Wir verwenden Zyxel Router welche am Centrobusiness DMZ Port eingesetzt werden (fixe öffentliche IP).
Jedoch macht uns die Registrierung der SIP Apparate im internen LAN häufig mühe (z.B. T48S).
Die Registrierung erfolgt korrekt wird aber z.B. nach ca. 30 sek wieder ungültig und wird später wieder synchronisiert, oder die Sprache ist nur einseitig zu hören (ALG ist deaktiviert).
Die SIP-Einträge wurden gemäss https://www.swisscom.ch/de/privatkunden/hilfe/festnetz/sip-credentials.html durchgeführt.
Danke für alle Vorschläge.
udp timeout in der Firewall auf 180s hochsetzen
Merci für deinen Hinweis.
ALG spielt aber scheinbar weiterhin eine Rolle.
So empfiehlt der Firewall Lieferant, dass ALG aktiviert bleibt, jedoch die Funktion SIP-Transformation deaktiviert werden soll. Somit halten die "SIP-Helper" die Verbindung offen.
Hier liessen sich auch noch weitere Port hinzufügen (z.B. 5061).
Auch sollte wie Du empfiehlts die UDP Session Time auf 180 (oder grösser) gesetzt werden.
Ich hoffe, dass diese Einstellungen zu stabilen Verbindungen mit Einsatz öffentlicher Swisscom SIP-Credentials führen.
Bei der Bridge + Zywall Variante sind folgende ALG Einstellung perfekt:
Firewall:
ALG Enable
Enable SIP Transformations
SIP Media Inactivity Timeout = 180
SIP Signaling Inactivity Timeout = 1800
Restrict Peer to PeerSignaling
Restrict Peer to Peer Media
SIP Signaling Port = 5060
Telefonanlage:
RFC3261 (Verhalten nach Standard)
Auch wenn an verschiedenen Stellen andere ALG Werte empfohlen werden sind obige Werte die einzige Einstellungsvariante die an mehreren Orten seit längerem problemlos ohne Telefon Unter- / Abbrüche oder nur Einseitiges Hören funktioniert.
Evtl sind diese ja Geräteabhängig. Getestet mit Zyxel Bridge und Zywall
Guten Morgen @Schwellemer,
Hast du eine für dich passende Lösung unter den Antworten gefunden? Lass es uns wissen, indem du die passende Antwort markierst. Dies könnte auch anderen Nutzern hilfreich bei der Suche sein.
Liebe Grüsse
Raphael
Hallo und besten Dank für Eure Hinweise.
Scheinbar machen bei mir die SIP-Credentials auch weiterhin Sorgen, dies auch bei reduziertem Testbetrieb, ohne Firewall und ohne ALG.
Meine Testumgebung:
-Centrobusiness im "DMZ-Modus" und
-Yealink T48S mit den korrekten SIP-Credentials (gemäss Anleitung).
-Sowie testweise weitere Telefone.
Das Yealink ist am Port2 angeschlossen und erhält eine korrekte lokale IP (192.168.10.0/24) und die Registrierung erfolgt problemlos.
Jedoch stelle ich folgendes Verhalten fest:
- Ankommende Verbindung funktionieren völlig korrekt.
- Bei Abgehenden Verbindungen erfolgt die Signalisierung korrekt und das Gespräch kann entgegengenommen werden, jedoch erfolgt beidseitig keine Sprachübertragung.
Diese Test wurden auch an zweit verschiedenen CB2 durchgeführt.
Es ist NUN schon erstaunlich, das weiter Tests mit Telefonie Fremdanbieter (z.B. U..) problemlos funktionieren (Einstecken, und das T48S läuft!?).
Somit kann ich das Problem im Moment soweit einkreisen, dass dieses Verhalten mit den verwendeten öffentlichen Swisscom SIP-Credentials NUR an Swisscom-Routern (CB2) auftritt.
Für Erfahrungen und Lösungsansätze danke ich schon im Voraus.
@Schwellemer ich habe das Problem auch, mit einer FB7590 die mit einem öffentlichen Swisscom Sip Credential Account von Swisscom läuft und über den ISDN-Port des CB2.0. Bei den Rufnummern die über die S0 Schnittstelle laufen, tritt das Problem nicht auf. Es liegt wieder mal das Problem am SIP-Server der Swisscom
mit "so genannten Fremdgeräten". Am besten sich beim Swisscom Support melden 0800 055 055.
Nach verschiedenen Tests, habe ich nun festgestellt, dass das Verhalten mit Verbindungsaufbau ohne Sprachübertragung nur bei Konfigurationen mit Centrobusiness Routern im DMZ-Betrieb auftreten.
Bei Centrobusiness im Standardmodus funktioniert alles Problemlos mit den "öffentlichen SIP-Credentials".
Hat jemand Hinweise wieso SIP-Verbindungen an Router im DMZ-Modus und mit nachfolgender Firewall solche Probleme bereitet.
Besten Dank für weitere Hinweise.
