LANCOM 883VoIP. nur als Konverter für VoIP zu ISDN TK-Anlage

[LC.Newbie]

Hallo,

als nicht LANCOM-Kundiger kenne ich mich mit LANCOM-Routern nur sehr wenig aus, da wir in unserer Firma bisher nur Draytekrouter im Einsatz haben.

Vor kurzem wurde unser ADSL (inkl. ISDN-Anlagenanschluss) durch die Telekom in einen VoIP SIP trunk Anschluss mit einem vorgeschalteten LANCOM-Router (883) umgestellt. Die Konfiguration der VoIP-Umsetzung wurde gleichfalls durch die Telekom erledigt.

Durch eine Portweiterleitungen im LANCOM-Router für die VPN-Einwahl (PPTP & SSL) funktioniert unser dahinterliegender Draytekrouter wie vorher.

Wir möchten jetzt aber die alte VPN-Einwahl von PPTP auf das neue Protokoll L2TP via IPSec umstellen. Trotz Portweiterleitung funktioniert die Einwahl auf dem Draytekrouter nicht. Entfernt man den vorgeschalteten LANCOM-Router geht die VPN Einwahl per L2TP via IPSec mit dem Draytekrouter problemlos.

Deswegen haben wir überlegt, die Reihenfolge der Routerkaskadierung zu ändern und den LANCOM-Router als 2. Router hinter dem Draytekrouter als reinen VoIP-ISDN Konverter zu betreiben.
Dank einer guten Anleitung von AVM ist uns das in dieser Konfiguration mit einer Fritzbox mit ziemlich wenig Aufwand gelungen.

Im Prinzip reduziert sich der Aufwand ja auf die Deaktivierung der PPPoE-Einwahl, die Zuweisung einer IP-Adresse aus dem lokalen Netzwerk und der Deaktivierung der Firewall. Schon hat man die gewünschte Konfiguration. Leider hat die Fritzbox aber nur einen ISDN-Port und wir brauchen 2 ISDN-Anlagenanschlüsse - wie am 883.

Frage:
1. Ist die Lösung des LANCOM-Routers (als 2. Router) als reiner IP-Client für die VoIP-Konverter technisch sinnvoll und zuverlässig?
2. Was muss an der bestehenden Konfiguration des LANCOM-Routers geändert werden. Eine einfache Anleitung wäre hilfreich.

Über einen entsprechenden Hinweis sind wir sehr dankbar, da wir auf eine Anfrage beim LANCOM-Support schon über 3 Wochen warten.

[hyperjojo]

hi,

welche Ports hast du denn für das IPSec VPN weitergeleitet? UDP 500 und UDP 4500?

Ich würde immer versuchen, das registrierende VoIP-Gerät als erstes in der Routerkaskade zu betreiben. Es geht auch anders, aber so hat es zwei Vorteile:
- Wenn es mal Probleme mit dem Access oder der Telefonie gibt, hast du ein von der Telekom freigegebenes Szenario. Dadurch ist die Störungseingrenzung für die Telekom einfacher, dadurch für dich schneller.
- Dienste, welche nicht zeitkritisch sind, kannst du einfacher durch das bestehende NAT schicken. VoIP und NAT ist immer eine Sache, die unter Umständen nicht sauber läuft. Evtl. greift auch dein Draytek ein (SIP-ALG, SIP-helper o.ä.) und manipuliert dadurch Header/Pakete...

Wie gesagt: Es geht auch umgekehrt, meine Erfahrung sagt mir aber, dass der VoIP Router im Idealfall als erster in der Kaskade steht.

Gruß hyperjojo

[失败是成功之母]

Was muss an der bestehenden Konfiguration des LANCOM-Routers geändert werden?

