SIP Credentials hinter interner Firewall

udp timeout in der Firewall auf 180s hochsetzen

@Tux0ne

Merci für deinen Hinweis.
ALG spielt aber scheinbar weiterhin eine Rolle.
So empfiehlt der Firewall Lieferant, dass ALG aktiviert bleibt, jedoch die Funktion SIP-Transformation deaktiviert werden soll. Somit halten die "SIP-Helper" die Verbindung offen.
Hier liessen sich auch noch weitere Port hinzufügen (z.B. 5061).
Auch sollte wie Du empfiehlts die UDP Session Time auf 180 (oder grösser) gesetzt werden.
Ich hoffe, dass diese Einstellungen zu stabilen Verbindungen mit Einsatz öffentlicher Swisscom SIP-Credentials führen.

Bei der Bridge + Zywall Variante sind folgende ALG Einstellung perfekt:

Firewall:

ALG Enable

Enable SIP Transformations

SIP Media Inactivity Timeout = 180

SIP Signaling Inactivity Timeout = 1800

Restrict Peer to PeerSignaling

Restrict Peer to Peer Media

SIP Signaling Port = 5060

Telefonanlage:

 RFC3261    (Verhalten nach Standard)

Auch wenn an verschiedenen Stellen andere ALG Werte empfohlen werden sind obige Werte die einzige Einstellungsvariante die an mehreren Orten seit längerem problemlos ohne Telefon Unter- / Abbrüche oder nur Einseitiges Hören funktioniert.

Evtl sind diese ja Geräteabhängig. Getestet mit Zyxel Bridge und Zywall

Guten Morgen @Schwellemer,

Hast du eine für dich passende Lösung unter den Antworten gefunden? Lass es uns wissen, indem du die passende Antwort markierst. Dies könnte auch anderen Nutzern hilfreich bei der Suche sein.

Liebe Grüsse

Raphael

Hallo und besten Dank für Eure Hinweise.

Scheinbar machen bei mir die SIP-Credentials auch weiterhin Sorgen, dies auch bei reduziertem Testbetrieb, ohne Firewall und ohne ALG.

Meine Testumgebung:

-Centrobusiness im "DMZ-Modus" und

-Yealink T48S mit den korrekten SIP-Credentials (gemäss Anleitung).

-Sowie testweise weitere Telefone.

Das Yealink ist am Port2 angeschlossen und erhält eine korrekte lokale IP (192.168.10.0/24) und die Registrierung erfolgt problemlos.

Jedoch stelle ich folgendes Verhalten fest:

- Ankommende Verbindung funktionieren völlig korrekt.
- Bei Abgehenden Verbindungen erfolgt die Signalisierung korrekt und das Gespräch kann entgegengenommen werden, jedoch erfolgt beidseitig keine Sprachübertragung. 

Diese Test wurden auch an zweit verschiedenen CB2 durchgeführt.

Es ist NUN schon erstaunlich, das weiter Tests mit Telefonie Fremdanbieter (z.B. U..) problemlos funktionieren (Einstecken, und das T48S läuft!?).

Somit kann ich das Problem im Moment soweit einkreisen, dass dieses Verhalten mit den verwendeten öffentlichen Swisscom SIP-Credentials NUR an Swisscom-Routern (CB2) auftritt.

Für Erfahrungen und Lösungsansätze danke ich schon im Voraus.

@Schwellemer  ich habe das Problem auch, mit einer FB7590 die mit einem öffentlichen Swisscom Sip Credential Account von Swisscom läuft und über den ISDN-Port des CB2.0. Bei den Rufnummern die über die S0 Schnittstelle laufen, tritt das Problem nicht auf. Es liegt wieder mal das Problem am SIP-Server der Swisscom

mit "so genannten Fremdgeräten". Am besten sich beim Swisscom Support melden 0800 055 055.

Nach verschiedenen Tests, habe ich nun festgestellt, dass das Verhalten mit Verbindungsaufbau ohne Sprachübertragung nur bei Konfigurationen mit Centrobusiness Routern im DMZ-Betrieb auftreten.

Bei Centrobusiness im Standardmodus funktioniert alles Problemlos mit den "öffentlichen SIP-Credentials".

Hat jemand Hinweise wieso SIP-Verbindungen an Router im DMZ-Modus und mit nachfolgender Firewall  solche Probleme bereitet.

Besten Dank für weitere Hinweise.

@Schwellemer 

Firewall und VoIP ist eine sehr komplexe Angelegenheit wo sich schon so mancher Profi die Zähne ausgebissen hat und am Schluss entnervt für die VoIP-Sessions einen Bypass an der FW vorbei gebaut hat. 

Du kannst beide Fälle (gut und schlecht) mit dem Protokollanalyzer Wireshark (Freeware) aufzeichnen, die Calls herausfiltern und das ganze analysieren. Da sollte man sehen wo es klemmt. Dazu braucht es allerdings sehr gute Kenntnisse des SIP.  

Hallo @hed 

Danke für Deine Rückmeldung.

Im Moment ist es aber so, dass da nur noch der CentroBuiness und das Telefon in dieser Umgebung sind.

Daher "kämpfe" ich nicht einmal mehr mit FW-Regeln sondern nur noch damit, das der Sprachverkehr nur bei einer eine eingehende Verbindung korrekt funktioniert (Sprache beidseitig - Dies ist auch im Wireshark ersichtlich; RTP-Pakete in beide IP-Richtungen).

Bei einer abgehenden Verbindung sieht man, dass die RTP Pakete lediglich in eine IP-Richtung transportiert werden. Dies sowohl mit Verwendung von Codex 711a (fix) oder G722(fix).

Der Verbindungsaufbau sollte korrekt sein, Invite, Trying, Ringing, OK sind alle vorhanden.

Bei den fehlerhaften Verbindung erscheint jedoch nach Invite die Meldung: 407 Proxy Authentication Required. Habe ich hierauf irgendwelchen Einfluss (Betrifft dies swisscom.ch oder fm1.ims.swisscom.ch)?

Vielleicht hat Du dazu eine Idee

@Schwellemer 

Vergiss es!

Mit dem Centro(DMZ) und der Zywall dahinter  ist es schlicht nicht möglich Swisscom-VOIP zu nutzen. 

Es gibt viele Varianten die gehen aber diese leider nicht.

---

@Schwellemer  schrieb:

Hallo @hed 

Danke für Deine Rückmeldung.

Im Moment ist es aber so, dass da nur noch der CentroBuiness und das Telefon in dieser Umgebung sind.

Daher "kämpfe" ich nicht einmal mehr mit FW-Regeln sondern nur noch damit, das der Sprachverkehr nur bei einer eine eingehende Verbindung korrekt funktioniert (Sprache beidseitig - Dies ist auch im Wireshark ersichtlich; RTP-Pakete in beide IP-Richtungen).

---

@Schwellemer 

Was denn jetzt? In Post #8 schreibst du, dass ohne FW alles i.O. sei und jetzt funktioniert es auch ohne FW nicht mehr ?

Anyway, hast du schon mal ein Neustart des Routers gemacht (Strom aus, 10s warten, Strom ein) ?

---

@Plereippeg66  schrieb:

@Schwellemer 

Vergiss es!

Mit dem Centro(DMZ) und der Zywall dahinter  ist es schlicht nicht möglich Swisscom-VOIP zu nutzen. 

Es gibt viele Varianten die gehen aber diese leider nicht.

---

Klar geht dies, die richtige konfiguration machts möglich

@FlySmurf 

Wenn du dir das so sicher bist dass dies geht bitte ich dich mitzuteilen WIE dies geht.

Ich lerne gerne was dazu!

Statische Route auf der FW zu den Swisscom Voiceservices, Brücke via CB, etc...

@FlySmurf 

Das habe ich noch nicht versucht. 

Sorry @hed

Hab mit nicht völlig klar ausgedrückt (Um das Fehlverhalten einzukreisen, hatte ich zwischenzeitlich den Testaufbau auf ein Minimum reduziert).

Scheinbar spielt es ein Rolle wenn der Centrobusiness in den DMZ-Mode (Bridge-Mode) gesetzt wird. Dies um z.B. die fixe IP an eine Firewall weiterzugeben.

Ist dieser Mode gesetzt, kann auf den restlichen Ports 2-4 (inkl. DHCP-Funktion und z.B. 192.168.1.0/24) normal auf das Internet zugegriffen werden.  Es treten jedoch im Telefoniebetrieb die Sprachprobleme bei abgehenden Gesprächen auf.

Gruss

@FlySmurf 

Statische Route funktioniert nicht.

Hallo zusammen

Dieses Problem ist ja immer noch aktuell.

Ich hatte bereits bei mehreren Kunden genau das gleiche Problem (in meinem Fall mit Ubiquiti und Sophos Firewalls):

So lange der Centro Business keine fixe IP hat und die Firewall mit double NAT hinter dem CB hängt, funktioniert calling mit SIP Credentials einwandfrei.

Sobald der CB eine fixe IP hat und die Firewall via DMZ dahinter hängt, ist bei mir das gleiche Szenario aufgetreten: Verbindung wird aufgebaut, Voice ist aber nur einseitig.

Bis jetzt war die Lösung jeweils die Telefone direkt mit dem CB zu verbinden (oder Bypass und VLAN).

Hat da jemand mehr Infos dazu oder gibt es unterdessen eine offizielle Dokumentation Seitens Swisscom betreffend diesem Thema?

Grüsse

Sibienu