Firewall und VoIP ist eine sehr komplexe Angelegenheit wo sich schon so mancher Profi die Zähne ausgebissen hat und am Schluss entnervt für die VoIP-Sessions einen Bypass an der FW vorbei gebaut hat.
Du kannst beide Fälle (gut und schlecht) mit dem Protokollanalyzer Wireshark (Freeware) aufzeichnen, die Calls herausfiltern und das ganze analysieren. Da sollte man sehen wo es klemmt. Dazu braucht es allerdings sehr gute Kenntnisse des SIP.
Hallo @hed
Danke für Deine Rückmeldung.
Im Moment ist es aber so, dass da nur noch der CentroBuiness und das Telefon in dieser Umgebung sind.
Daher "kämpfe" ich nicht einmal mehr mit FW-Regeln sondern nur noch damit, das der Sprachverkehr nur bei einer eine eingehende Verbindung korrekt funktioniert (Sprache beidseitig - Dies ist auch im Wireshark ersichtlich; RTP-Pakete in beide IP-Richtungen).
Bei einer abgehenden Verbindung sieht man, dass die RTP Pakete lediglich in eine IP-Richtung transportiert werden. Dies sowohl mit Verwendung von Codex 711a (fix) oder G722(fix).
Der Verbindungsaufbau sollte korrekt sein, Invite, Trying, Ringing, OK sind alle vorhanden.
Bei den fehlerhaften Verbindung erscheint jedoch nach Invite die Meldung: 407 Proxy Authentication Required. Habe ich hierauf irgendwelchen Einfluss (Betrifft dies swisscom.ch oder fm1.ims.swisscom.ch)?
Vielleicht hat Du dazu eine Idee
Vergiss es!
Mit dem Centro(DMZ) und der Zywall dahinter ist es schlicht nicht möglich Swisscom-VOIP zu nutzen.
Es gibt viele Varianten die gehen aber diese leider nicht.
@Schwellemer schrieb:
Hallo @hed
Danke für Deine Rückmeldung.
Im Moment ist es aber so, dass da nur noch der CentroBuiness und das Telefon in dieser Umgebung sind.
Daher "kämpfe" ich nicht einmal mehr mit FW-Regeln sondern nur noch damit, das der Sprachverkehr nur bei einer eine eingehende Verbindung korrekt funktioniert (Sprache beidseitig - Dies ist auch im Wireshark ersichtlich; RTP-Pakete in beide IP-Richtungen).
Was denn jetzt? In Post #8 schreibst du, dass ohne FW alles i.O. sei und jetzt funktioniert es auch ohne FW nicht mehr ?
Anyway, hast du schon mal ein Neustart des Routers gemacht (Strom aus, 10s warten, Strom ein) ?
@Plereippeg66 schrieb:
Vergiss es!
Mit dem Centro(DMZ) und der Zywall dahinter ist es schlicht nicht möglich Swisscom-VOIP zu nutzen.
Es gibt viele Varianten die gehen aber diese leider nicht.
Klar geht dies, die richtige konfiguration machts möglich
Wenn du dir das so sicher bist dass dies geht bitte ich dich mitzuteilen WIE dies geht.
Ich lerne gerne was dazu!
Statische Route auf der FW zu den Swisscom Voiceservices, Brücke via CB, etc...
Das habe ich noch nicht versucht.
Sorry @hed
Hab mit nicht völlig klar ausgedrückt (Um das Fehlverhalten einzukreisen, hatte ich zwischenzeitlich den Testaufbau auf ein Minimum reduziert).
Scheinbar spielt es ein Rolle wenn der Centrobusiness in den DMZ-Mode (Bridge-Mode) gesetzt wird. Dies um z.B. die fixe IP an eine Firewall weiterzugeben.
Ist dieser Mode gesetzt, kann auf den restlichen Ports 2-4 (inkl. DHCP-Funktion und z.B. 192.168.1.0/24) normal auf das Internet zugegriffen werden. Es treten jedoch im Telefoniebetrieb die Sprachprobleme bei abgehenden Gesprächen auf.
Gruss
Statische Route funktioniert nicht.
Hallo zusammen
Dieses Problem ist ja immer noch aktuell.
Ich hatte bereits bei mehreren Kunden genau das gleiche Problem (in meinem Fall mit Ubiquiti und Sophos Firewalls):
So lange der Centro Business keine fixe IP hat und die Firewall mit double NAT hinter dem CB hängt, funktioniert calling mit SIP Credentials einwandfrei.
Sobald der CB eine fixe IP hat und die Firewall via DMZ dahinter hängt, ist bei mir das gleiche Szenario aufgetreten: Verbindung wird aufgebaut, Voice ist aber nur einseitig.
Bis jetzt war die Lösung jeweils die Telefone direkt mit dem CB zu verbinden (oder Bypass und VLAN).
Hat da jemand mehr Infos dazu oder gibt es unterdessen eine offizielle Dokumentation Seitens Swisscom betreffend diesem Thema?
Grüsse
Sibienu