Probleme mit Sprachübertragung: UDM-Pro und VoIP-Client zuhause, Fritz!Box im Büro, dazwischen ggf. OpenVPN-Tunnel

Guten Morgen zusammen,

ich habe ein Problem, dass bei mir Haarausfall erzeugt!

Über Hilfe freue ich mich

Folgende Ausgangskonstellation:
Zuhause:

- VDSL2 Anschluss der Telekom

- Draytek Vigor Modem

- UDM-Pro

- LAN: 192.168.1.0/24

Büro:

- Fritz!Box 7490

- ADSL-Anschluss

- reine SIP-Telefonie

Problem:

Ich möchte von Zuhause mit einem SIP-Telefon eine Nebenstelle bei uns in der Firma betreiben.

In der Fritz!Box habe ich eine entsprechende Nebenstelle eingerichtet, die vor Ort auch funktioniert.

Richte ich diese Nebenstelle zuhause ein (wahlweise als Hardphone oder als Softphone) kann ich zwar eine Verbindung aufbauen, aber es wird keine Sprache übertragen.

Dies sowohl bei einer direkten Verbindung vom Telefon zur Fritz!Box (über Portfreigabe in der Fritz!Box), als auch bei einer Verbindung über einen OpenVPN-Tunnel.

Desweiteren habe ich festgestellt, dass die Rufe ordnungsgemäß abgebaut werden, wenn ich am Fritz!Box-Client das "Gespräch" (oder wie man es nennt, wenn alles außer der Sprachübertragung funktioniert) ordentlich beende.

Wenn ich allerdings das Gespräch seitens des externen Teilnehmers beende, bleibt das Gespräch am Fritz!Box-Client bestehen.

Was übrigens funktionierte: Wenn ich die Nebenstelle mit der Fritz!Box eigenen VoIP-Client-Software auf dem Smartphone nutze, und dieses einen IPSec-Tunnel zur Fritz!Box aufbaut, kann ich telefonieren.

Leider kann ich auf Seiten der Fritz!Box nicht viel ausprobieren, weil wir ein ambulanter Pflegedienst sind und wir rund um die Uhr erreichbar sein müssen (nach Büroschluss greift eine Rufumleitung auf das Mobiltelefon der jeweiligen Bereitschaftskraft).

Ich freue mich aber sehr, wenn ich hier Unterstützung bekomme.

Guten Abend zusammen,

danke erstmal für die Antworten.

Zitat von jkasten

Das wird vermutlich nicht funktionieren.... Kannst du durch den VPN auf die Weboberfläche der Fritzbox zugreifen? Welches Telefon wird verwendet? Wie ist das eingerichtet auf der Seite des Telefons?

Zugriff auf das GUI sowie Ping auf die Fritz!Box funktionieren einwandfrei. Das Telefon registriert sich auch ohne Probleme an der Fritz!Box und die Signallisierung funktioniert auch. Nur die Sprachübertragung funktioniert nicht .

Zitat von bic

OpenVPN scheint augenscheinlich Probleme mit den UDP-Paketen für die Sprachübertragung Probleme zu haben, bzw. sind die dafür notwendigen Ports in der Fritte geschlossen (vielleicht hilft das hier). Außerdem kann es durchaus noch Probleme u.a. mit dem Routing aus/in den VPN Tunnel geben - mit etwas Pech steht jedenfalls eine Menge Bastelei an

Aber wenn es dann aber doch per Einwahl-IPSec klappt, warum baust Du dann nicht ein IPSec seite2seite-VPN zwischen zu Hause und Büro auf (statt OpenVPN), die Fritz scheint ja bei IPSec alles von selbst richtig zu machen.

Ich kann leider keinen IPSec Tunnel aufbauen, weil die UDM-Pro zwingend statische IP-Adressen haben möchte. Unser Internetanbieter im Büro trennt aber leider tatsächlich jede Nacht die Verbindung .

Zu Hause arbeite ich mit einem Telekom Privatkundenanschluss, der leider auch keine statische IP-Adresse zugewiesen bekommt.

Die UDM-Pro will aber nach meinem Kentnissstand zwingend IPv4-Adressen für den IPSec-Tunnel haben und keine Namensauflösung.

Deshalb scheidet IPSec leider aus.

STUN-Server habe ich schon eingerichtet, hat aber leider auch nicht geholfen .

Zitat von bic

Also das glaube ich jetzt nicht. Beide Geräte sollten problemlos mit DDNS klar kommen, das konnten sogar meine 15 jahre alten Netgear SRX5308. Zwei Accounts bei einem DDNS-Anbieter und den FQDN jeweils wechselseitig als entferntes Gateway eintragen und schon sollte das nach vorn losgehen

Moin,

das habe ich mir leider auch gedacht. Aber: es geht tatsächlich nicht. Ich habe mal zwei Screenshots angehangen. Dieses Problem ist mittlerweile in der UDM-Pro Community bekannt und sorgt für allgemeines Kopfschütteln, weil Ubiquiti Networks wohl auch trotz zahlreicher Anfragen bisher nichts daran geändert hat .

