Fritzbox per VOIP in cascata a Mikrotik

EnzoValenzetti

Buonasera a tutti, sono un cliente Tiscali FTTH su rete Openfiber (area bianca) e sto utilizzando un Fritzbox 7590 sia per la connettività che per il VOIP. Sull'apparato è registrato sia il numero fornito da Tiscali sia un altro numero appoggiato su CloudItalia/Irideos.
Per complicarmi un po' la vita 😅 vorrei gestire la connettività con un Mikrotik e tenere il Fritzbox in modalità client (non mi pare sia possibile avere due connessioni ppoe concorrenti, anche se ammetto di averci provato) per gestire solo la parte VOIP e DECT.
Ho nattato, sul mikrotik, la udp 5060 verso il fritzbox. Su quest'ultimo ho impostato un ip fisso e assegnati i DNS di Tiscali per evitare problemi di risoluzione dei domini e del server proxy. Dando uno sguardo alle connessioni sul mikrotik, vedo passare del traffico sulla 5060 che parte sia dal frizbox che dai server remoti per il mio ip pubblico.
Nonostante questo, nessuno dei due numeri si registra correttamente.
Quello che vedo dallo sparuto log eventi del fritzbox è che, per entrambi gli account (Tiscali ed Irideos) viene restituito un errore 404.
Naturalmente se riconfiguro il Fritzbox in modalità router e non client (togliendo il mikrotik), senza toccare nulla delle configurazioni VOIP, entrambe si registrano subito.
Cosa mi sta sfuggendo? 🙃

Technetium

EnzoValenzetti
Come hai nattato le porte sul mikrotik ?
Collegandoti al fritzbox in cascata riesci a raggiungere i DNS di Tiscali e risolvere l'ip del voip server ?

[cancellato]

EnzoValenzetti

Può essere un problema di NAT traversal - SIP invia nei suoi dati l'IP del client VoIP per essere chiamato, ma dietro NAT è quello privato del router, non quello pubblico. Ci sono un certo numero di modi per risolverlo, non basta l'inoltro della porta, vedi qui: https://fibra.click/voip/#configurazione-del-nat-traversal

E visto che usi MikroTik: https://www.3cx.it/blog/voip-comefare/disabilitare-sip-alg-su-router-mikrotik/ - è per 3CX, ma probabilmente si applica anche al Fritz.

8dot

EnzoValenzetti
Ciao, alla fine sei riuscito a configurare il VOIP? Anche io sono su rete Tiscali e avevo in mente di creare la stessa configurazione che hai descritto.

EnzoValenzetti

Technetium sì dal fritzbox i dns sono raggiungibili: vedo le query su porta 53 dal fritzbox al mikrotik ed in effetti, quando all'inizio ho lasciato il fritzbox in modalità dhcp, l'errore che mi dava il voip non era 404, ma qualcosa del tipo "DNS not found" per il numero Tiscali.
Sul mikrotik ho messo un chain dstnat:
add action=dst-nat chain=dstnat dst-port=5060-5061 protocol=udp to-addresses=\ 192.168.88.xxx to-ports=5060-5061 con l'ip del fritzbox

EnzoValenzetti

[cancellato] avevo letto su un altro forum di questo problema. Il mikrotik ha un suo SIP alg, io ho provato sia con la funzione attiva che disattiva.
Quello che non mi spiego è il tipo di errore, che - se non ho letto male - pare essere quello che deriva dal mancato riconoscimento dell'utente/password, ma sono le stesse credenziali che invece funzionano quando il fritzbox accede direttamente ad internet.
Per il numero su irideos avevo provato anche ad utilizzare lo stun server, ma non cambia nulla, l'errore rimane sempre quello, come se il fritzbox stesse inviando delle credenziali errate (sempre se l'errore significa quello, purtroppo non c'è un log di dettaglio).

[cancellato]

EnzoValenzetti ma sono le stesse credenziali che invece funzionano quando il fritzbox accede direttamente ad internet.

Può essere che faccia altri controlli sui dati passati via SIP - che se non sono quelli attesi fanno comunque fallire l'autenticazione.

Io proverei a disabilitare l'ALG sul MikroTik come consigliano per 3CX, e configurare il server STUN sul Fritz. Se non si autentica ancora, può essere che il NAT sia simmetrico e STUN allora è inutile.

