1und1 - schon wieder und immer noch

Support
1

Hallo,

ich habe das Update auf die 7.9 gemacht - FritzBox in die Tonne gekloppt und ein reines DSL-Modem geschaltet. Router und Firewall ist eine LinuxMaschine.
Dort werden folgende Ports weitergeleitet:

Chain PREROUTING (policy ACCEPT 436 packets, 57295 bytes)
pkts bytes target prot opt in out source destination
438 58966 NAT_PREROUTING_CHAIN all – * * 0.0.0.0/0 0.0.0.0/0
0 0 DNAT tcp – ppp0 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:5070:5079 to:192.168.10.123
0 0 DNAT tcp – ppp0 * 0.0.0.0/0 0.0.0.0/0 tcp dpts:30000:30019 to:192.168.10.123
0 0 DNAT tcp – ppp0 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3478 to:192.168.10.123
0 0 DNAT udp – ppp0 * 0.0.0.0/0 0.0.0.0/0 udp dpt:3478 to:192.168.10.123
1 1471 DNAT udp – ppp0 * 0.0.0.0/0 0.0.0.0/0 udp dpts:5060:5061 to:192.168.10.123
0 0 DNAT udp – ppp0 * 0.0.0.0/0 0.0.0.0/0 udp dpts:5002:5020 to:192.168.10.123
0 0 DNAT udp – ppp0 * 0.0.0.0/0 0.0.0.0/0 udp dpts:5070:5079 to:192.168.10.123
0 0 DNAT udp – ppp0 * 0.0.0.0/0 0.0.0.0/0 udp dpts:7070:7090 to:192.168.10.123
1 200 DNAT udp – ppp0 * 0.0.0.0/0 0.0.0.0/0 udp dpts:10000:60000 to:192.168.10.123
436 57295 POST_NAT_PREROUTING_CHAIN all – * * 0.0.0.0/0 0.0.0.0/0

Folgendes von der MobyDick:

mobydick*CLI> sip show registry
Host dnsmgr Username Refresh State Reg.Time
sip.1und1.de:5060 N 123456789 7985 Registered Wed, 01 Apr 2015 21:35:17
1 SIP registrations.

mobydick*CLI> sip show peers
Name/username Host Dyn Forcerport ACL Port Status Description
HmF1AoUdFcrpxUg/HmF1AoUdF 192.168.2.104 D N 56775 OK (95 ms)
mdc_trunk_conf-20/4926765 212.227.67.134 N 5060 OK (88 ms)
mdc_trunk_conf-21 193.189.245.144 N 5060 OK (93 ms)
mdc_trunk_conf-22 193.189.245.209 N 5060 OK (140 ms)
mdc_trunk_conf-23 193.189.245.202 N 5060 OK (152 ms)
mdc_trunk_conf-24 (Unspecified) N 0 UNKNOWN
mdc_trunk_conf-25 193.189.245.140 N 5060 OK (79 ms)
mdc_trunk_conf-26 193.189.245.202 N 5060 OK (110 ms)
mdc_trunk_conf-27 193.189.245.139 N 5060 OK (110 ms)
mdc_trunk_conf-28 193.189.245.140 N 5060 OK (79 ms)
10 sip peers [Monitored: 9 online, 1 offline Unmonitored: 0 online, 0 offline]

Soweit so gut …

Rufe ich aber an, egal ob ausgehend oder eingehend (asterisk -r):

== Using SIP RTP TOS bits 184
== Using SIP RTP CoS mark 5
– Called SIP/mdc_trunk_conf-20/987654321
[Apr 1 21:35:51] NOTICE[2184][C-00000035]: chan_sip.c:22853 handle_response_invite: Failed to authenticate on INVITE to ‘“bla bla” <sip:49123456789@1und1.de>;tag=as517348e6’
– SIP/mdc_trunk_conf-20-0000005a is circuit-busy
== Everyone is busy/congested at this time (1:0/1/0)
– Executing [987654321@sub_trunk-outgoing-11:11] Return(“SIP/HmF1AoUdFcrpxUg-00000059”, “”) in new stack
– Executing [987654321@mdc_outgoing-11:2] Hangup(“SIP/HmF1AoUdFcrpxUg-00000059”, “21”) in new stack
== Spawn extension (mdc_outgoing-11, 987654321, 2) exited non-zero on ‘SIP/HmF1AoUdFcrpxUg-00000059’
– Executing [h@mdc_outgoing-11:1] Gosub(“SIP/HmF1AoUdFcrpxUg-00000059”, “def_hangup,s,1(,CONGESTION,CALL)”) in new stack
– Executing [s@def_hangup:1] NoOp(“SIP/HmF1AoUdFcrpxUg-00000059”, “>>>def_hangup:: EXTEN: DIALSTATUS: CONGESTION QUEUESTATUS: REASON: CALL”) in new stack

sipgrep:

U 2015/04/01 22:01:09.718621 192.168.10.123:5060 -> 192.168.2.104:56775
SIP/2.0 403 Forbidden.
Via: SIP/2.0/UDP 192.168.2.104:56775;branch=z9hG4bKPjlKjiOCUaBcNXaesSIOKp4EfwrprKETfq;received=192.168.2.104;rport=56775.
From: sip:HmF1AoUdFcrpxUg@192.168.10.123;tag=U9NRsvmcxaJgKRJRD3hdyRNwtWCWL0cX.
To: sip:987654321@192.168.10.123;tag=as27cde8c8.
Call-ID: d7yC076-4D98S.G5i7obOwdu1DhnQpVY.
CSeq: 20780 INVITE.
Server: Asterisk PBX 11.6-cert10.
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH.
Supported: replaces, timer.
Content-Length: 0.
.

U 2015/04/01 22:01:09.817746 192.168.10.123:5060 -> 192.168.2.104:56775
SIP/2.0 403 Forbidden.
Via: SIP/2.0/UDP 192.168.2.104:56775;branch=z9hG4bKPjlKjiOCUaBcNXaesSIOKp4EfwrprKETfq;received=192.168.2.104;rport=56775.
From: sip:HmF1AoUdFcrpxUg@192.168.10.123;tag=U9NRsvmcxaJgKRJRD3hdyRNwtWCWL0cX.
To: sip:987654321@192.168.10.123;tag=as27cde8c8.
Call-ID: d7yC076-4D98S.G5i7obOwdu1DhnQpVY.
CSeq: 20780 INVITE.
Server: Asterisk PBX 11.6-cert10.
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH.
Supported: replaces, timer.
Content-Length: 0.
.

U 2015/04/01 22:01:09.854147 212.227.67.134:5060 -> 192.168.10.123:5060
SIP/2.0 407 Proxy Authentication Required.
Via: SIP/2.0/UDP 87.154.85.44:5060;received=87.154.85.44;branch=z9hG4bK521820d1;rport=5060.
From: “bal bla” <sip:123456789@1und1.de>;tag=as5c9677f1.
To: <sip:987654321@sip.1und1.de>;tag=b27e1a1d33761e85846fc98f5f3a7e58.4e36.
Call-ID: 16c430972bdf324a07a809aa42640ae6@1und1.de.
CSeq: 105 INVITE.
Proxy-Authenticate: Digest realm=“sip.1und1.de”, nonce=“VRxPm1UcTm+LU0dc90Z2PtXX4k22u5jS”.
Server: UI Kamailio.
Content-Length: 0.

Leute - ich habe das Amt mit Eurem neuen Wizard angelegt - was soll ich denn jetzt noch machen … klar Asterisk lernen und dann kann ich auf MobyDick verzichten.
Nummer ist bei 1und1 angelegt - in MobyDick das neue Amt angelegt - mal davon abesehen, dass der Client dann 0049vorwahlgewählteNummer rausrufen will - sorry, das ist Schrott. Welche Ports ich wo/wann/wie freimachen muss wäre doch hilfreich.

Ich schreibe das hier so, weil Community und meine bezahlte Version da keinen Unterschied machen.

Wenn Wizard, DANN Wizards!

Gruß Michael - der mit der fu… FritzBox wenigstens raustelefonieren konnte

2

Hallo Michael,

sorry, dass du mit 1und1 Probleme hast.
Mit den Ämter-Vorlagen ist das nicht so einfach. Sicherlich kannst du dir vorstellen, dass eine Vielzahl an Providern gibt, welche wiederum mehrere unterschiedlich zu konfigurierende VOIP Accounts anbieten.
Mit einigen Providern arbeiten wir zusammen, bei anderen haben wir Test-Accounts worauf unsere Ämter-Vorlagen basieren. Andere bieten ein Konfigurationsbeispiel an und manche Provider geben halt nichts raus. Hier heisst es dann halt ausprobieren bzw. deren Support kontaktieren bzw. auf die Erfahrungen unserer Community stützen.
Leider kommt es auch mal öfters vor, dass die Provider Änderungen vornehmen, so dass auch die Konfiguration auf den Anlagen angepasst werden muss.

Aktuell scheinst du noch ein Auth Problem zu haben

[Apr 1 21:35:51] NOTICE[2184][C-00000035]: chan_sip.c:22853 handle_response_invite: Failed to authenticate on INVITE to ‘“bla bla” <sip:49123456789@1und1.de>;tag=as517348e6’

Das kann jetzt mehrere Ursachen haben, z.B. User, Passwort-Übermittlung stimmt nicht bzw. gegen was authentifiziert werden soll. Hier wäre hilfreich was du durch “bla bla” ersetzt hast, das Verhalten kannst du z.B. über die Option fromuser beieinflussen.

