SIP Odorik za DS-lite IPV6 routerem

[shiningman]

Dobrý den, už roky používám IP telefon A 580 IP na své síti bez problémů. Mám aktivní jak účet Odorik, tak slovenský Viptel.
Tento rok jsme měnili internetového operátota na slovenský Orange VDSL. Tento operátor už podporuje poze IPv6, ktetému fungování zatím moc nerozimím. Používá Systém DS-Lite na konverzi IPv4 paketů do IPv6, ktonkrétně router Zyxel VMG3927-T50K. Na lokální stíti funguje IPv4 v rozsahu 192.168.1.1-255. Telefon má přidělenou adresu z tohoto rosahu.
Mám problém s připojením svého SIP telefonu konkrérně:
Při použití standardních portů 5060 jako registrační port, proxy, i outbound proxy se oba účty tváří jako připojené, na linku se dá dovolat, avšak není slyšet zvuk
Při změně všech portů na 443, Viptel funguje bez problémů, slyšet zvuk u odchozího i příchozího hovoru, Odorik se však do sítě nepřihlásí
Při změně portu u Odoriku na 443 u proxy a odbound proxy a zachování registračního portu 5060, se Odorik do sítě přihlásí, při odchozím hovoru zvuk slyším, příchozí hovor zvoní, ale zvuk není.
Odorik v aplikacii PortSIP v Iphonu, také zvoní, ale není zvuk, na jiné stíti tato aplikace funguje bez problemů.
Kontaktoval jsem podporu Orange, ale předpokládám, že fungování SIP asi moc nerozumí, chtěl bych se zeptat, jaké konkrétní požadavky mám na ně klást, co může být blokovano, zatím jsem říkal pouze o portu 5060, ale po 3 pokusech z jejich strany žádná změna.
Děkuji za pomoc

[xsouku04]

Dual Stack - lite podporuje ipv4 skrze tunelování. Zákazník dostane jen ipv6 a provoz ipv4 přes ipv6 tuneluje z lokální sítě. Možná je chyba právě v nastavení toho tunelování, takže to funguje špatně. Tedy poskytovaná služba není úplná. Ten router máte vlastní, nebo vám jej dodali oni? Dávají nějaké návody, jak to nastavit?

SIP používá jiné porty na signalizaci (když nejdou, tak se nedaří registrovat ani volat). Na serveru sip.odorik.cz máme otevřené různé porty. Jako 5060, 443 a 6688. Na samotném telefonu je možné si zvolit port libovolný.
Pro hlas se používá jiný porty. Pokud někdo průchod blokuje, nebo je špatně nastavený NAT není slyšet. Buď jedním směrem, nebo oběma.
Aby to fungovalo, normálně není třeba dělat vůbec nic.

Kdyby všechno ostatní selhalo, můžete si udělat wireguard tunel - viewtopic.php?t=5352 .

Taky bychom si ipv6 vyzkoušeli a podporovali, ale žádné připojení k internetu, kterým disponujeme, ipv6 nepodporuje. Jen servery samotné.

[Pitomec]

VoIP by mělo jít provozovat i na IPv6, ale to asi nebude případ již obstarožního modelu A580 IP.

Pokud nějaký ISP podporuje pouze IPv6 a neumí IPv4 jinak, než jako DS-Lite (a to ani na vyžádání ne), tak bych se s ním rychle rozloučil, protože to není ISP, ale idiot. Tady bude u VoIP zjevně problém u CGNAT, který daný ISP používá, ovšem to není řešitelná věc, jedině ta změna ISP.

[alfi]

Nj, Gigasety IPv6 neumí - a ani se mi nedaří dohledat, jestli někdy umět budou (jen nějaké lepší, "únor 2014: Podporu IPv6 mají z Gigasetů pouze verze PRO-series,to jsou modely : DE900, DE700, DE410, DE310". A google nevrací ani nic novějšího - že by úplně přestali dělat VoIP základny - nemají je ani u sebe na webu?)

Jestli provider neumí IPv4, může to být docela problém - zvláštní je, jestli Viptel i přesto funguje..? Asi jediná použitelná cesta bude nějaká ta VPN nebo vyměnit telefon.

Taky bychom si ipv6 vyzkoušeli a podporovali, ale žádné připojení k internetu, kterým disponujeme ipv6 nepodporuje. Jen servery samotné.

Já na jednom místě IPv6 mám, ale zrovna je tam taky jeden z Gigasetů, který jej neumí. Naopak u Yealinků zase nemám IPv6 Někdy můžu zkusit Yealink převézt a vyzkoušet, ale chtělo by to doménu, která má v6 adresu, sip.odorik.cz ji nemá.

[xsouku04]

To ale musíme dobře otestovat, ale ono se to špatně testuje, když jen proto, abychom to mohli testovat, bychom museli dělat různé tunely. To je zajímavé, jak chce EU všechno regulovat pro dobro všech. Ale nařídit povinnost internet poskytovatelům nabízet ipv6, to nikoho nenapadne, přitom by to mohlo vnést úplně nové možnosti u IoT věcí, který by tak nemusely být tolik nutně závislé na cloudových často čínských službách. Umožnilo by to také přímé VoIP hovory a videohovory. V EU ale raději regulují nesmysly.
Problém s tím, že ip adresy dochází, mají hlavně nové služby a noví menší poskytovatelé internetu, kteří musí za ipv4 na černém trhu platit nemalé peníze. Čímž se stěžují inovace a brání se konkurenci. Bohužel velké zaběhnuté subjekty si nabraly dostatek ip adres v době, kdy to ještě bylo zdarma, takže je to tolik nepálí.

[alfi]

To ale musíme dobře otestovat ale ono se to špatně testuje, když jen proto abychom to mohli testovat bychom museli dělat různé tunely. To je zajímavé jak chce EU všechno regulovat pro dobro všech. Ale nařídit povinnost internet poskytovatelům nabízet ipv6 to nikoho nenapadne, přitom by to mohlo vnést úplně nové možnosti u IoT věcí, který by tak nemusely být tolik nutně závislé na cloudových často čínských službách. Umožnilo by to také přímé VoIP hovory a videohovory. V EU ale raději regulují nesmysly.
Problém s tím, že ip adresy dochází mají hlavně nové služby a noví menší poskytovatelé internetu, kteří musí za ipv4 na černém trhu platit nemalé peníze. Čímž se stěžují inovace a brání se konkurenci. Bohužel velké zaběhnuté subjekty si nabrali dostatek ip adres v době kdy to ještě bylo zdarma, takže je to tolik nepálí.

Stačí přidat nové DNS jméno, které tu AAAA adresu bude mít s poznámkou "testovací provoz", někteří uživatelé to rádi vyzkouší?


Jinak samotné IPv6 SIP ani IoT moc nevyřeší - většina routerů je ve výchozím nastavení vč. firewallu na příchozí provoz (tj. otevírání audio portu zůstává) a taky vč. SLAAC (https://www.networkacademy.io/ccna/ipv6 ... tion-slaac), tj. v6 adresa se generuje náhodně a v čase se taky mění. Změnit uživatelsky tohle chování routeru typický uživatel spíš nezvládne. Dokonce je to chtěné i pro to IoT, např. https://www.researchgate.net/publicatio ... _of_Things

[xsouku04]

To ale musíme dobře otestovat ale ono se to špatně testuje, když jen proto abychom to mohli testovat bychom museli dělat různé tunely. To je zajímavé jak chce EU všechno regulovat pro dobro všech. Ale nařídit povinnost internet poskytovatelům nabízet ipv6 to nikoho nenapadne, přitom by to mohlo vnést úplně nové možnosti u IoT věcí, který by tak nemusely být tolik nutně závislé na cloudových často čínských službách. Umožnilo by to také přímé VoIP hovory a videohovory. V EU ale raději regulují nesmysly.
Problém s tím, že ip adresy dochází mají hlavně nové služby a noví menší poskytovatelé internetu, kteří musí za ipv4 na černém trhu platit nemalé peníze. Čímž se stěžují inovace a brání se konkurenci. Bohužel velké zaběhnuté subjekty si nabrali dostatek ip adres v době kdy to ještě bylo zdarma, takže je to tolik nepálí.

Stačí přidat nové DNS jméno, které tu AAAA adresu bude mít s poznámkou "testovací provoz", někteří uživatelé to rádi vyzkouší?

Obávám se, že takto jednoduché to nebude. Protokol SIP totiž cpe IP adresy všude možně do svých hlaviček. Jakoby v době, kdy SIP vznikal, měli mít všichni uživatelé svoji vlastní veřejnou ip adresu. Takže to musí opravdu ladit, co to bude dělat, aby SIP proxy např. kvůli tomu nepadala. Tedy schůdnější by možná bylo kvůli tomu nasadit třeba outbound SIP proxy (jiný stroj) a na ní si to testovat.

