SP-H ohne SIPPROXY

      Man @eMKay77, danke für die Ideen & Info's. Nun habe ich den IPv4-Teil schon mal so, das er den USB-Stick nutzt, im Startup die IPv4-Firewall-Regeln schreibt und hinterher nix mehr anfassen kann, da voiper, siproxd, iptables und ip6tabels als "binary" fehlt.

      Dann ist dann wohl der IPv6 Teil jetzt das nächste ToDo.

      Zum Schluss kann man sicher noch die Regeln weiter tunen. ;o)

      Danke!
      @pingpong mit dem angesprochenen Setup sollte dein Wunsch erfüllt sein, Du must aber darauf achten, das Du dann alle VoIP-Gespräche über DSL führen würdest. Wenn der Wunsch besteht, nur die Telekom-VoIP Verbindungen über DSL zu führen und andere Anbieter über den Tunnel zu schicken, dann müsste man das Regelset geringfügig anpassen, sollte aber kein Problem sein. Müssen halt nur die IMS-IPAdresskreise möglichst so wählen, das wir alle Telekom-IMS-Server erwischen. ...und dann halt die restlichen VoIP-Pakete in den Tunnel packen. ...dann kannste auch VoIP über den Tunnel machen.

      ohne den SIPPROXY geht die Telefonie bei mir auf jeden Fall wesendlich zuverlässiger. durch das umbenennen von iptables fuscht er nun auch nicht mehr im Regelsatz um. wollte mir jetzt noch das IPv6 Thema anschauen.

      Grüße

      danXde
      @Stricted nur mal noch so als Idee: Wenn du den DYN-DNS-Client umbiegen könntest, dann könnte er den HE-Tunnel gleich mit aktualisieren. Dann wird das bei änderungen auch sofort im Router aktiviert. Ich hatte in meiner Fritzbox die Update-URL auch durch den DYN-DNS-Agent updaten lassen.

      Vielleicht bekommt man die Config auch so umgebogen, das der sowohl ein "No-IP" als auch gleich noch "HE" updated.
      Hi, mal ein neuen Zwischenstand.

      ---
      Vorbereitend sollte man die folgenden Themen/Threads bearbeitet durchgehen:
      1. tools zum ent-/verschlüsseln der config
      2. Telnet aktivieren
      3. Schreibzugriff auf rootfs
      4. Bootstrap - Erweiterungen / Änderungen auf USB auslagern
      5. Spielplatz-Extrem -- oder BusyBox-MIPS in der Vollversion und offiziell
      und nun zumSP-H ohne SIPPROXY

      ----



      - Vom Setup habe ich auf "Minimale Änderung im Flash und Nutzung eine USB-Stick's mit bootstrap und mount -bind /opt/orig/bin /bin umgestellt. Im so umgebogenen Verzeichnis habe ich:
      • siproxd
      • voiper
      • radvd, dhcp6s (für ipv6, da nutze ich andere bereitgestellte programme, dazu später mehr.)
      entfernt.

      iptables habe ich in ipt umbenannt, dann können keine Prozesse mehr den Regelsatz ändern.

      Im Script bootstrap_init.sh starte ich das Firewall-Scipt fw.sh einmalig.

      Im Skript ist jetzt die VoIP in Richtung Telekom konfiguriert. Zusätzlich sollte auch SIP-Verbindungen zu anderen Carrier über den Hybrid-Access-Möglich sein. Ebenfalls sind IPSEc zur Fritzbox(UDP 500,4500), sowie SSL-AccessTCP 443 zur Fritzbox freigeschaltet. -> Bei Nichtnutzung könnt Ihr die Zeilen auch auskommentieren.

      Im Kopf müsst Ihr natürlich noch Eure Werte für SPHLAN (Client-Netzwerk des SPH), SPHIP (eigene IP im SPHLAN) und FritzboxIP (im SPHLAN) eintragen. Ausserdem empfehle ich Euch noch eine kleines Routing-Skript auszuführen und so das Routing für Telekom-VoIP auch im Routing immer über DSL zu leiten:

      fw.sh
      https://dl.stricted.net/index.php/EntryDownload/9-iptabels-ohne-SIPPROXY/?fileID=14

      route.sh

      Shell-Script

      1. #!/bin/sh
      2. route add -net 217.0.0.0 netmask 255.255.224.0 ppp256


      ToDo's: (erstmal mit HE-Tunnel-Setup für IPv6, später vielleicht noch mit nativem Dualstack der Telekom)
      • VoIP über IPv6 muss ich noch anpassen,
      • ebenfalls das Thema Prefix-Delegation und dynamisches Routing
      • die ip6tables.

      Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von „danXde“ ()

      @eMKay77 ...danke, stehe dazu mit @Stricted aber wie schon erwähnt bereits in Kontakt.

      toDo, weil ich noch das Thema mit den automatischen Anpassen des Routings nicht durch bin. @doridian, hast Du das schon gelöst? Nutzt Du die Telekom Scopes oder auch das Tunnel-Setup von HE? Und dann wollte ich die IPv6-Tables noch so aufräumen, das ich hier alles rausschmeisse, was nicht absolut notwendig ist.

      weiteres toDo, dann das IPv6 Thema dann noch hier besser aufbereiten.

