[HOWTO] Setup Firewall + Asterisk fuer Vodafone-Kabel

Für alle Technik-Themen bezogen auf Internet und Telefonie, die weder AVM- noch Arris-/CommScope-/Technicolor-/Compal-/Sagemcom- bzw. Hitron-Produkte betreffen. Speedprobleme werden hier lediglich thematisiert, wenn sie auf die verwendeten Geräte zurückzuführen sind (die nicht zu den o.g. Produkten zählen).
Forumsregeln
Forenregeln


Bitte gib bei der Erstellung eines Threads im Feld „Präfix“ an, ob du Kunde von Vodafone Kabel Deutschland („[VFKD]“), von Vodafone West („[VF West]“), von eazy („[eazy]“) oder von O2 über Kabel („[O2]“) bist.
sparkie
Kabelexperte
Beiträge: 721
Registriert: 04.09.2010, 12:35

[HOWTO] Setup Firewall + Asterisk fuer Vodafone-Kabel

Beitrag von sparkie »

Firewall

- ich betreibe einen Asterisk hinter einem Router (port restricted cone)
- der Asterisk ist SIP Server zu Geraeten im lokalen Netz (z.B. Gigaset C430A GO)
- der Asterisk ist SIP Client zu Servern div. VoIP Provider im Internet (inkl. Vodafone)
- der 5060 wird bei mir nur per conntracking (nach register) von extern->intern geforwarded
- der RTP Portbereich wird statisch von extern->intern geforwarded
- ich versuche mit moeglichst wenig expliziten IP-Daten der Provider auszukommen.

- folgende relevanten Einstellungen im Router:

Code: Alles auswählen


iptables:
SIP_RTP_RANGE = "14532:14565"

-A FORWARD -i $EXT_IF -o $IN0_IF -d $DIMBIP -p udp --dport $SIP_RTP_RANGE -j ACCEPT     
-A PREROUTING  -t nat -i $EXT_IF -d $EXT_IP -p udp --dport $SIP_RTP_RANGE -j DNAT --to $DIMBIP

/proc/sys:
/bin/echo 70 > /proc/sys/net/ipv4/netfilter/ip_conntrack_udp_timeout
- fuer ip_conntrack_udp_timeout ist standardmaessig nur 30s eingetragen was fuer 60s Keepalives zu wenig ist -> deswegen erhoehen auf 70s
- durch die Keepalives (alle 60s) wird der SIP Port zuerst fuer 70s, anschliessend nach dem 2. Keepalive 180s (Standard ip_conntrack_udp_timeout_stream) offengehalten

- folgende relevanten Einstellungen im Asterisk:

Code: Alles auswählen

/etc/asterisk/rtp.conf:
[...]
rtpstart=14532
rtpend=14564
[...]

/etc/asterisk/sip.conf:
[...]
[general]
bindport=5060
qualify=no
nat=no
externaddr=$EXT_IP
localnet=192.168.0.0/255.255.0.0
[...]

[...]
[129839842]
type=peer
qualify=yes      ; defaults to 60s
[...]

Code: Alles auswählen

legende:
SIP_RTP_RANGE - Portbereich fuer RTP (umfasst rtpend+1 wegen RTCP)
EXT_IF        - externes Interface (zum Internet)
IN0_IF        - internes Interface (zum lokalen Netz)
DIMBIP        - lokale IP Asterisk
EXT_IP        - externe IP (oeffentliche IP Internet)
diese Konfiguration funktioniert eigentlich mit allen von mir bislang genutzten VoIP Providern (inklusive neuem Vodafone-SIP nach Routerfreiheit)

Asterisk

bezieht sich auf einen Vodafone Kabel-Anschluss mit einem Asterisk 16 auf einem Raspberry. Dahinter dann eine Gigaset C430A GO.

Keine Ahnung ob es Gigaset inzwischen vielleicht geschafft hat, Vodafone-SIP direkt zu unterstuetzen (was den Asterisk dann ueberfluessig machen koennte).

