VoIP geht nur in einer Richtung?!?

BluebirdHH · August 22, 2025 at 7:36 PM

Hallo zusammen,

ich bräuchte mal Hilfe, da meine VoIP plötzlich nur noch einseitig funktioniert. Ich kann die Gegenstelle hören (egal, ob Mobil oder Festnetz und egal, ob ich angerufen werde oder selbst anrufe), aber die Gegenstelle hört mich nicht. Das nachfolgende Setup lief diesbezüglich problemlos seit dem Frühjahr, nachdem ich mein Netzwerk auf Unifi umgerüstet habe.

Ich habe folgendes Setup:

- UCG-Fiber mit GPON Modul als Gateway und dahinter diverse Unifi Switche im Haus verteilt

- AVM Fritz!Box 5530 Fiber als Telefonanlage -> hängt direkt am UCG und verwendet die bestehende Internetverbindung als IP-Client

- Internetanbieter ist DBN

Das Ganze lief in der Vergangenheit ohne spezielle Portfreigaben im UCG. Nach dem Auftreten des Problems habe ich dann die von DBN genannten Portfreigaben (SIP Port 5060 und Mediastreamports 30000-44999) im UCG eingerichtet. Das Ergebnis ist exakt dasselbe wie oben beschrieben.

Hat hier jemand dasselbe Problem? Könnte es an einem Unifi Update liegen?

Für Ideen zur Lösung des Problems wäre ich wirklich dankbar, da seit Anfang August unsere Festnetztelefonie quasi unbrauchbar ist...

VG Ralf

**gierig** · August 22, 2025 at 11:23 PM

Ankommend geht ist schon mal 50% und Zeigt das AVM sich anständig registrieren kann. Wenn Klingelt und Brummt
hast du auch keine Probleme mit Vergessenden NAT Entrys, Portweiterleitungen oder dergleichen.

Ausgehend Still ist ein Zeichen das der RTP Stream nicht raus darf oder zu den Falschen media Server Geschickt wird.
das passiert gerne bei "Falscher DNS Servern"

Werden die DNS Server deines Providers Verwendend ? Dazu Darf kein Contenfilter aktive sein bzw. DOH, bzw eigne DNS Server der den DNS Traffic ggf auf Cloudflare un CO umbiegt. Telekom hat z.B Jahrelang diese Problem, das die "richtigen" Voice Server nur mit den Internen DNS richtig waren. Externe DNS haben da gerne oft und viel den falschen media Server ausgespuckt.

Testen:
Nutz in WAN (automatisch DNS Server), schalte alle AD / Content/ DOH Geschichten ab und Probiere es...

**Networker** · August 22, 2025 at 11:28 PM

...und bitte die Portfreigaben wieder löschen, das ist im Zusammenhang mit VoIP absoluter Quatsch und ein Armutszeugnus für den Provider, wenn er das seinen Kunden so erzählt.

BluebirdHH · August 25, 2025 at 1:55 PM

Hallo,

vielen Dank für Eure Hinweise. Am Wochenende war ich unterwegs, so dass ich erst nun darauf reagieren kann. Die eingerichteten Portfreigaben habe ich wieder gelöscht. So hatte es auch zuvor funktioniert.

In den WAN Einstellungen ist beim DNS Server "Auto" gesetzt. Und trotzdem geht es wie beschrieben nur einseitig. DBN ist leider nur begrenzt hilfsbereit, da sie keine "Sonderlösungen oder abweichenden Eigenkonfigurationen" supporten. Auf deren Seite soll jedenfalls keine Störung oder Einschränkung vorliegen. Ich soll wieder auf die Fritzbox umsteigen und dann helfen sie .

Also, anscheinend muss ich das Problem bei mir lösen und denen nachweisen, dass das Problem doch dort liegt. Wenn es zuvor funktioniert hat und von einem Tag auf den anderen nicht mehr, kann es ja nur an einem Unifi Update oder eben doch an DBN liegen.

Ich würde mich über eine weitere Unterstützung von Euch freuen.

VG Ralf

**gierig** · August 25, 2025 at 1:58 PM

Quote from BluebirdHH

In den WAN Einstellungen ist beim DNS Server "Auto" gesetzt.

Aber das reicht ggf. nicht da Contentfilter (Family oder wenn mit abo einer der anderen) oder mit DoH (Encrypted DNS) der DNS verkehr
auch umgebogen wird auf andere Server...

BluebirdHH · August 25, 2025 at 3:06 PM

hmm, weder Contentfilter, noch Encrypted DNS sind aktiv...

jkasten · August 25, 2025 at 3:25 PM

Quote from Networker

...und bitte die Portfreigaben wieder löschen, das ist im Zusammenhang mit VoIP absoluter Quatsch und ein Armutszeugnus für den Provider, wenn er das seinen Kunden so erzählt.

Das ist so pauschal nicht korrekt, es gibt durchaus Telefonanlagen die das benötigen. Das ist auch vom Provider völlig unabhängig.

BluebirdHH · August 25, 2025 at 6:17 PM

Hallo zusammen,

laut einer technischen Dokumentation von DBN sieht es mit den DNS-Servern für VoIP wie folgt aus:

5. DNS - Die Auflösung der SIP-Serveradresse erfolgt über eine A-Record-basierte DNS-Anfrage. Im VoIP-Netz kann mittels DHCP ein DNS-Server bezogen werden, welcher die SIP-Serveradresse auflösen kann. Primärer DNS-Server: 195.42.245.125 Sekundärer DNS-Server: 195.42.245.126

Und zu den Firewall und NAT Einstellungen steht dieser Text dort:

9. Firewall und NAT - Sollte sich die TK Anlage (Client) hinter einer Firewall befinden, muss die SIP-Registrierung über Port 5060 (UDP oder TCP, je nachdem wie in der TK Anlage konfiguriert) und der Mediastream über RTP im Port-Bereich von 30000-44999 (UDP) in der Firewall freigegeben/erlaubt werden. Eine feste Port-Weiterleitung wird nicht benötigt. Für erhöhte Sicherheit können die Freigaben auf das Zielnetz 195.42.245.0/25 begrenzt werden. Grundsätzlich empfehlen wir die Dienste SIP-ALG und IGMP-Snooping in der Firewall zu deaktivieren.

Kann damit jemand etwas anfangen und mir sagen was ich wo in den UCG Einstellungen anpassen muss? Oder muss ggf. auch etwas in der Fritte noch parametrisiert werden?

VG Ralf

**Networker** · August 25, 2025 at 11:33 PM

Quote from jkasten

Das ist so pauschal nicht korrekt, es gibt durchaus Telefonanlagen die das benötigen. Das ist auch vom Provider völlig unabhängig.

Das scheint mir sehr unwahrscheinlich. Welche Anlagen denn konkret?

Ich habe noch nie eine andere Verbindungslogik gesehen, als dass sich Telefonie-Soft- und -Hardware mit dem Provider verbindet. Von innen mach außen. Und dafür braucht es eben prinzipbedingt keine Portweiterleitungen.

**Networker** · August 25, 2025 at 11:37 PM

Quote from BluebirdHH

Kann damit jemand etwas anfangen

Ja. Punkt 9 kannst Du ignorieren, wenn Du in der Firewall keine Beschränkungen für abgehende Verbindungen eingerichtet hast. In der Basis-Konfigurarion blockt Unifi nichts.

Punkt 5 ist die Richtung, in die gierig schon argumentierte. Du musst sicherstellen, dass die Fritzbox den DNS-Server Deines Providers verwendet.

jkasten · August 26, 2025 at 8:13 AM

Quote from Networker

Das scheint mir sehr unwahrscheinlich. Welche Anlagen denn konkret?
Ich habe noch nie eine andere Verbindungslogik gesehen, als dass sich Telefonie-Soft- und -Hardware mit dem Provider verbindet. Von innen mach außen. Und dafür braucht es eben prinzipbedingt keine Portweiterleitungen.

Zb 3cx, Starface, Yeastar usw...

**Networker** · August 26, 2025 at 9:44 AM

Quote from jkasten

Zb 3cx, Starface, Yeastar usw...

Und dann konfigurierst Du eine Verbindung beim SIP-Provider, die sich zu diesen Anlagen verbindet? Ansonsten verstehe ich den Hintergrund nämlich nicht.

jkasten · August 26, 2025 at 10:14 AM

Das hat nicht immer was mit dem Trunk zu tun... Je nach Anlage werden die Ports benötigt um die Telefone oder Handyapps anzubinden usw. Was wir aber immer machen, den Port 5060 nur auf das Netz des SIP Trunk Anbieters zu beschränken.

**Networker** · August 26, 2025 at 10:30 AM

Ok, dann können wir uns ja aber auf jeden Fall darauf einigen, dass Portweiterleitungen niemals nötig sind, wenn es aussschließlich um Telefoniefunktionalität von "hinter der Telefonanlage" geht, oder?

jkasten · August 26, 2025 at 11:03 AM

Quote from Networker

Ok, dann können wir uns ja aber auf jeden Fall darauf einigen, dass Portweiterleitungen niemals nötig sind, wenn es aussschließlich um Telefoniefunktionalität von "hinter der Telefonanlage" geht, oder?

Ja, da gehe ich mit konform.

BluebirdHH · August 26, 2025 at 7:01 PM

Update: VoIP geht nun wieder vollständig, ohne irgendwelche Portfreigaben oder DNS Einstellungen. Ich habe in den CyberSecure Einstellungen vom UCG die Überwachung ("Protocol Vulnerabilities") vom VoIP Traffic deaktiviert und das Gateway einmal neu gestartet. Um es gleich vorwegzunehmen, es war nur "Notify" aktiv und nicht "Notify and Block". Keine Ahnung, warum das jetzt geholfen hat...

Vielen Dank an Euch für Euren Einsatz, um mir weiterzuhelfen!

jkasten · August 27, 2025 at 8:17 AM

Alles was voip Daten verändert sollte und muss ausgeschaltet sein, das führt immer zu solchen Problemen. Auch wenn nur Notify aktiv ist, werden die Daten verändert.

**gierig** · August 27, 2025 at 1:06 PM

Quote from jkasten

Auch wenn nur Notify aktiv ist, werden die Daten verändert.

Steile These, das ding lauscht passive, generiert Meldungen und veranlasst dann Unifi dazu ne FW Reglen zu erstellen für 5 min oder halt halt nur hallo zu sagen. In beiden Fällen mit einem Eintrag ins log. Auch OHNE "Sip Erkennung" kommen die Daten da vorbei.

jkasten · August 27, 2025 at 1:09 PM

Das bezog sich auf das sip Modul. Das erstmal nichts mit der Firewall zu tun.

**gierig** · August 27, 2025 at 1:48 PM

Du. meinst dieses unnütze "Firewall Connection Tracking" SIP Modul. Das so garnicht funktioniert oder nur Mist baut weil du nicht die Möglichkeit hast das richtig wie es nötig währe zu konfiguriere bzw. über Iptables (die firewall) hinzu binden und zu benutzen ?

oder doch das vom TO erwähnte:

Quote

"cyberSecure Einstellungen vom UCG die Überwachung ("Protocol Vulnerabilities") vom VoIP Traffic deaktiviert "

Regelst für VOIP vom IDS ? das sind auch nicht sooo viele (beim den Gratis Rules)

Und Ja grade das hat nichts mit der Firewall zu tun und verändert auch keine Daten..

VoIP geht nur in einer Richtung?!?

Participate now!

Tags