Configureren Grandstream HT812 VoIP ATA voor vaste telefonie (i.c.m. eigen modem/router)

Reden voor deze post is om anderen weer op weg te helpen en mogelijk wat tijd en frustratie te besparen. Ik ben geen netwerk of telefoon specialist dus mijn keuzes zijn arbitrair en ik ben tot beter inzicht bereid. Voor mij heeft onderstaande een werkende situatie opgeleverd.
Wel heb ik nog restpunten open staan waar anderen misschien input aan kunnen geven

Hoofd Referenties die ik gebruikt heb:

1. PDF van KPN  met betrekking voor Vast Bellen https://www.kpn.com/service/eigen-apparatuur.htm (wat naar benden scrollen voor de link naar de PDF)

2. https://forum.kpn.com/vast-bellen-13/configureren-grandstream-ht801-ht802-voip-ata-voor-vaste-telefonie-i-c-m-eigen-modem-router-494209
   Voor de KPN basis instellingen (de HT812 met genoemde firmware heeft er wat meer, dus verder puzzelen maar zeer bedankt voor de voorzet).
3. Na wat uurtjes zwoegen in 2 dagen met de settings eerst maar de tip (beste atwoord) van Babylonia gevold met de 3CX windows voip app uit:
   https://forum.kpn.com/vast-bellen-13/test-met-voip-via-software-op-pc-bijvoorbeeld-microsip-547885.  Dit gaf de zekerheid dat mijn VOIP KPN wachtwoord enzo goed zijn, en het dus niet aan de firewall of KPN ligt maar aan de settings in de HT812.
4. https://en.wikipedia.org/wiki/G.711 & https://en.wikipedia.org/wiki/G.722 voor de Audio Codec keuzes
5. End de Adminisrtation guid van de HT812/HT814 al werd ik daar niet veel wijzer van. Gelukig is dit forum er.

Uitganspunt voor de beschreven settings in deze post is de factory default, alleen de wijzigingen, of mogelijk wenselijke wijzigingen worden aangemerkt/ opgetekend. Sommige keuzes die ik gemaakt heb heb ik toegelicht, ieder heeft zijn eigen netwerk, dus eigen keuzes, maar deze werken voor mij bij KPN.

De HT812 VOIP ATA is een infrastructuur node op het newerk, net als een switch, in mijn ogen dus het IP adres na vinden in de DHCP lease log vastegezet met een IP adres buiten de standaard client scope via DHCP reservering. Tevens in deze reservering de DNS Servers van KPN gezet omdat ik voor de firewall en de client netwerken andere keuzes maak. Voordeel om via DHCP te doen is dat je het makkelijk aanpast vanaf een centraal beheers platform en vanuit een factory reset wel al direct het goede adres krijgt in je netwerk. Factory reset was in mijn geval een aantal maal nodig . o.a. vanwege typfouten? in het wachtwoord en vergeten wat default was dus terug naar begin.
Configureren via Web interface in plaats van via een aangesloten telefoon (wat ook mogelijk is) lijkt mij te prefereren en is dus t volgen in deze post.

Bold is de setting  Underline de waarde         rest is commentaar of  toelichting

Het betreft een HT812 Grandstream VOIP ATA adapter
Hardware Version:   V1.6B
Software Version:    Program -- 1.0.41.2    Bootloader -- 1.0.41.1    Core -- 1.0.41.1    Base -- 1.0.41.2  CPE -- 1.0.4.19.                     Dit is e laatste volgense de site van Grandstream

Settings in de gevolgde werkwijze die voor mij uiteindelijk tot een werkend reproduceerbaar resultaat leide.

Eerste inlog met admin/admin via http://<ip-adres>

Vervolgens in "BASIC SETTINGS"

Eerste de default wachtwoorden van End user en Viewer veranderen (ook als je van plan bent ze te disabelen).  Vanuit het apparaat => Must contain 8-20 characters, at least one number, one uppercase and lowercase letter.
        Dit in tegenstelling tot de Admin guide: The password is case sensitive with maximum length of 25 characters; uiteindelijk het apparaat aangehouden.

    New End User Password:           zelf1Verzinnen
    Confirm End User Password:    zelf1Verzinnen
    New Viewer Password:            verzin2eZelf>
    Confirm Viewer Password:    verzin2eZelf>

    Web Access Mode:    (X) HTTPS            Het 'symbool' (X) staat voor de keuze dot in het scherm die de selectie aangeeft.
    Disable SSH:       (X) Yes             Wanneer je niet van plan bent om via een command prompt te configureren een potentieele open deur dicht doen.

    WAN Side Web/SSH Access      (X) Auto Heb ik op auto laten staan omdat ik de ATA in bridged mode ga zetten en er dus maar 1 management interface overblijft met een IP adres.  Keuze voor Bridged mode zodat tijdelijke aparatuur aangesloten op de extra netwerk poort een IP adres krijgt van de Firewall en zich niet verschuilt achter het IP adres van de ATA (NAT). De ATA is een  infrastructuur node en een aangekoppeld apparaat waarschijnlijk een client dus verschillende firewall rule regimes.

