This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Ausgehende Pakete an Config-Server liefern keine Antwort zurück

Hallo Community,

ich verfolge z. Zt. einen seltsamen Fall im Bezug auf VOIP in einem Unternehmen.

Die Telefone beziehen im Werkszustand automatisch Ihre Konfiguration von einem Server,

den sie über TCP Port 80 kontaktieren.

Danach erhalten Sie eine andere Adresse, um eine spezielle Konfiguration vom Anlagenbetreiber zu ziehen.

Daraufhin verbindet sich das Telefon dann normalerweise mit der Anlage und registriert sich.

-----------------------------------

Seit einiger Zeit klappt das nicht mehr, seit wann genau, kann ich jedoch nicht sagen.

Ich habe das ganze Konstrukt nochmal an einer privaten UTM untersucht.

Firmware ist bei beiden Modellen gleich: 9.602-3

Telefon versuchte den Host zu erreichen, dieser war durch die Firewall standardmäßig blockiert - HTTP zum angefragten Host freigegeben und die Config konnte gezogen werden.

Beim zweiten angefragen Host dann gleiches Spiel - HTTP zum angefragten Host freigegeben und auch hier zog das Telefon sich sofort die Config.

-----------------------------------

Im Unternehmen sieht die Sache ganz anders aus.

Lt. Firewall Log werden Pakete an den erstkontaktierten Host durchgereicht, nicht gedropt. Weiterhin passiert dann nichts mehr.

Das Telefon versucht bis ins Unendliche sich die Konfiguration vom 1. Server zu ziehen.

----------------------------------

Es gibt auch an sich keine weiteren Logs. Zur Analyse hab ich das Telefon aus dem Webfilter genommen, lasse es auch nicht von IPS überwachen.

Regeln sind die gleichen wie auf der privaten UTM. Privat klappt alles, im Unternehmen nicht.

Lt. ISP wäre alles in Ordnung.

 

Ich bin nun schon eine ganze Weile am suchen, finde jedoch keine Ursache.

Dass es hier an TCP_response_Timeouts liegt, kann ich eigentlich auch ausschließen,

da ich sowohl in der Unternehmens-UTM, als auch meiner Privaten nichts daran geändert habe.

 

Über Anregungen wäre ich sehr dankbar.

 

Viele Grüße

 

 

-----UPDATE-----

Selbst wenn ich das Netz, in dem das Telefon mit dem Webfilter überwachen lasse,

eine Ausnahme für die Antivirus-Überprüfung eintrage, den Host in die Skip-List eintrage oder gar den Webproxy komplett deaktiviere,

auf dem Telefon bekomme ich immer nur einen Fehler "502", der wohl für ein Timeout spricht.

Mit eingeschaltetem Webfilter erhalte ich den gleichen Fehler im Log. Erhöhung von HTTP Response- und Tunneltimeouts bringt jedoch auch hier keine Besserung.

An der privaten UTM ist das alles nicht notwendig. Funktioniert einwandfrei, auch mit Webproxy.



This thread was automatically locked due to age.
  • Hallo,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    I think you've eliminated everything that might be a block caused by the UTM.  You didn't show us the topology, but I first would check to make sure the servers have a correct default gateway.  If that's not it, then is the first server giving the phones the correct IP for the second server?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hallo CDKK,

    Bist du sicher das dies an der UTM liegt? Steht der Server den du erreichen willst im internen Netz oder liegt der im Internet? Welchen Telefonhersteller hast du? Wenn er intern liegt kannst du doch bestimmt mal an einen Switch anschließen und die UTM umgehen.

    Hast du mal einen TCP dump durchgeführt um zu prüfen ob die Pakete wirklich ein sowie ausgehend passen?

    Gruß

    Jason

    Sophos certified Architect UTM

    Regards

    Jason

    Sophos Certified Architect - UTM

  • Hi Bob,
    danke für deinen Ansatz.

    Die Telefone erhalten von der UTM ganz normal ihre IP-Adresse von dem standardmäßig eingerichteten DHCP-Server, der mit der Schnittstelle angelegt wird. Das passt soweit. Bei meiner privaten UTM, das Gleiche. Konstrukt.

    Aufbau sieht wie folgt aus: Telefon→PoE-Switch→Switch→UTM.

    Ich dachte zuerst es könnte an den Switches liegen aber das kann eigentlich nicht wirklich sein.

    Denn in der einen Niederlassung, die mit einem RED angeschlossen ist, habe ich die gleichen Probleme. Hier lautet das Konstrukt: Telefon→Switch→RED→UTM(Hauptstandort). Hier wird also sämtlicher Traffic über die UTM geschickt. Anders sieht es da in dem anderen Branch office aus. Hier steht eine Watchguard, zwar mit VPN Tunnel, der Traffic wird jedoch direkt rausgeschickt - funktioniert einwandfrei. Ich benutze die gleichen DNS Server in beiden Fällen und es ist der selbe Provider.

  • Hi Jason,

    ich bin recht sicher, dass es an DER UTM hängt. wie im weiteren Verlauf des Threads schon geschrieben,

    habe ich das Problem nicht bei der privaten UTM nachstellen können und auch nicht mit der Watchguard im Branch Office.

    Lediglich die UTM im Hauptstandort und das Branch Office, das via RED verbunden ist weisen den Fehler auf. Daher richte ich meinen Fokus schon ziemlich auf die UTM.

    Der Server liegt im Internet. Anlagen- und Telefonhersteller ist Innovaphone.

    TCPdump zeigt an, dass das Telefon ein Paket zum Konfigserver schickt. der scheint zu antworten und dann gibts eine TCP Retransmission vom 1. Paket. Und das immer und immer wieder. Beim TCPdump hinter der privaten UTM kann ich dieses Verhalten nicht feststellen. Wir haben auch aktuell im Unternehmen immer wieder mit Sprachqualitätsstörungen zu tun. Wenn solche Störungen im Telefon auftauchen, konnte ich im TCPdump erkennen, dass es auch an der Stelle immer wieder zu TCP Retransmissions gekommen ist, da das Telefon auch immer wieder während eines Gespräches seinen Status mit dem Anlagenserver abgleicht. Manchmal scheint das jedoch nicht immer auf Anhieb zu funktionieren.

    Allmählich bin ich wirklich ratlos. Der ISP hängt auch schon mit drin und wir haben schon etliche Sachen untersucht und ausgeschlossen. Der Anschluss sieht gut aus.

  • Are you certain that the first server is giving the phones the correct IP at which to reach the second server?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi Bob,

    Ja ich bin mir sicher. Das selbe Telefon, was im Unternehmen keine Konfiguration zieht, erhält sie in dem Branch office ohne RED und auch hinter der privaten UTM.

    Das Problem ist auch eher, dass das Telefon den ersten Server garnicht zu erreichen scheint. Im Telefon selbst, erhalte ich einen Fehler Status 502. Wenn ich das Telefon für den Webfilter zulasse, erhalte ich ein 504, wie auch im Webfilter-Log zu sehen ist. Es gibt also ein Timeout. In vorherigen Foreneinträgen hast du dieses Thema auch bereits geschildert. Richtige ich also eine AV-Scan Ausnahme für die Website ein und trage den Ziehlhost in die Skip-List ein, erhalte ich auch nur noch einen Status 502 im Webfilter-Log. Ich erhalte also immer Fehler 502, ob mit Webfilter oder ohne. IPS-Log ist leer.

    Viele Grüße

  • Hallo,

    wie sind deine Einstellungen in Firewall/Erweitert  Protocol Handling, hast du hier evtl. strict TCP Session handling aktiv?

    Regards

    Jason

    Sophos Certified Architect - UTM

  • Hi, das sind die Einstellungen

    In dieser Rubrik wurde auch nichts verändert, seit das Problem auftritt

    Vielen Dank

  • Hi,

    ok das passt so. Ansonsten wüsste ich gerade auch nicht weiter. Evtl. SIP oder RTP Ports die geblock sind? 

    Regards

    Jason

    Sophos Certified Architect - UTM

  • Leider nein, habe ich schon untersucht bzw. auch dem angeglichen, was auf der privaten UTM funktionierte. Ich werde jetzt mal ein Ticket bei Sophos eröffnen und mich dann mal wieder melden.

    Trotzdem schonmal vielen vielen Dank für die Unterstützung!