Ausgehende Pakete an Config-Server liefern keine Antwort zurück

Hallo Community,

ich verfolge z. Zt. einen seltsamen Fall im Bezug auf VOIP in einem Unternehmen.

Die Telefone beziehen im Werkszustand automatisch Ihre Konfiguration von einem Server,

den sie über TCP Port 80 kontaktieren.

Danach erhalten Sie eine andere Adresse, um eine spezielle Konfiguration vom Anlagenbetreiber zu ziehen.

Daraufhin verbindet sich das Telefon dann normalerweise mit der Anlage und registriert sich.

-----------------------------------

Seit einiger Zeit klappt das nicht mehr, seit wann genau, kann ich jedoch nicht sagen.

Ich habe das ganze Konstrukt nochmal an einer privaten UTM untersucht.

Firmware ist bei beiden Modellen gleich: 9.602-3

Telefon versuchte den Host zu erreichen, dieser war durch die Firewall standardmäßig blockiert - HTTP zum angefragten Host freigegeben und die Config konnte gezogen werden.

Beim zweiten angefragen Host dann gleiches Spiel - HTTP zum angefragten Host freigegeben und auch hier zog das Telefon sich sofort die Config.

-----------------------------------

Im Unternehmen sieht die Sache ganz anders aus.

Lt. Firewall Log werden Pakete an den erstkontaktierten Host durchgereicht, nicht gedropt. Weiterhin passiert dann nichts mehr.

Das Telefon versucht bis ins Unendliche sich die Konfiguration vom 1. Server zu ziehen.

----------------------------------

Es gibt auch an sich keine weiteren Logs. Zur Analyse hab ich das Telefon aus dem Webfilter genommen, lasse es auch nicht von IPS überwachen.

Regeln sind die gleichen wie auf der privaten UTM. Privat klappt alles, im Unternehmen nicht.

Lt. ISP wäre alles in Ordnung.

 

Ich bin nun schon eine ganze Weile am suchen, finde jedoch keine Ursache.

Dass es hier an TCP_response_Timeouts liegt, kann ich eigentlich auch ausschließen,

da ich sowohl in der Unternehmens-UTM, als auch meiner Privaten nichts daran geändert habe.

 

Über Anregungen wäre ich sehr dankbar.

 

Viele Grüße

 

 

-----UPDATE-----

Selbst wenn ich das Netz, in dem das Telefon mit dem Webfilter überwachen lasse,

eine Ausnahme für die Antivirus-Überprüfung eintrage, den Host in die Skip-List eintrage oder gar den Webproxy komplett deaktiviere,

auf dem Telefon bekomme ich immer nur einen Fehler "502", der wohl für ein Timeout spricht.

Mit eingeschaltetem Webfilter erhalte ich den gleichen Fehler im Log. Erhöhung von HTTP Response- und Tunneltimeouts bringt jedoch auch hier keine Besserung.

An der privaten UTM ist das alles nicht notwendig. Funktioniert einwandfrei, auch mit Webproxy.

  • Hallo,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Sad)

    I think you've eliminated everything that might be a block caused by the UTM.  You didn't show us the topology, but I first would check to make sure the servers have a correct default gateway.  If that's not it, then is the first server giving the phones the correct IP for the second server?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • Hallo CDKK,

    Bist du sicher das dies an der UTM liegt? Steht der Server den du erreichen willst im internen Netz oder liegt der im Internet? Welchen Telefonhersteller hast du? Wenn er intern liegt kannst du doch bestimmt mal an einen Switch anschließen und die UTM umgehen.

    Hast du mal einen TCP dump durchgeführt um zu prüfen ob die Pakete wirklich ein sowie ausgehend passen?

    Gruß

    Jason

    Sophos certified Architect UTM

  • In reply to BAlfson:

    Hi Bob,
    danke für deinen Ansatz.

    Die Telefone erhalten von der UTM ganz normal ihre IP-Adresse von dem standardmäßig eingerichteten DHCP-Server, der mit der Schnittstelle angelegt wird. Das passt soweit. Bei meiner privaten UTM, das Gleiche. Konstrukt.

    Aufbau sieht wie folgt aus: Telefon→PoE-Switch→Switch→UTM.

    Ich dachte zuerst es könnte an den Switches liegen aber das kann eigentlich nicht wirklich sein.

    Denn in der einen Niederlassung, die mit einem RED angeschlossen ist, habe ich die gleichen Probleme. Hier lautet das Konstrukt: Telefon→Switch→RED→UTM(Hauptstandort). Hier wird also sämtlicher Traffic über die UTM geschickt. Anders sieht es da in dem anderen Branch office aus. Hier steht eine Watchguard, zwar mit VPN Tunnel, der Traffic wird jedoch direkt rausgeschickt - funktioniert einwandfrei. Ich benutze die gleichen DNS Server in beiden Fällen und es ist der selbe Provider.

  • In reply to Jason Klein:

    Hi Jason,

    ich bin recht sicher, dass es an DER UTM hängt. wie im weiteren Verlauf des Threads schon geschrieben,

    habe ich das Problem nicht bei der privaten UTM nachstellen können und auch nicht mit der Watchguard im Branch Office.

    Lediglich die UTM im Hauptstandort und das Branch Office, das via RED verbunden ist weisen den Fehler auf. Daher richte ich meinen Fokus schon ziemlich auf die UTM.

