Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 4 subscribers
  • Views 9379 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Ausgehende Pakete an Config-Server liefern keine Antwort zurück

CdkK

Hallo Community,

ich verfolge z. Zt. einen seltsamen Fall im Bezug auf VOIP in einem Unternehmen.

Die Telefone beziehen im Werkszustand automatisch Ihre Konfiguration von einem Server,

den sie über TCP Port 80 kontaktieren.

Danach erhalten Sie eine andere Adresse, um eine spezielle Konfiguration vom Anlagenbetreiber zu ziehen.

Daraufhin verbindet sich das Telefon dann normalerweise mit der Anlage und registriert sich.

-----------------------------------

Seit einiger Zeit klappt das nicht mehr, seit wann genau, kann ich jedoch nicht sagen.

Ich habe das ganze Konstrukt nochmal an einer privaten UTM untersucht.

Firmware ist bei beiden Modellen gleich: 9.602-3

Telefon versuchte den Host zu erreichen, dieser war durch die Firewall standardmäßig blockiert - HTTP zum angefragten Host freigegeben und die Config konnte gezogen werden.

Beim zweiten angefragen Host dann gleiches Spiel - HTTP zum angefragten Host freigegeben und auch hier zog das Telefon sich sofort die Config.

-----------------------------------

Im Unternehmen sieht die Sache ganz anders aus.

Lt. Firewall Log werden Pakete an den erstkontaktierten Host durchgereicht, nicht gedropt. Weiterhin passiert dann nichts mehr.

Das Telefon versucht bis ins Unendliche sich die Konfiguration vom 1. Server zu ziehen.

----------------------------------

Es gibt auch an sich keine weiteren Logs. Zur Analyse hab ich das Telefon aus dem Webfilter genommen, lasse es auch nicht von IPS überwachen.

Regeln sind die gleichen wie auf der privaten UTM. Privat klappt alles, im Unternehmen nicht.

Lt. ISP wäre alles in Ordnung.

 

Ich bin nun schon eine ganze Weile am suchen, finde jedoch keine Ursache.

Dass es hier an TCP_response_Timeouts liegt, kann ich eigentlich auch ausschließen,

da ich sowohl in der Unternehmens-UTM, als auch meiner Privaten nichts daran geändert habe.

 

Über Anregungen wäre ich sehr dankbar.

 

Viele Grüße

 

 

-----UPDATE-----

Selbst wenn ich das Netz, in dem das Telefon mit dem Webfilter überwachen lasse,

eine Ausnahme für die Antivirus-Überprüfung eintrage, den Host in die Skip-List eintrage oder gar den Webproxy komplett deaktiviere,

auf dem Telefon bekomme ich immer nur einen Fehler "502", der wohl für ein Timeout spricht.

Mit eingeschaltetem Webfilter erhalte ich den gleichen Fehler im Log. Erhöhung von HTTP Response- und Tunneltimeouts bringt jedoch auch hier keine Besserung.

An der privaten UTM ist das alles nicht notwendig. Funktioniert einwandfrei, auch mit Webproxy.



This thread was automatically locked due to age.
  • 0 in reply to CdkK

    Hi,

    sollte sich eine Lösung ergeben teile diese uns doch bitte mit, ich habe des öfteren schon seltsame Phänomene bei der UTM in zusammenspiel mit VOIP gesehen, mich würde interessieren was hierfür die Lösung ist.

    Regards

    Jason

    Sophos Certified Architect - UTM

  • 0 in reply to CdkK

    Is the first server in the 'Skip Transparent Mode Destination Hosts/Nets' box on the 'Misc' tab of 'Filtering Options' with 'Allow HTTP/S traffic for listed hosts/nets' checked?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hi Bob,

    es macht leider keinen Unterschied.

    Ich habe mal folgendes gemacht:

    Von einem Laptop über einen Hotspot habe ich die genaue URL aufgerufen (bin mir nicht sicher, ob ich sie veröffentlichen kann).

    Jedenfalls wird die Website sofort geöffnet und eine Seite mit Text/Script wird präsentiert.

