 |
|
|
|
| Autor |
Nachricht |
chrisib
Anmeldungsdatum: 18.01.2008
Beiträge: 17
|
 Verfasst am:
So 08 März, 2009 15:26 |
  |
|
Hallo Experten!
Ich habe folgendes (interessantes) Problem mit der Firewall:
Szenario:
Software VoIP-Anlage hinter Lancom 1723
Problem:
Ausgehende Anrufe werden zwar eingeleitet (beim Empfänger läutet das Telefon) aber es kommt keine Verbindung zustande. Wenn der Empfänger das Gespräch entgegen nimmt, erkennt die Telefonanlage dies nicht, und bleibt am Status: "Läuten" obwohl der Empfänger schon abgenommen hat.
Die erforderlichen Ports wurden über eine Firewall-Regel freigeschalten und ein Portmapping ist eingetragen. Jedoch ohne Erfolg.
Nun das Interessante:
Wenn die Firewall komplett deaktiviert wird, funktioniert das Telefonieren genau EIN Mal. Danach wieder die gleiche Problematik. Der Fehler ist rekonstruierbar.
FW wieder einschalten, danach wieder deaktivieren -> EIN Gespräch möglich.
Wo könnte das Problem stecken?
Eventuell ein Routingfehler?
Die Konfiguration der Software-PBX ist richtig, ohne Lancom, direkt im Netz klappt alles gut.
Für Lösungsvorschläge wäre ich dankbar! |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
tbc233
Anmeldungsdatum: 01.02.2005
Beiträge: 271
|
| Verfasst am:
Do 12 März, 2009 22:07 |
|
|
Ich hab dieses und ähnliche Verhalten öfter beobachtet, wenn die PBX ihre interne IP in die SIP Nachrichten packt. Wenn möglich, beobachte mal die SIP Nachrichten und falls da die interne IP drinsteht, versuch ihr beizubringen, dass sie die externe verwendet. |
_________________
Liebe Grüße,
michael
http://www.pixelkinder.com | http://bitfuck.net | http://herzblut.fm |
|
 |
|
chrisib
Anmeldungsdatum: 18.01.2008
Beiträge: 17
|
| Verfasst am:
Fr 13 März, 2009 19:21 |
|
|
Danke für den Tipp, ein Ansatz zum Fehlersuchen.
In welchem Teil des Sip-Header trägt die PBX die "falsche" IP ein? |
|
|
|
|
tbc233
Anmeldungsdatum: 01.02.2005
Beiträge: 271
|
| Verfasst am:
Fr 13 März, 2009 21:21 |
|
|
Bei mir wars streng genommen damals nicht in den SIP Headern, sondern im SDP Teil. Wenn hier bei c= die interne IP drinsteht, kann es dazu kommen, dass die Gegenstelle damit nichts anfangen kann. Das könnte auch erklären warum es funktioniert wenn Du die PBX direkt ans Internet hängst.
Bei mir hats eben damals geholfen die externe IP Adresse direkt bei der PBX einzutragen.
Beispiel (mit interner IP wie es nicht sein soll):
| Code:
|
v=0
o=- 2991476138 2991476138 IN IP4 192.168.5.1
s=call
c=IN IP4 192.168.5.1
t=0 0
m=audio 8248 RTP/AVP 8 2 101
a=rtpmap:8 PCMA/8000
a=rtpmap:2 G726-32/8000
a=rtpmap:101 telephone-event/8000
a=fmtp:101 0-16
a=sendrecv
a=silenceSupp:off - - - -
|
|
_________________
Liebe Grüße,
michael
http://www.pixelkinder.com | http://bitfuck.net | http://herzblut.fm |
|
|
|
chrisib
Anmeldungsdatum: 18.01.2008
Beiträge: 17
|
| Verfasst am:
Di 24 März, 2009 22:39 |
|
|
Ja genau, bei mir steht auch die interne IP drinnen. Laut Support der Telefonanlage verändert jedoch die Firewall (mein Lancom) diesen Eintrag. Kann das sein?!?
Wo wäre die Anpassung vorzunehmen (in welchem Teil der SIP Einstellungen?) |
|
|
|
|
tbc233
Anmeldungsdatum: 01.02.2005
Beiträge: 271
|
| Verfasst am:
Di 24 März, 2009 23:01 |
|
|
Dieser Argumentation (von dem Support) kann ich nicht folgen. Weil *würde* der Lancom die IP Adresse in den Sip Nachrichten umschreiben, dann hättest Du das Problem vermutlich nicht. Dann wäre ja alles so wie es sein soll.
(Abgesehen davon das ich nicht glaube, dass der Lancom die Adressen in den SIP Nachrichten ersetzt) |
_________________
Liebe Grüße,
michael
http://www.pixelkinder.com | http://bitfuck.net | http://herzblut.fm |
|
|
|
anton
Anmeldungsdatum: 17.08.2006
Beiträge: 52
Wohnort: Belgique
|
| Verfasst am:
Mi 25 März, 2009 11:35 |
|
|
[quote="chrisib"]Ja genau, bei mir steht auch die interne IP drinnen. Laut Support der Telefonanlage verändert jedoch die Firewall (mein Lancom) diesen Eintrag. Kann das sein?!?
Wo wäre die Anpassung vorzunehmen (in welchem Teil der SIP Einstellungen?)[/quote]
Wenn du den VCM deines 1723 aktiviert hast, dann kann es sehrwohl sein, das der LANCOM sich hier einmicht, da er sich als SIP-Gateway für alle SIP-Pakete auf Port 5060 verantwortlich zeigt.
Du hast also nur die Möglichkeit, den VCM zu deaktivieren oder aber deine PBX über den VCM des LANCOM raus telefonieren zu lassen.
Alternativ kannst du, wenn vorhanden, eine weitere öffentliche IP an die PBX durchreichen. Dann hält sich der VCM raus.
LG
Oliver |
_________________
Es könnte schlimmer kommen ....
... Ach ja, 'nen Router hab' ich auch ... |
|
|
|
chrisib
Anmeldungsdatum: 18.01.2008
Beiträge: 17
|
| Verfasst am:
Do 26 März, 2009 22:19 |
|
|
Den VCM habe ich deaktiviert, möchte ich auch nicht einsetzen, da die SoftwarePBX mehr Funktionen bietet, weiters habe ich auch noch Lancom-Router ohne VCM, die später genau so zum Einsatz kommen sollen.
Habe nun Wireshark auf der Maschine mit der PBX installiert, und beim Trace erscheint die Info "ICMP Destination unreachable (Port unreachable)".
Bezüglich der Ports:
Ich benötige 5060 TCP+UDP für SIP und 9000-9015 UDP für RTP.
Ich habe folgende Firewall-Reglen definiert:
PBX-PC (ALLE Protokolle) an ALLE (ALLE Protokolle)
ALLE (ALLE Protokolle) an PBX-PC (ALLE Protokolle)
Beim Portforwarding:
5060:5060 - INTERNET - PBX-PC - TCP+UDP
9000:9015 - INTERNET - PBX-PC -UDP
Sollte doch passen?(abgesehen vom Sicherheitsrisiko bei der eingehenden Regel!)
Muss ich für ICMP auch eine Regel definieren?
Und wie könnte ich eine externe IP direkt an den PC durchreichen? |
|
|
|
|
|
|
|
|
| |
|
|