Jinak samotné IPv6 SIP ani IoT moc nevyřeší - většina routerů je ve výchozím nastavení vč. firewallu na příchozí provoz (tj. otevírání audio portu zůstává) a taky vč. SLAAC (https://www.networkacademy.io/ccna/ipv6 ... tion-slaac), tj. v6 adresa se generuje náhodně a v čase se taky mění. Změnit uživatelsky tohle chování routeru typický uživatel spíš nezvládne. Dokonce je to chtěné i pro to IoT, např. https://www.researchgate.net/publicatio ... _of_Things

Povolit příchozí pakety na jedné ipv6 ip adrese a portu nemůže být o nic víc složitější než registrace do průměrného cloudu. Např. párování klimatizace s aplikací v androidu bylo neskutečné. Spíše se bojím toho, aby např. mobilní operátor automaticky vše neblokoval "kvůli ochraně", kterou je ochoten vypnout jen za příplatek. Ale podobné praktiky by nebyl problém zakázat. Blokovat může, ale na požádání to musí zdarma zrušit.
Také jde o to, že když o sobě ta dvě zařízení vědí, budou moci vždy komunikovat napřímo. Firewall si otevřou navzrájem. Což by bylo velmi snadné. Narozdíl od některých méně používaných NATů nyní, jejich uživatelé si nic napřímo poslat nemohou nikdy, ale vždy přes prostředníka.
Ale největší důvod je, že jsou výrazně znevýhodněni noví hráči na trhu, protože ipv4 adresy nemají z doby, kdy je každý na požádání dostal zdarma.

On totiž tento stav těm velkým náramně vyhovuje, komunikace napřímo je nežádoucí, stejně tak je nežádoucí to začínajícícm startupům usnadňovat.

[alfi]

Obávám se, že takto jednoduché to nebude. Protokol SIP totiž cpe IP adresy všude možně do svých hlaviček. Jakoby v době kdy SIP vznikal měli mít všichni uživatelé svoji vlastní veřejnou ip adresu. Takže to musí opravdu ladit, co to bude dělat, aby SIP proxy např. kvůli tomu nepadala. Tedy schůdnější by možná bylo kvůli tomu nasadit třeba outbound SIP proxy (jiný stroj) a na ní si to testovat.

Cpe tam IP serveru nebo klienta? AAAA záznam potřebuje server, klientské v SIP komunikaci můžou být jakékoliv.

Povolit příchozí pakety na jedné ipv6 ip adrese a portu nemůže být o nic víc složitější než registrace do průměrného cloudu. Např. párování klimatizace s aplikací v androidu bylo neskutečné. Spíše se bojím toho, aby např. mobilní operátor automaticky vše neblokoval "kvůli ochraně", kterou je ochoten vypnout jen za příplatek. Ale podobné praktiky by nebyl problém zakázat. Blokovat může, ale na požádání to musí zdarma zrušit.
Také jde o to, že když o sobě ty dvě zařízení vědí, budou moci vždy komunikovat napřímo. Firewall si otevřou navzrájem. Což by bylo velmi snadné. Narozdíl od některých méně používaných NATů nyní, jejich uživatelé si nic napřímo poslat nemohou nikdy, ale vždy přes prostředníka.
Ale největší důvod je, že jsou výrazně znevýhodněni noví hráči na trhu, protože ipv4 adresy nemají z doby, kdy je každý na požádání dostal zdarma.

SLAAC znamená, že zařízení si, typicky jednou za den, IPv6 adresu pseudonáhodně vygeneruje samo. Tj. router o zařízeních nic neví, není tam DHCP, port forward sice nastavit půjde, ale do druhého dne bude cílová IP jiná. DHCPv6 jde zapnout, ale znamená to změnu přidělování v celé LAN síti, vč. toho, že pak všechny zařízení mají "statickou" IP, což je zase nechtěné kvůli soukromí. Tedy zařízení můžou komunikovat napřímo, ale stejně potřebujou každý den přes nějaký server aktualizovat svou IP

Že by některý provider blokoval příchozí IPv6 provoz jsem zatím neslyšel.

IPv4 už víc nebude, tj. ano, kdo je má, má výhodu proti novým hráčům. Nezbývá, než IPv6 podporovat, kde to jde, aby už v4 nebylo vůbec potřeba. Já se snažím mít v6 adresu na všech serverech, které udržuju Problém pak budou tyhle stará zařízení, které technicky jedou i po 15 letech, ale v6 neumí a umět nebudou...