    Internet Protocol:       IPv4 Only                Is default en ik heb alleen KPN; de proxy geeft in dns alleen een IPv4 adres dus ondersteund waarschijnlijk IPv6 niet. Dus ook minder ruis op het newerk.

    IPv4 Address:   (X) dynamically assigned via DHCP           Is de default, boven mijn reden uitegelegd,maar voor de locatie van de volgende setting als referentie opgegeven.
                       

    Time Zone:     GMT+01:00 (....,Amsterdam,...)  In mijn geval
    Allow DHCP server to set Time Zone:     No         Mijn geklooi in de firewall mag geen invoed hebben op de tijd met commnicatie met KPN

    Device Mode:          (X) Bridge   
    Enable LAN DHCP:       No   `          Voor de zekerheid de DHCP server disablen in de HT812 bij Bridged mode, die moet van de Firewall/Router Komen en niet voor mogelijk vervuiling op het netwerk zorgen

    Kies Apply onder aan de pagina.        Als je direct door wil naar de volgende pagina verlies je de settings van deze pagina  ;(

        Your configuration changes have been saved.
        They will take effect on next reboot.

Na de reboot inloggen via Https ipv Http
Nu naar de tab "ADVANCED SETTINGS"

    New Admin Password:      Compl3xW8w69rd                Haal van de default af, voor echt secure handelen was dit de tweede stap geweest naar eerst alleen protocol op https gezet te hebben met de reboot :)
    Confirm Admin Password:  Compl3xW8w69rd

    Disable de andere gebruikers; Verwacht daar thuis geen gebruik van, als de telefoon het straks een keer niet doet zal er aan mij gevraagd worden wat er aan de hand is :)
    Disable User Level Web Access:        (X) Yes     
    Disable Viewer Level Web Access:    (X) Yes  

    Layer 2 QoS:    
     SIP 802.1p      5     (0-7)

    Volgens KPN is een STUN server niet nodig dus die is leeg, in de test met de 3XC (ref Babylonia) kon die niet uit maar hij is inderdaad niet nodig.

    Firmware Upgrade and Provisioning:
            Moet ik nog uitwerken maar denk dat mijn voorkeur wordt om dat lokaal te gaan regelen.
    
    3CX Auto Provision:    (X)  KPN is geen 3CX dus geen risico nemen denk ik maar.

    Voor de beltonen op deze pagina verwijs ik naar het HT801/HT802 topic uit bovenstaande referenties
    
    NTP Server :        op pool.ntp.org         heb ik laten staan, de ip adressen die ik kreeg zijn uit Nederland.

    Disable Weak TLS Cipher Suites:     Disable All Of The Above Weak TLS Ciphers Suites.      Let wel: beperkte impact want VOIP gaat over unencrypted UDP!

        Apply onderaan de pagina:  de ATA will rebooten
        (30 seconde pauze voor een slok koffie)

Nu naar de "FXS PORTS" tab
        Omdat ik verwacht dat wanneer we een profiel invullen hij direct naar de server van KPN probeert te gaan met halve configuraties, dus eerst de KPN credentials invullen lijkt mij.

    SIP User ID:       +31xxxxxxxxx        je vaste telefoonnummer in in internationale notatie
    Authenticate ID:   a…...@ims.imscore.net        de gebruikersnaam in die je van KPN gekregen hebt.
    Authenticate Password:   abcd….   het wachtwoord dat je in het KPN  service-tool opgegeven hebt.
    Name:                      ?? een beschrijving voor het SIP-account op. Dit is optioneel maar kan handig zijn.
                                Volgense de admin guid: Chooses a name to be associated to user.  Geen idee.… leeg gelaten

   Bij 2e FXS poort :  Enable Port (X) No

       Apply onder aan de pagina

Nu naar de "PROFILE 2" tab
    Profile Active:       (X) No      Ik gebruik momenteel alleen KPN dus geen tweede FXS port in gebruik en ook geen tweede profiel.

    Apply helemaal onder aan de pagina

Nu naar de "PROFILE 1" tab

    Primary SIP Server:    ims.imscore.net
    Prefer Primary SIP Server:   (X) Yes
    Outbound Proxy:    voip1-ext.kpn.net
    Prefer Primary Outbound Proxy:  (X)  Yes

SLIC Setting:      EUROPEAN CTR21
Caller ID Scheme:      ETSI-DTMF during ringing

Use First Matching Vocoder in 200OK SDP:    (X)  Yes
Preferred Vocoder(in listed order): 

           choice 1:   G722  (Mag van KPN aageboden worden, is beter dan G711a zie wikipedia ref)
           choice 2:   PCMA  (is G711a wat van KPN altijd aageboden moet worden, wikipedia ref)
           choice 8:   PCMU  (is G711u wat primair in Noord Amerika gebruikt wordt, wikipedia ref)
           Rest default         geen informatie opgezocht vanwege first match, eerste twee zouden met KPN moeten werken.

Ten overvloede: Test of het werkt om te bellen en gebeld te worden. Is dat in orde is ga dan naar "ADVANCED SETTINGS" en download en export een backup van je configuratie. Ik heb alle drie varianten maar gedownload. Exht leesbaar is het niet voor mij.

Veel success!