Routerboard + voip

[krisken]

Hallo,

Sinds enige tijd draait er hier op het werk ook een routerboard, echter slaag ik er maar niet in om de VOIP server ook te laten lopen over dit routerboard. Er zijn hier 3 lijnen aanwezig : Verixi (fiber), EDPnet (ADSL2+) en binnenkort Telenet. Het computernetwerk verloopt zonder problemen via Verixi, de VOIP via EDPnet. Echter daar we redundant willen zijn (en dus vrij kunnen switchen tussen de uplinks) wensen we alles achter het routerboard.

Intern heb ik de VOIP server het IP 10.0.0.10 toegewezen (statisch, via DHCP).

Volgende poorten zouden moeten open staan volgens de leverancier:
UDP 5060 -> 10.0.0.10:5060
UDP 49152 tot 53246 -> 10.0.0.10 (49152 tot 53246)
UDP 5001 -> 10.0.0.10:5001
TCP 2222 -> 10.0.0.10:2222
UDP 1194 -> 10.0.0.10:1194

Export file van het routerboard :
(In deze export file zit er een foutje dat inmiddels is rechtgezet : DHCP staat van 10.0.0.1 tot 10.0.0.200, uiteraard is 10.0.0.1 de gateway, en moet de DHCP range van 10.0.0.2 tot 10.0.0.200 zijn).

[jos123]

Wie is de leverancier?

Met VoIP server bedoel je VoIP centrale?

[krisken]

Leverancier is creative one (merk van voip centrale = avaya).

[Tomsworld]

En wat merk je dat er niet werkt ?

Gooit het wel / niet werken van SIP ALG roet in het eten ?

[jos123]

En als je de Avaya in DMZ plaatst? Dan kan je al zien of het met de poorten te maken heeft.

[krisken]

in DMZ gaat helaas niet : er zijn nog poorten die geforward zijn (of moeten worden) naar andere apparaten.
@Tomsworld : ik vermoed inderdaad dat het een SIP ALG probleem is. De VOIP centrale/server probeert via poort 5060 verbinding te maken met 3starsnet, maar deze verbinding faalt steeds.

[jos123]

We hebben ook 3Startsnet en daar moeten geen poorten "gefoward" zijn, daarom deze vraag

SIP:5060 werkt zoals Web:80, als je op het internet wil moet je ook geen poorten forwarden.

[krisken]

Je moet inkomend poorten forwarden hé Het is niet om op internet te geraken (uitgaand), maar om "het internet" te zeggen naar welk apparaat (de voip server) de pakketjes moeten gaan. En dan heb je port forward nodig. Inkomend verkeer dus!

[philippe_d]

krisken
Tot nu toe werkt jullie VoiP centrale dus, maar het probleem stelt zich wanneer je de centrale achter het routerbord wil plaatsen, juist?
Hoe is de huidige opstelling dan (krijgt de centrale een publiek IP?) en wat verandert er?

Als ik zie hoe VOIP ATA's achter een router verbinding maken, dan staren we ons soms blind op die poort 5060

De centrale meldt zich inderdaad met 5060 op de router, maar de router zal dan met de provider connecteren op een willekeurige poort (via NAT). Op zich hoeft dat geen probleem te zijn, de registrar weet welke poort gebruikt wordt, en zal binnenkomende oproepen naar deze poort sturen (en niet naar 5060). Het systeem (router, centrale) moet natuurlijk deze poort open houden (keep alive packets).

Soms moet je ook STUN gebruiken, als je centrale achter een router zit.

Maar als ik het begrijp met de routerboard opstelling, komen er dan 2 routers tussen? dubbele NAT?

[xming]

Als je upnp of stun gebruikt, moet je niks forwarden.

[philippe_d]

Je moet inkomend poorten forwarden hé Het is niet om op internet te geraken (uitgaand), maar om "het internet" te zeggen naar welk apparaat (de voip server) de pakketjes moeten gaan. En dan heb je port forward nodig. Inkomend verkeer dus!

Niet noodzakelijk. Het internet weet op welke poort de retour pakketjes moeten. Bij surfen ontvang je toch ook de info terug op de juiste PC, zonder dat er poorten geopend zijn.

[jos123]

Sorry Krisken, ben niet mee.

@philippe_d

Juist! Als je weet hoe web met poort 80 werkt dan weet je hoe SIP met poort 5060 werkt !