    Rufe ich die selbe Website nochmal über das Unternehmen auf, bekomme ich folgende Meldung:

    Nun ist es völlig egal, ob ich das Netz mit dem transparenten Webproxy überwachen lasse, dabei eine Ausnahme für die Website definiere, die Website als erlaubte Website in den Webfilter-Richtlinien eintrage und/oder den Host auf die Proxy-Ausnahme-Liste setze. Der einzige Unterschied ist dann, dass ich im Webfilter-Log nichts mehr angezeigt bekomme. Das Firewall-Log zeigt mir jedes Mal an, dass die Anfrage von Quellhost an den Configserver über Port 80 zugelassen wurde.

    Mir ist nun absolut unverständlich wieso die Anfrage nicht vollendet wird.

    Die UTM kann den Namen des Servers auflösen.

    Auch würde mit den o.g. Webfilter-Richtlinien, laut Richtlinientest eine Anfrage zugelassen werden.

    Sophos hat sich leider noch nicht gemeldet. Was übersehe ich nur...

  • 0 in reply to CdkK

    Does Accessing Internal or DMZ Webserver from Internal Network help you?

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson

    Hi Bob,

    leider nicht. Der Server der konaktiert wird, ist ein externer Host von Innovaphone. Aus meiner Sicht also eine ganz normale Anfrage via HTTP an einen externen Webserver.

    Viele Grüße

  • 0 in reply to CdkK

    Ich habe leider immer noch keine Rückmeldung von Sophos. Ich frage mich nur, wie eine Webseite blockiert werden kann, ohne dass das entsprechende Netz mit dem Webfilter untersucht wird.

    Kein Webfilter, IPS Log leer, Firewall Protection zeigt Zugriff auf den Host, kein SIP-Helper aktiv. Was sollte hier sonst die Anfrage verhindern..? Wär super, wenn noch jmd ne Idee hat. Vielen Dank!

  • 0 in reply to CdkK

    Ich habe den Fehler tatsächlich gefunden, der verhinderte, dass die Konfiguration heruntergeladen wurde.

    In der UTM selbst war unter den Netzwerkdefinitionen der Server angelegt, jedoch mit einer falschen IP-Adresse. Ich weiß nicht sicher woher es kam, ob das nun ursprünglich falsch eingetragen wurde oder ob Innovaphone zwischenzeitlich mal die Adresse des Servers geändert hatte.

    Jedenfalls versuchte die UTM die ganze Zeit den Namen des Configservers mit einer falschen IP-Adresse aufzulösen. Jeder NSLookup von einem anderen System endete jedoch auch auf einer anderen IP-Adresse, jedoch auf allen Systemen gleich, bis auf der Unternehmens UTM

    Als ich das dann bemerkte, war mir klar, dass es ein DNS-Problem sein musste. Was mir nicht bewusst war: a) dass diese Einträge so existierten und b) dass die UTM nicht immer wieder versucht die Namen aufzulösen, sondern sich stattdessen auf diese festen Hosts bezieht. DNS cache löschen hatte nämlich nichts gebracht, wieso ich da im Endeffekt stutzig wurde...

    Ich hoffe nur, dass sich damit auch die Telefonieprobleme legen werden, die zu den Gesprächsabbrüchen führten. Das muss ich nun mal noch beobachten.

    Trotzdem vorab nochmal vielen Dank für sämtliche Mühe!

     

    Edit: 24.05.2019 03:12 PM

    Innovaphone hat mir bestätigt, dass die bei uns hinterlegte Adresse mal für den Configserver zuständig war, nun jedoch nicht mehr. Der Host in unserer UTM hatte also die ganze Zeit auf einen veralteten Eintrag verwiesen, der schlichtweg nicht mehr existiert.

  • 0 in reply to CdkK

    Hi,

    typisch Hoster, gibt nichts schlimmeres, wenn die unangekündigt die IP ändern.

    Regards

    Jason

    Sophos Certified Architect - UTM

Unfiltered HTML