Hallo Leute!
Ich habe das Problem, dass die VoIP-Verbindungen, die von meinem Handy verwaltet werden, eine sehr schlechte Qualität haben... Nun, nachdem ich die Asterisk-Konfiguration zum 100. Mal geprüft habe, würde ich fast sagen, dass das Problem irgendwo anderes ist.
Mir ist heute eingefallen, dass ich mein Netz so eingerichtet habe, dass Asterisk vom Internet über NAT (über eine nicht standard Port) erreichbar ist. Dazu hatte ich den VoIP-Traffic privilegiert.
Mein heutige Idee ist, dass vielleicht den Traffic auf dieser Port NICHT privilegiert wird, und das könnte die schlechte Sprachqualität erklären.
Nun, wenn ich sehe die Statistiken der Paketen von der Tabelle "mangle", sehe ich, dass für die Port, die ich für den NAT eingerichtet habe, kein Byte "gefangen" worden ist.
Das kann ich mir aber nicht erklären, denn, wenn ich das Schema der Ketten von IPTables anschaue, werden die Pakete erstmal zur Tabelle "mangle" und danach zur "nat"...
Ich habe folgendes in meinem Skript:
/sbin/iptables -t nat -A PREROUTING -p udp -m udp --dport 25060 -j DNAT --to-destination 192.168.20.120:5060 -m comment --comment "SIP-Anfragen vom Internet zum Asterisk" /sbin/iptables -t mangle -A POSTROUTING -p udp --dport 25060 -j MARK --set-mark 3 -m comment --comment "SIP (ueberprivilegiert) - Anfrage" /sbin/iptables -t mangle -A PREROUTING -p udp --sport 25060 -j MARK --set-mark 3 -m comment --comment "SIP (ueberprivilegiert) - Antwort"
Was ist dabei falsch?
Danke für eure Hilfe Luca Bertoncello (lucabert@lucabert.de)
Am 08.09.2015 um 15:28 schrieb Luca Bertoncello:
Hallo Leute!
Ich habe das Problem, dass die VoIP-Verbindungen, die von meinem Handy verwaltet werden, eine sehr schlechte Qualität haben... Nun, nachdem ich die Asterisk-Konfiguration zum 100. Mal geprüft habe, würde ich fast sagen, dass das Problem irgendwo anderes ist.
Mir ist heute eingefallen, dass ich mein Netz so eingerichtet habe, dass Asterisk vom Internet über NAT (über eine nicht standard Port) erreichbar ist. Dazu hatte ich den VoIP-Traffic privilegiert.
Mein heutige Idee ist, dass vielleicht den Traffic auf dieser Port NICHT privilegiert wird, und das könnte die schlechte Sprachqualität erklären.
Nun, wenn ich sehe die Statistiken der Paketen von der Tabelle "mangle", sehe ich, dass für die Port, die ich für den NAT eingerichtet habe, kein Byte "gefangen" worden ist.
Das kann ich mir aber nicht erklären, denn, wenn ich das Schema der Ketten von IPTables anschaue, werden die Pakete erstmal zur Tabelle "mangle" und danach zur "nat"...
Ich habe folgendes in meinem Skript:
/sbin/iptables -t nat -A PREROUTING -p udp -m udp --dport 25060 -j DNAT --to-destination 192.168.20.120:5060 -m comment --comment "SIP-Anfragen vom Internet zum Asterisk" /sbin/iptables -t mangle -A POSTROUTING -p udp --dport 25060 -j MARK --set-mark 3 -m comment --comment "SIP (ueberprivilegiert) - Anfrage" /sbin/iptables -t mangle -A PREROUTING -p udp --sport 25060 -j MARK --set-mark 3 -m comment --comment "SIP (ueberprivilegiert) - Antwort"
ist das alles von deiner Firewall?
wenn ich das richtig überblicke lauscht dein Asterix auf 5060 und eingehende Pakete werden von 25060 auf dport 5060 umgeschrieben, dport 25060 ist nicht mehr (weil mangle postroute nach nat preroute verarbeitet wird)
und wer mit sourceport 25060 in deinem Aufbau kommen sollte, weiß ich nicht wahrscheinlich keiner. also für mich scheint es klar das keine Pakete in mangle sind.
