benjam1n
Goto Top

Problem mit Telekom-VoIP und Lancom-Router

Hallo zusammen,
ich habe ein Problem mit unserer Auerswald Telefonanalage an einem LANCOM-Router. Regelmäßig kommt es zu Ausfällen der externen SIP-Anbindung. Die Anlage meldet dann beim Outbound-Proxy: 404: Not Found (1:27)

Im LANCOM-Router finden sich Logeinträge , dass Pakete verworfen wurden:
2	2016-07-20 10:20:10	LOCAL3	Alarm	Dst: **MEINEIP**:5060 {Gateway_Telefon.intern}, Src: 69.64.57.185:5060 (UDP): connection refused
3	2016-07-20 10:18:45	LOCAL3	Alarm	Dst:**MEINEIP**:5353 {Gateway_Telefon.intern}, Src: 184.105.247.203:43360 (UDP): connection refused
4	2016-07-20 10:16:10	LOCAL3	Alarm	Dst: **MEINEIP**:1434 {Gateway_Telefon.intern}, Src: 216.218.206.97:44930 (UDP): connection refused
15	2016-07-20 10:01:20	LOCAL3	Alarm	Dst: **MEINEIP**:60616 {Gateway_Telefon.intern}, Src: 217.0.21.36:5060 (UDP): connection refused
16	2016-07-20 10:00:04	LOCAL3	Alarm	Dst: **MEINEIP**:60616 {Gateway_Telefon.intern}, Src: 217.0.21.36:5060 (UDP): connection refused
17	2016-07-20 09:58:48	LOCAL3	Alarm	Dst: **MEINEIP**:49200 {Gateway_Telefon.intern}, Src: 217.10.77.241:27556 (UDP): connection refused
18	2016-07-20 09:54:15	LOCAL3	Alarm	Dst: **MEINEIP**:5060 {Gateway_Telefon.intern}, Src: 209.126.122.16:5963 (UDP): connection refused
Woran liegt das? In der Firewall ist VOIP als erlaubter Verkehr eingetragen. Außerdem sind mir die ersten IPs schleierhaft, da die nicht zur Telekom oder Sipgate gehören.

Vielen Dank für Hilfe!
Benjamin

Content-Key: 310345

Url: https://administrator.de/contentid/310345

Ausgedruckt am: 19.03.2024 um 11:03 Uhr

Mitglied: LordGurke
LordGurke 20.07.2016 um 11:16:43 Uhr
Goto Top
Die Firewall-Einträge haben mit deinem Problem nichts zu tun sondern sind schlicht Grundrauschen. Zudem: Du bekommst ja eine Rückmeldung (nämlich 404), was belegt, dass die Firewall diese Pakete nicht verworfen hat.

Sind in der Telefonanlage SRV-Lookups aktiviert? Das ist etwas, was bei mir schon genau dieses Problem verursacht hat und durch deaktivieren der SRV-Lookups behoben wurde.
Mitglied: keine-ahnung
keine-ahnung 20.07.2016 um 11:18:20 Uhr
Goto Top
Moin,
was sind das für wilde Ports, die da angesprochen werden? Sicher das die TK SIP-seitig richtig konfiguriert ist?? Welche Ports sind im LANCOM denn bei "VOIP" in der firewall freigegeben? Und spielt der Lancom nur Router oder nutzt Du die allIP-option?

Wie würde Künast twittern: "FRAGEN!" face-smile

LG, Thomas
Mitglied: Benjam1n
Benjam1n 20.07.2016 um 11:34:35 Uhr
Goto Top
@LordGurke SRV-Lookups kann man (soweit ich gesehen habe) nicht konfigurieren. Die Konfiguration ist die von Auerswald mitgelieferte Konfiguration.

@keine-ahnung Also wie gesagt: Das ist das Standardprofil von Auerswald, das verwendet wird. Warum die Ports so komisch sind, verstehe ich nicht. In der Anlage eingetragen ist 5060 für den Registrar, 5076 für den SIP-Port und 3478 für Stun. Nat Traversal ist aus. Der Lancom-Router wird nur als Router genutzt, ohne Allip-Option. 3478-3479,5060-5061,5076 sind bei Lancom für TCP und UDP freigegeben. Ebenso DNS, MAIL(25,110,143), SECURE-MAIL(587,993,995), WEB (80,443).

Was mich im Moment noch beunruhigt ist die IP 69.64.57.185. Da kann ich einfach nicht erkennen, wozu die gehört.