Si può provare ad intercettare il traffico del Fritz (sul Fritz o sul MikroTik) e analizzare la sessione VoIP con Wireshark, ma è un livello di indagine un po' complesso.

Technetium la 3478 per il server stun (non so se dimensione ha il server stun.. magari è lo stesso)

No, non serve, non stai pubblicando un server STUN, lo stai contattando, e STUN è previsto che sia usato dietro NAT. Il server STUN usato è irrilevante, il suo compito è solo di individuare l'IP esterno e la porta usata. Attenzione però che se il NAT del MikroTik è simmetrico, STUN è inutile.

Con NAT keepalive volendo puoi persino fare a meno di forwardare la 5060, ma deve funzionare il keepalive.

Technetium poi devi inoltrare dalla 10000 alla 20000 che vengono usate random per i canali audio

Le porte RTP non sono definite da standard, vanno aperte in UDP - se necessario - solo quelle effettivamente usate dallo specifico dispositivo VoIP. Anche qui con symmetric RTP potrebbe non essere necessario il forwarding - ma non è facile sapere se il server lo usa oppure no.

Inoltre oltre alla porta RTP si usa automaticamente la porta RTP + 1 per RTCP, i protocollo di controllo della connessione. Qundi se hai definito per RTP le porte ad esempio 10000-10100, devi in realtà aprire 10000-10101, altrimenti una chiamata che usi l'ultima porta RTP configurata non riuscirebbe ad usare la porta RTCP.

Technetium

Non ho mai messo un fritzbox dietro un mikrotik.
Di solito per avere un centralino/ATA dietro nat si nattano
5060.. ma non basta
la 3478 per il server stun (non so se dimensione ha il server stun.. magari è lo stesso)
poi devi inoltrare dalla 10000 alla 20000 che vengono usate random per i canali audio quando inizia la conversazione.
Probabilmente si può usare anche upnp per questo. Alcuni centralini usano l'upnp altri no... il fritz non lo so.

Mrtt

Se ALG non ti funziona, disattiva il servizio su IP->firewall->service ports->SIP

EnzoValenzetti

grazie @Technetium @Mrtt e @[cancellato] per i suggerimenti, farò qualche altra prova.
Quella di disattivare il SIP alg l'ho già fatta, ma non è cambiato nulla.
Sul numero appoggiato su irideos/eutelia avevo già provato ad inserire il server stun nella configurazione, senza risultati (l'errore è rimasto il medesimo). Non mi pare invece che la configurazione del numero Tiscali preveda un server stun.

Proverò anche a configurare un client voip su pc dietro al mikrotik configurandolo con i dati presenti nel fritzbox per vedere se ne ricavo qualche indizio. L'"esigenza" di tenermi il fritzbox deriva dal fatto che ho un paio di cordless dect fritz (e anche un ripetitore dect) che vorrei continuare a sfruttare, altrimenti mi sarei preso una stazioncina dect siemens o grandstream che forse sono meno rognose da configurare.

[cancellato]

EnzoValenzetti Non mi pare invece che la configurazione del numero Tiscali preveda un server stun.

È indipendente dalla configurazione VoIP indicata dal provider, STUN è un meccanismo generico per agevolare il NAT traversal, individuando l'IP e la porta esterni usati per la connessione da parte di un dispositivo dietro NAT, così che quest'ultimo possa inserire quelle informazioni dove servono nel protocollo che usa (non è usato solo per VoIP). Difficilmente un ISP nella configurazione ti dirà come configurare un client VoIP dietro NAT, è già tanto se ti danno i parametri per configurarlo direttamente su un router, dove la connessione non passa per il NAT.

EnzoValenzetti L'"esigenza" di tenermi il fritzbox deriva dal fatto

Fai bene a cercare di far funzionare il Fritz, il suo mini-PBX ha funzioni interessanti rispetto alla maggior parte degli ATA e basi DECT VoIP.

Vedi anche: https://en.avm.de/service/knowledge-base/dok/FRITZ-Box-7590-AX/177_Conducting-calls-with-the-FRITZ-Box-over-another-router/

Prova anche ad abilitare (o disabilitare) il Register-fetch.

@Heavy : ma il MikroTik di default che tipo di NAT usa? Simmetrico, full-cone, altro?

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile