Yealink T4x VPN + privaten SIP Account an FritzBox 7590

[Mysterox]

Hallo zusammen,

ich habe mir fürs Home Office ein Yealink IP Telefon zugelegt.
Das Telefon verbindet sich via VPN mit der Telefonanlage meines Arbeitgebers, soweit klappt auch alles.
Über diese Verbindung kann ich sowohl angerufen werden, als auch raus telefonieren.

Jetzt wollte ich das Gerät aber halt auch für meine private Nummer nutzen.
Also habe ich in meiner FritzBox 7590 ein neues Telefoniegerät eingerichtet, als IP Telefonie und die Daten entsprechend im Telefon hinterlegt.
Das Telefon behauptet auf der Status-Seite das es sich an der FritzBox angemeldet hätte.

Leider lassen sich darüber aber keinerlei Telefonate führen.
Bei eingehenden Anrufen, klingelt das Telefon nicht mal.
Bei ausgehenden Anrufen, klingelt es zwar auf der Gegenstelle, aber es ist keine Kommunikation möglich. Es werden in keine Richtung Audio Signale übertragen.

In der FritzBox findet man unter "Ereignisse" folgende Meldung "Internettelefonie mit mysterox über 10.9.0.12:5060 war nicht erfolgreich. Ursache: (408) [4 Meldungen seit 24.10.22 15:33:58]"

Die 10.9.0.x müsste glaube ich eigentlich das VPN Netz von meinem AG sein, ich verwende bei mir im Netzwerk die 192.168.100.x
Wenn ich das VPN deaktiviere, dann klappt auch die Telefonie über meine Private Nummer...

Hat jemand ne Ahnung was ich an der Konfiguration ändern muss, damit es sauber geht und er nicht versucht meine privaten SIP Account auch übers VPN zu routen?

Danke & Gruß

Thomas

 

[Zensai]

Dein Arbeitgeber muss das VPN so konfigurieren, dass ausschließlich die Daten für die Firmensysteme ins VPN geschickt werden und der Rest über deine Internetleitung raus geht. (Split Tunneling genannt)

Das ganze setzt natürlich voraus, dass dein Arbeitgeber ein solches Nutzungsszenario überhaupt erlaubt.

Davon ab sollte man eigentlich nie Telefongespräche über ein VPN schicken, welches nicht explizit auch für Sprachdaten gedacht wurde. Zumindest nicht, wenn man versteht wie VOIP funktioniert. Das verschlechtert die Verbindung, die Qualität und führt zu ner Menge Problemen auf Verbindungsebene. Das ist aber dann ein Thema für deinen AG, nicht für dich.

 

[Mysterox]

Hi,

danke für die schnelle Antwort.

Dann werde ich unsere IT mal auf das Problem hin ansprechen / hinweisen gucken ob die das etwas machen können / wollen.

Die meisten der Kollegen nutzen ein Software SIP Client, ich habe aber kein Headset und mag es auch nicht sonderlich. Bevorzuge da lieber Oldschool klassisch ein Telefon.
Bisher habe ich immer ne Weiterleitung genutzt, hat soweit auch funktioniert, war halt nur doof wenn ich jemand angerufen habe, ging es über meine private Nummer...

Gruß

Thomas

 

[WhiteHelix]

war halt nur doof wenn ich jemand angerufen habe, ging es über meine private Nummer...

Je nachdem welches System ihr habt, geht das auch mit Callback.

 

[0x7c9aa894]

Also theoretisch ginge das, wenn die Fritzbox ein Router wäre.
Ich hole schon mal Popcorn.

 

[norKoeri]

Mysterox, nur damit ich das richtig verstanden habe: Das Yealink nutzt seinen eigenen, eingebauten VPN-Client und baut einen Tunnel zu Deinem Arbeitgeber auf. Das Yealink steht in Deinem Heimnetz. Jetzt möchtest Du es zusätzlich mit Deiner FRITZ!Box verbinden, also dessen SIP-Registrar. Auf der FRITZ!Box ist Deine „private Rufnummer“ eingerichtet. Richtig?

Dein Arbeitgeber muss das VPN so konfigurieren, dass ausschließlich die Daten für die Firmensysteme ins VPN geschickt werden und der Rest über deine Internetleitung raus geht. (Split Tunneling genannt)

Müsste eigentlich gehen, wenn das Yealink nicht alles über den Tunnel jagt. Allerdings müsstest Du das selbst unter Kontrolle haben. Welche Art von VPN nutzt Du, den OpenVPN-Client auf dem Yealink?

 

[0x7c9aa894]

Müsste eigentlich gehen, wenn das Yealink nicht alles über den Tunnel jagt.

Das ist aber genau das Problem. Man kann zwar viele Accounts einrichten, aber nicht alle Netzwerk Einstellungen sind frei pro Account konfigurierbar.

Flexibler wäre es den VPN über den Router zu machen, dann könnte der Router, je nach Ziel, die Daten über VPN, oder direkt schicken.

 

[Mysterox]

@norKoeri Genau so hätte ich das gerne.
Eventuell kann das Tel das ja sogar, nur es scheitert dann einfach an mir.
Wenn ich im Netzwerk -> Diagnose Bereich des Telefon mal die 192.168.100.1 pinge, dann kommt die Antwort auch innerhalb von 1ms, also da nimmt er definitiv meine Lokale Fritzbox.
Ich verstehe aber auch irgendwie nicht, wie die Fritzbox an die Meldung mit dieser IP kommt.
Denn eigentlich sollte sich ja das Telefon an der Fritzbox anmelden. Aber wenn es sich an einer anderen IP melden würde, dann würde die Fritzbox doch nichts davon mitbekommen oder?

@0x7c9aa894 Das möchte mein AG nicht. Mehr habe ich leider nicht als Antwort bekommen...

 

[norKoeri]

Kannst Du mitschneiden, was das Yealink nach einem Hochfahren genau macht? Drei Möglichkeiten:

a) Yealink → Web-Oberfläche → Network → Advanced → Span to PC. Du steckst dann einen Computer in den zweiten LAN-Port des Yealink. Auf dem Computer läuft Wireshark (geöffnet mit Administrator-Rechten). Oder​

b) Yealink und dessen Packet Capture.​

c) fritz.box → Hilfe und Info → FRITZ!Box Support → Paketmitschnitte → lan.​

In den letzteren beiden Alternativen öffnest Du das Ergebnis mit Wireshark; kein Admin nötig. Das Ergebnis filterst Du in allen drei Fällen über „dns || sip“. Siehst Du irgendwas?

Bevorzuge da lieber Oldschool klassisch ein Telefon.

Alternativ könntest Du ein analoges Telefon an die FRITZ!Box anschließen.
Alternativ könntest Du ein Gigaset T480HX anschließen. Daran kannst Du auch ein Headset anschließen.
Alternativ könntest Du natürlich auch ein zweites VoIP/SIP-Telefon kaufen. Halte ich aber nix von.

Hat jemand ne Ahnung was ich an der Konfiguration ändern muss, damit es sauber geht

Alternativ könntest Du über Deine öffentliche IP-Adresse auf die FRITZ!Box zugreifen, also nicht über fritz.box oder 192.168.178.1 sondern Deine WAN-Adresse. Dazu schaltest Du in der FRITZ!-Oberfläche im IP-Telefon ein, dass es sich auch über Internet einwählen darf. Und Du holst Dir über MyFRITZ oder einen DynDNS-Dienst einen Domain-Namen. Vorausgesetzt das Yealink darf in über Deine Firma ins Internet (wäre völliger Blödsinn, wenn es das dürfte, aber manche IT-Administratoren sperren das nicht extra).

 

[Mysterox]

Erstmal vielen Dank für deine Antwort.
Um den WireShark mitschnitt kümmere ich mich später oder morgen.
Ich habe aktuell noch ein altes DECT Telefon an der Fritzbox angemeldet, welches bei privaten Anrufen klingelt.
Das sollte aber eigentlich wieder zurück ins EG / OG .

