SIP Clienten funktionieren nicht hinter Speedport W 723V

Hallo,

ich verwende diverse SIP-Clienten (Siemens Gigaset S685IP, Nokia N900, Ekiga) mit verschiedenen SIP Anbietern, hauptsaechlich sipgate.de. Das ist normalerweise kein Problem.

Nur seit ich zu Hause DT "Call & Surf Comfort VSDL 25" habe und einen von der DT gemieteten "Speedport W 723V" betreibe, koennen sich meine SIP-Clienten nicht mehr bei den externen SIP-Diensten registrieren. In anderen Netzen funktionieren meine SIP-Clienten weiterhin wunderbar.

Offenbar bin ich nicht der einzige mit diesem Problem . Keiner weiss nix genaues, aber der Tenor scheint zu sein, dass
* die "Speedport W 723V" der Uebeltaeter ist und SIP auf UDP 5060 nicht reinlaesst;
* Konfigurationstricks wie Port-Forwarding von 5060, oder die Speedport als SIP-Proxy einzutragen nicht helfen;
* es keine Moeglichkeit gibt, dem Speedport das abzugewoehnen. Betrieb von SIP-Clienten ist hinter der Speedport (ohne Tricks wie VPN, oder SIP-Dienste auf anderen Ports als 5060) schlichtweg nicht moeglich;
* es mit anderen VDSL-Routern durchaus geht.

Kann das jemand bestaetigen, oder (besser noch!) widerlegen?

Danke, y


http://foren.t-online.de/foren/read/service/dsl-festnetz/speedports/speedport-500er-serie/verbindung...

http://foren.t-online.de/foren/read/service/dsl-festnetz/speedports/speedport-700er-serie/speedport-...

http://foren.t-online.de/foren/read/service/dsl-festnetz/telefonie/voip-telefonanlage-anlage-hinter-...
Welchen Speedport W 723V betrifft es denn: Typ A oder Typ B?

Gruß Ulrich
Damit es an der richtigen Stelle weitergeht - bitte in den 700er Bereich verschieben!
Oops, vergessen, sry.

Laut Typenschild ist es eine "Speedport W 723V Typ A".

y
Es ist tatsaechlich so das ein Sip Client hinter dem Router nicht funktioniert. Das gilt aber nur komischerweise am Wireless Accespoint des Speedport W723V. Wird ein SIP Client an den LAN Port (Ethernet) angeschlossen funktioniert alles einwandfrei. Ich habe einen zweiten Acesspoint ueber Kabel angeschlossen und konfiguriert. Gehe ich auf den AP des Speedport so verbindet sich zwar der Client, aber es kann weder gerufen noch gesprochen werden. Gehe ich auf den zweiten AP(am LAN) funktioniert bei gleicher SIP Einstellung alles einwandfrei. Hier kann nur der Hersteller ueber ein Softwareupdate weiter helfen. Ich hoffe die Forumbetreuer lesen dies und leiten diese Information weiter. In meinem Fall habe ich es so geloest. Der Speedport arbeitet mit 300 Mbit. Mit neueren Gereaten verbinde ich mit dem 723V. Die alten Geraete sind am zweiten AP SINUS 153XRI. Diesen wollte ich eigentlich als Repeater nutzen. Wobei ich denke das dies das gesamte Netz auf 54 Mbit drosselt. Uebrigens funktioniert auch das Voip der Telekom (VDSL 50 IP) einwandfrei.
Gelöschter Nutzer
Moin,
interessant, was hast Du denn eingestellt, damit es am LAN funktioniert?
Gruß
bb123
Kleiner Tip von meiner Seite bezüglich der Ports: Ich nutze eine Fritzbox 7170 mit Freetz-FW und restriktiver Firewall. Leider ist die Dokumentation der Telekom hinsichtlich der Ports scheinbar etwas unvollständig. Folgende FW-Konfiguration ermöglichte es meiner FB, den SIP-Server tel.t-online.de zu nutzen:

permit udp 217.0.0.0 255.248.0.0 any range 7000 50000
permit udp 217.0.0.0 255.248.0.0 any range 3478 3479
permit udp 217.0.0.0 255.248.0.0 any range 5060 5069
permit udp 217.0.0.0 255.248.0.0 any range 5070 5079

Das Problem ist, dass neben den Standardports auch zufällige Ports wohl aus dem höheren Bereich gewählt werden. Sind diese geschlossen, wird ein Anruf-Versuch mit einem kurzen Doppelton (da-di-da (Pause) da-di-da) quittiert. Ob dieser von der FB oder dem SIP-Server ausgegeben wird, kann ich jedoch nicht sagen.
@andreasmail:


Es ist tatsaechlich so das ein Sip Client hinter dem Router nicht funktioniert. Das gilt aber nur komischerweise am Wireless Accespoint des Speedport W723V. Wird ein SIP Client an den LAN Port (Ethernet) angeschlossen funktioniert alles einwandfrei ...


