10
Fritzbox hinter Zyxel USG210 - alles von erreichbar - nicht erreichbar - kein Audio
Hallo, kämpfe leider seit geraumer Zeit mit dem oben genannten Problem. Habe eine USG210 mit 1xWAN1 Internet 1&1 (VDSL 50.000/10.000 - VOIP Provider) sowie 1xWAN2 KabelD (100.000/6.000 - kein VOIP). Die Fritzbox 7390 läuft als IP Client in der DMZ. Habe bereits vieles probiert, SIP ALG an/aus, 1:1 NAT, Firewall Regeln, Policy Routes etc.
Meist geht es kurz, doch kurz darauf bin ich entweder gar nicht ereichbar, erreichbar aber kein Audio. Rausrufen geht in der Regel zu 95%.
Bin um jeden Hinweis oder Hilfestellung dankbar - gern auch gegen adequate Bezahlung sofern sich das Problem dauerhaft löst.
Meist geht es kurz, doch kurz darauf bin ich entweder gar nicht ereichbar, erreichbar aber kein Audio. Rausrufen geht in der Regel zu 95%.
Bin um jeden Hinweis oder Hilfestellung dankbar - gern auch gegen adequate Bezahlung sofern sich das Problem dauerhaft löst.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 249783
Url: https://administrator.de/contentid/249783
Printed on: April 16, 2024 at 13:04 o'clock
10 Comments
Latest comment
Die USG210 hat ja kein internes VDSL Modem. Die Frage ist also WIE du diese an den VDSL Anschluss bekommen hast ??
Ist dort ein reines VDSL Modem davor ?
Das generelle Problem ist bei SIP (VoIP) das es dynamische Ports benutzt. Die SIP Antwort vom Provider will also einen anderen Port connecten als den in der NAT Session Tabelle der Firewall die das Packet dann blockt.
Am einfachsten ist es wenn du einen entsprechenden STUN Server definierst. Dadurch kann dann SIP durchs NAT der Firewall passieren.
Andernfalls musst du mal sehen ob die Zyxel FW einen speziellen Ruleset für SIP/RTP hat. Fast alle Firewalls haben es mittlerweile durch die Verbreitung von VoIP.
Dr. Google hilft auch wenn man ihn fragt:
http://www.lmdfdg.at/?q=zyxel+usg+voip
Ist dort ein reines VDSL Modem davor ?
- Wenn nein ist dort ein Router davor ?
- Wenn es ein Modem ist macht das das VDSL VLAN ID 7 Tagging oder macht das deine USG210 analog wie es hier beschrieben ist ?
- Wenn es eine Router Kaskade ist, dann musst du natürlich 2 mal Port Forwarding machen !
Das generelle Problem ist bei SIP (VoIP) das es dynamische Ports benutzt. Die SIP Antwort vom Provider will also einen anderen Port connecten als den in der NAT Session Tabelle der Firewall die das Packet dann blockt.
Am einfachsten ist es wenn du einen entsprechenden STUN Server definierst. Dadurch kann dann SIP durchs NAT der Firewall passieren.
Andernfalls musst du mal sehen ob die Zyxel FW einen speziellen Ruleset für SIP/RTP hat. Fast alle Firewalls haben es mittlerweile durch die Verbreitung von VoIP.
Dr. Google hilft auch wenn man ihn fragt:
http://www.lmdfdg.at/?q=zyxel+usg+voip
Hallo aqui,
zunächst einmal vielen Dank für die schnelle Rückmeldung und vor allem für dein Engagement hier im Forum.
Das VDSL von 1&1 wird am WAN1 der USG durch einen ZyXEL VMG1312-B30A im Bridge Modus bereitgestellt (In der USG210 sind die Anmeldedaten für die Einwahl hinterlegt). An WAN2 hängt das Kabelmodem von KabelDeutschland, ebenfalls gebridget.
Ich habe mir im Zeitraum der letzten Monate im Internet die Finger Wund gesucht und viel probiert, selbst der Zyxel Support hat nicht wirklich helfen können als es um die korrekte Konfig mit einer Fritz hinter der USG ging (damals hatte ich noch eine USG100).
