Telefonie Anno 2020

Wie viele andere Techies auch, habe ich seit den Neunzigern ISDN für meine Festnetztelefonie verwendet. Das System war mal klasse, ist aber in die Jahre gekommen. Heute kann man kaum noch Endgeräte kaufen. Jetzt stand eine Aktualisierung meines Anschlusses an, und ich wollte in dem Zuge nicht länger in ISDN investieren. “Kauf dir halt ein anderes Telefon” hab ich gedacht. Wenn das mal so einfach wäre.

Geschichte: Kein Funk im Keller

Wir leben in einem Haus mit 4 Stockwerken, vom Keller bis unters Dach. Der Kabelanschluss befindet sich ganz unten, schön in einem dieser kleinen 19-Zoll TK Schaltschränke. Dort sind auch Switch und Firewall eingebaut. Das ist wartungsfreundlich und schaut ordentlich aus, hat aber eine Besonderheit: Aus einem Metallkasten im Keller soll man keine Funksignale (WLAN, DECT) bis unters Dach erwarten. Repeater halte ich grundsätzlich für problematisch, also schaut das Setup bei uns so aus:

Bevor einer meckert: Ich möchte mich von meiner bevorzugten OpnSense Firewall nicht trennen, eine Fritzbox scheidet daher als all-in-one Lösung für mich aus.

Thema 1: DOCSIS 3.1 Verbindung

Unitymedia ist jetzt Vodafone, und Vodafone bietet 1-Gigabit-Anschlüsse an. Klar, dass ich da zugreife. Ein DOCSIS 3.1 Modem ist dafür Voraussetzung. Die Connect Station von Vodafone ist so eine all-in-one Lösung, passt mir aber nicht, da ich weder im Keller funken noch auf OpnSense verzichten möchte.

Lösung: Ein Technicolor TC4400 Kabelmodem muss her. Das Gerät ist eigentlich ganz benutzerfreundlich, es gab aber ein paar Fallstricke, die ich für Nachahmer hier aufführe:

  • Die IP Adresse des Modems lautet 192.168.100.1.
  • Ein eigenes Modem muss man an der Unitymedia-Hotline per MAC Adresse freischalten lassen. Das dauert effektiv ein paar Tage. Die MAC Adresse findet sich zB auf dem Gehäuse des Modems. Ich musste deswegen bestimmt 5 Mal telefonieren, bevor das passte.
  • In der Dokumentation findet sich ein falsches Passwort. Das Default Passwort für den Nutzer admin lautet bEn2o#US9s. Mit der Kennung user/password hat man Zugag, sieht aber einige wichtige Werte nicht. Hat mich eine Weile googeln und fluchen gekostet.
  • Nur als Admin kann man auf der Seite “CM Connection” den Namen der Konfiguration sehen - und damit, ob das Modem überhaupt Netzzugang hat. Solange der Name no-service.bin lautet, ist die MAC Adresse des Modems bei Unitymedia nicht freigeschaltet. Im Betrieb lautet der Name zB bei mir cust-own_500000_50000_ipv4_sip_wifi-on.bin.
  • Anders als gedacht verbindet man sich zu dem Modem nicht per PPPoE oder so. Am Ethernet-Anschluss liegt per DHCP eine Adresse an.

Ist dann alles eingerichtet, kommen ganz automatisch nach einigen Tagen auch die SIP Zugangsdaten von Unitymedia per Post.

Telefonie

Eigentlich hätte ich erwartet, dass es in Zeiten von IP-Telefonie eine Vielzahl von Wifi-Handsets gibt. Ist aber nicht der Fall, diese Wifi-Geräte sind total exotisch und überaus teuer. DECT ist der Standard, was anderes findet man bei den gängigen Elektrohändlern gar nicht.

