This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Ausgehende Pakete an Config-Server liefern keine Antwort zurück

Hallo Community,

ich verfolge z. Zt. einen seltsamen Fall im Bezug auf VOIP in einem Unternehmen.

Die Telefone beziehen im Werkszustand automatisch Ihre Konfiguration von einem Server,

den sie über TCP Port 80 kontaktieren.

Danach erhalten Sie eine andere Adresse, um eine spezielle Konfiguration vom Anlagenbetreiber zu ziehen.

Daraufhin verbindet sich das Telefon dann normalerweise mit der Anlage und registriert sich.

-----------------------------------

Seit einiger Zeit klappt das nicht mehr, seit wann genau, kann ich jedoch nicht sagen.

Ich habe das ganze Konstrukt nochmal an einer privaten UTM untersucht.

Firmware ist bei beiden Modellen gleich: 9.602-3

Telefon versuchte den Host zu erreichen, dieser war durch die Firewall standardmäßig blockiert - HTTP zum angefragten Host freigegeben und die Config konnte gezogen werden.

Beim zweiten angefragen Host dann gleiches Spiel - HTTP zum angefragten Host freigegeben und auch hier zog das Telefon sich sofort die Config.

-----------------------------------

Im Unternehmen sieht die Sache ganz anders aus.

Lt. Firewall Log werden Pakete an den erstkontaktierten Host durchgereicht, nicht gedropt. Weiterhin passiert dann nichts mehr.

Das Telefon versucht bis ins Unendliche sich die Konfiguration vom 1. Server zu ziehen.

----------------------------------

Es gibt auch an sich keine weiteren Logs. Zur Analyse hab ich das Telefon aus dem Webfilter genommen, lasse es auch nicht von IPS überwachen.

Regeln sind die gleichen wie auf der privaten UTM. Privat klappt alles, im Unternehmen nicht.

Lt. ISP wäre alles in Ordnung.

 

Ich bin nun schon eine ganze Weile am suchen, finde jedoch keine Ursache.

Dass es hier an TCP_response_Timeouts liegt, kann ich eigentlich auch ausschließen,

da ich sowohl in der Unternehmens-UTM, als auch meiner Privaten nichts daran geändert habe.

 

Über Anregungen wäre ich sehr dankbar.

 

Viele Grüße

 

 

-----UPDATE-----

Selbst wenn ich das Netz, in dem das Telefon mit dem Webfilter überwachen lasse,

eine Ausnahme für die Antivirus-Überprüfung eintrage, den Host in die Skip-List eintrage oder gar den Webproxy komplett deaktiviere,

auf dem Telefon bekomme ich immer nur einen Fehler "502", der wohl für ein Timeout spricht.

Mit eingeschaltetem Webfilter erhalte ich den gleichen Fehler im Log. Erhöhung von HTTP Response- und Tunneltimeouts bringt jedoch auch hier keine Besserung.

An der privaten UTM ist das alles nicht notwendig. Funktioniert einwandfrei, auch mit Webproxy.



This thread was automatically locked due to age.
Parents
  • Hallo CDKK,

    Bist du sicher das dies an der UTM liegt? Steht der Server den du erreichen willst im internen Netz oder liegt der im Internet? Welchen Telefonhersteller hast du? Wenn er intern liegt kannst du doch bestimmt mal an einen Switch anschließen und die UTM umgehen.

    Hast du mal einen TCP dump durchgeführt um zu prüfen ob die Pakete wirklich ein sowie ausgehend passen?

    Gruß

    Jason

    Sophos certified Architect UTM

    Regards

    Jason

    Sophos Certified Architect - UTM

  • Hi Jason,

    ich bin recht sicher, dass es an DER UTM hängt. wie im weiteren Verlauf des Threads schon geschrieben,

    habe ich das Problem nicht bei der privaten UTM nachstellen können und auch nicht mit der Watchguard im Branch Office.

    Lediglich die UTM im Hauptstandort und das Branch Office, das via RED verbunden ist weisen den Fehler auf. Daher richte ich meinen Fokus schon ziemlich auf die UTM.

    Der Server liegt im Internet. Anlagen- und Telefonhersteller ist Innovaphone.

    TCPdump zeigt an, dass das Telefon ein Paket zum Konfigserver schickt. der scheint zu antworten und dann gibts eine TCP Retransmission vom 1. Paket. Und das immer und immer wieder. Beim TCPdump hinter der privaten UTM kann ich dieses Verhalten nicht feststellen. Wir haben auch aktuell im Unternehmen immer wieder mit Sprachqualitätsstörungen zu tun. Wenn solche Störungen im Telefon auftauchen, konnte ich im TCPdump erkennen, dass es auch an der Stelle immer wieder zu TCP Retransmissions gekommen ist, da das Telefon auch immer wieder während eines Gespräches seinen Status mit dem Anlagenserver abgleicht. Manchmal scheint das jedoch nicht immer auf Anhieb zu funktionieren.

    Allmählich bin ich wirklich ratlos. Der ISP hängt auch schon mit drin und wir haben schon etliche Sachen untersucht und ausgeschlossen. Der Anschluss sieht gut aus.

Reply
  • Hi Jason,

    ich bin recht sicher, dass es an DER UTM hängt. wie im weiteren Verlauf des Threads schon geschrieben,

    habe ich das Problem nicht bei der privaten UTM nachstellen können und auch nicht mit der Watchguard im Branch Office.

    Lediglich die UTM im Hauptstandort und das Branch Office, das via RED verbunden ist weisen den Fehler auf. Daher richte ich meinen Fokus schon ziemlich auf die UTM.

    Der Server liegt im Internet. Anlagen- und Telefonhersteller ist Innovaphone.

    TCPdump zeigt an, dass das Telefon ein Paket zum Konfigserver schickt. der scheint zu antworten und dann gibts eine TCP Retransmission vom 1. Paket. Und das immer und immer wieder. Beim TCPdump hinter der privaten UTM kann ich dieses Verhalten nicht feststellen. Wir haben auch aktuell im Unternehmen immer wieder mit Sprachqualitätsstörungen zu tun. Wenn solche Störungen im Telefon auftauchen, konnte ich im TCPdump erkennen, dass es auch an der Stelle immer wieder zu TCP Retransmissions gekommen ist, da das Telefon auch immer wieder während eines Gespräches seinen Status mit dem Anlagenserver abgleicht. Manchmal scheint das jedoch nicht immer auf Anhieb zu funktionieren.

    Allmählich bin ich wirklich ratlos. Der ISP hängt auch schon mit drin und wir haben schon etliche Sachen untersucht und ausgeschlossen. Der Anschluss sieht gut aus.

Children
  • Are you certain that the first server is giving the phones the correct IP at which to reach the second server?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi Bob,

    Ja ich bin mir sicher. Das selbe Telefon, was im Unternehmen keine Konfiguration zieht, erhält sie in dem Branch office ohne RED und auch hinter der privaten UTM.

    Das Problem ist auch eher, dass das Telefon den ersten Server garnicht zu erreichen scheint. Im Telefon selbst, erhalte ich einen Fehler Status 502. Wenn ich das Telefon für den Webfilter zulasse, erhalte ich ein 504, wie auch im Webfilter-Log zu sehen ist. Es gibt also ein Timeout. In vorherigen Foreneinträgen hast du dieses Thema auch bereits geschildert. Richtige ich also eine AV-Scan Ausnahme für die Website ein und trage den Ziehlhost in die Skip-List ein, erhalte ich auch nur noch einen Status 502 im Webfilter-Log. Ich erhalte also immer Fehler 502, ob mit Webfilter oder ohne. IPS-Log ist leer.

    Viele Grüße

  • Hallo,

    wie sind deine Einstellungen in Firewall/Erweitert  Protocol Handling, hast du hier evtl. strict TCP Session handling aktiv?

    Regards

    Jason

    Sophos Certified Architect - UTM

  • Hi, das sind die Einstellungen

    In dieser Rubrik wurde auch nichts verändert, seit das Problem auftritt

    Vielen Dank

  • Hi,

    ok das passt so. Ansonsten wüsste ich gerade auch nicht weiter. Evtl. SIP oder RTP Ports die geblock sind? 

    Regards

    Jason

    Sophos Certified Architect - UTM

  • Leider nein, habe ich schon untersucht bzw. auch dem angeglichen, was auf der privaten UTM funktionierte. Ich werde jetzt mal ein Ticket bei Sophos eröffnen und mich dann mal wieder melden.

    Trotzdem schonmal vielen vielen Dank für die Unterstützung!

  • Hi,

    sollte sich eine Lösung ergeben teile diese uns doch bitte mit, ich habe des öfteren schon seltsame Phänomene bei der UTM in zusammenspiel mit VOIP gesehen, mich würde interessieren was hierfür die Lösung ist.

    Regards

    Jason

    Sophos Certified Architect - UTM

  • Is the first server in the 'Skip Transparent Mode Destination Hosts/Nets' box on the 'Misc' tab of 'Filtering Options' with 'Allow HTTP/S traffic for listed hosts/nets' checked?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • Hi Bob,

    es macht leider keinen Unterschied.

    Ich habe mal folgendes gemacht:

    Von einem Laptop über einen Hotspot habe ich die genaue URL aufgerufen (bin mir nicht sicher, ob ich sie veröffentlichen kann).

    Jedenfalls wird die Website sofort geöffnet und eine Seite mit Text/Script wird präsentiert.

    Rufe ich die selbe Website nochmal über das Unternehmen auf, bekomme ich folgende Meldung:

    Nun ist es völlig egal, ob ich das Netz mit dem transparenten Webproxy überwachen lasse, dabei eine Ausnahme für die Website definiere, die Website als erlaubte Website in den Webfilter-Richtlinien eintrage und/oder den Host auf die Proxy-Ausnahme-Liste setze. Der einzige Unterschied ist dann, dass ich im Webfilter-Log nichts mehr angezeigt bekomme. Das Firewall-Log zeigt mir jedes Mal an, dass die Anfrage von Quellhost an den Configserver über Port 80 zugelassen wurde.

    Mir ist nun absolut unverständlich wieso die Anfrage nicht vollendet wird.

    Die UTM kann den Namen des Servers auflösen.

    Auch würde mit den o.g. Webfilter-Richtlinien, laut Richtlinientest eine Anfrage zugelassen werden.

    Sophos hat sich leider noch nicht gemeldet. Was übersehe ich nur...

  • Does Accessing Internal or DMZ Webserver from Internal Network help you?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA