Inoffizielles Vodafone-Kabel-Forum

maik005 hat geschrieben: ↑06.02.2020, 14:46 Ich gehe davon aus, dass du den Bereich 7078-7085 meinst?

du schreibst einmal vom Portbereich 7078-7085 und ein anderes mal von 7075-7085.

Letztlich kommt es halt darauf an, was du in deiner Telefonanlage genau konfiguriert hast.

sehr wichtig ist jedoch dass der Endport im Firewall um 1 hoeher sein muss als in der Telefonanlage! Also wenn die Telefonanlage 7075-7085 konfiguriert hat muss im Firewall 7075-7086 weitergeleitet werden. Sonst gehen moeglicherweise RTCP pakets verloren.

ja, 7075 scheint aber richtig zu sein.
In der Telefonanlage (der FritzBox 7490) habe ich gar nichts in der Richtung konfiguriert.
Und auch keine Möglichkeit dazu.

Laut AVM sind es die Ports 7078-7097.
Den Port 5060 braucht man jedoch normalerweise nicht im Router weiterzuleiten.

https://avm.de/service/fritzbox/fritzbo ... ich-nicht/

Es wundert mich, dass es bei IPv6 Probleme gibt, denn dort wird ja kein NAT gemacht.

Laut AVM kann man auch beliebige Ports darauf weiterleiten.... Da bin ich mir nicht so sicher das man das tun kann....

Beim Port 5060 ist es wirklich egal, welchen Port man außen verwendet. Da ruft ja niemand ohne Registrierung an und bei der Registrierung erfährt der Registrar den richtigen Port.
Bei den 7078-7097 sollte man nach meiner Meinung schon dieselben auf der Innen- und Außenseite verwenden.

Bei Port 5060 geht es aber genau darum eine schnell schließende Firewall (conntracking mit geringem Timeout) zu verhindern, auch dort müsste man den richtigen Port nehmen da die Gegenstelle nicht wissen kann welchen man verwendet.

Den SIP Port erfährt die Gegenstelle bei jeder Registrierung. Und dieser ändert sich nicht, da man ja in dem Router die Weiterleitung konfiguriert hat. Z.B. kann man auf dem Router konfigurieren, dass 5060 von der Fritzbox immer auf dem Port 6060 raus kommt. Da die Fritzbox die SIP-Pakete immer von 5060 sendet, sieht die Gegenstelle die SIP Pakete in diesem Fall immer als von 6060 kommend und sendet ihre SIP-Pakete zum Port 6060 (kommt dann bei 5060 der Fritzbox an).

DS-Lite ist was anderes, dort kann man jedoch auf dem Router normalerweise auch nichts konfigurieren.

@petertxt

Es wundert mich, dass es bei IPv6 Probleme gibt, denn dort wird ja kein NAT gemacht.

Kein NAT, richtig. Aber immer noch die Firewall die natürlich entsprechend an den richtigen ports offen sein muss.

Auf 7078-7097 habe ich nun umgestellt.
Inter und extern der selbe Bereich.

Warum zur Hölle ist das ganze so kompliziert?!
Ein Anruf über IPv6 only geht zwar raus. Aber ich höre den anderen nicht.
Firewall im Compal ist für IPv4 + IPv6 identisch eingestellt.

Was ich auch seltsam finde...
Im Compal kann ich nur einen einzigen IPv6 Port Bereich pro MAC Adresse freigeben. Will ich einen zweiten ergänzen kommt direkt der Fehler, dass die MAC Adresse schon vorhanden ist...

petertxt hat geschrieben: ↑06.02.2020, 15:51 Den SIP Port erfährt die Gegenstelle bei jeder Registrierung. Und dieser ändert sich nicht, da man ja in dem Router die Weiterleitung konfiguriert hat. Z.B. kann man auf dem Router konfigurieren, dass 5060 von der Fritzbox immer auf dem Port 6060 raus kommt. Da die Fritzbox die SIP-Pakete immer von 5060 sendet, sieht die Gegenstelle die SIP Pakete in diesem Fall immer als von 6060 kommend und sendet ihre SIP-Pakete zum Port 6060 (kommt dann bei 5060 der Fritzbox an).

DS-Lite ist was anderes, dort kann man jedoch auf dem Router normalerweise auch nichts konfigurieren.

Natürlich kannst du ausgehend die Ports vorgeben aber nicht mit einer Fritzbox, da brauchst du schon etwas was nicht für den Heimanwender gedacht ist. Nur weil man eingehend einen Port weiterleitet wird nicht ausgehend eine statische NAT Regel angelegt.

maik005 hat geschrieben: ↑06.02.2020, 16:34 Warum zur Hölle ist das ganze so kompliziert?!

Weil du da ein Glücksspiel draus machst indem du rumprobierst ohne überhaupt zu wissen wo das Problem liegt.

@maik005:
Eine übliche Firewall (auch IPv6) erlaubt die Antworten auf ein UDP-Paket von derselben IP und Portnummer, zu der das Paket gesendet wurde, ohne dass man irgendwas konfigurieren müsste. Wenn also die Fritzbox ein Sprachpaket zu sipgate über IPv6 sendet (der angerufene hört dich), sollten die Sprachpakete vom sipgate für diese Verbindung automatisch angenommen werden (du hörst den angerufenen). Bei IPv4 ist alles komplizierter, weil sich im Router durch NAT die Portnummer ändern kann, ohne dass die Fritzbox wissen würde, auf welche und somit nicht die richtige Portnummer dem sipgate-Server mitteilen kann. Bei IPv6 gibt es aber kein NAT. Nur die Firewall.

Flole hat geschrieben: ↑06.02.2020, 16:49 Natürlich kannst du ausgehend die Ports vorgeben aber nicht mit einer Fritzbox, da brauchst du schon etwas was nicht für den Heimanwender gedacht ist. Nur weil man eingehend einen Port weiterleitet wird nicht ausgehend eine statische NAT Regel angelegt.

Eine IPv4-Portweiterleitung beinhaltet zwingend eine NAT-Regel. Und für dieselbe Kombination von Source IP/Port und Destination IP/Port kann es nicht mehr als eine NAT-Regel gleichzeitig geben, da sonst gar nichts funktionieren würde. Ein Router muss schon genau wissen, wohin die Pakete weitergeleitet werden und da kann es nur einen weg gleichzeitig geben.