Meine sip.conf sieht dabei so aus:

Code: Alles auswählen

; -----------------------------------
[general]
context=sip-in
bindport=5060
qualify=no
disallow=all
allow=alaw
srvlookup=yes
directmedia=no
dtmfmode=rfc2833
nat=no
externaddr=<EXTERNE-IP>
localnet=192.168.0.0/255.255.0.0


; -----------------------------------
register => +49<Vorwahl><1. Tel.Nummer>:<SIP-Passwort>:<SIP-Benutzername>@sip.kabelfon.vodafone.de/0049<Vorwahl><1. Tel.Nummer>
register => +49<Vorwahl><2. Tel.Nummer>:<SIP-Passwort>:<SIP-Benutzername>@sip.kabelfon.vodafone.de/0049<Vorwahl><2. Tel.Nummer>
register => +49<Vorwahl><3. Tel.Nummer>:<SIP-Passwort>:<SIP-Benutzername>@sip.kabelfon.vodafone.de/0049<Vorwahl><3. Tel.Nummer>


; -----------------------------------
[vodafone-<1. Tel.Nummer>]
type=peer
qualify=yes
insecure=invite
secret=<SIP-Passwort>
fromuser=+49<Vorwahl><1. Tel.Nummer>
defaultuser=<SIP-Benutzername>
host=sip.kabelfon.vodafone.de
fromdomain=sip.kabelfon.vodafone.de

[vodafone-<2. Tel.Nummer>]
type=peer
qualify=yes
insecure=invite
secret=<SIP-Passwort>
fromuser=+49<Vorwahl><2. Tel.Nummer>
defaultuser=<SIP-Benutzername>
host=sip.kabelfon.vodafone.de
fromdomain=sip.kabelfon.vodafone.de

[vodafone-<3. Tel.Nummer>]
type=peer
qualify=yes
insecure=invite
secret=<SIP-Passwort>
fromuser=+49<Vorwahl><3. Tel.Nummer>
defaultuser=<SIP-Benutzername>
host=sip.kabelfon.vodafone.de
fromdomain=sip.kabelfon.vodafone.de


; -----------------------------------
[<1. Tel.Nummer>] 
type=peer
host=dynamic
context=dial-out

[<2. Tel.Nummer>] 
type=peer
host=dynamic
context=dial-out

[<3. Tel.Nummer>] 
type=peer
host=dynamic
context=dial-out
die <spitzen> Klammern sind natuerlich entsprechend anzupassen.
Flole
Insider
Beiträge: 10431
Registriert: 31.12.2015, 01:11

Re: [HOWTO] Setup Firewall + Asterisk fuer Vodafone-Kabel

Beitrag von Flole »

Wenn das hier ein Tutorial sein soll dann sollte man es schon so machen das man das beste rausholt, daher folgende Anmerkungen: Das Range weiterleiten ist unnötig wenn du rport verwenden würdest und mit dieser Konfiguration geht HD Telefonie nicht.
sparkie
Kabelexperte
Beiträge: 721
Registriert: 04.09.2010, 12:35

Re: [HOWTO] Setup Firewall + Asterisk fuer Vodafone-Kabel

Beitrag von sparkie »

dass VF 'rport' unterstuetzt moechte ich bezweifeln :grin:
oder hast du das definitiv damit am Laufen?
Flole
Insider
Beiträge: 10431
Registriert: 31.12.2015, 01:11

Re: [HOWTO] Setup Firewall + Asterisk fuer Vodafone-Kabel

Beitrag von Flole »

Ja wird unterstützt (zumindest vor einem Jahr wurde es das noch) und steht auch als Beispiel in der Schnittstellenspezifikation.
sparkie
Kabelexperte
Beiträge: 721
Registriert: 04.09.2010, 12:35

Re: [HOWTO] Setup Firewall + Asterisk fuer Vodafone-Kabel

Beitrag von sparkie »

Flole hat geschrieben: 06.02.2020, 14:42 Ja wird unterstützt (zumindest vor einem Jahr wurde es das noch) und steht auch als Beispiel in der Schnittstellenspezifikation.
spasseshalber habe ich jetzt die aktuellen 'Informationen für Gerätehersteller/ Telephony Interface Specification (Stand: 22.07.2016) ' von hier angesehen.

wo soll da was von 'rport' Support stehen?

vielmehr ist zu lesen (Seite 11):
4 IP Connectivity

[...]
The SIP UE MUST NOT be used behind a NAT.
[...]
was deiner Behauptung genau widerspricht :D
Flole
Insider
Beiträge: 10431
Registriert: 31.12.2015, 01:11

Re: [HOWTO] Setup Firewall + Asterisk fuer Vodafone-Kabel

Beitrag von Flole »

Dabei hättest du sogar danach suchen können.....
Via: SIP/2.0/UDP UE_ADDRESS:UE_PORT;rport;branch=aaaabbbbcccc
sparkie
Kabelexperte
Beiträge: 721
Registriert: 04.09.2010, 12:35

Re: [HOWTO] Setup Firewall + Asterisk fuer Vodafone-Kabel

Beitrag von sparkie »

das sind ja nur unverbindliche Beispiele, die fuer die Spezifikation an sich nicht relevant sind. Papier ist geduldig. In den Beispielen steht z.B. auch, dass 'Options' angeblich unterstuetzt werden. Werden sie aber in Wirklichkeit nicht.

Denn wenn man Qualifies einsetzt (die schon brav 'Options' verschicken), dann kommt von Vodafone immer: 'Status-Line: SIP/2.0 405 Method Not Allowed' zurueck.

Ist ja auch klar. Denn in den realen 'INVITES', die von Vodafone geschickt werden sind Options (im Gegensatz zu den unverbindlichen Beispielen der Schnittstellenbeschreibungen) schlicht nicht enthalten.

Bei Vodafone ist man immer gut damit beraten nur die einfachsten und duemmsten Teile der Schnittstellen (KISS) fuer eigene Zwecke zu nutzen. Schnickschnack (wie HD-Telefonie und rport) moeglichst weglassen. Sonst laeuft man schnell Gefahr, dass mal wieder nichts funktioniert :D
Flole
Insider
Beiträge: 10431
Registriert: 31.12.2015, 01:11

Re: [HOWTO] Setup Firewall + Asterisk fuer Vodafone-Kabel

Beitrag von Flole »

Ich nutze HD Telefonie und rport und es funktioniert so ziemlich seit Beginn der Routerfreiheit. Wenn man natürlich keine Ahnung hat dann kann es schnell passieren das etwas nicht funktioniert, dafür ist SIP einfach doch zu umfangreich und die ganzen Erweiterungen die es dann noch gibt machen es nicht gerade einfach. Das ist auch nicht mehr wirklich laientauglich, auch wenn z.B. AVM durch vordefinierte Profile versucht das ganze teilweise stark zu vereinfachen.

Bei den Beispielen steht sogar drüber das es "supported SIP messages" sind. Und das Invite kommt vom Endgerät und nicht vom VF SIP (der würde nie versuchen sich dir gegenüber zu authentifizieren). Das Endgerät kann auch sehr wohl Options können.
sparkie
Kabelexperte
Beiträge: 721
Registriert: 04.09.2010, 12:35

Re: [HOWTO] Setup Firewall + Asterisk fuer Vodafone-Kabel

Beitrag von sparkie »

kein Ahnung was das Problem sein soll. Bei mir funktioniert alles seit Jahren. Einen minimalen Setup habe ich hier mal kurz beschrieben. Soweit scheinst du es bislang nicht gebracht zu haben. BTW: Fritten und anderes Kinderspielzeug gehen mir am A.... vorbei :D Fertig.
Flole
Insider
Beiträge: 10431
Registriert: 31.12.2015, 01:11

Re: [HOWTO] Setup Firewall + Asterisk fuer Vodafone-Kabel

Beitrag von Flole »

Du sagst doch das man Dinge wie rport und HD Telefonie weglassen sollte da man sonst schnell Gefahr läuft das nichts funktioniert, irgendein Problem scheinst du also auch zu haben oder zumindest gehabt zu haben ;)