    Der Server liegt im Internet. Anlagen- und Telefonhersteller ist Innovaphone.

    TCPdump zeigt an, dass das Telefon ein Paket zum Konfigserver schickt. der scheint zu antworten und dann gibts eine TCP Retransmission vom 1. Paket. Und das immer und immer wieder. Beim TCPdump hinter der privaten UTM kann ich dieses Verhalten nicht feststellen. Wir haben auch aktuell im Unternehmen immer wieder mit Sprachqualitätsstörungen zu tun. Wenn solche Störungen im Telefon auftauchen, konnte ich im TCPdump erkennen, dass es auch an der Stelle immer wieder zu TCP Retransmissions gekommen ist, da das Telefon auch immer wieder während eines Gespräches seinen Status mit dem Anlagenserver abgleicht. Manchmal scheint das jedoch nicht immer auf Anhieb zu funktionieren.

    Allmählich bin ich wirklich ratlos. Der ISP hängt auch schon mit drin und wir haben schon etliche Sachen untersucht und ausgeschlossen. Der Anschluss sieht gut aus.

  • In reply to CdkK:

    Are you certain that the first server is giving the phones the correct IP at which to reach the second server?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to BAlfson:

    Hi Bob,

    Ja ich bin mir sicher. Das selbe Telefon, was im Unternehmen keine Konfiguration zieht, erhält sie in dem Branch office ohne RED und auch hinter der privaten UTM.

    Das Problem ist auch eher, dass das Telefon den ersten Server garnicht zu erreichen scheint. Im Telefon selbst, erhalte ich einen Fehler Status 502. Wenn ich das Telefon für den Webfilter zulasse, erhalte ich ein 504, wie auch im Webfilter-Log zu sehen ist. Es gibt also ein Timeout. In vorherigen Foreneinträgen hast du dieses Thema auch bereits geschildert. Richtige ich also eine AV-Scan Ausnahme für die Website ein und trage den Ziehlhost in die Skip-List ein, erhalte ich auch nur noch einen Status 502 im Webfilter-Log. Ich erhalte also immer Fehler 502, ob mit Webfilter oder ohne. IPS-Log ist leer.

    Viele Grüße

  • In reply to CdkK:

    Hallo,

    wie sind deine Einstellungen in Firewall/Erweitert  Protocol Handling, hast du hier evtl. strict TCP Session handling aktiv?

  • In reply to Jason Klein:

    Hi, das sind die Einstellungen

    In dieser Rubrik wurde auch nichts verändert, seit das Problem auftritt

    Vielen Dank

  • In reply to CdkK:

    Hi,

    ok das passt so. Ansonsten wüsste ich gerade auch nicht weiter. Evtl. SIP oder RTP Ports die geblock sind? 

  • In reply to Jason Klein:

    Leider nein, habe ich schon untersucht bzw. auch dem angeglichen, was auf der privaten UTM funktionierte. Ich werde jetzt mal ein Ticket bei Sophos eröffnen und mich dann mal wieder melden.

    Trotzdem schonmal vielen vielen Dank für die Unterstützung!

  • In reply to CdkK:

    Hi,

    sollte sich eine Lösung ergeben teile diese uns doch bitte mit, ich habe des öfteren schon seltsame Phänomene bei der UTM in zusammenspiel mit VOIP gesehen, mich würde interessieren was hierfür die Lösung ist.

  • In reply to CdkK:

    Is the first server in the 'Skip Transparent Mode Destination Hosts/Nets' box on the 'Misc' tab of 'Filtering Options' with 'Allow HTTP/S traffic for listed hosts/nets' checked?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to BAlfson:

    Hi Bob,

    es macht leider keinen Unterschied.

    Ich habe mal folgendes gemacht:

    Von einem Laptop über einen Hotspot habe ich die genaue URL aufgerufen (bin mir nicht sicher, ob ich sie veröffentlichen kann).

    Jedenfalls wird die Website sofort geöffnet und eine Seite mit Text/Script wird präsentiert.

    Rufe ich die selbe Website nochmal über das Unternehmen auf, bekomme ich folgende Meldung:

    Nun ist es völlig egal, ob ich das Netz mit dem transparenten Webproxy überwachen lasse, dabei eine Ausnahme für die Website definiere, die Website als erlaubte Website in den Webfilter-Richtlinien eintrage und/oder den Host auf die Proxy-Ausnahme-Liste setze. Der einzige Unterschied ist dann, dass ich im Webfilter-Log nichts mehr angezeigt bekomme. Das Firewall-Log zeigt mir jedes Mal an, dass die Anfrage von Quellhost an den Configserver über Port 80 zugelassen wurde.

    Mir ist nun absolut unverständlich wieso die Anfrage nicht vollendet wird.

    Die UTM kann den Namen des Servers auflösen.

    Auch würde mit den o.g. Webfilter-Richtlinien, laut Richtlinientest eine Anfrage zugelassen werden.

    Sophos hat sich leider noch nicht gemeldet. Was übersehe ich nur...

  • In reply to CdkK:

    Does Accessing Internal or DMZ Webserver from Internal Network help you?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to BAlfson:

    Hi Bob,

    leider nicht. Der Server der konaktiert wird, ist ein externer Host von Innovaphone. Aus meiner Sicht also eine ganz normale Anfrage via HTTP an einen externen Webserver.

    Viele Grüße