Meine Wahl des Telefons für das 1. OG fiel auf das Gigaset CL660HX. Eines der wenigen Geräte, die nicht aussehen wie billigster Plastikkram. Das Gerät kann DECT/GAP und eignet sich somit zukunftssicher zum Anschluss an entsprechende Basisstationen, aber so eine hab ich ja nun mal nicht. Meine Anschlussvariante ist “Kabel vom Keller bis ins erste OG.” Ich habe mich für einen Telefon-VoIP-Adapter Linksys PAP2T entschieden. Das Gerät ist zwar alt, aber günstig (um 20 EUR) und weiterhin gut erhältlich.

Im Haus hatte ich von früher bereits ISDN-fähige Verkabelung, die man auch für analoge Anschlüsse weiter verwenden kann. Zum Anschluss brauchte ich weiter zwei Stück RJ11/RJ45 Modularkabel: Eins vom Telefon zur RJ45-Anschlussdose im 1. OG, ein zweites im Keller vom Patchfeld (auf dem das ankommende Telefonkabel aufgelegt ist) an den VoIP-Adapter.

Sind alle Kabel verbunden und alles eingeschaltet, solltest du am Telefon vier mal den Stern wählen und dann die Konfiguration des VoIP-Adapters hören können (ja, der hat ua ein Sprachmenü!). Aber schauen wir zunächst auf die Firewall:

Firewall Einstellungen

Als erstes habe ich dafür gesorgt, dass der VoIP Adapter im internen Netz stets die selbe IP-Adresse erhält. Ansonsten machen Portforwarding und Firewallregeln keinen Sinn. Dies erreicht man durch eine statische Zuweisung im Bereich Services/DHCPv4. Unter Firewall/Aliases habe ich mir ein Alias voip für diese gewählte Adresse angelegt, das macht Regeln anschließend lesbarer.

SIP verwendet dann zwei Protokolle:

  1. SIP auf Port 5060-5061/udp zur Anrufsignalisierung
  2. RTP auf Port 16384-16482/udp zur Übertragung der Audiodaten

Für beide ist dann ein NAT Portforwarding nach folgendem Muster anzulegen

  • Interface: WAN
  • Protokoll: UDP
  • Adresse: WAN Adresse
  • Ports: wie oben
  • Target: Alias voip wie oben

OpnSense ist so schlau, die zusätzlich benötigten Firewall Regeln damit auch direkt anzulegen, es ist sicher keine dumme Idee, das mal zu kontrollieren.

VoIP Einstellungen

Ist das alles geschafft, fehlt noch die Einrichtung des PAP2 Adapters. Diese kann man per Webinterface durchführen. (Du hast daran gedacht, die IP Adresse festzulegen? :-)

  1. Verbinde dich mit dem Webinterface
  2. Klicke rechts auf “Admin login” - erst dann sind überhaupt Einstellungen veränderbar
  3. Klicke auf “switch to advanced view” - erst dann sind alle Einstellungen sichtbar

Die mitgelieferte Anleitung ist nicht hilfreich, für Details braucht man zB dieses Admin Manual. Die Konfiguration des PAP2T ist nichts für schwache Nerven, hier war die Seite www.spakonfig.de überaus hilfreich. Neben gefühlt hundert anderen Werten war dies für mich entscheidend:

  • Seite SIP/Nat Support Parameters: Die “VIA” Parameter müssen gesetzt sein, nur dann registriert sich die Box mit der externen IP-Adresse.
  • Für Unitymedia kommt der Verbindungsserver ins Feld “Proxy” auf der Seite “Line 1”. Der Anmeldename wird im Feld “AuthID” eingestellt.

Ich habe noch keinen Weg gefunden, die Konfiguration des PAP2T als Text zu exportieren. Sollte mir das gelingen, füge ich hier alle Werte bei.

Ist dann alles eingestellt, kann man jedenfalls schön per DECT/VoIP/Firewall/Unitymedia telefonieren. Das hat mich ungefähr fünf Tage Aufwand und reichlich Nerven gekostet und ist in dieser Form sicher nichts für jedermann.