Danke für die Tipps bis hierher! Das ging ja wirklich schnell.
Mitglied: aqui
aqui 20.07.2016 um 11:43:13 Uhr
Goto Top
Da kann ich einfach nicht erkennen, wozu die gehört.
Its all on the Web...!!
http://www.utrace.de/?query=69.64.57.185

Frage: Warum ist NAT Traversal deaktiviert wo doch deine Anlage nachweislicher hinter einem NAT Router steht ?? Das ist unverständlich und vermutlich auch falsch konfiguriert !
Zweiter Punkt. Wenn der Router selber ein VoIP Gateway sein kann (S0 oder analoge Fonie Schnittstellen) dann fängt der Router natürlich im Default solchen VoIP Traffik ab, da er "denkt" der ist für ihn gedacht. Der registrat "sieht" ja durch dein NAT am Router nur die ISP Router Adresse.
Folglich muss man als im Lancom alle VoIP Funktionen deaktivieren damit er alles transparent passieren lässt. Ist es eh kein VoIP Router, dann ist dieser Punkt natürlch obsolet.
Mitglied: keine-ahnung
keine-ahnung 20.07.2016 um 11:48:37 Uhr
Goto Top
Das ist das Standardprofil von Auerswald, das verwendet wird.
???
Meinst Du damit die Anbieterkonfiguration? IMHO hat Auerswald die vor Kurzem für die Telekomiker neu releast - lad Dir das Teil mal in Deine uns unbekannte Auerswald-TK.
Was mich im Moment noch beunruhigt ist die IP 69.64.57.185
BSB Service GmbH in Hürth.

LG, Thomas
Mitglied: Benjam1n
Benjam1n 20.07.2016 aktualisiert um 12:00:09 Uhr
Goto Top
ok. Also das mit der IP ist noch komisch. Laut https://www.netip.de/search?query=69.64.57.185 sitzt da etwas in den USA dahinter. Die Auerswald ist eine Auerswald Compact5000. Telekomprofil werde ich gleich mal neu runterladen.
Zu den NAT-Traversal-Einstellungen: Ich hatte mich das seinerzeit auch bei der Einrichtung gefragt. Da es aber auch mit der von Auerswald (Anbieterkonfiguration, ja) vorgeschlagenen Konfiguration funktioniert hat, habe ich es deaktiviert gelassen.

Aber was fängt der Lancom-Router da eigentlich ab?
Inzwischen sind wieder neu Einträge im Syslog aufgetaucht:
2	2016-07-20 11:49:58	LOCAL3	Alarm	Dst: **MEINEIP**:5060 {Gateway_Telefon.intern}, Src: 69.64.57.185:5135 (UDP): connection refused
7	2016-07-20 11:24:58	LOCAL3	Alarm	Dst: **MEINEIP**:1900 {Gateway_Telefon.intern}, Src: 184.105.139.81:55619 (UDP): connection refused
10	2016-07-20 11:16:14	LOCAL3	Alarm	Dst: **MEINEIP**:5060 {Gateway_Telefon.intern}, Src: 74.93.38.163:5066 (UDP): connection refused
11	2016-07-20 11:14:31	LOCAL3	Alarm	Dst: **MEINEIP**:5060 {Gateway_Telefon.intern}, Src: 209.222.96.106:5210 (UDP): connection refused
12	2016-07-20 10:55:28	LOCAL3	Alarm	Dst: **MEINEIP**:60616 {Gateway_Telefon.intern}, Src: 217.0.21.36:5060 (UDP): connection refused
16	2016-07-20 10:31:34	LOCAL3	Alarm	Dst: **MEINEIP**:49229 {Gateway_Telefon.intern}, Src: 217.10.77.243:22133 (UDP): connection refused
SIP-ALG im Lancom ist deaktiviert, "Firewall-Sperrregeln für weitergeleitete SIP-Pakete ignorieren" ist aktiv
Mitglied: LordGurke
LordGurke 20.07.2016 um 12:26:13 Uhr
Goto Top
Wenn der Lancom selber VoIP kann besteht die Gefahr, dass er auf Traffic zu Port 5060, gerichtet an eine seiner IPs, reagiert und es selbst verknuppert anstatt es weiterzuleiten. Wenn die Auerswald als lokalen Source-Port etwas verwendet was über 5061 liegt, ist das aber sehr unwahrscheinlich.

Nichtsdestotrotz sollte NAT traversal immer aktiviert sein (selbst ohne NAT macht das Sinn) und ggf. macht es für dich auch Sinn den SIP ALG des Lancom zu aktivieren - dann erfasst der den gesamten SIP-Traffic als transparenter Proxy und kann im Zweifel unterscheiden, ob die SIP-Pakete an ihn gerichtet sind oder an ein dahinter liegendes System weitergeleitet werden müssen.
Mitglied: tikayevent
tikayevent 20.07.2016 um 12:35:53 Uhr
Goto Top
Ich hatte das Problem bei unseren Filialen auch. Das Problem ist das SIP-ALG. SIP kann Herstellerspezifische Erweiterungen haben, die nicht zwangsläufig förderlich für die Interoperabilität sind. Das SIP-ALG wurde auf den Wunsch eines Telefonanlagenherstellers entwickelt, also in Hinblick auf deren SIP-Variante. Mit anderen Anlagen kann es zu Problemen führen.

Ich habe am Ende einfach das SIP-ALG deaktiviert und die QoS-Priorisierung über eine Firewallregel aufgebaut.

Wichtig ist auch, dass man in der Telefonanlage das richtige Profil wählt. Es gibt mehrere Telekomprofile, die auch teilweise funktionieren, aber am besten Online das aktuellste Profil herunterladen, was zum Anschluss passt.