Zwei Fragen zu MicroSIP und Wireguard

[K-551]

Hi Leute,

ich arrbeite hauptsächlich von zu Hause. Ab und an muss ich ja mal Kunden anrufen.
Da ich nicht meine private Handynummer dafür nehmen will hatte ich bis jetzt eine zweite Sim im Handy.
Allerdings gehen viele Leute nicht bei einer fremden Handynummer ran.

Dafür hab ich mir vor nem halben Jahr in der Fritzbox auf Arbeit ein Software-Telefon eingerichtet und nutze das dann mit MicroSIP und nem Wireguard-Tunnel. Zur Info: Ich telefoniere nur heraus, ich nehme keine Telefonate an.
Das funktioniert alles super, allerdings will ich nicht das mein PC die ganze Zeit mit dem Firmennetzwerk verbnden ist, da ich hier sonst abgeschnitten von meiner Infrastuktur bin. Und Wireguard die ganze Zeit an und aus schalten nervt auch gewaltig.

Ich habe jetzt in der Fritzbox beim Telefoniegerät "Anmelden aus dem Internet" aktiviert. MicroSIP verbindet sich zwar und Anrufe kann ich auch tätigen, allerdings hören die beiden Seiten sich nicht.
Kennt das einer oder weis was das Problem sein könnte?

Zum zweiten Teil:
Alternativ währe weiter MicroSIP über Wireguard laufen zu lassen.
Wie kann ich Wireguard zwingen, nur exklusiv diese eine Programm durch den VPN tunnel zu schicken und den Rest in meinem Netzwerk lassen?

 

[Zensai]

SIP über ein VPN schicken ist in den allermeisten Fällen eine blöde Idee und kommt oft mit Problemen wie Qualitätseinbußen oder abbrüchen einher.

Was du suchst nennt sich Split Tunneling.
Das schickt nur die Anfragen übers VPN, die dahin müssen und den Rest nicht.

 

[s1ave77]

Split Tunneling.

Können (die brauchbaren, egal welche) alle, muß manchmal von der IT eingerichtet werden, oder?

 

[Zensai]

Da es sich hier um eine Firma handelt, ja. Sollte sie und ja, jede anständige VPN Lösung kann das.
Scheinbar auch wireguard. Wir hatten hier einen Thread letztes Jahr zu dieser Konstellation:

https://www.computerbase.de/forum/t...glichen-traffic-durch-den-vpn-tunnel.2130022/

 

[s1ave77]

Scheinbar auch wireguard.

Kann ich dann verifizieren, mein Windscribe-Client kann Wireguard und Splittunnel gleichzeitig. Ist auf GitHub, kann man selber kompilieren .

 

[xexex]

Ich habe jetzt in der Fritzbox beim Telefoniegerät "Anmelden aus dem Internet" aktiviert.

Ganz böse Geschichte! Wenn du nicht penibel auf die Konfiguration aufpasst und sichere Kennwörter verwendest, kann es ganz schnell, ganz teuer werden bei SIP. Ich hoffe alle Sonderrufnummern und am besten auch gleich Auslandstelefonate sind gesperrt?

MicroSIP verbindet sich zwar und Anrufe kann ich auch tätigen, allerdings hören die beiden Seiten sich nicht.

Liegt am SIP Protokoll, der unbehandelt schlichtweg zu sowas führt. Ganz simpel ausgedrückt, während der Media Aushandlung werden die lokalen Adressen der SIP Gegenstellen ausgetauscht. Wenn das nicht durch Router speziell behandelt wird, versucht die FB in der Firma deine lokale Adresse zu erreichen, was nicht klappen kann.

https://docs.netscaler.com/de-de/ci...ion/lsn-configuring-alg/sip-protocol-alg.html

SIP über ein VPN schicken ist in den allermeisten Fällen eine blöde Idee und kommt oft mit Problemen wie Qualitätseinbußen oder abbrüchen einher.

Sorry aber das ist schlichtweg falsch! Wie werden wohl sonst Telefonate heute geführt, wenn die TK nicht komplett in der Cloud ist? Fakt ist, VPN macht hier keinen Unterschied, aber durch die für Telefonate verwendeten kleinen Pakete, kommen VPN Router schnell an ihre Grenzen. Hier am Beispiel Lancom:

https://cdn.pressebox.de/a/6f11419a...attachment/filename/TP-VPN-Performance-DE.pdf

@K-551
Jetzt reden wir hier von einer Fritz Box, da stellt sich mir die Frage inwiefern das überhaupt unter die Kategorie "professionell" fällt. Ich würde an deiner Stelle mich nach Cloud Telefonanlagen umschauen und die gesamte Telefonie darüber abwickeln. Nur als Beispiel:
https://www.sipgate.de/

Andere Alternative, sollte mittlerweile mit jeden besseren Mobilfunkanbieter gehen:

Mit One Number entscheiden Sie, welche Ihrer Telekom Rufnummern angezeigt wird – auch wenn Sie vom Smartphone aus anrufen. Ihre Geschäftspartner erkennen sofort, wer anruft. Und Ihre Mobilfunk-Nummer bleibt vertraulich.
https://geschaeftskunden.telekom.de/mobile-loesungen/produkt/one-number

 

[s1ave77]

Wenn du nicht penibel auf die Konfiguration aufpasst und sichere Kennwörter verwendest, kann es ganz schnell, ganz teuer werden bei SIP. Ich hoffe alle Sonderrufnummern und am besten auch gleich Auslandstelefonate sind gesperrt?

Oh man, der ist hier frisch, aber gemerkt, ist ja hinterf*tzig.

Die mache ich dann doch bold-red!!!

 

[K-551]

Ok, erstmal danke, einiges gelernt.
@Zensai: Danke für den Link. warum ich das nicht selbst gesehen habe, das man in der Wireguard-Config die IP-Adressen exklusivisieren kann...

Das wird wohl auch der Weg sein, welchen ich einschlage.
Aktuelles Problem ist, das an beiden Enden ne Fritzbox mit den Standart-IP 192.168.178.1 hängt.
Also die Ranges gleich sind.

Da muss ich wohl die in der Firma ändern, da sind es weniger Geräte.
Leider kann ich das nur vor Ort, da ich alles mit nem Telefon vor Ort bestätigen muss.

@xexex
Ja telefonate ins ausland und sondernummer sind gesperrt. Ich wollte diese Funktion auch nicht uznbedingt nutzen.
Zum Thema Telefonanlage:
Wir sind ne zwei-Mann-Firma. Meine Anrufe halten sich in grenzen. Ist immer Projekt abhängig. Mal sind es 20/Woche mal Monatelang gar keine. Daher ist sowas overkill.

Das funktioniert so schon ganz gut mit MicroSIP.
Wie gesagt, wenn ich wireguard aktiviere fliege ich aus meinem Netzwerk raus. d.H. Kein Drucker, NAS etc.
Ist immer sehr nervig. Keine Medien mehr, Alles Netzwerkspeicher brechen ab usw. was halt nervt.

Werd dem Netzt auf Arbeit jetzt ne andere IP-Range verpassen und Wirguard dann sagen er soll nur Anfragen auf IP-Adresse XY durch den Tunnel leiten.


Man ist mir das peinlich, das ich das nicht selbst gesehen oder gefunden habe...

 

[Zensai]

Fakt ist, VPN macht hier keinen Unterschied,

Ich will jetzt hier keine Grundsatzdiskussion auf machen, aber das sehe ich nicht so. Vielleicht habe ich das oben zu strikt formuliert. Man kann schon VPN verwenden, muss dann aber nicht nur darauf achten, dass der VPN Router/Firewall mit den unterschiedlichen Paketgrößen klarkommt.

Viele(!) VPNs nutzen TCP, der RTP Stream für VoIP nutzt allerdings UDP und heutzutage meistens SSL.
Tunnelt man UDP Pakete über TCP, entsteht dadurch nicht nur ein zusätzliches Verschlüsselungslayer, was auf der anderen Seite durch den VPN Router wieder entschlüsselt werden muss, sondern bringt auch die Fehlerkorrektur von TCP völlig unnötig wieder in die Gleichung, wodurch verlorene RTP Sprachpakete Pakete (z.B. aufgrund ausgelasteter Leitungskapazität oder Netzwerkhardware) erneut angefordert werden, was widerum zu noch mehr Last auf den Komponenten und außerdem oft zu Einschränkungen in der Sprachqualität führt.

Grundsätzlich dann vielleicht so: Man kann VPN schon verwenden, sollte aber darauf achten, dass:

• Die beteiligte Hardware stark genug ist für das zusätzliche Verschlüsselungslayer
• Die Leitung groß genug dimensioniert ist
• Das VPN möglichst vorzugsweise nicht über TCP aufgebaut wird.

Wie werden wohl sonst Telefonate heute geführt, wenn die TK nicht komplett in der Cloud ist?

Heute wird eher auf Edge Services und SIP ALGs gesetzt und die Verbindung anderweitig abgesichert, zB über SSL und Authentication.

Vielleicht sind wir uns in dem Punkt auch nicht einig, das wäre ja auch denkbar, in dem Fall lass uns gerne über DM weiter machen, ansonsten führt das hier zu weit, wir haben im Forum schon genug Grundsatzdiskussionen

Man ist mir das peinlich, das ich das nicht selbst gesehen oder gefunden habe...

Ach iwo, Wald vor lauter Bäumen und so. Passt schon =)

 

[xexex]

Viele(!) VPNs nutzen TCP, der RTP Stream für VoIP nutzt allerdings UDP und heutzutage meistens SSL.
Tunnelt man UDP Pakete über TCP

Wieso sollte man UDP Pakete über TCP tunneln? Verstehe mich nicht falsch, aber die meisten VPN Protokolle nutzen für den Tunnel ebenfalls UDP, außer man braucht zum Beispiel aufgrund schlechter Verbindungen TCP. Das weltweit mit einem riesigen Abstand am meisten genutzte VPN Art ist IPSec und basiert auf UDP, TCP ist hier nur ein selten genutzter Fallback, was die wenigsten Gateways unterstützen.

Heutzutage wird eher auf Edge Services und SIP ALGs gesetzt und die Verbindung anderweitig abgesichert, zB über SSL und Authentication.

Vielleicht deine Erfahrung, die sich keinesfalls mit meiner überschneidet. Seit über 10 Jahren binden wir unterschiedliche Firmen und Home Office Arbeitsplätze über VPN an, inklusive VOIP Telefonie und auch wenn heutzutage immer mehr Firmen Richtung Teams gehen, war SIP über VPN nie ein Thema, außer bei der Dimensionierung von VPN Gateways.

Will hier jetzt aber auch keine weitere Grundsatzdiskussion darüber führen, nur der Behauptung VOIP über VPN wäre problematisch, muss ich kategorisch widersprechen. Ich arbeite aktuell in einem Konzern mit über 1000 Standorten, wo noch faktisch überall VOIP zum Einsatz kommt und nicht an einem Standort ist dies ein Thema. "Früher" war das in der Tat noch mit Hürden verbunden, wie du an meinem verlinkten Lancom Bildchen sehen kannst, da die Router gerne in die Knie gingen, heute interessiert es kaum jemanden mehr.