[xsouku04]

Do SIP hlaviček cpou ip adresy jak server tak klient. Na mnoho různých míst. SIP klient tam nacpe většinou svou neveřejnou adresu, takže je nepoužitelná a server pak stejně všechny pakety posílá na ip adresu a port, odkud chodí příchozí pakety. Některý client se snaží pomocí technologie STUN zjistit, jaké je mapování na veřejné ip adresy, a dává tam pak ty veřejné, v praxi je to ale k ničemu, jen se to komplikuje.
A do toho existuje ještě SIP ALG, tož je "kurvítko" na routerech, které snaží vyměňovat neveřejné ip adresy za veřejné, ale často to skončí tak, že se projevují různé záhadné problémy, protože SIP ALG je nějaký nesmysl SIP teoretiků, který snad ani dobře fungovat nemůže.
Když ještě do toho vstoupí to, že některé ip adresy by mohly být ipv6, předpokládám, že to může vyžadovat nějaké ladění.

Kdyby si volali dva lidi, co mají ipv6, zjevně by mohl jít zvuk napřímo bez dalších úprav, jen signalizace by šla přes sip proxy. Pokud si dva účastnici předávají pomocí třetí strany jen signalizaci, je to dobře škálovatelné.

Kdyby bylo ipv6 pro poskytovatel internetu časem povinné, hodně by to mohlo jisté věci v budoucnu zjednodušit.

Co se týče SLAAC, není možné, aby zařízení u kterých to má smysl, si "čistě náhodou" vygenerovalo vždy stejnou ipv6 adresu, aby tak bylo snadněji dosažitelné? Pokud to možné není, napadá mne kacířská myšlenka, že to může být stejně nedomyšlené, jako je protokol SIP.

Nabízet vše jen přes cloudy bez alternativní možnosti, mi přijde, že je tak trochu cesta do pekla. Až Čínu nasereme, vypnou nám polovinu zařízení. Až nasereme Rusko, vypnou to také tím, že přeruší pár podmořských kabelů a zbytek zahltí. Donutit poskytovatele podporovat ipv6 je podstatně levnější a účinnější než cokoli jiného, co může politik vymyslet.

[pali]

Co se týče SLAAC, není možné, aby zařízení u kterých to má smysl, si "čistě náhodou" vygenerovalo vždy stejnou ipv6 adresu, aby tak bylo snadněji dosažitelné?

Pôvodne to tak bolo, generovaná časť IPv6 SLAAC adresy sa deterministicky odvodzovala iba z MAC adresy. Kvôli bezpečnosti okolo roku 2000 sa to zmenilo a SLAAC adresa má generovanú časť (pseudo)náhodnu a ešte k tomu sa pravidelne obmeňuje (na Linuxe má platnosť 24 hodín).

Tento problém by sa mohol čiastočne vyriešiť ak by systémy implementovali deterministické generovanie SLAAC adries podľa RFC 7217. Zas spoliehať sa na to nedá a vyžaduje to aby koncové zariadenia to implementovali (tzn. SIP telefón).

Osobne si ale myslím, že beztrestne dovoliť každému zariadeniu v sieti nech si samo zvolí IP adresu je proste anarchia Tam kde môžem, používam statefull DHCPv6 (bez SLAAC) a mám takto poriadok v sieti.

Že by některý provider blokoval příchozí IPv6 provoz jsem zatím neslyšel.

Bohužiaľ na Slovensku som nielenže počul ale jedného aj zažil na vlastnej koži. Blokoval všetko prichádzajúce. Našťastie na požiadanie mi bol ochotný to odblokovať (staticky mi naroutoval /48 z úplne iného rozsahu). Blokuje sa to kvôli "bezpečnosti".

V ČR mi Vodafone chcel začať blokovať prichádzajúce spojenia lebo som mal otvorený port 23. Počúval tam ale honeypot, nie skutočný telnet na roota.

A aj keby sa SLAAC nejak vyriešil, tak je tu ešte jeden problém. Poskytovatelia internetu, ktorý používajú PPPoE majú tendenciu prideľovať IPv4 aj IPv6 adresy náhodne pri vytáčaní spojenia. Pri IPv4 sa zmení tá jedna pridelená adresa, pri IPv6 to znamená, že sa zmení celý prefix adries. PPPoE session môže padnúť už pri krátkom výpadku / stráte pár paketov a je ju potom potrebné vytočiť nanovo. Design PPPoE je úplne rovnaký ako pri dialup spojení (kto si to ešte pamätá), používa to rovnaký protokol PPP až na to, že PPP pakety sa zabaľujú do ethernet rámcov namiesto posielania do modemu.

V minulosti poskytovateľ v nemecku automaticky rozpojoval PPP session po 24 hodinách aby sa IPv4 adresa zmenila a nútil tak zákazníkov aby si platili za službu "statická adresa".