Lancom Firewall? Ist VoIP mit Lancom unbrauchbar?

[Hobbyfahrer]

Antwort von AVM


Ursache:

Um die Sicherheit der Geräte im FRITZ!Box-Heimnetz zu gewährleisten und zu verhindern, dass es beim Internetzugriff zu Performance-Einbußen kommt, löscht die FRITZ!Box automatisch alle TCP-Verbindungen nach 15 Minuten und alle UDP-Verbindungen nach 5 Minuten ohne Datenaustausch aus ihrer NAT-Tabelle ("NAT-Timeout"). Dadurch werden alle Ports, die von diesen Verbindungen verwendet wurden, geschlossen und die Internetverbindung der zugehörigen Anwendung getrennt.

[Hobbyfahrer]

Bis zum heutigen Tage haben wir immer noch grosse Probleme mit der Telefonie.

Bevor ich den ganzen Lancom "Schrott" bei Ebay reinsetze ein letzter Versuch.


Gibt es hier jemanden der sich mit VoIP in Verbindung mit einer FritzBox hinter dem Lancom auskennt und weiss was gemacht werden muss, damit schlicht und einfach normal und ohne Probleme telefoniert werden kann?

Ich habe alles durch von Firewall Regeln, NAT bis zu der Zumutung ALG von Lancom.



Wie muss der Lancom konfiguriert werden damit eine FritzBox sauber funktioniert?


Danke

[Christoph_vW]

SIP-ALG aus

Port Forwardings auf IP der FritzBox hier 192.168.4.20:


Und vielleicht noch eine QoS Regel in der Firewall um etwas Bandbreite zu garantieren.

Und in der FritzBox unter Telefonie-Eigene Rufnummern->Anschlusseinstellungen->Sprachpakete
folgenden Punkt aktivieren: Portweiterleitung des Internet-Routers für Telefonie aktiv halten

[Hobbyfahrer]

Danke Christoph,

so sah das bei mir auch schon mal aus aber ohne Erfolg.

Nutzt du eine Deny-All Strategie?

Wie sieht deine QoS Regel aus?

[Christoph_vW]

Nein, hier kein Deny-All, das ist mein privater Router...

Ziel Dienst SIP und dann ein paar KB Bandbreite reservieren.

[Hobbyfahrer]

Habe nun meine Deny-All Strategie verworfen und nur durch das offen halten der Ports durch die FritzBox ohne NAT Einträge geht nun die Telefonie

Gefallen tut mir das nicht

[GrandDixence]

Habe jetzt nicht alle Beiträge im Detail studiert. Aber das genannte Verhalten erstaunt mich nicht, wenn Hardware-NAT eingeschaltet ist:

https://www2.lancom.de/kb.nsf/bf0ed2a4d ... f30051e594

http://www.lancom-forum.de/aktuelle-lan ... nat#p73268

[Hobbyfahrer]

Moin,

habe mal zum Spass SIP ALG wieder aktiviert und die ersten Accounts konnten sich nicht anmelden.

Also alles wieder aus.


Ich habe nun auch ein eine neue Telefonanlage von Auerswald und habe keine Probleme mehr, wenn ich kein Deny-All in der FW nutze.

[mme]

Hallo,

ich habe es noch nicht umgesetzt, plane aber auch eine FritzBox als Telefonanlage an einem Lancom-Router zu betreiben (Lancom-Router ist an anderem Standort, habe aktuell keinen Zugriff). Dafür habe ich eine Reihe Informationen recherchiert, die vielleicht Gleichgesinnten helfen könnten.

MAC-Adresse der FritzBox ermitteln (z. B. zur Zuordnung einer festen IP-Adresse per DHCP im Lancom):

http://avm.de/nc/service/fritzbox/fritz ... ermitteln/

FritzBox zur Nutzung als IP-Client konfigurieren (Firewall deaktiviert, NAT vermutlich auch):

http://avm.de/nc/service/fritzbox/fritz ... ox-nutzen/

Falls man mal nicht mehr auf die Benutzeroberfläche der FritzBox zugreifen kann:

http://avm.de/nc/service/fritzbox/fritz ... unbekannt/

Umgang mit dem NAT des Lancom:

http://avm.de/nc/service/fritzbox/fritz ... herstellt/

In der Version dieses Artikels für irgendein anderes FritzBox-Modell hatte ich auch als Alternative zu "Portweiterleitung des Internet-Routers für Telefonie aktiv halten" von der Möglichkeit gelesen, die Ports manuell (im Lancom) freizuschalten.

Bei einer FritzBox 7490, die direkt am DSL hängt, habe ich in der Sicherheitsübersicht (ab Firmware 6.20) gesehen, dass sie bei Nutzung ihres eigenen NAT für die Telefonie die Ports 5060 (TCP und UDP) für SIP und 7078-7110 (UDP) für RTP (und RTCP) freischaltet. Dazu findet man auch Infos in der Online-Hilfe des Gerätes, die öffentlich im Netz verfügbar ist:

http://service.avm.de/help/de/FRITZ-Box ... e_port_sip
http://service.avm.de/help/de/FRITZ-Box ... e_port_rtp

@Christoph_vW: Braucht man wirklich alle Portfreigaben oben in http://www.lancom-forum.de/fragen-zum-t ... tml#p71987?

Soweit ich im Netz gelesen habe, werden bei RTP und RTCP generell die geraden Portnummern für RTP und die ungeraden für RTCP benutzt. Somit kann man die beiden Protokolle also bei der QoS unterscheiden.

Laut http://www.informaticapressapochista.co ... tp-part-2/ gilt: "Usually the stream is transmitted from the same port where the other stream is received." Das hat sich bei einem Portmitschnitt weniger Telefonate über eine FritzBox bestätigt.

Ich habe für den Lancom die folgende Konfiguration vorbereitet und hoffe, dass es damit funktioniert:

Portfreigaben.png

Firewall.png

Sieht da jemand Probleme oder kann das funktionieren?

Die PMTU habe ich nur in Senderichtung reduziert, weil ich gelesen habe, dass es damit im Internet Probleme geben können solle wegen blockierter und damit nicht weitergeleiteter ICMP-Pakete. Bezieht sich die Senderichtung in Lanconfig eigentlich bei Reduzierung der PMTU tatsächlich auf die Daten, deren PMTU reduziert wird, also gerade die Nicht-VoIP-Daten?

Wenn man eine minimale Bandbreite angibt, ohne auf Sende- oder Empfangsrichtung zu beschränken, gilt die Bandbreite dann eigentlich für beide Richtungen zusammen (wenn ja, wie aufgeteilt?) oder für jede einzeln?

[Cytor]

Die PMTU habe ich nur in Senderichtung reduziert, weil ich gelesen habe, dass es damit im Internet Probleme geben können solle wegen blockierter und damit nicht weitergeleiteter ICMP-Pakete. Bezieht sich die Senderichtung in Lanconfig eigentlich bei Reduzierung der PMTU tatsächlich auf die Daten, deren PMTU reduziert wird, also gerade die Nicht-VoIP-Daten?

Genau, es geht um alle Pakete, die eben nicht von der QoS Regel erfasst werden. Hier also die nicht-VoIP-Daten. Für die von der Regel erfassten Sessions wird die PMTU nicht reduziert, da zumindest in Sachen VoIP die Pakete schon von Natur aus klein genug sind.

Wie du das RTCP los werden willst, habe ich nicht ganz verstanden. Es setzt sich zwar (so gut wie) immer auf den nächsten ungeraden Port über der RTP Session, aber man kann dem LANCOM ja nicht sagen, dass er alle ungeraden Ports (nicht) erfassen soll. Letztendlich landet man daher immer bei einer Priorisierung pro Station, statt per Session, was erstmal ok ist, so lange man pro Telefon auch nur ein Telefonat führt und während des Gesprächs kein Firmwareupdate geladen wird...
Oder hast du etwa alle in Frage kommenden ungeraden Ports in RTCP-Fritzbox reingepackt?

[mme]

Oder hast du etwa alle in Frage kommenden ungeraden Ports in RTCP-Fritzbox reingepackt?

Ja, in dem Dienst-Objekt habe ich die Ports einfach alle aufgelistet. Das finde ich noch überschaubar:

7079,7081,7083,7085,7087,7089,7091,7093,7095,7097,7099,7101,7103,7105,7107,7109

Und der Portbereich ist ja nicht variabel, weil die Regel nur mit der FritzBox funktionieren muss.