Um die Bezeichnungen von AVM zu verwenden, Du möchtest Deinen Lancom vom Modus „Router“ in „IP-Client“ ändern. Die Frage ist gar nicht so einfach, weil wir Deine aktuelle LCOS-Konfiguration (und Deinen aktuell verwendeten LCOS-Branch, also 10.3x, 10.4x oder 10.5x) nicht kennen. Im Folgenden gehe ich davon aus, dass Ihr die Setup-Wizards „Grundeinstellungen“, „Internet-Zugang einrichten“ und „Voice-over-IP / All-IP einrichten“ genutzt hattet. Auch bezieht sich meine Anleitung nicht auf die Windows-App LANconfig sondern die Web-Oberfläche WEBconfig → Konfiguration. Im Folgenden ist auch die Reihenfolge wichtig:

1. IPv6 → Allgemein → IPv6 aktiviert: abhaken
   Das könnte man schöner machen, aber weil es so für mich weniger Tipp-Arbeit ist und die Telekom Deutschland noch kein IPv6 in seiner VoIP/SIP-Plattform anbietet, machen wir diesen Radikal-Schritt und schalten IPv6 ganz aus. Wenn Du oder ein zukünftiger Leser das genauer haben will, einfach melden.
2. IP-Router → Routing → IPv4-Routing-Tabelle → 0.0.0.0 (Diese Route wurde durch den Internet-Assistenten erzeugt): Löschen (über das Icon Kreuz)
3. IPv4 → DHCPv4 → DHCP-Netzwerke → INTRANET → DHCP-Server aktiviert: Automatisch
4. IPv4 → Allgemein → IP-Netzwerke → INTRANET → IP-Adresse: 0.0.0.0

Der letzte Schritt schaltet Deinen Lancom wieder auf die Standard-IP-Adresse 172.23.56.254 zurück. Das erfolgt sofort, daher empfehle ich jene Reihenfolge einzuhalten. Der vorletzte Schritt besagt, wenn der Lancom nach einem Neustart einen DHCP-Server vorfindet, verhält sich der Lancom als DHCP-Client. Der vorvorletzte Schritt ist dazu nötig, dass der Lancom seine „Bridge“ als Internet-Zugang nutzt, also dass der Lancom Voice-Call-Manager (und alle anderen Apps wie der Auto-Updater) wieder ins Internet können.

Wenn Du Deine bestehende Konfiguration nicht ändern sondern neu von Vorne beginnen willst (do /Other/Reset-Config), dann beachte ab LCOS 10.40 bitte diese Schritte …

Ist die Lösung des LANCOM-Routers (als 2. Router) als reiner IP-Client für die VoIP-Konverter technisch sinnvoll und zuverlässig?

Kurz:
Zuverlässig, puh.
Sinnvoll, ja. Gibt genug andere Produkte wie die Gigaset GO-Box 100 für Privat-Anwender oder die Telekom Digitalisierungsbox Smart, die genau so funktionieren. Letztere wäre für Dich mit Deinen zwei ISDN-Anschlüssen wohl die ideale(re) Lösung, weil deren Original-Hersteller bintec-elmeg direkt einen Modus „Mediagateway“ bietet. Aber ja, mit Lancom geht das auch.

Lang:
Wie schon angeklungen, hat der lokale VoIP/SIP-Client idealerweise Zugriff auf die Firewall. Folglich sitzt idealerweise der VoIP/SIP-Client im ersten, im Haupt-Router. Ich kenne drei Szenarien, die das abdeckt:

a) Manche VoIP/SIP-Anbieter schicken Audio-Daten (RTP) bevor der SIP-Client sein erstes RTP-Paket geschickt hat. Daher ist der Port noch nicht offen. Daher klassifiziert manch Firewall die einkommenden RTP-Daten ab dann als Angriff (Intrusion Detection). Folglich hört Ihr Euren Gesprächspartner nicht.

b) Dadurch kann der SIP-Client auch dann auf eingehende Anrufe reagieren (SIP-INVITE), wenn der VoIP/SIP-Anbieter eine unvorhergesehene Quell-IP nutzt. Das passiert zum Beispiel, wenn der Anbieter nicht-transparentes Load-Balancing nutzt. In Deutschland ist dafür 1&1 bekannt. Telekom Deutschland benutzt zwar neuerdings auch nicht-transparentes Load-Balancing, aber die IP ist relativ klar. Ein Problem in dem Bereich wäre mit neu.

c) Dadurch kann der SIP-Client auch dann auf eingehende Anrufe reagieren, wenn der VoIP/SIP-Anbieter eine unvorhergesehenen Quell-Port nutzt. Das passiert zum Beispiel, wenn auf dem Weg zum Anbieter eine Adress-Umsetzung stattfindet (NAT). In Deutschland passiert das zum Beispiel dann, wenn sich der SIP-Client in einem Mobilfunk-Netz befindet (4G, 5G, …).

Letzteres passiert Dir auch mit einem DrayTek Vigor als Haupt-Router. Mein DrayTek (vor meinem Lancom) setzt alle abgehenden Anfragen von Well-Known-Ports auf dynamische private Ports um (Ephemeral-Port). Weil der Lancom Voice-Call-Manager (VCM) als Quell-Port zwar einen dynamischen Port nutzt, dieser aber nicht im privaten Bereich liegt, ändert der DrayTek den Port. Und obwohl Lancom angibt sich für Remote-Port (rPort) zu interessieren, kann ich nicht erkennen, dass deswegen Lancom seine SIP-Header umschreibt. Anders formuliert: Ein Lancom hinter einem DrayTek registriert sich in seinem SIP-Header Contact mit dem falschen Port. Die Telekom Deutschland (und viele andere, aber oft nur große VoIP/SIP-Anbieter) sind bekannt dafür, dann die Anrufe (SIP-INVITE) an diesen falschen Port zu schicken. Und dort ist die Firewall zu. Das kannst Du umgehen, indem Du:

WEBconfig → Konfiguration → Voice Call Manager → Leitungen → SIP-Leitungen → (Taste) An (entspricht: Bearbeiten) → Signalisierungs-Verschlüsselung: von „keine (UDP)“ auf „TLS 1.2“

Der Port ist dann zwar immer noch falsch, aber die Telekom Deutschland ignoriert bei einer TCP-Verbindung den Port im SIP-Header Contact und nimmt direkt die noch bestehende Verbindung. Nebenbei als Gimmick kannst Du die „Sprach-Verschlüsselung“ auf „Bevorzugt“ und bei „Server-Zert. prüfen bezüglich“ auf „Allen vertrauten CAs“ stellen. So telefonierst Du bis zu den Servern der Telekom Deutschland durchgehend verschlüsselt.

Ist die Lösung des LANCOM-Routers (als 2. Router) als reiner IP-Client für die VoIP-Konverter technisch sinnvoll?

Sinnvoller wäre, wenn Du den Lancom irgendwie in den Griff bekommen würdest. Hast Du einen Einrichter (System-Integrator) spezialisiert auf Lancom? Noch sinnvoller wäre nämlich, dass Du direkt mit dem Lancom Dein VPN machst – der ist dafür ausgelegt. Reichen die Anzahl an VPN-Zugängen nicht, könntet Ihr das entsprechende Software-Upgrade kaufen oder Ihr schwenkt um auf einen gebrauchten Lancom der 17er- oder 19er-Reihe. Und kauft VPN-Kanäle nach, wenn die von Haus aus bereits freigeschaltete Anzahl nicht ausreicht.

Ist die Lösung [als] VoIP-Konverter technisch sinnvoll?

Noch noch sinnvoller wäre, zu überprüfen, warum Ihr überhaupt noch ISDN braucht und ob man das nicht ersetzen könnte. Dann könntet Ihr nämlich auch eine FRITZ!Box nehmen, die sich im Szenario als VoIP-Client als vergleichsweise zuverlässig erwiesen hat.

Puh. Jetzt ist es etwas zu lang geworden. Einfach fragen, wenn etwas unklar wurde oder noch Fragen bestehen. Wie geschildert, das Sinnvollste wäre, dass der VoIP/SIP-Client der Haupt-Router ist, also das ihr das bestehende Problem nicht umgeht sondern angeht.