This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Ausgehende Pakete an Config-Server liefern keine Antwort zurück

Hallo Community,

ich verfolge z. Zt. einen seltsamen Fall im Bezug auf VOIP in einem Unternehmen.

Die Telefone beziehen im Werkszustand automatisch Ihre Konfiguration von einem Server,

den sie über TCP Port 80 kontaktieren.

Danach erhalten Sie eine andere Adresse, um eine spezielle Konfiguration vom Anlagenbetreiber zu ziehen.

Daraufhin verbindet sich das Telefon dann normalerweise mit der Anlage und registriert sich.

-----------------------------------

Seit einiger Zeit klappt das nicht mehr, seit wann genau, kann ich jedoch nicht sagen.

Ich habe das ganze Konstrukt nochmal an einer privaten UTM untersucht.

Firmware ist bei beiden Modellen gleich: 9.602-3

Telefon versuchte den Host zu erreichen, dieser war durch die Firewall standardmäßig blockiert - HTTP zum angefragten Host freigegeben und die Config konnte gezogen werden.

Beim zweiten angefragen Host dann gleiches Spiel - HTTP zum angefragten Host freigegeben und auch hier zog das Telefon sich sofort die Config.

-----------------------------------

Im Unternehmen sieht die Sache ganz anders aus.

Lt. Firewall Log werden Pakete an den erstkontaktierten Host durchgereicht, nicht gedropt. Weiterhin passiert dann nichts mehr.

Das Telefon versucht bis ins Unendliche sich die Konfiguration vom 1. Server zu ziehen.

----------------------------------

Es gibt auch an sich keine weiteren Logs. Zur Analyse hab ich das Telefon aus dem Webfilter genommen, lasse es auch nicht von IPS überwachen.

Regeln sind die gleichen wie auf der privaten UTM. Privat klappt alles, im Unternehmen nicht.

Lt. ISP wäre alles in Ordnung.

 

Ich bin nun schon eine ganze Weile am suchen, finde jedoch keine Ursache.

Dass es hier an TCP_response_Timeouts liegt, kann ich eigentlich auch ausschließen,

da ich sowohl in der Unternehmens-UTM, als auch meiner Privaten nichts daran geändert habe.

 

Über Anregungen wäre ich sehr dankbar.

 

Viele Grüße

 

 

-----UPDATE-----

Selbst wenn ich das Netz, in dem das Telefon mit dem Webfilter überwachen lasse,

eine Ausnahme für die Antivirus-Überprüfung eintrage, den Host in die Skip-List eintrage oder gar den Webproxy komplett deaktiviere,

auf dem Telefon bekomme ich immer nur einen Fehler "502", der wohl für ein Timeout spricht.

Mit eingeschaltetem Webfilter erhalte ich den gleichen Fehler im Log. Erhöhung von HTTP Response- und Tunneltimeouts bringt jedoch auch hier keine Besserung.

An der privaten UTM ist das alles nicht notwendig. Funktioniert einwandfrei, auch mit Webproxy.



This thread was automatically locked due to age.
Parents
  • Hallo,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    I think you've eliminated everything that might be a block caused by the UTM.  You didn't show us the topology, but I first would check to make sure the servers have a correct default gateway.  If that's not it, then is the first server giving the phones the correct IP for the second server?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • Hallo,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    I think you've eliminated everything that might be a block caused by the UTM.  You didn't show us the topology, but I first would check to make sure the servers have a correct default gateway.  If that's not it, then is the first server giving the phones the correct IP for the second server?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • Hi Bob,
    danke für deinen Ansatz.

    Die Telefone erhalten von der UTM ganz normal ihre IP-Adresse von dem standardmäßig eingerichteten DHCP-Server, der mit der Schnittstelle angelegt wird. Das passt soweit. Bei meiner privaten UTM, das Gleiche. Konstrukt.

    Aufbau sieht wie folgt aus: Telefon→PoE-Switch→Switch→UTM.

    Ich dachte zuerst es könnte an den Switches liegen aber das kann eigentlich nicht wirklich sein.

    Denn in der einen Niederlassung, die mit einem RED angeschlossen ist, habe ich die gleichen Probleme. Hier lautet das Konstrukt: Telefon→Switch→RED→UTM(Hauptstandort). Hier wird also sämtlicher Traffic über die UTM geschickt. Anders sieht es da in dem anderen Branch office aus. Hier steht eine Watchguard, zwar mit VPN Tunnel, der Traffic wird jedoch direkt rausgeschickt - funktioniert einwandfrei. Ich benutze die gleichen DNS Server in beiden Fällen und es ist der selbe Provider.