Da ich einen DSLite Anschluss habe ist das mit dem von aussen immer so eine Sache 🙃
Habe schon nen billig 1€ VServer als Portmapper laufen, auf dem dann auch mit der v4 eine Domain läuft.
Ich denke aber der Weg eh nicht so knorke ist, dann lieber ein separates Gerät für private Telefonie.

Aber WireShark mache ich noch.

Gruß

Thomas

 

[t-6]

Ich denke aber der Weg eh nicht so knorke ist, dann lieber ein separates Gerät für private Telefonie.

Ja, auch im Sinne der IT deines Arbeitgebers. Deine VPN-Konfiguration wäre dann eine Sonderlocke wo spätestens wenn es nicht funktioniert der Support entweder absolut keinen Bock hat dir beim Debugging zu helfen oder von den Vorgesetzten ein "Privatvergnügen = Kein Support" gesagt bekommen hat.

Anders ausgedrückt: Würde mir ein Kollege mit Wireshark-Dumps seines dienstlich gelieferten Telefons kommen, gäbe es höchstens "das hast du aber fein gemacht!" & ein Reset des Geräts auf Firmenstandard.

 

[Mysterox]

@t-6 Hast du Recht kann ich auch vollkommen verstehen. Ich will keine keine Sonderlocken unserer IT. Ich dachte halt nur es wäre einfach dem Tel ggf. bei zu bringen das es bitte nicht alles übers VPN routen soll.

Ein Reset auf Firmenstandard ist nicht möglich, da es alles privat Eigentum ist ;-)
Ich habe nichts von meinem AG bekommen, Rechner / Monitor / Tel alles mein kram.

 

[norKoeri]

Da ich einen DSLite Anschluss habe ist das mit dem von aussen immer so eine Sache

Bei welchem Internet-Anbieter?

Aber Yealink kann auch IPv6 (nachdem einige Parameter angepasst wurden) … wenn Dein VPN bzw. Deine Firma es kann. Und ob Yealink überhaupt IPv6 über OpenVPN kann, weiß ich auch nicht. Und ob der SIP-Registrar in der FRITZ!Box sich auch über IPv6 bietet … müsste ich ebenfalls testen.

 

[Mysterox]

Hi,

mein Anschluss ist von der deutschen Glasfaser.
Aber soweit ich weiß hat / macht meine Firma kein v6.

Anbei mal ein Auszug aus WireShark

192.168.100.1 ist meine FritzBox
192.168.100.201 ist das Telefon
192.168.80.1 ist die Telefonanlage meines AG

 

[norKoeri]

Laut dem Log bist Du eingebucht (REGISTER hat OK bekommen), kannst auch telefonieren (INVITE), kamst sogar durch (INVITE hat OK bekommen). Was ich nicht verstehe: Warum sehen wir im Log auch jene Anfragen zum 80er-Netz; ist das Log mit VPN auf dem Telefon aus?

 

[Mysterox]

Das war ein Log von der Fritzbox, warum dort das 80er Netz auftaucht, weiß ich leider auch nicht.

Da habe ich gerade mal das Logging auf dem Telefon gestartet und versucht einen Anruf durch zuführen.

 

[norKoeri]

Also auf Ebene SIP = Gesprächsablauf sieht alles gut aus. Die Frage ist, was real passiert ist:
Hat der Gesprächsablauf nicht geklappt oder (nur) kein Ton zu hören?

 

[Mysterox]

Ich denke das generell etwas nicht stimmt, da das Telefon erst gar nicht klingelt, wenn ich auf diese Nummer anrufe.

 

[norKoeri]

Eingehende Telefonie ist schwieriger, und kann irgendwas sein. Erstmal die abgehende Telefonie, klappt die?

 

[Mysterox]

Nein leider auch nicht. Es klingelt zwar und auf der Gegenstelle wird die korrekte Nummer angezeigt,aber es kommt kein Ton, in keine Richtung.