Ich kann das nicht bestaetigen. Weder die Siemens Gigaset S695IP, noch Gnome Ekiga funktionieren am LAN Port. Outgoing UDP-Port 5060 Pakete werden vom SpeedPort saemtlich rausgefiltert (verifiziert mit hping3 und tcpdump).

Wie hast du es geschafft, dass dein SpeedPort SIP-Pakete auf den LAN Ports nicht filtert?
@sphiryx: Betreibst du deine Fritzbox hinter einer Speedport W 723V Typ A?

@sphiryx: Betreibst du deine Fritzbox hinter einer Speedport W 723V Typ A?


Nein, die FB hat ein integrierstes ADSL2+ Modem, weshalb ich den Speedport nicht benötige. Ich hatte lediglich gehofft, mit den genannten Ports eventuell den Versuch eines Portrange-Forwardings im Speedport hervorbringen zu können - sofern derartige Regeln im SP definierbar sind. Denn wie bereits erwähnt, funktionierte ohne den hohen Portbereich auch bei meiner FB keine VoIP-Telefonie über Tcom. Witzigerweise wusste selbst die 2nd Level Hotline der Tcom-Technik nichts über die benötigten Ports. Irgendwie schon peinlich, wenn man seine eigene Systemkonfiguration nicht für den Support ausreichend dokumentiert hat. Anscheinend bleibt dieser "Luxus" hinsichtlich Auskünften wohl nur Business-Kunden mit dickem PBXer vorbehalten. Sorry für diese Wortwahl aber irgendwo sicherlich auch nachvollziehbar...
@sphiryx: Danke! Aber das Problem ist hier nicht, dass der Portbereich nicht bekannt waere, sondern dass der Speedport UDP-Port 5060 outgoing filtert/blockiert (alle anderen Ports, z.B. 5061, werden anstandslos durchgelassen), und dass nicht bekannt ist, wie man das aendert.

Es sind keine Firewallregeln definiert ("Filterfunktionen: Aus").

Portforwardings (die ja eh nur incoming Traffic betreffen) scheinen nicht zu helfen.

Traurig

sondern dass der Speedport UDP-Port 5060 outgoing filtert/blockiert


Hm, bin etwas verwirrt weil im Erstellungsposting hattest du geschrieben:

* die "Speedport W 723V" der Uebeltaeter ist und SIP auf UDP 5060 nicht reinlaesst;


Ergo ging ich von einem Incoming-Filter durch NAT aus und dachte hierbei auch an den hohen Portbereich. Wenn aber sogar 5060 als ausgehender Port gefiltert wird, wäre für mich die einzige Schlussfulgerung, dass der SP diesen in der Firmware absichtlich blockiert, damit die SIP-eigene Funktion des SP "sichergestellt" ist.
Noch eine Frage: Kannst du den STUN-Server im Telefon hinterlegen? (stun.t-online.de)?
@Telekom: ne edit-Funktion wäre hilfreich ^^

Schau mal bitte in die Anleitung:
http://gigaset.com/medias/sys_master/A31008-M1915-B121-2-19_16-12-2008_de_GER.pdf

Auf seite 124 rechte Spalte. Dort steht, dass man den STUN-Server im Gigaset eintragen kann (für NAT wichtig). Versuch dies bitte mal.
@sphiryx:


Hm, bin etwas verwirrt weil im Erstellungsposting hattest du geschrieben:

* die "Speedport W 723V" der Uebeltaeter ist und SIP auf UDP 5060 nicht reinlaesst;



Ja ich war anfangs irrtuemlich davon ausgegangen, dass der Router die Antwortpakete des externen SIP-Servers abfaengt. Mittlerweile weiss ich, dass die outgoing Pakete meiner Clienten gar nicht erst beim SIP-Server ankommen, *kein* UDP/5060 schafft es nach draussen. Sorry fuer die Ungenauigkeit.

Es liegt also kein NAT Problem vor. STUN ist zwar in allen meinen Clienten konfiguriert, hilft hier aber nicht.
Kein Ding, wollte es nur klären damit ich dein Problem nicht falsch verstehe. Hast du mal versucht, die IP des Telefons in die DMZ zu setzen? Irgendwie dachte ich die ganze Zeit an die Blockierung des Ports 5060 auf Grund der Tatsache, dass der SP ja quasi schon als SIP-Client agiert und die nötigen Telefonports (TAE-Anschlüsse) mitbringt, und die Firmware deshalb diese Ports für LAN-Clients blockiert. Jedoch hat hier ja bereits jemand berichtet, dass seine Clients im LAN den Port 5060 nutzen können.

Habe jetzt nochmal etwas gegoogelt und herausgefunden, das der SP in der Tat als SIP-Porxy agiert, ergo intern den Port 5060 für sich beansprucht (plödes Teil ^^) und den Port 5060 nach localhost (also sich selbst) routet, wo dann die Firmware diesen Port mit der Router-eigenen SIP-Software verknüpft. Folgende Lösung schwebt mir nun vor:

Trage in dein Telefon mal speedport.ip:5060 als SIP-Proxy ein. Vielleicht kannst du so dein Telefon dazu bewegen, den SIP-proxy des SP zu nutzen.
Ändert doch mal den SIP-Port 5060 bei euren SIP-Clients/Telefonen/User-Agents auf einen anderen Wert, z.B. 15060 (nicht auf 5061).
Außerdem solltet ihr STUN und ggf. weitere Methoden zum NAT-Traversal aktiviert haben. Erst in allerletzter Not würde ich anfangen, Port-Forwardings zu konfigurieren.

Ändert doch mal den SIP-Port 5060 bei euren SIP-Clients/Telefonen/User-Agents auf einen anderen Wert, z.B. 15060 (nicht auf 5061).
Außerdem solltet ihr STUN und ggf. weitere Methoden zum NAT-Traversal aktiviert haben. Erst in allerletzter Not würde ich anfangen, Port-Forwardings zu konfigurieren.


Das bringt leider nichts, weil alle externen Packete auf Port 5060 per hardcoded-forwarding beim Router selbst landen. Wie sollen denn die Telefone den SIP-Server, welcher auf Port 5060 läuft, unter irgend einem Pseudopot erreichen? Die Lösung mit dem SIP-Proxy hat hingegen bei anderen Usern, welche eine FB hinter einem SP dieser Baureihe benutzen, geholfen.

Das bringt leider nichts, weil alle externen Packete auf Port 5060 per hardcoded-forwarding beim Router selbst landen.

Wenn der Router IP-Pakete, die nicht an ihn adressiert sind, aufgrund von Port 5060 wegfischt, gehört er auf den Schrott!


Das bringt leider nichts, weil alle externen Packete auf Port 5060 per hardcoded-forwarding beim Router selbst landen.

Wenn der Router IP-Pakete, die nicht an ihn adressiert sind, aufgrund von Port 5060 wegfischt, gehört er auf den Schrott!
Ich kann mir ein solch eklatantes Fehlverhalten nicht wirklich vorstellen.
Ich finde das auch merkwürdig. Gerade auch die Tatsache, das selbst STUN dem Telefon nicht durchs NAT verhelfen kann. Wie gesagt, Fritzbox-User haben einfach in der Box den Speedport als SIP-Proxy eingetragen. Eventuell blockiert der Router in der Tat Anfragen auf Port 5060, da er ja selber TAE-Schnitstellen bietet...

Einzige Idee die ich sonst noch hätte, wäre alle Runummern im Speedport auszutragen, inkl. SIP-Server etc. und nur die DSL-Zugangsdaten dort zu hinterlegen. Vielleicht ist es ja so möglich, IP-Telefone hinter dem Router zu nutzen...
Übrigends klagen auch andere Nutzer mit dem SP-Modell über Probleme mit externen SIP-Telefonen und anderen Clients. Einer bekam nach langem hin und her das Gerät mit einer neueren FW abgeblich ersetzt. Wenn es sich hierbei wirklich um einen Fehler in der FW handelt, dann prost mahlzeit! Die meisten Kunden der Telekom nutzen sicher noch ihre alten, analogen Geräten am SP und haben kein IP-Telefon. Gut möglich, dass dieses Szenario nie von der Telekom geprüft worden ist... will hier natürlich niemandem etwas unterstellen, aber möglich wäre es ja... siehe iPhone und Linkshänder ^^
Ich benutze die SP nicht fuer Telefonie, es sind keine Telefonnummern oder SIP Accounts konfiguriert! Daher ist es um so erstaunlicher, das sie mir trotzdem die SIP-Pakete wegfaengt.

Die SP als SIP-Proxy in den SIP-Clienten einzutragen bringt nix.

Inbesondere dieser Thread http://foren.t-online.de/foren/read/service/dsl-festnetz/speedports/speedport-700er-serie/sip-client... ist recht entmutigend.

Sieht so aus als muesste ich die (gemietete) SP zurueckschicken.

Mal sehen, was der Telekom-Support antwortet.

Ich benutze die SP nicht fuer Telefonie, es sind keine Telefonnummern oder SIP Accounts konfiguriert! Daher ist es um so erstaunlicher, das sie mir trotzdem die SIP-Pakete wegfaengt.


Ahm moment mal, wenn du keine Nummern etc. im SP konfiguriert hast, wird die Proxy-Lösung, wie ich sie dir genannt habe, auch nicht funktionieren ^^ Du müsstest dazu schon testweise die Daten im SP eintragen und dann als SIP-proxy dein telefon auf die IP des Speedport mit Port 5060 verweisen (oder auf seinen DNS-Namen "speedport.ip").