1722 VCM: Unerwartete "convert dst-numer" Operation

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
kawk
Beiträge: 18
Registriert: 04 Dez 2017, 22:14

1722 VCM: Unerwartete "convert dst-numer" Operation

Beitrag von kawk »

Hi,

bei mir liefen auf einem unter fester IP erreichbaren 1722 VOIP, der ein paar Einzel-SIP-Accounts auf ISDN umsetzt, etliche Versuche auf, eine fremde Telefonnummer darüber zu erreichen. Was mich dabei aber irritiert, ist, dass die fremde externe Nummer (hier: 00972597744894) irgendwie auf eine existierende interne Nummer (hier: 19) gemappt wird und sogar eine (dann aber abgewiesene) Verbindung geloggt wird. Im Trace ("0.0.0.0" steht dabei für eine externe IP des Routers):

Code: Alles auswählen

[Callmanager] 2018/01/25 07:34:16,504 [SIP-Provider] : -----[ INVITE INDICATION
[Callmanager] 2018/01/25 07:34:16,504 [SIP-Provider] : Source      : 790@0.0.0.0
[Callmanager] 2018/01/25 07:34:16,504 [SIP-Provider] : Destination : 00972597744894@0.0.0.0
[Callmanager] 2018/01/25 07:34:16,504 [SIP-Provider] : - info       : line '3CX-SOMEUSER' operates in provider mode
[Callmanager] 2018/01/25 07:34:16,504 [SIP-Provider] : - info       : convert dst-numer '00972597744894' -> '19'
Woraus ergibt sich dieses Mapping auf "19" und was kann ich dagegen tun? Die diversen Routing- und Benutzer-Listen sind ziemlich leer. Ich wüsste nicht, wo so ein Mapping definiert ist. "19" taucht "nur" auf als Interne Nr. bei einem Einzel-Account ("SIP-Leitung" "3CX-SOMEUSER"), als MSN/DDI bei einem "ISDN-Benutzer", und in einem Eintrag als "Gerufene Nr."-Filter für eine Call-Route...?

Spätestens wenn andere Nebenstellen mit echten Telefonen daran im Minutentakt klingeln, brauche ich irgendeine Handhabe... Die IP des Testers wechselt leider, so dass es mit einer einfachen Firewall-Regel oder Blacklist-Eintrag nicht getan ist...

Viele Grüsse,
Kolja
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: 1722 VCM: Unerwartete "convert dst-numer" Operation

Beitrag von Jirka »

Hallo Kolja,
kawk hat geschrieben:Woraus ergibt sich dieses Mapping auf "19" und was kann ich dagegen tun?
das ergibt sich aus der Zuweisung in der SIP-Leitung! Und da kannst Du froh drüber sein.
kawk hat geschrieben:Spätestens wenn andere Nebenstellen mit echten Telefonen daran im Minutentakt klingeln, brauche ich irgendeine Handhabe... Die IP des Testers wechselt leider, so dass es mit einer einfachen Firewall-Regel oder Blacklist-Eintrag nicht getan ist...
LANCOM-Router neu starten hilft bei den neuen Routern (dann wechseln die Ports, dann ist man die Angriffe erst mal los). Beim 1722 müsstest Du evt. auch Port 5060 soweit es irgendwie geht dicht machen. Müsste man mal im SIP-Packet-Trace schauen, wie die Pakete genau reinkommen.

Ich hatte einen massiven derartigen Angriff im November glaube ich, bei mir höchstpersönlich! Allerdings war das Telefon (bei Dir die 19) nicht bei mir, so dass ich von den zwei- bis dreiminütlichen Angriffen gar nichts mitbekommen habe. Jedenfalls klingelte das Telefon die ganze Nacht andauernd. Morgens machte ich den PC an und bekam von PRTG eine Warnmail, dass ein Telefonat im LANCOM hängt (Regel: Wenn Calls-Counter mehr als 4 Stunden immer über 0, dann Warn-E-Mail). Wie immer schaute ich nach und stellte entsetzt den Angriff fest. Dann habe ich alles getracet und anschließend neu gestartet, dann war der Spuk vorbei. Ich wollte es hier im Forum schreiben, aber ich habe nach den ganzen Bugs keine Zeit mehr dafür gefunden. Ach dafür gibt es bei den neuen Routern den Haken "SIP-Nachrichten nur vom Registrar erlauben" - leider kann man die nicht überall anhaken...

