[Voip] FunkFeuer Asterisk - NAT und SIP Problem gelöst

[Andreas Marksteiner]

Hallo Leute,

nach ein wenig tcpdump-ing wurde nun eh schnell klar wo der Grund für 
(mein) NAT Problem liegt.

Beschreibung folgt:

Debug Meldung vom Asterisk CLI - diese Meldung wiederholt sich:
-----------------------------------------------
 to 193.238.158.1:61290
Transmitting (NAT):
SIP/2.0 401 Unauthorized
Via: SIP/2.0/UDP 
192.168.1.111:61290;branch=z9hG4bKf2624f198e02102d;received=193.238.158.1;rport=61290
From: "Andreas Marksteiner" 
<sip:(spam-protected)>;tag=e6e46ac6f82e8d18
To: <sip:(spam-protected)>;tag=as26c7c9f8
Call-ID: (spam-protected)
CSeq: 10001 REGISTER
User-Agent: Asterisk PBX
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER
Contact: <sip:(spam-protected)>
WWW-Authenticate: Digest realm="asterisk", nonce="56748fb9"
Content-Length: 0
-----------------------------------------------

Erst mal Verwunderung über laufende"SIP/2.0 401 Unauthorized", weil user 
und passwort stimmen. Es dürfte aber so sein, dass Asterisk auf eine 
Anfrage vom Client erst mal mit dieser Message antwortet und 
gleichzeitig damit erst eine Authentifizierung anfordert.

Weiters verwundert - für meinen Funk-Knoten gesehen der Eintrag 
"Contact: <sip:(spam-protected)>". [ Anmerkung: Erst mal war 
ich sowieso verwirrt, weil diese IP leider noch fälschlicherweise auf 
einen DNS Eintrag mapped, der einem Linksys am VIVI angehört (selber 
schuld - hab ich nicht nachgezogen). ]
In Wirklichkeit ist diese IP auf ein VLAN Interface am Sandwich 
konfiguriert, wo direkt eine 5GHz Wireless Bridge am Dach angehängt ist. 
Dieses VLAN Interface hat den Sinn, dass wir nicht einen eigenen Router 
am Dach brauchen, sondern einfach ein weiteres "virtuelles" Interface am 
Sandwich, welches im olsrd eingetragen ist und routet.

Wenn ich von meinem Knoten zum Sandwich gehe, komme ich über dieses VLAN 
Interface dort an.

Nun ist in der Config vom Asterisk folgende Verhängnisvolle Zeile 
"bindaddr=0.0.0.0         ; IP address to bind to (0.0.0.0 binds to all)".

Es ist nun so, dass mein Client zwar auf die IP 193.238.156.2 anfragt, 
die Antworten aber direkt vom VLAN Interface und dessen IP 
193.238.156.90 zurückkommen. Das gefällt nun dem NAT auf meiner Seite 
natürlich gar nicht ...

Wenn ich also die IP 193.238.156.90 als Asterisk IP in meinem Client 
einstelle, oder als sinnvollere Lösung in der Asterisk Config 
"bindaddr=193.238.156.2         ; IP address to bind to (0.0.0.0 binds 
to all)" einstelle geht es natürlich.

Das Problem sollte alle Leute betroffen haben, die
- NAT verwenden UND
-- über einen Tunnel zum Sandwich gegangen sind (OpenVPN Endpunkt 
Interfaces sind auch am Sandwich)
ODER
-- zufällig über eine der Wireless Bridges (zelt7 und ho6) und VLAN 
Interface IP zum VIVI kamen (so ungerfähr fast alle)

Problem solved - endlich geht mein VoIP Phone wieder :-)


Grüße, Andi.