VCM und Easybell - LANCOM 1926VAG-4G

Forum zu LANCOM Systems VoIP Router/Gateways und zur LANCOM VoIP Option

Moderator: Lancom-Systems Moderatoren

Antworten
edvzim
Beiträge: 3
Registriert: 11 Apr 2023, 13:21

VCM und Easybell - LANCOM 1926VAG-4G

Beitrag von edvzim »

Hallo zusammen!

Ich bin ein absoluter Anfänger was LANCOM Router angeht. Mit dem 1926VAG-4G, an den ich günstig dran gekommen bin, versuche ich meine ersten Schritte im HomeLab. Ich bitte daher um Nachsicht für evtl. dumme Fragen.

Meine VoIP-Endgeräte habe ich in ein von Servern, PCs und anderen Geräten völlig separates Netz gepackt. Die Telefone will ich mit einer Easybell-Cloud-Telefonanlage verbinden.

Bevor ich etwas vom Voice Call Manager wusste, habe ich den Telefonen über ein paar Firewall-Regeln Zugriff auf die Easybell-Server gegeben. Von dort werden die Endgeräte automatisch provisioniert. Prinzipiell scheint das auch zu funktionieren. Sporadisch (bisher nicht nachvollziehbar) verlieren die Telefone die Registrierung. Bin mir aber insgesamt nicht sicher, ob das an meinen Einstellungen liegt oder an Easybell.

Ein Kollege meinte nun, dass VoIP ohne VCM eigentlich gar nicht gehen dürfte. Ist das so?

Hat jemand die Cloud-Telefonanlage von Easybell schon einmal über den VCM angebunden? Ich finde zwar eine LANCOM-VCM-Konfigurationsanleitung bei Easybell, aber die bezieht sich nicht auf die Cloud-Telefonanlage.

Wie sind bei der Verwendung des VCM die Endgeräte zu konfigurieren? Muss der VCM als Registrar eingetragen werden?

Danke im Voraus an die hilfreichen Profis hier im Forum!
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: VCM und Easybell - LANCOM 1926VAG-4G

Beitrag von Dr.Einstein »

edvzim hat geschrieben: 11 Apr 2023, 13:37 Prinzipiell scheint das auch zu funktionieren. Sporadisch (bisher nicht nachvollziehbar) verlieren die Telefone die Registrierung. Bin mir aber insgesamt nicht sicher, ob das an meinen Einstellungen liegt oder an Easybell.
Ich denke, hier liegt die Ursache in zu kleinen NAT-Timeouts. Bei Lancom ist der Wert im Default sehr gering eingestellt. Wenn du mittels LanConfig oder WebConfig auf den Router zugreifst, so findest du die Werte unter IP-Router / Maskierung / UDP bzw. TCP-Timeout. Erhöhe testweise TCP auf eine Stunde, UDP auf vielleicht 30 Minuten.

Gruß Dr.Einstein
edvzim
Beiträge: 3
Registriert: 11 Apr 2023, 13:21

Re: VCM und Easybell - LANCOM 1926VAG-4G

Beitrag von edvzim »

Vielen Dank, Dr. Einstein,

ich denke, dass die Erhöhung des Aging tatsächlich eine Besserung gebracht hat. Telefone sind jetzt 24h online, ohne die Registrierung zu verlieren. Klasse - das hat sehr geholfen. Tausend Dank!

Vielleicht können Sie bei einer anderen Frage im selben Zusammenhang auch weiterhelfen? Die Firewall hat natürlich eine Deny-All-Regel. Diese Regel protokolliert auch ins Syslog. Für die Telefone verwende ich die Auto-Provisionierung. Wenn ich ein Telefon neu starte, dann kommt die Provisionierung nie zu Ende. Außer ich füge temporär eine "Allow All"-Regel für das Gerät in der Firewall ein. Seltsamerweise wird mir ohne die "Allow All"-Regel aber nie das Deny-All protokolliert. Was könnte dahinter stecken?
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: VCM und Easybell - LANCOM 1926VAG-4G

Beitrag von Dr.Einstein »

Dann matcht vermutlich eine andere Regel vorher. Nutzt du die Funktion "weitere Regeln beachten"? Wenn du wissen willst, woran die Provisionierung klemmt, dann könntest du dich auf das Gerät via LanTracer oder SSH einloggen und trace # ip-router @ <IP-Adresse des Telefons> machen inkl aktiver Deny All Regel. Wenn jetzt der Server nicht erreicht wird, steht da in der Regel als Router "filtered".
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: VCM und Easybell - LANCOM 1926VAG-4G

Beitrag von tstimper »

edvzim hat geschrieben: 12 Apr 2023, 22:17 Außer ich füge temporär eine "Allow All"-Regel für das Gerät in der Firewall ein. Seltsamerweise wird mir ohne die "Allow All"-Regel aber nie das Deny-All protokolliert. Was könnte dahinter stecken?
Ich muss mal einiges in FETT und ROT scheiben.

GANZ WICHTIG zum Verständnis solcher Effekte bei der LCOS Firewall.

