Routerauswahl für Nutzung mit VoIP Account und 1Gbit/s

[maik005]

@petertxt
warum funktioniert es dann nicht?

[Flole]

Eine IPv4-Portweiterleitung beinhaltet zwingend eine NAT-Regel.

Ja, eingehend.

Und für dieselbe Kombination von Source IP/Port und Destination IP/Port kann es nicht mehr als eine NAT-Regel gleichzeitig geben, da sonst gar nichts funktionieren würde.

Wobei es auch keine Regel gibt beim ausgehenden NAT was dann je nach Firewall einen zufälligen Port oder den source port benutzt.

Ein Router muss schon genau wissen, wohin die Pakete weitergeleitet werden und da kann es nur einen weg gleichzeitig geben.

Genau wissen wohin ist schon allein durch IP und Port gegeben, nur ein Weg ist aber leider auch wieder Blödsinn.

Du bringst hier eingehend und ausgehendes NAT komplett durcheinander.

[Flole]

@petertxt
warum funktioniert es dann nicht?

Weil das von petertxt beschriebene Verhalten rport beschreibt und das scheinbar nicht genutzt wird Also das was ich schon vor 2 Seiten gesagt hab was überprüft werden sollte.

[maik005]

@Flole
ich habe nun ein paa Mitschnitte gemacht.

RTP Traffic, eingehend und ausgehend und welcher Port sowie welche IP in den SIP invites für diesen angegeben ist.

RTP Traffic ist bei dem Probelm ausschließlich ausgehend.
loaler Port 7082
Ziel Port 27370

SIP Invite auf Port 5060, aber das meinst du sicherlich nicht?
Ich finde da aber keinen rport. Zwar rport im Paket aber da steht kein Port dabei. Nur ein Leerzeichen dahinter.

[maik005]

Erst wenn ich es über IPv4 laufen lasse und Port 7078-7097 freigebe kommen auch eingehende Sprach-Pakete bei der FritzBox an.

über IPv6 kommen keine Sprach-Pakete an.

[Flole]

Du hast auch einen Mitschnitt mit Portweiterleitung gemacht, oder? Schau dir dort mal bei dem eingehenden und ausgehenden RTP Traffic an wie die Ports sind. Sie sollten genau entgegen gesetzt sein, also die FritzBox sollte dahin senden von wo sie empfängt. Für dein Beispiel heißt das es sollte eingehend von 27370 kommen und auf 7082 gehen. Die Ports werden sich mit jedem Gespräch ändern, also immer beides vergleichen und nicht einen alten mit einem neuen Mitschnitt. So siehst du schonmal ob prinzipiell alles richtig ist und es auch ohne Weiterleitung funktionieren sollte.

[petertxt]

Du bringst hier eingehend und ausgehendes NAT komplett durcheinander.

Die beiden gehen immer Hand in Hand. Ist hier schön beschrieben:
https://tools.ietf.org/html/rfc2663

Source IP/Port und Destination IP/Port definieren eine NAT Session und diese macht sowohl eingehend als auch abgehend die Übersetzung nach derselben Regel. Machst du es nicht so, kommst du durch keine Firewall, da conntrack die Antwortpakete nicht zuordnen könnte wenn die Antwort nicht von derselben Portnummer käme, zu der die Anfrage geschickt wurde.

@maik005:
Dein Problem bei IPv4 war vermutlich, dass du für RTP nicht genug Weiterleitungen im Router konfiguriertest. Hat die Fritzbox nach einiger Zeit die höheren RTP Ports verwendet wurden diese auf zufälligen Portnummern übersetzt, weswegen dann die Antworten vom sipgate (gesendet auf die Original Fritzbox Portnummern) nicht ankamen.

Das Problem bei IPv6 könnte sein, dass die Firewall im Compal keine Antworten auf die UDP-Pakete durchlässt, wenn man keine Weiterleitung konfiguriert. Wäre nicht üblich, ist aber möglich.

[maik005]

hab mit IPv4 kein Problem solange ich die genannten Ports, der kleinere Bereich ging auch, als Portfreigabe an die FritzBox im Compal weitergeleitet habe.

mit IPv6 only geht es nicht mal, wenn ich eine Portfreigabe mit den selben Ports und der richtigen MAC Adresse im Compal erstelle.

[Flole]

Source IP/Port und Destination IP/Port definieren eine NAT Session und diese macht sowohl eingehend als auch abgehend die Übersetzung nach derselben Regel. Machst du es nicht so, kommst du durch keine Firewall, da conntrack die Antwortpakete nicht zuordnen könnte wenn die Antwort nicht von derselben Portnummer käme, zu der die Anfrage geschickt wurde.

Das stimmt zwar alles aber nur weil du eine Regel hast die sagt das Port 1234 auf 5060 an 1.2.3.4 gehen soll wird nicht alles was von 1.2.3.4:5060 kommt auch auf port 1234 rausgehen sondern bekommen einen zufälligen Port oder behält den (je nach Implementierung) wenn es keine Antwort auf eine bestehende Anfrage ist.

[rv112]

Ich habe auf meiner pfSense überhaupt keine Ports offen bis auf IPsec. Wozu auch? VoIP funktioniert auch ohne.