      Grüße

      danXde
      Hallo zusammen,

      hatte am Montag mal wieder Zeit mit dem Speedport ein wenig zu spielen. - Sprich ihm versuchen den Sipproxy + Telefonieteil abzugewöhnen.

      Ich habe einmal die iptables hier von danxde als Vorlage genutzt. Doch so richtig glücklich bin ich nicht geworden :) ... Hatte einen miserablen
      Datendurchsatz von rund 18 MBit (habe per DSL ~13 MBit + LTE = ~25 - 30 MBit, manchmal auch 50 MBit download). Bin leider nicht der Profi in
      Bezug auf die IPTables ..

      Habt ihr hier die Geschichte schon weiterentwickelt? Oder andersherum, gibt es eine Minimal-IPTables die nur den DSL/LTE Tunnel inkl. der
      Behandlung der VoIP Telefonie beinhaltet? Letztendlich reicht mir ein SPH mit elementarster Funktion (theoretisch könnte ich sogar auf DHCP
      verzichten, dann bekommt die FritzBox eben eine statische IP verpasst. Optimal wäre es, wenn so gut wie keinerlei Firewall-Funktionalität
      durch den SPH geboten werden würde sondern dieser ALLE Pakete, Protokolle (außer eben VoIP Telekom in DSL) in den Tunnel routet oder
      eben an die FritzBox weiterleitet. Firewall ist im SPH eh nur hinderlich. Geht soetwas? Habt ihr da mal was "vorbereitet"?

      Bei mir hat der SPH die 192.168.179.2 und die dahinterliegende FritzBox 192.178.179.100 ("Transportnetz zwischen den Boxen")

      Ich habs noch nicht getestet, aber wie verhält sich der SPH wenn der voiper und der sipproxyd einfach nicht gestartet werden kann (durch
      Umbenennen, so wie danxde dies gemacht hat) aber Rest so bleibt wie er ist?

      viele Grüße + Dank für die Unterstützung
      Michael
      @pingpong den Einbruch bei Datendurchsatz habe ich so nicht erlebt. Wenn Du die Dienste einfach umbenennst, werden diese nicht mehr gestartet und gut is. Ohne iptables-Anpassung geht das allerdings nicht, da Du ein Portforwarding der Ports von und in Richtung Telekom benötigst. Zur Sicherheit auch noch eine Routing-Anpassung für die IMS-Services der Telekom über DSL vorgenommen.

      Zum Thema Portforwaring: In dem obigen Ansatz mache ich genau das. ...ich forwarde alle TCP/UDP-Ports 1-65535 zur Fritzbox.

      Wenn Du den DHCP-abstellst, musst Du auf jeden Fall schauen das Du bei den iptables die Regeln für 169.0.0.0/8 löschst, da er sonst eine zugriffe zu Servern, u.a. WhatsUP behindert. Die Regel mit dem Deny müsste eigentlich 169.254.0.0/16 lauten.

      Der obige Regelsatz ist schon relativ elementar. Ich habe halt alles rausgehauen, was ich definitv nicht brauchen und habe allerdings gewisse einstellungen, wie MTU-Size für TCP-Pakte noch im Regelsatz drin gelassen.

      Ich werde noch das Thema SIP-Gate über Tunnel anschauen... und hoffentlich die Info's von @Stricted und @doridian noch soweit zum fliegen bekommen, das die IPv6 Prefix Delagation sauber funktioniert. ...wobei das nur noch testen ist, wozu ich aber erst nächste Woche kommen werde.

      Grüße

      danXde
      Hallo danxde,

      na dann mache ich mich auf die Suche nach dem Fehler in meiner Konfiguration.

      Bei der Gelegenheit: Wie startet man die Busybox auf dem Stick, so dass mir die zusätzlichen Befehle zur Verfügung stehen? Denke hier so an vi (ohne Editor auf dem SPH ist schon ekelig :( ... und der Nano
      hier aus dem Forum (Nachbarthread) lässt sich nicht starten ...

      Gruß
      Michael
      Moin @pingpong!

      Busybox ist eine multicall-binary. Bedeutet, sie erkennt, unter welchem Namen sie aufgerufen wird.
      Deshalb gibt es zwei Möglichkeiten, ein Applet auf zu rufen.

      Zum einen kannst Du einfach busybox-mips vi schreiben.
      Oder Du legst einen Link auf busybox-mips mit dem Namen 'vi' an.

      Also: busybox-mips ln -s busybox-mips vi

      wenn Du dann busybox über den Link namens 'vi' aufrufst, erkennt busybox das und startet das enthaltene vi ;)

      Alternativ: ich hab' in der Webdisk eine Vollversion von nano hinterlegt ;)

      mfg, emkay

      EDIT: hatte beim ln das vorangestellte busybox-mips vergessen... danke an @danXde für den Hinweis.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „eMKay77“ ()