Wenn ich ehrlich bin: ich hatte bisher immer eine OPNsense auf einem APU-Board im Einsatz. Weil der Datendurchsatz der OPNsense aber nicht groß genug war und ich endlich mal eine Lösung "aus einem Guß" haben wollte (Unifi Switche und APs waren bereits im Einsatz), habe ich mir für viel Geld die UDM-Pro geholt und bin jetzt in Manchen Dingen sehr enttäuscht. Dazu zählt die nicht vorhandene Namensauflösung bei der Tunnelerstellung und einige VoIP-Mechanismen .

So, nun die versprochenen Screenshots:

Zitat von bic

Das ist sehr bedauerlich! (erstaunlich ist ebenfalls, dass in der GUI VPN als "Beta" bezeichnet wird - damit hinken die 20 Jahre hinterher). Also mach dich dann mal auf die Suche, wo Deine RTP-Pakete verloren gehen - dies hier mal als Hinweis: klick!

Moin bic,

danke für den Link. Ich werde mal schauen, ob ich mit dessen Hilfe den Fehler finde. Zu Versuchszwecken habe ich mir einen OpenVPN-Client auf dem Laptop eingerichtet. Wenn ich über ein LTE-Modem die Verbindung zur Fritz!Box initiiere, dann funktioniert die Telefonie einwandfrei. Als nächstes werde ich über den Laptop direkt einen OpenVPN-Tunnel aufbauen und mal schauen, ob ich dann immer noch telefonieren kann (MicroSIP).

So werde ich mich dann Stück für Stück weiterhangeln .

Es kann manchmal mit den Antworten etwas länger dauern, weil meine Hauptaufgabe im Pflegedienst nicht die IT ist. So kann ich immer nur die Zeit nutzen, wenn die Bürokollegen in der Mittagspause sind, weil dann das Telefonieaufkommen überschaubar ist. Aber ich weiß Eure Unterstützung sehr zu schätzen .

Moin zusammen,

es hat leider etwas gedauert, aber ich wollte beim nächsten Post zumindest Zwischenergebnisse nachweisen können .

Zitat von bic

DJ3MG .... gäbe es hier einen Daumendrückensmiley, würdest Du den jetzt hier finden ...

bic : vielen Dank

Was hat sich getan, was habe ich getan?

Ich habe den OpenVPN-Tunnel durch einen Wireguard-Tunnel ersetzt, bei dem das Routing zwischen der Fritz!Box und der UDM-Pro sauber und wie gewünscht läuft (zumindest auf TCP-Ebene, wie ich UDP überprüfen kann weiß ich noch nicht).:
- Ping vom Voice-VLAN zum Firmennetzwerk funktioniert

- Ping von meinem heimischen "Pflege"-VLAN zum Firmennetzwerk funktioniert

- Ping vom Firmennetzwerk in mein Voice-VLAN funktioniert

- Ping vom Firmennetzwerk in meine heimisches "Pflege"-VLAN funktioniert

Uuuund (Trommelwirbel)...

... VoIP "außen herum" funktioniert ebenfalls (also über die öffentliche IP-Adresse der Fritz!Box mit Freigabe der Telefonie über das Internet).

Das wiederum bedeutet für mich, dass mein Netz zu Hause keine VoIP-Pakete herausfiltert.

Was nach wie vor nicht funktioniert:

- Telefonie durch den VPN-Tunnel

Leider fällt mir ein Wireshark Trace an dieser Stelle etwas schwer, weil ich zum einen Lokal tracen muss, zum anderen aber zeitgleich auf der Firmenseite.

Was ich beiden Tracen sehen kann, dass von der lokalen Seite eine VoiP-Verbindung zur Fritz!Box aufgebaut wird und zumindest in der Flow-Sequenz RTP Pakete vom Client zur Fritz!Box geschickt werden, und dass seitens der Fritz!Box zum Amt ebenfalls ein Rufaufbau initiert wird und mein Testtelefon auch klingelt und ebenfalls RTP Pakete versendet werden. Allerdings sehe ich in den Traces keine Verbindung durchgängig vom Client bis zur Vermittlung. Desweiteren kann ich den VoIP-Stream nicht in Wireshark wiedergeben (was bei der Verbindung "außen herum" Problemlos möglich ist).

Hat jemand noch eine Idee?

Guten Abend,

ich scheine der Lösung näher zu kommen:

Zu Analyse Zwecken habe ich die Software "Phoner" installiert. Diese kann sich interessanter Weise mit der entfernten Fritz!Box durch den VPN-Tunnel verbinden und ich kann auch darüber telefonieren .

Leider ist die Telefonie über das Snom-Phone nach wie vor nicht möglich, obwohl sich sowohl der Phoner-Client auf dem PC, als auch mein Snom-Phone im gleichen Subnet befinden.

Allerdings musste ich im Phoner-Client ein Häkchen bei "Register" setzen. Diese Option finde ich bei meinem Snom Phone leider nicht.

Ich werde morgen früh nochmal den Phoner-Client ausprobieren: vielleicht waren auch nur irgendwelche Sessions noch gültig.