Andreas
Was ist dabei falsch?
Danke für eure Hilfe Luca Bertoncello (lucabert@lucabert.de)
Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Zitat von fridy_lugdd@yahoo.com:
ist das alles von deiner Firewall?
Nein, aber alles, war mit Asterisk zu tun hat... Asterisk läuft auf einem separaten Rechner (IP 192.168.20.120 auf die Standard-Port 5060). Der andere Rechner dient als Gateway/Firewall
wenn ich das richtig überblicke lauscht dein Asterix auf 5060 und eingehende Pakete werden von 25060 auf dport 5060 umgeschrieben,
Jawohl!
dport 25060 ist nicht mehr (weil mangle postroute nach nat preroute verarbeitet wird)
OK, soll ich also die Regel löschen?
und wer mit sourceport 25060 in deinem Aufbau kommen sollte, weiß ich nicht wahrscheinlich keiner. also für mich scheint es klar das keine Pakete in mangle sind.
OK, aber dann ist die Frage: wie soll ich meine Firewall so ändern, dass der NAT erfolgt **UND** die Port privilegiert bleibt?
Danke Luca Bertoncello (lucabert@lucabert.de)
Am 16.09.2015 um 12:32 schrieb Luca Bertoncello:
Zitat von fridy_lugdd@yahoo.com:
ist das alles von deiner Firewall?
Nein, aber alles, war mit Asterisk zu tun hat... Asterisk läuft auf einem separaten Rechner (IP 192.168.20.120 auf die Standard-Port 5060). Der andere Rechner dient als Gateway/Firewall
wenn ich das richtig überblicke lauscht dein Asterix auf 5060 und eingehende Pakete werden von 25060 auf dport 5060 umgeschrieben,
Jawohl!
dport 25060 ist nicht mehr (weil mangle postroute nach nat preroute verarbeitet wird)
OK, soll ich also die Regel löschen?
da die regel nicht greift kannst du sie auch löschen nimmt es kein Platzweg und es sieht schöner aus
und wer mit sourceport 25060 in deinem Aufbau kommen sollte, weiß ich nicht wahrscheinlich keiner. also für mich scheint es klar das keine Pakete in mangle sind.
OK, aber dann ist die Frage: wie soll ich meine Firewall so ändern, dass der NAT erfolgt **UND** die Port privilegiert bleibt?
die frage kann ich dir so nicht beantworten, wenn du mit der sprachqualität nicht zufrieden bist und denkst das es durch priorisierung besser wird dann würde ich es ändern, wenns dir egal ist dann kannste es auch weg lassen
AF
Danke Luca Bertoncello (lucabert@lucabert.de)
Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
"fridy_lugdd@yahoo.com" fridy_lugdd@yahoo.com schrieb:
OK, aber dann ist die Frage: wie soll ich meine Firewall so ändern, dass der NAT erfolgt **UND** die Port privilegiert bleibt?
die frage kann ich dir so nicht beantworten, wenn du mit der sprachqualität nicht zufrieden bist und denkst das es durch priorisierung besser wird dann würde ich es ändern, wenns dir egal ist dann kannste es auch weg lassen
Es ist nur eine Vermutung, dass die schlechte Sprachqualität an der Priorisierung liegt... Und für mich die Frage wäre jetzt: wie kann ich die Regeln ändern, dass der Weg priorisiert wird?
Danke Luca Bertoncello (lucabert@lucabert.de)
lug-dd@mailman.schlittermann.de
-
fridy_lugdd@yahoo.com -
Luca Bertoncello