14-50-42.jpg

    pfSense läuft auf einer Proxmox vm. Hardware Intel(R) Pentium(R) Silver J5005 CPU @ 1.50GHz

    eine NIC onboard (LAN) und eine per USB (WAN)...



  • @rico said in VOIP O2 ankommende Anrufe (inbound) nicht möglich:

    Disable scrub probiert unter System -> Advanced -> Firewall & NAT

    Jetzt läuft es! Die Einstellung muss aber lauten: KEIN Harken gesetzt bei Disable scrub unter System -> Advanced -> Firewall & NAT

    Wahnsinn was mich dieser Harken an Zeit gekostet hat. Unglaublich. Danke euch für die Unterstützung!!!


  • LAYER 8 Rebel Alliance

    Naja kein Haken ist ja der Default Wert - generell ist es immer ratsam mit den Standardeinstellungen zu testen, wenn etwas nicht geht wie es soll dann langsam nacheinander an den Stellschrauben drehen.

    -Rico


  • LAYER 8 Moderator

    Generell: wenn im Firewall Log immer noch die externe IP steht und als Interface WAN dann greift hier aus irgendeinem Grund die NAT vom Port Forwarding nicht. Das wäre mein erster Ansatz gewesen, denn ohne inbound udp/5060 wird es mit klingeln schwer weil das signalling fehlt.

    @wkn said in VOIP O2 ankommende Anrufe (inbound) nicht möglich:

    hast du mal das probiert? Eine Portweiterleitung brauchst du für VOIP in der pfSense normal nicht, da ja der Port von innen geöffhet wird.

    Das stimmt so leider nicht. Viele Provider sind auf inbound udp/5060 zur Anrufsignalisierung angewiesen, wenn die Anlage intern nicht ständig und dauerhaft eine Verbindung mit der SIP Gegenstelle außen aufbaut und hält. Und selbst dann ist es ggf. bevorzugt, da es oft schneller ist.

    Grüße



  • @jegr
    Darum habe ich im Outbound NAT Static Port und das Keep-Alive des Telefons gesetzt. Für die Telekom funktioniert es, da wird ein symetrisches Verfahren unterstützt.



  • Hallo,

    kannst du mir bitte sagen, welche DNS Server du wo und wie gesetzt hast?
    Bei mir werden keine Sip Accounts der Fritzbox registriert. Ich bekomme an der Fritzbox einen DNS Fehler.

    Die Fritzbox läuft auch als IP Client.

    Danke Peter


  • Rebel Alliance

    Moin Peter und Willkommen im Forum.

    Der Thread ist knapp ein Jahr alt und der Owner hat seit gut 6 Monaten hier nicht mehr reingeschaut. In diesem Sinne, viel Glück.
    Mach am Besten einen eigenen Thread auf. Da sind die Chancen höher, dass einem geholfen wird.

    Mike



  • hier ist der "owner": Anbei die DNS-Adresse: 62.109.121.2 hinterlegt direkt in der Fritzbox unter Zugangsdaten DNS


  • LAYER 8 Moderator

    Ich verstehe zwar nicht, was der DNS in der Fritzbox mit der Geschichte zu tun haben sollte (zumal der meist eh automatisch abgerufen wird), aber der sollte relativ egal sein.



  • @JeGr nunja, wenn man die Fritzbox im Client Modus betreibt und dort die VOIP-Funktion nutzen will, dann bezieht die FB auch keinen DNS automatisch. Da O2 aber nur spezielle DNS freigibt um die Sip-Accounts zu registrieren muss man hier leider selbst hand anlegen, wenn in der Pfsense andere DNS-Server eingetragen wurden.


  • LAYER 8 Moderator

    Das erklärt es, danke. Ist aber eine scheiß Unsitte, dass man VoIP oder andere DNS Daten NUR auf seinem eigenen DNS published und diese auch gegen RRs blockt, so dass man die DNS Einträge auch nur über diesen einen speziellen DNS Server (oder Anbieter) bekommt. Was einfach mal komplett die Struktur von DNS unterläuft... Telekom hat solche Dinger aber auch am Start, bei denen man gewisse DNS Antworten von internen Servern nur bekommt, wenn man aus einem eingewählten T-Com Netz kommt. Was ein himmelschreiender Unsinn.


  • Rebel Alliance

    @alexander90 said in VOIP O2 ankommende Anrufe (inbound) nicht möglich:

    hier ist der "owner": Anbei die DNS-Adresse: 62.109.121.2 hinterlegt direkt in der Fritzbox unter Zugangsdaten DNS

    Hahaha... 👍
    Das passiert nicht soooo oft, dass nach der Zeit einer Antwortet. 😀

    @JeGr said in VOIP O2 ankommende Anrufe (inbound) nicht möglich:

    Das erklärt es, danke. Ist aber eine scheiß Unsitte, dass man VoIP oder andere DNS Daten NUR auf seinem eigenen DNS published und diese auch gegen RRs blockt, so dass man die DNS Einträge auch nur über diesen einen speziellen DNS Server (oder Anbieter) bekommt. Was einfach mal komplett die Struktur von DNS unterläuft... Telekom hat solche Dinger aber auch am Start, bei denen man gewisse DNS Antworten von internen Servern nur bekommt, wenn man aus einem eingewählten T-Com Netz kommt. Was ein himmelschreiender Unsinn.

    Bei der DTAG kannst Du auch nicht viel vorgeben. DNS-Server ja, den kannst du auf die Sense leiten, den NTP-Server irgendwie nicht.
    Deswegen, die Fritze als DECT Basis einfach machen lassen. 🤘



  • Danke!!!!!! Das hat funktioniert. DNS auf der Fritzbox.



  • Ok, da habe ich mich zu früh gefreut. Denn nach jeder Trennung des Providers nach 24 Std. meldet die Fritzbox die Telefonnummern nicht mehr an.
    Die Fritzbox meldet:

    Anmeldung der Internetrufnummer ([Rufnummer]) war nicht erfolgreich. Ursache: Gegenstelle antwortet nicht. Zeitüberschreitung.

    Erst wenn ich der Fritzbox wieder eine statische Ip geben, werden die Telefonnummern angemeldet.

    Die Firewall habe ich auf "konservativ" gestellt und "Reset all states when a dynamic IP address changes." und kill all/states habe ich auch probiert.

    Was könnte ich da tun?

    Vielen Dank im voraus Peter



  • Fritzbox = feste IP im internen Netz => funktioniert
    Fritzbox = DHCP von der PFsene => funktioniert nicht

    Wahrscheinlich nimmt die Fritzbox bei DHCP den DNS-Server der von der PFsense geliefert wird. Ggf. per DHCP-Client-Override möglich den richten DNS zu liefern?

    Viele Grüße



  • Ja ich gebe der Fritzbox eine feste IP mit den DNS Servern von O2 - alles funktioniert.
    Nach der Zwangtrennung sind die Telefonaccounts nicht mehr registriert. Ich ändere dann die IP an der Fritzbox und die Telefonaccounts registrieren wieder.

    Die DNS Server von O2 habe ich wie du es beschrieben hast an der Fritzbox angegeben. Es kommt auch kein DNS Fehler mehr, sondern eine Zeitüberschreitung. Auch ein Neustart der Box hilft nichts.



  • @pet_nie said in VOIP O2 ankommende Anrufe (inbound) nicht möglich:

    ändere dann die IP an der Fritzbox

    Die interne IP der Fritzbox änderst du?



  • ja



  • Was sagt denn der Log der Pfsense, wenn die Fritzbox versucht die Verbindung aufzubauen?

    Versuch mal im DNS Resolver folgenden Eintrag:

    2020-01-14_16-00-34.jpg



  • OK, ich habe das gemacht. Das Systemlog sagt gar nichts.
    Auf der Fritzbox sind die Nummern grün, es kommt keine Fehlermeldung mehr. Aber das Telefon ist nicht erreichbar.
    Wenn ich dann der Fritzbox eine neue statische IP gebe, geht es wieder. In der Outbound Regel ändere ich das dann.
    Wo könnte ich noch schauen?

    Bei jeder Unterbrechung ist die Verbindung zwischen Fritzbox und Pfsense weg.



  • @pet_nie Hast du den Eintrag "Portweiterleitung des Routers für Telefonie offen halten" aktiviert?

    Siehe Screenshot im ersten Post...

    https://forum.netgate.com/assets/uploads/files/1548523041941-rufnummer-innerhalb-fritzbox-detail-3.jpg



  • Ja hab ich


  • Rebel Alliance

    So, da hier wieder Bewegung vorhanden ist, mal paar Pics zum Vergleichen. Provider ist zwar DTAG, sollte aber bis auf die IPs identisch sein.

    Hier die Outbount Rule. Fritze hat eine feste IP, brauch nicht geändert werden.
    Screenshot_2020-01-16 pfSense home - Firewall NAT Outbound.png

    Dazu die nötige Rule:
    Screenshot_2020-01-16 pfSense home - Firewall Rules VOIP.png

    Fragmentierte Pakete erlauben:
    Screenshot_2020-01-16 pfSense home - System Advanced Firewall NAT.png

    Hier sind die States der FritzBox im ruhenden Zustand und mit einer aktiven VoIP-Verbindung:
    Screenshot_2020-01-16 pfSense home - Diagnostics States States.png
    Screenshot_2020-01-16 pfSense home - Diagnostics States States(1).png

    Die Fritze lauscht auf Port UDP5060 auf ankommende Verbindungen und öffnet selbständig die anderen Ports zu den STUN-Servern (UDP3478). Bei einem Gespräch erstellt und trennt die Fritze nach den Gespräch alle nötigen Verbindungen.
    Das looft so, seit @flix87 diese Anleitung erstellt hat.

    Die FritzBox bzw. die Provider wollen ihre eigenen DNS- bzw NTP-Server, deswegen mit einer "TCP/UDP allow any to any" Rule alles machen lassen.
    Wie gesagt, Provider ist hier DTAG, bei O2 sollte es ähnlich sein.

    Hoffe, @pet_nie kommt ein Stück weiter.

    Mike


Log in to reply