Ausgehende Pakete an Config-Server liefern keine Antwort zurück

Hallo Community,

ich verfolge z. Zt. einen seltsamen Fall im Bezug auf VOIP in einem Unternehmen.

Die Telefone beziehen im Werkszustand automatisch Ihre Konfiguration von einem Server,

den sie über TCP Port 80 kontaktieren.

Danach erhalten Sie eine andere Adresse, um eine spezielle Konfiguration vom Anlagenbetreiber zu ziehen.

Daraufhin verbindet sich das Telefon dann normalerweise mit der Anlage und registriert sich.

-----------------------------------

Seit einiger Zeit klappt das nicht mehr, seit wann genau, kann ich jedoch nicht sagen.

Ich habe das ganze Konstrukt nochmal an einer privaten UTM untersucht.

Firmware ist bei beiden Modellen gleich: 9.602-3

Telefon versuchte den Host zu erreichen, dieser war durch die Firewall standardmäßig blockiert - HTTP zum angefragten Host freigegeben und die Config konnte gezogen werden.

Beim zweiten angefragen Host dann gleiches Spiel - HTTP zum angefragten Host freigegeben und auch hier zog das Telefon sich sofort die Config.

-----------------------------------

Im Unternehmen sieht die Sache ganz anders aus.

Lt. Firewall Log werden Pakete an den erstkontaktierten Host durchgereicht, nicht gedropt. Weiterhin passiert dann nichts mehr.

Das Telefon versucht bis ins Unendliche sich die Konfiguration vom 1. Server zu ziehen.

----------------------------------

Es gibt auch an sich keine weiteren Logs. Zur Analyse hab ich das Telefon aus dem Webfilter genommen, lasse es auch nicht von IPS überwachen.

Regeln sind die gleichen wie auf der privaten UTM. Privat klappt alles, im Unternehmen nicht.

Lt. ISP wäre alles in Ordnung.

 

Ich bin nun schon eine ganze Weile am suchen, finde jedoch keine Ursache.

Dass es hier an TCP_response_Timeouts liegt, kann ich eigentlich auch ausschließen,

da ich sowohl in der Unternehmens-UTM, als auch meiner Privaten nichts daran geändert habe.

 

Über Anregungen wäre ich sehr dankbar.

 

Viele Grüße

 

 

-----UPDATE-----

Selbst wenn ich das Netz, in dem das Telefon mit dem Webfilter überwachen lasse,

eine Ausnahme für die Antivirus-Überprüfung eintrage, den Host in die Skip-List eintrage oder gar den Webproxy komplett deaktiviere,

auf dem Telefon bekomme ich immer nur einen Fehler "502", der wohl für ein Timeout spricht.

Mit eingeschaltetem Webfilter erhalte ich den gleichen Fehler im Log. Erhöhung von HTTP Response- und Tunneltimeouts bringt jedoch auch hier keine Besserung.

An der privaten UTM ist das alles nicht notwendig. Funktioniert einwandfrei, auch mit Webproxy.

  • In reply to CdkK:

    Ich habe leider immer noch keine Rückmeldung von Sophos. Ich frage mich nur, wie eine Webseite blockiert werden kann, ohne dass das entsprechende Netz mit dem Webfilter untersucht wird.

    Kein Webfilter, IPS Log leer, Firewall Protection zeigt Zugriff auf den Host, kein SIP-Helper aktiv. Was sollte hier sonst die Anfrage verhindern..? Wär super, wenn noch jmd ne Idee hat. Vielen Dank!

  • In reply to CdkK:

    Ich habe den Fehler tatsächlich gefunden, der verhinderte, dass die Konfiguration heruntergeladen wurde.

    In der UTM selbst war unter den Netzwerkdefinitionen der Server angelegt, jedoch mit einer falschen IP-Adresse. Ich weiß nicht sicher woher es kam, ob das nun ursprünglich falsch eingetragen wurde oder ob Innovaphone zwischenzeitlich mal die Adresse des Servers geändert hatte.

    Jedenfalls versuchte die UTM die ganze Zeit den Namen des Configservers mit einer falschen IP-Adresse aufzulösen. Jeder NSLookup von einem anderen System endete jedoch auch auf einer anderen IP-Adresse, jedoch auf allen Systemen gleich, bis auf der Unternehmens UTM

    Als ich das dann bemerkte, war mir klar, dass es ein DNS-Problem sein musste. Was mir nicht bewusst war: a) dass diese Einträge so existierten und b) dass die UTM nicht immer wieder versucht die Namen aufzulösen, sondern sich stattdessen auf diese festen Hosts bezieht. DNS cache löschen hatte nämlich nichts gebracht, wieso ich da im Endeffekt stutzig wurde...

    Ich hoffe nur, dass sich damit auch die Telefonieprobleme legen werden, die zu den Gesprächsabbrüchen führten. Das muss ich nun mal noch beobachten.

    Trotzdem vorab nochmal vielen Dank für sämtliche Mühe!

     

    Edit: 24.05.2019 03:12 PM

    Innovaphone hat mir bestätigt, dass die bei uns hinterlegte Adresse mal für den Configserver zuständig war, nun jedoch nicht mehr. Der Host in unserer UTM hatte also die ganze Zeit auf einen veralteten Eintrag verwiesen, der schlichtweg nicht mehr existiert.

  • In reply to CdkK:

    Hi,

    typisch Hoster, gibt nichts schlimmeres, wenn die unangekündigt die IP ändern.