Eine bereits aufgebaute Session wurd von der Firewall NIE WIEDER geprüft.
Ach wenn hinterher eine Deny-ALL Regel genau diese Session blocken würde.

Beispiel:

SSH Port 22 zu einem Server im Internet wird von Deny-All geblockt.
Eine nicht korrekte Allow Port 22 Regel wird gebaut, Firewall blockt weiterhin.
Während der Fehlersuche wird mal eine höher priorisierte ALLOW-ALL Regel eingebaut oder manche (selbst Suporter) disablen die Firewall zum Test.
Dannach geht SSH Port 22 zum Server im Internet.
Die Test Regel wird entfernt, Firewall wieder aktiviert.

SSH Port 22 zum Server ins Internet funktioniert weiterhin, der Techniker ist verwirrt und dennoch froh, das es jetzt geht.

Und zwar bis zm nöchsten Reboot oder der nächsten Leitungstrennung. Das kann Tage , Wochen oder Monate später sein...

Dann wird wieder geblockt. Und keiner weiß warum...

Warum ist das so?

Wenn im LCOS eine Firewall Regel erstellt oder geändert wird, werden die bestehenden Sessions nicht geprüft, ob denn künftig geblockt werden sollten.

Um also eine reproduzierbar funktionierende LCOS Firewall Config zu haben, muss man nach Regelanpassungen eines der folgenden Dinge tun.

a: Reboot des Routers, das ist die sicherste Variante aus der Sicht der Firewall uns die schlechteste aus der Sich der Unterbrechungsfreiheit.
b: Trennen der Internet Verbindung, Das stört dann zumindest nicht die lokalen Verbindungen
c: Löschen der kompletten Session Liste an der CLI. Das unterbricht zwar alle Internet Sessions, ist aber schneller als die Leiungstrennung
d: Löschen der konkreten künftig zu blockenden Session aus der Session Liste per CLI

d: ist aus meiner Sich die beste Lösung, erfordert aber den Vergleich von aktueller Session Liste mit dem aktuellen Firewall Rule Set

Wer dafür schon ein passendes Script (CLI, Python, was auch immer) gebaut hat, das würde mich sher interessieren.


Andere Firewalls haben dafür z.B. eine Apply oder Reload Funktion, wo nach Änderungen die Firewall Rules neu geladen werden,
je nach Güte der Firewall mit oder ohne unterbrechung künftig erlaubter, aber schon bestehender Sessions.
Die LCOS Firewall ist schon sehr gut. Aber das konkrete Verhalten bei Änderungen muss man kennen, verstehen und beachten.

Und elementar umd sowas auch hinterher rauszufinden, warum den eine eigentlich zu blockende Session noch monatelang offen war
sind lückenlose auditierte Config Backups.....

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
edvzim
Beiträge: 3
Registriert: 11 Apr 2023, 13:21

Re: VCM und Easybell - LANCOM 1926VAG-4G

Beitrag von edvzim »

Wow! Das ist eine echt wertvolle Information - herzlichen Dank auch für die Arbeit, das aufzuschreiben!

Eine kurze Nachfrage zum Verständnis. Das betrifft auch interne Verbindungen (also zwischen lokalen Netzen)? Da würde dann das Trennen der Internet-Verbindung nicht helfen?
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: VCM und Easybell - LANCOM 1926VAG-4G

Beitrag von backslash »

Hi edvzim,

das bertrifft - wie tstimper schon schrieb - ALLE Verbindungen

Gruß
Backslash
tstimper
Beiträge: 956
Registriert: 04 Jun 2021, 15:23
Wohnort: Chemnitz
Kontaktdaten:

Re: VCM und Easybell - LANCOM 1926VAG-4G

Beitrag von tstimper »

edvzim hat geschrieben: 13 Apr 2023, 18:10 Wow! Das ist eine echt wertvolle Information - herzlichen Dank auch für die Arbeit, das aufzuschreiben!

Eine kurze Nachfrage zum Verständnis. Das betrifft auch interne Verbindungen (also zwischen lokalen Netzen)? Da würde dann das Trennen der Internet-Verbindung nicht helfen?
Es gilt immer , wenn ein Paket durch die Firewall muss. Und das hängt von Deiner Konfiguration ab.

Bei uns gilt zum Beispiel die Regel, das beim LCOS Router die LAN Bridge immer in den isolierten Mode zu schalten ist.
Wenn dann separate IP Netze an separate logische LAN Interfaces gebunden werden, hast Du eine Firewall zwischen den Netzen.
Genial, im lokale Netze voneinander mit einer Firewall zu trennem, bei der dann im Lanmonitor schön beobachtet werden kann was passiert.

Dann geht Traffic zwischen lokalen Netzen durch die Firewall und dann ist bei Firewall Änderungen auch das beschreibe Verhalten zu beachten.
Am einfachsten ist da schon, einfach die gesamte Session Liste zu löschen. Die meisten Applikationen überleben das durch Reconnect,
das muss man testen.

Viele Grüße

ts
TakeControl: Config Backup für LANCOM Router, ALC, APs und Switche...
https://www.linkedin.com/posts/activity ... 04032-DNQ5
https://www.nmedv.de
Antworten