VoIP-Telefonate über IPsec: Sprachübertragung schlägt fehl

Hierhin gehören Lösungen für Probleme!
Post Reply
petermueller
Posts: 7
Joined: September 13th, 2017, 8:08 pm
Location: DE

VoIP-Telefonate über IPsec: Sprachübertragung schlägt fehl

Post by petermueller » September 13th, 2017, 8:29 pm

Hallo Forum,

dies ist mein erster Beitrag, weil ich nicht weiß, wohin ich mich sonst mit dem Problem wenden soll (es gibt einen Eintrag im Bugtracker, aber da hat sich bislang keine Lösung entwickelt: https://bugzilla.ipfire.org/show_bug.cgi?id=11004).

Zwei IPFire-Maschinen (64-Bit, Core Update 113) sind per IPsec N2N mit Zertifikaten verbunden. Die Verbindung steht, und Netzwerkverkehr wie SSH, POP3, Submission, ... kommt ohne Probleme durch.

Allerdings ist es nicht möglich, VoIP-Telefonate über dieses VPN zu tätigen. Das Telefon bzw. der SW-Client im anderen Netz klingelt zwar, aber keiner kann den anderen hören. Die RTP-Pakete tauchen im Firewall-Protokoll auf, obwohl entsprechende Regeln gesetzt sind, die diesen Netzwerkverkehr erlauben.

Der im Forum häufig zu lesende Tipp, die ALGs für SIP und H323 abzuschalten, hat nichts genützt.
(Das Aktivieren bzw. Deaktivieren der ALGs hat keinerlei Auswirkungen - ich habe alle Möglichkeiten durchprobiert. Der einzige Unterschied ist, dass sich das Telefon mit seiner privaten IP beim SIP-Provider registriert, wenn der SIP ALG ausgeschaltet ist. -> siehe Screenshot)

Das Problem liegt definitiv an IPFire, denn ein VoIP-Telefonat innerhalb von GREEN klappt einwandfrei.

Wie habt ihr das Problem gelöst? Für Tipps und Hinweise bin ich sehr dankbar.

Viele Grüße, und Danke im Voraus,
Peter Müller
Attachments
fw-logs-machine1.png
FW-Protokolleinträge auf IPFire 1 (von dem Netz aus wurde der Anruf initiiert).
fw-logs-machine2.png
FW-Protokolleinträge auf IPFire 2.
fw-logs-machine2.png (3.63 KiB) Viewed 85 times
sip-provider-register-ip.png
Das Telefon wird mit seiner privaten, d.h. internen IP beim SIP-Provider registriert, wenn der SIP ALG abgeschaltet ist.
sip-provider-register-ip.png (7.3 KiB) Viewed 85 times

User avatar
Arne.F
Core Developer
Core Developer
Posts: 7457
Joined: May 7th, 2006, 8:57 am
Location: BS <-> NDH
Contact:

Re: VoIP-Telefonate über IPsec: Sprachübertragung schlägt fehl

Post by Arne.F » September 14th, 2017, 7:13 am

87.173.x.x scheint eine öffentliche IP zu sein. Sieht so als als versuchen deine Telefone den RTP Strom am VPN vorbeizuleiten da der Registrar einen der Teilnehmer mit offentlichen IP's sieht. Wenn der RTP Stream im VPN bleiben soll müssen beide Teilnehmer mit den Internen IP's registriert sonst kommt keine Verbindung zu stande.
Arne

Support the project on the IPFire whishlist!

Image

Image

Image
PS: I will not answer support questions via email and ignore IPFire related messages on my non IPFire.org mail addresses.

petermueller
Posts: 7
Joined: September 13th, 2017, 8:08 pm
Location: DE

Re: VoIP-Telefonate über IPsec: Sprachübertragung schlägt fehl

Post by petermueller » September 14th, 2017, 1:55 pm

Hallo Arne,

vielen Dank für die Antwort. Jetzt habe ich immerhin einen Ansatz... :)

Es stimmt, der VoIP-ATA im Netz 2 registriert sich mit seiner öffentlichen IP (bzw. steht diese im Feld "Use NAT IP"), weil der SIP-Server des Providers ansonsten die Registrierung verweigert. Der SIP ALG ist auf beiden Maschinen ausgeschaltet.

Meine Befürchtung besteht darin, dass der SIP-Server die private IP an externe Anrufer weitergibt und so keine Verbindung zustande kommt - das war ja auch die Sache vom 1. Post -, aber ich weiß nicht, ob das stimmt.

Könnte man nicht mit einer Firewallregel den RTP-Datenstrom auf GREEN umbiegen (SNAT)?

Werde bis zum Wochenende nochmal recherchieren und das dann am WE testen (ist halt ein Produktivsystem, deswegen kann ich da wochentags nicht experimentieren). Halte dich auf dem Laufenden.

Viele Grüße,
Peter Müller

petermueller
Posts: 7
Joined: September 13th, 2017, 8:08 pm
Location: DE

Re: VoIP-Telefonate über IPsec: Sprachübertragung schlägt fehl

Post by petermueller » September 19th, 2017, 5:07 pm

Leider verzögert sich die Sache wegen Krankheit um eine Woche.

Post Reply

Who is online

Users browsing this forum: No registered users and 1 guest