Viele Grüße,
Jirka
kawk
Beiträge: 18
Registriert: 04 Dez 2017, 22:14

Re: 1722 VCM: Unerwartete "convert dst-numer" Operation

Beitrag von kawk »

Hi,
Beim 1722 müsstest Du evt. auch Port 5060 soweit es irgendwie geht dicht machen
Soweit ich es inzwischen verstehe, wirken die Firewallregeln nicht für interne Dienste.. In der Vergangenheit bin ich jedenfalls damit gescheitert, VCM von aussen unerreichbar zu machen..? Ich hatte tatsächlich auch schon mal einen Vorfall, wo sowas (unerwartet, trotz Firewall-Regeln) möglich war und sogar letztendlich etliches an Gebühren auflief, weil die VCM-Regeln es ermöglichten.

Insofern, ja, natürlich ist es gut, dass "irgendwas" auf "19" gemappt wird, statt dass damit eine Verbindung weiter geht, aber ich hätte doch eigentlich lieber, dass nur "19" auch als "19" gilt..?

Kolja
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: 1722 VCM: Unerwartete "convert dst-numer" Operation

Beitrag von Jirka »

kawk hat geschrieben:Soweit ich es inzwischen verstehe, wirken die Firewallregeln nicht für interne Dienste..
Korrekt.
kawk hat geschrieben:In der Vergangenheit bin ich jedenfalls damit gescheitert, VCM von aussen unerreichbar zu machen..?
Na es gibt schon ein paar Möglichkeiten, ein paar sind hier auch mal im Forum beschrieben worden.
kawk hat geschrieben:Ich hatte tatsächlich auch schon mal einen Vorfall, wo sowas (unerwartet, trotz Firewall-Regeln) möglich war und sogar letztendlich etliches an Gebühren auflief, weil die VCM-Regeln es ermöglichten.
Richtige Call-Routen sind extrem wichtig für die Sicherheit.
kawk hat geschrieben:Insofern, ja, natürlich ist es gut, dass "irgendwas" auf "19" gemappt wird, statt dass damit eine Verbindung weiter geht, aber ich hätte doch eigentlich lieber, dass nur "19" auch als "19" gilt..?
Das geht nicht. Schließlich ruft Dich ja keiner aus dem öffentlichen Telefonnetz auf die 19 an.
kawk
Beiträge: 18
Registriert: 04 Dez 2017, 22:14

Re: 1722 VCM: Unerwartete "convert dst-numer" Operation

Beitrag von kawk »

Das geht nicht. Schließlich ruft Dich ja keiner aus dem öffentlichen Telefonnetz auf die 19 an.
Der Router soll mir hier überhaupt nur Anrufe von der übergeordneten "SIP-Leitung" annehmen, wo er sich registriert hat. Dort sollte eigentlich die Grenze zum Telefonnetz sein...

Ich verstehe nicht, wie eine aus meiner Sicht damit überhaupt nicht in Verbindung stehende, direkt an den Router gerichtete SIP-Anfrage nun ausgerechnet dieser "SIP-Leitung" und damit der 19 zugeordnet werden kann. Würde zur Deutung evtl. noch mehr Info aus einem Trace helfen?

Mir kommt das so vor, als würde sich jemand "von der Seite" mit meiner Telefonanlage verbinden, die eigentlich nur zwischen Anbieter (übergeordnete Anlage) und meinen Telefonen vermitteln soll. Vermutlich bin ich noch zu sehr der Idee einfacher Punkt-zu-Punkt-Verbindungen zwischen zwei Teilnehmern über eine Vermittlungsstelle verhaftet.

Danke für den Hinweis auf Infos zum "Zumachen" nach aussen, ich werde mich mal in diese Richtung hier weiter informieren.

Viele Grüsse,
Kolja
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: 1722 VCM: Unerwartete "convert dst-numer" Operation

Beitrag von Jirka »

kawk hat geschrieben:Der Router soll mir hier überhaupt nur Anrufe von der übergeordneten "SIP-Leitung" annehmen, wo er sich registriert hat. Dort sollte eigentlich die Grenze zum Telefonnetz sein...
Wie ich bereits schrieb:
Jirka hat geschrieben:Ach dafür gibt es bei den neuen Routern den Haken "SIP-Nachrichten nur vom Registrar erlauben" - leider kann man die nicht überall anhaken...
Antworten