[krisken]

Philippe : dat is de taak van de router nu eenmaal. Als jij een webpagina opvraagt dan zal de router dit bijhouden zodat hij weet dat hij, als de server waar de webpagina op draait antwoord, alles moet terugsturen naar jouw PC. Voor VOIP achter een router heb je nu eenmaal portforwarding nodig als je werkt met NAT en met een server/centrale op je locatie.

[jos123]

krisken,

Kan je me uitleggen waarom een IP telefoon achter NAT geen port forwarding nodig heeft?

[Tomsworld]

krisken, zet de voip detectie eens uit en zet in je centrale nat always of yes.

Normaal zijn de pabxen slimmer dan de routers, ik draai ook verschillende 3* trunks met sip alg disabled ( wel op andere routers )

Ik gok zonder kennis dat dit de SIP ALG aanzet

set sip ports=5060,5070
/ip service

[krisken]

Omdat deze mogelijks werkt met bvb uPNP, en dus "doorgeven" aan de router welke poorten hij automatisch moet openen.
Dit is niet het geval met een server.

@Tomsworld:
Ik ga dit straks eens proberen. Dit zou de correcte opdracht moeten zijn:

/ip firewall service-port
set sip disabled=yes

[jos123]

Omdat deze mogelijks werkt met bvb uPNP, en dus "doorgeven" aan de router welke poorten hij automatisch moet openen.

Ben niet met je eens, uPNP dient voor sommige applicaties maar zeker niet voor VoIP.
Google eens hoe SIP werkt

Ook poorten forwarden dient niet te gebeuren, je netwerk word minder beveiligd indien je "zomaar" poorten opent.

Het ligt zeker aan iets anders zoals bv hierboven vermeld.

[krisken]

uPNP is eker wel actief op (sommige) voip toestellen hoor, Bvb de bekende gigaset c610c ip heeft dit. http://userbase.be/forum/viewtopic.php?f=83&t=35622

Ik open overigens niet zomaar poorten, het is specifiek op vraag van de leverancier van het materiaal zelf. Dat je 5060 (UDP) moet openen is overigens niet zo verwonderlijk : deze dient voor de SIP afhankeling... Waar tomsworld naar denkt is dat de zogenaamde SIP Helper meer problemen geeft dan oplossingen .

@xming : upnp noch stun kan ingesteld worden op de centrale zelf.
@philippe : als ik kijk naar wat de firewall tegen houd, dan zie ik telkens poort 5060 voorbij komen in de logs. 99% dus dat de fout daarbij ligt denk ik dan. Zeker als er als informatie "U" voorbij komt. Want wilt zeggen dat de connectie is tegengehouden.

[jos123]

uPNP is eker wel actief op (sommige) voip toestellen hoor

Dat kan best zijn, maar dat betekent niet dat uPNP (noodzakelijk) nodig is om VoIP te laten werken (er zal wel een reden zijn waarom uPNP aanwezig is)!

Je IP telefoon/centrale maakt connectie met poort 5060 naar 3starsnet, en nadien word alles translated zoals elke NAT translate, wat is er zo moeilijk aan?

[krisken]

Je IP telefoon/centrale maakt connectie met poort 5060 naar 3starsnet

Klopt!

wat is er zo moeilijk aan?

Het bovenstaande

Het is net die connectie die niet blijkt te lukken. De centrale maakt geen verbinding met 3starsnet volgens 3starsnet zelf. En dit krijgen we ook ter bevestiging uit de logs van de firewall : we "zien" dat de centrale een verbinding probeert te maken op poort 5060, maar dit blijkt niet te lukken, daar de firewall dit tegen houd. Ook al staat de poort open...

[ubremoved_539]

Krisken... welke firewall rule heb je dan in je Routerboard hiervoor ?

Trouwens standaard staat outgoing allemaal open tenzij jij het hebt dicht gezet.

[jos123]

Dus wat heeft dat met inkomende poorten te maken?

Je zegt nu zelf dat het verkeer niet buiten geraakt? Of begrijp ik je verkeerd?