Du kannst dich jederzeit an unseren Support wenden, welche dir sicherlich bei deinem 1und1 Problem auch weiterhelfen können.

Gruß
Markus

3

Hallo Michael,

ja, der Wizzard sollte einfach Wizzarden. Und ich verstehe Deinen Ärger. Leider ist das, wie Markus schon gesagt hat, bei 1und1 nicht so leicht.

  1. 1und1 gibt uns keine Infos und keinen Testaccount.
  2. 1und1 nutzt Loadbalancer. Die Liste der Balancer wird nirgends veröffentlicht.
  3. 1und1 will, dass das VoIP mit deren Zeug und nicht mit Drittanbietern genutzt wird.

Hinzu kommt, dass 1und1 als “Privatanschluss” eher selten bei kommerziellen Kunden benutzt wird. Was ein “Spicken” der Konfiguration schwer macht. Der Assistent ist also mit Hilfe von Community-Rückmeldungen entstanden. 1und1 passt zusätzlich immer wieder mal das Setup an - was das ganze nochmals erschwert.

So genug gejammert ;). Zu Deinem Problem:

Erst mal das geNATe. Du brauchst keinerlei DNAT. MobyDick meldet sich an den 1und1 Servern an und hält zum einen durch die Registrierung und zum anderen durch das Qualify das SNAT ins Internet über Deine Firewall “offen”. MobyDick muss daher auch jeden Server kennen der einen Call zustellen darf (Problem mit den Balancern).

Also dein DNAT könnte schaden. Bitte alles zum Thema VoIP dort raus.

Dann bitte noch wegen der Auth mit dem Clip Modus spielen. Mal auf “Nummer+Name” und “Nummer” stellen. Musst Du nur bei dem einem Account machen der auch einen Benutzernamen eingetragen hat.

Btw. dass der Client die Nummer auch international normalisiert gehört so.

LG
Mathias

4

Hallo Matthias,

CLIP auf Nummer, das war es. Ich kann jetzt raus telefonieren. Super, vielen Dank für den Tipp!!!
Leider nicht eingehend - was anscheinend an den Loadbalancer liegt.
Ich habe hier was gelesen, dass man ein no-auth nutzen kann - habe davon leider nur verstanden, dass dann alles offen wäre. Was mir für meine Tests total egal wäre, da ich die 1und1-Telefonie ja nur zum Testen brauche und die Telefonie deshalb nur aktiv ist, wenn ich an der MobyDick arbeite.
Leider habe ich KOMPLETT nicht geschnallt was ich dafür tun muss :frowning:

Hat da noch jemand Tipps für mich?

Gruß Michael

PS: DNAT ist mittlerweile auch komplett aus.

5

Hallo Michael,

schön, dass es voran geht. Also das mit dem no-auth: Das mach mobydick so oder so schon. Diese Calls gehen dann in das Notrufsystem. Wir sind verpflichtet jeden Call anzunehmen und zu checken ob es ein Notruf ist oder nicht. Das würde ich also eher so lassen. Außerdem löst es das Problem nicht. Du kannst die Provider dann nicht mehr unterscheiden und außerdem bleibt das NAT bei eingehenden Anrufen dann nicht offen.

Ja, es liegt wahrscheinlich an den Balancern. Diese haben wir ja als Peers eingetragen und halten dadurch auch das NAT offen. Du muss also auf Deine Firewall gehen und dort in die Logs sehen. Dann machst Du einen eingehenden Anruf uns kannst sehen von welcher IP der kommt. Dann trägst Du diese IP mal in die Account Liste der mobydick mit ein. Dann sollte es klappen.

LG
Mathias

6

Re,

zum Thema load balancer habe ich noch mal recherchiert.
1und1 verwendet hier einen weiten Bereich.
Falls eingehend noch nicht klappt, kannst du weitere Accounts hinzufügen um den ganzen bekannten Bereich abzudecken

von sipbalance1-1.1und1.de bis sipbalance10-1.1und1.de
von sipbalance1-2.1und1.de bis sipbalance10-2.1und1.de
von sipbalance1-3.1und1.de bis sipbalance10-3.1und1.de
von sipbalance1-4.1und1.de bis sipbalance10-4.1und1.de
von 1und1-1.sip.mgc.voip.telefonica.de bis 1und1-8.sip.mgc.voip.telefonica.de

In deiner Firewall solltest du sehen über welchen 1und1 die Verbindung herstellen möchte.

Gruß
Markus