Ich verstehe einfach nicht warum es nicht funktionieren will. Das Thema SIP/RTP Ports ist mir bekannt, etliche Regeln hierzu auch konfiguriert. Das SIP ALG sollte das eigentlich ja auch übernehmen, sofern aktiviert. Im anderen Falle habe ich es eben manuell konfiguriert. STUN ist ja Sache der Fritzbox und in den SIP Provider Daten auch hinterlegt.
zunächst einmal vielen Dank für die schnelle Rückmeldung und vor allem für dein Engagement hier im Forum.
Das VDSL von 1&1 wird am WAN1 der USG durch einen ZyXEL VMG1312-B30A im Bridge Modus bereitgestellt (In der USG210 sind die Anmeldedaten für die Einwahl hinterlegt). An WAN2 hängt das Kabelmodem von KabelDeutschland, ebenfalls gebridget.
Ich habe mir im Zeitraum der letzten Monate im Internet die Finger Wund gesucht und viel probiert, selbst der Zyxel Support hat nicht wirklich helfen können als es um die korrekte Konfig mit einer Fritz hinter der USG ging (damals hatte ich noch eine USG100).
Ich verstehe einfach nicht warum es nicht funktionieren will. Das Thema SIP/RTP Ports ist mir bekannt, etliche Regeln hierzu auch konfiguriert. Das SIP ALG sollte das eigentlich ja auch übernehmen, sofern aktiviert. Im anderen Falle habe ich es eben manuell konfiguriert. STUN ist ja Sache der Fritzbox und in den SIP Provider Daten auch hinterlegt.
Das VDSL von 1&1 wird am WAN1 der USG durch einen ZyXEL VMG1312-B30A im Bridge Modus bereitgestellt (In der USG210 sind die Anmeldedaten für die Einwahl hinterlegt). An WAN2 hängt das Kabelmodem von KabelDeutschland, ebenfalls gebridget.
Perfekt, das limitiert die ganzen Settings dann einzig auf die USG.Machs dir doch ganz einfach und nimm einen Wireshark zur Hand. Damit snifferst du mal vor und hinter der Firewall und vergleichst die SIP/RTP Pakete was durchkommt und was nicht.
Testweise machts du erstmal die USG ganz auf um überhaupt erstmal einen funktionieren SIP Sessionaufbau mit der FB hinzubekommen. Idealerweise snifferst du den auch gleich mit mit dem Wireshark um den Flow einer sauberen SIP Session zu haben und mit dem Blocking Verhalten der USG zu vergleichen.
So kannst du dich wunderbar rantasten was du öffnen musst und was nicht !
Wenn die Zyxel keinen entsprechenden VoIP Ruleset hat, dann wirds natürlich etwas böse, da du dann den gesamten möglichen Port Bereich vom SIP UDP eingehend öffnen musst.
Damit konterkariert man quasi eine Firewall zur Bedeutungslosigkeit und es würde die Zyxel für den VoIP Bereich vollkommen disqualifizieren.
Wie gesagt am elegantesten löst du das mit Angabe eines STUN Servers auf dem VoIP Endgerät also hier der Fritzbox. So musst du keine Scheunentor großen Löcher in die Firewall bohren !
Verstehe, dein Hinweis auf STUN wurde auch entsprechend dieser Doku in der Fritte hinterlget - hilft nur nichts:
http://avm.de/nc/service/fritzbox/fritzbox-7390/wissensdatenbank/public ...
Wireshark als solches ist mir bekannt, jedoch habe ich das Tool nicht wirklich im Griff.
http://avm.de/nc/service/fritzbox/fritzbox-7390/wissensdatenbank/public ...
Wireshark als solches ist mir bekannt, jedoch habe ich das Tool nicht wirklich im Griff.
entsprechend dieser Doku in der Fritte hinterlget - hilft nur nichts:
Hast du mal mit dem Kabelhai geprüft ob die Fritte sich denn STUN konform verhält ?? Benutzt sie STUN ? Wenn nicht ist das ja dann klar ein Bug in der AVM Firmware, was aber echt ungewöhnlich wäre.Oder blockt die USG auch noch die STUN Pakete ?? Wenn das der Fall ist ist klar das das dann auch fehlschlägt....!
Wie bereits gesagt: Nimm dir den Kabelhai und miss das einmal mit USG einmal ohne bzw. davor und dahinter.
Dann weisst du doch sofort was los ist !
Danke für die Geduld, hoffe ich stelle Sie mit der nächsten Frage nicht zu sehr auf die Probe. Traffic mit Wireshark zu sniffen ist mir nicht geläufig. Ich habe zwar ein Notebook, das ich an den Ausgang des DSL Modems hängen könnte - verstehe aber nicht was ich da lesen kann, da ja die pppoE Anmeldung erst in der USG erfolgt, oder?
Soll ich dann die Anmeldung übers Notebook machen? Sofern dann die "Leitung" steht, welche Pakete sollte ich mir dann anschauen. Alles UDP 5060 und RTP ? Oder wie filtere ich hier am besten.
Gemäß USG Logmacht die Fritte STUN. [IMG]http://i59.tinypic.com/bfm6vs.jpg[/IMG]
Soll ich dann die Anmeldung übers Notebook machen? Sofern dann die "Leitung" steht, welche Pakete sollte ich mir dann anschauen. Alles UDP 5060 und RTP ? Oder wie filtere ich hier am besten.
Gemäß USG Logmacht die Fritte STUN. [IMG]http://i59.tinypic.com/bfm6vs.jpg[/IMG]
In einem Forum duzt man sich in der Regel ! <editiert vom Verfasser 
>
Die Vorgehensweise ist schon richtig. Vor der FW einen Mirrorport einrichten oder mit einem Hub den Traffic spiegeln. PPPoE encasulierte Frames sind ja nicht verschlüsselt und ohne FW kann man so einen vollständigen SIP Aufbau mitsniffern der zu einer bestehenden und funktionierenden SIP Verbindung führt.
Danach dann mit der FW im Pfad. So kann man sehen welche Pakete die FW wegfiltert und das entsprechend anpassen das das SIP sauber funktioniert.
>Die Vorgehensweise ist schon richtig. Vor der FW einen Mirrorport einrichten oder mit einem Hub den Traffic spiegeln. PPPoE encasulierte Frames sind ja nicht verschlüsselt und ohne FW kann man so einen vollständigen SIP Aufbau mitsniffern der zu einer bestehenden und funktionierenden SIP Verbindung führt.
Danach dann mit der FW im Pfad. So kann man sehen welche Pakete die FW wegfiltert und das entsprechend anpassen das das SIP sauber funktioniert.
Danke für den Hinweis, bin männlich und daher kaum in der Regel 
Damit ich das richtig verstanden habe.
Szenario1
DSL Modem --> Hub -->USG-->Fritzbox
-->Wireshark
Szenario2 (
DSL Modem --> Hub -->Fritzbox
-->Wireshark
Und dann die beiden Ergebnisse vergleichen? Somit müsste ich ja für Szenario 2 meine komplette Fritte umstellen (von IP Client auf Standalone)
Damit ich das richtig verstanden habe.
Szenario1
DSL Modem --> Hub -->USG-->Fritzbox
-->Wireshark
Szenario2 (
DSL Modem --> Hub -->Fritzbox
-->Wireshark
Und dann die beiden Ergebnisse vergleichen? Somit müsste ich ja für Szenario 2 meine komplette Fritte umstellen (von IP Client auf Standalone)
Szenario1
DSL Modem --> Hub -->USG-->Fritzbox
-->Wireshark
Nein, der Hub dient nur dazu den Traffic zu speigeln. Wie willst du sonst den Wireshark in die Datenverbindung bringen ??DSL Modem --> Hub -->USG-->Fritzbox
-->Wireshark
Die USG hat doch kein Mirrorport, oder ? Würd mich wundern bei dem Billigprodukt !
Ausnahme du betreibst den Wireshark mit 2 NICs als Probe:
http://www.heise.de/netze/artikel/Ethernet-Bridge-als-Sniffer-Quelle-22 ...
Über einen Hub spiegelst du ja den Traffic an alle Hub Ports ohne Bridge
Der Wireshark muss also immer an den Hub. Ggf. meintest du das auch so und hast das nur falsch dargestellt.
So sind dann beide Szenarios richtig !
Habe mich dazu hinreissen lassen, das Szenario verkürzt darzustellen. Zwischen USG und Fritzbox sind noch 2 CISCO SG300 Switche. Da kann ich ja nen Mirrorport für den Wireshark abgreifen.