lässt sich das Mobile-Hub mit einem self signed Zertifikat und entsprechendem DNS-Eintrag betreiben?
Der Mobile Client kann zur externen Adresse verbinden (via DNS) und funktioniert bis auf das VoIP-Feature problemlos.
Wird ein ein- oder ausgehender Anruf vom Mobile Client aus getätigt (kein GSM fallback), so wird keine Sprache übertragen (wird beim SRTP der Name im Zertifikat überprüft?).
Die Firewalleinstellungen (UDP NAT) sind korrekt. Mit der internen IP-Adresse bzw. DNS funktioniert auch das VoIP-Feature korrekt.
Hier wurde dieses Verhalten bereits angesprochen, allerdings nur mit Hinweis auf ein neues Feature in der pascom 18.
der MobileCient lässt auch selfsigned Zertifikate zu, das ist nicht das Problem. Kein Audio liegt vermutlich daran:
Das für das mobile Pairing aktivierte Inferface (nur auf einem aktivieren, hier fehlt noch das Fehlerhandling) verwendet einen FQDN der vom pascom Host selbst auf die interne IP aufgelöst wird. Beim Start des Interface-Containers wird die hier aufgelöste IP verwendet um den SBC (Kamailio) zu parametrieren. Dadurch würde dieser zum Mobile Client dann die interne IP als RTP Destination offerieren, was natürlich scheitert.
Daher würde ich dir onSite folgendes emfpehlen:
Primärinterface mit der internen IP als FQDN, hierüber die internen Geräte anbinden (dieses Interface muss auch “raus zum SIP Provider” dürfen). Hier mobile pairing deaktiveren.
Sekundärinterface (darf IP im gleichen Netz und gleiches Default Gateway haben, da das interface “in den Container” gezogen wird und als eigenständiger Host netzwerkbezogen agiert) bei dem mobile pairing aktiviert ist und entweder die externe öffentliche IP als FQDN eingetragen ist oder ein Hostname der von der pascom aus auf die externe IP aufgelöst wird (also kein Split DNS) verwenden.
habe auf dem ersten Interface “Mobile Client Pairing” deaktiviert und auf dem zweiten Interface aktiviert. Die externe IP-Adresse (oder auch DNS) ist im zweiten Interface eingetragen, alle weiteren “Zugänge” sind deaktiviert.
Das Firewall NAT ist auf das zweite Interface eingestellt.
Leider kommt eine Meldung am Mobile Client beim pairing “Keine Login-Daten vorhanden” (Header: Authentifizierung fehlgeschlagen).
Der QR-Code enthält die externe IP-Adresse.
Die Authentifizierung läuft über LDAP zu unserem AD.
Muss ALG auf dem zweiten Interface deaktiviert sein?
Auf dem zweiten Interface müssen also ebenfalls VoIP und XMPP aktiviert sein, für SRTP dann entsprechend in der Firewall der Port-Range des zweiten Interfaces. ALG bleibt aktiviert.
Das sieht soweit gut aus, Sprache wird übertragen und alle weiteren Funktionen des Mobile Clients sind benutzbar.