[krisken]

Dit staat er momenteel in de firewall


[admin@] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Masquerade Verixi
chain=srcnat action=masquerade out-interface=ether6 - Verixi

1 ;;; Creative One
chain=dstnat action=dst-nat to-addresses=10.0.0.10 to-ports=5060-5070
protocol=udp dst-port=5060-5070

2 ;;; Creative One
chain=dstnat action=dst-nat to-addresses=10.0.0.10 to-ports=49152-53246
protocol=udp dst-port=49152-53246

3 ;;; Creative One
chain=dstnat action=dst-nat to-addresses=10.0.0.10 to-ports=5001
protocol=udp dst-port=5001

4 ;;; Creative One
chain=dstnat action=dst-nat to-addresses=10.0.0.10 to-ports=1194
protocol=udp dst-port=1194

5 ;;; Creative One
chain=dstnat action=dst-nat to-addresses=10.0.0.10 to-ports=2200
protocol=tcp dst-port=2200

[ubremoved_539]

Wat is de bedoeling van regel 1 tem. 5 ? Via regel 0 doe je gewoon NAT naar buiten en zonder verdere regels geraakt alle trafiek naar buiten !

[krisken]

Inkomend verkeer van die poorten richting de voipserver

[Tim.Bracquez]

Dit staat er momenteel in de firewall


[admin@] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Masquerade Verixi
chain=srcnat action=masquerade out-interface=ether6 - Verixi

1 ;;; Creative One
chain=dstnat action=dst-nat to-addresses=10.0.0.10 to-ports=5060-5070
protocol=udp dst-port=5060-5070

Kris, heb niet alles gelezen (wat druk nu) maar best altijd voor port forwarding in-interface instellen anders kun je loopjes maken.

Ook als je meerdere internet verbindingen hebt moet je rule 0 ook voor alle interfaces zetten apart (zoals het nu geconfigureerd staat)

[krisken]

Het is overigens perfect mogelijk dat ik iets fout instel of fout doe, vandaar ook mijn vraag hier.

@tim: zo bedoel je?

[admin@] /ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic
0 ;;; Masquerade Verixi
chain=srcnat action=masquerade out-interface=ether6 - Verixi

1 ;;; Creative One
chain=dstnat action=dst-nat to-addresses=10.0.0.10 to-ports=5060-5070 protocol=udp in-interface=ether6 - Verixi dst-port=5060-5070

2 ;;; Creative One
chain=dstnat action=dst-nat to-addresses=10.0.0.10 to-ports=49152-53246 protocol=udp in-interface=ether6 - Verixi dst-port=49152-53246

3 ;;; Creative One
chain=dstnat action=dst-nat to-addresses=10.0.0.10 to-ports=5001 protocol=udp in-interface=ether6 - Verixi dst-port=5001

4 ;;; Creative One
chain=dstnat action=dst-nat to-addresses=10.0.0.10 to-ports=1194 protocol=udp in-interface=ether6 - Verixi dst-port=1194

5 ;;; Creative One
chain=dstnat action=dst-nat to-addresses=10.0.0.10 to-ports=2200 protocol=tcp in-interface=ether6 - Verixi dst-port=2200

[Tim.Bracquez]

Ja, anders gaat al je verkeer die naar bv poort 5060 gaat, geforward worden naar 10.0.0.10

[ubremoved_539]

Ik heb totaal geen ervaring met VoIP... maar in deze thread schrijft iemand dat port 5060 gaat over outgoing traffic, terwijl de Routerboard rules hier over incoming traffic (port forward dus) gaan ?

Misschien kan iemand hier eens duidelijk uitleggen wat de flow is van de diverse connecties die nodig zijn ?

[jos123]

@r2504

Ja, volgens mij is er een "rule" of zoiets dat de buitengaande poort 5060 tegenhoud en niet de binnenkomende poort 5060, maar ik heb geen kennis van routerboard

[krisken]

Well...het blijkt te werken dankzij de tip van Tim! Bedankt voor iedereen heeft bijgedragen aan de oplossing.
Blijkt dus dat alles in de firewall correct stond, maar dat je de interface ook moet meegeven!

[Tim.Bracquez]

@krisken: Inderdaad, anders gaat al het verkeer (intern & extern) dat als destination-port heeft geforward worden
Vergeet de rules niet aan te maken voor de andere verbindingen (indien multi-wan) als je dit ook vanaf buitenaf wilt toegankelijk hebben

[krisken]

Dat zal de volgende stap zijn, eerst dit werkende krijgen!
Uw wijze woorden zullen beloond worden te Rust, ergens in het Colloseum in de vorm van Ricard of andere dranken. Deal?