IPv6 Firewall: ALLOW-SIP Regel funktioniert nicht

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

beki
Moderator
Moderator
Beiträge: 109
Registriert: 16 Jan 2017, 13:09
Wohnort: DKB/BY/DE

Re: IPv6 Firewall: ALLOW-SIP Regel funktioniert nicht

Beitrag von beki »

Nur wenn kein Outbound-Session-Eintrag vorhanden war und es kommt ein Ruf von aussen rein, wirst du - sobald der VCM geantwortet hat - die Sesion unter "Inbound-Sessions" finden
In der Tat (eingehender Anruf nach hinreichend langer "Stille"):

Code: Alles auswählen

Src-Address                              Dst-Address                              Prot. Src-Port Dst-Port Src-Interface    Timeout    Filter-Rule
===========================================================================================================================---------------------------------------------------------------------------------
2001:8d8:104:100:212:227:124:129         2003:73:4f7f:c797:a0:57ff:fe1f:xxxx      17    5060     65462    1UND1WAN         52         ALLOW-1UND1-VOIP
Schade dass die Tabelle "Outbound-Sessions" fehlt und auch der Trace keine Ausgaben zu den Session-Timeouts macht.
booker
Beiträge: 100
Registriert: 01 Aug 2005, 16:05

Re: IPv6 Firewall: ALLOW-SIP Regel funktioniert nicht

Beitrag von booker »

Hallo,

ich wärme den Thread nochmal auf. Habe die letzten Monate keine weiteren Erkenntnisse gewonnen, da es sich bei mir und den Provider M-Net handelte bei dem abgehende Verbindungen bisher sowieso nicht funktionierten. Nachdem das mit der 10.12-RC1 nun klappt habe ich hier noch einige Versuche unternommen und falle nun wieder über diese Stolperfalle.

Der Workaround die Firewall mit den OPTIONS Paketen offen zu halten funktioniert leider nicht völlig zuverlässig. Wenn ich über M-Net versuche zu telefonieren kommt das Gespräch zustande, bricht aber nach unbestimmter Zeit (mal nach 20 Minuten, mal erst nach 30 Minuten) ab. Im Trace kann man ganz klar sehen, dass bis dahin jegliche Signalisierung funktionierte und unmittelbar vor dem Verbindungsabbruch ein Paket vom SIP-Server an den Lancom von der Firewall geblockt wird.

Wie backslash schreibt kann man nun drüber diskutieren ob das hier ein Bug ist oder nicht. Ich würde sagen JA! Aus Sicht des Anwenders ist es völlig unerheblich ob man den Bug nun der Firewall oder dem VCM zuschreibt. Beide für sich betrachtet mögen völlig korrekt arbeiten, aber das Feature Telefonie funktioniert schlicht nicht zuverlässig.

Aktuell verwende ich nun TCP statt UDP. Aber auch das ist meiner Meinung nach nur ein Workaround!

Schönen Abend
booker
beki
Moderator
Moderator
Beiträge: 109
Registriert: 16 Jan 2017, 13:09
Wohnort: DKB/BY/DE

Re: IPv6 Firewall: ALLOW-SIP Regel funktioniert nicht

Beitrag von beki »

booker hat geschrieben:Beide für sich betrachtet mögen völlig korrekt arbeiten, aber das Feature Telefonie funktioniert schlicht nicht zuverlässig.
Das stimmt. Und ich rechne mit einem Fix. Aber es könnte noch ein paar Monate dauern (warum mag ich für mich behalten, da diese Info intern ist).
booker hat geschrieben:Aktuell verwende ich nun TCP statt UDP. Aber auch das ist meiner Meinung nach nur ein Workaround!
Das sehe ich als mehr als einen Workaround! Wenn du TCP nutzen kannst zur Signalisierung, dann solltest du das auf jeden Fall tun! Hast du einmal TLS ausprobiert mit eindem Provider? Das wäre doch toll, wenn der das unterstützt und du es nutzen kannst :)
booker
Beiträge: 100
Registriert: 01 Aug 2005, 16:05

Re: IPv6 Firewall: ALLOW-SIP Regel funktioniert nicht

Beitrag von booker »

Hallo beki,

danke für die Antwort und die Hoffnung darauf, dass es mittelfristig hier eine Lösung geben wird :lol:

Ich habe das in meinem Fall funktionierende TCP deshalb als Workaround bezeichnet, weil es ja durchaus Provider geben mag die
a) die Re-Registrierung in einem Intervall deutlich größer als 60sec erzwingen und
b) eben kein TCP zulassen.
Dann hätte man in der Tat im Moment schlicht Pech gehabt.

Das TLS werde ich mal ausprobieren. Zumindest in der Beschreibung für den SIP-Trunk von M-Net wird TLS mit angegeben.
Edit: Bei den Privatkundenanschlüssen funktioniert TLS offenbar aber nicht.

Gruß
booker
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: IPv6 Firewall: ALLOW-SIP Regel funktioniert nicht

Beitrag von Dr.Einstein »

Huhu,

gibt doch jetzt mit der neuen Firmware (RC)

Registration-interval

und

Line-control-interval

ein Riesenfortschritt!

Gruß Dr.Einstein
beki
Moderator
Moderator
Beiträge: 109
Registriert: 16 Jan 2017, 13:09
Wohnort: DKB/BY/DE

Re: IPv6 Firewall: ALLOW-SIP Regel funktioniert nicht

Beitrag von beki »

Dr.Einstein hat geschrieben:Line-control-interval
Das ist asbach-uralt.

Aber Registration-Interval ist in der Tat neu. Hier bitte Vorsicht walten lassen. Der Provider kann die Registrierung auch ablehnen mit dem Hinweis "Interval to Brief" (SIP 423). Bei Intervallen unter 60s (wie hier diskutiert) halte ich die Wahrscheinlichkeit für einen derartigen Fehler für eher hoch.

Außerdem sehe ich das nicht als sinnvolle Methode die Firewall zu "konfigurieren". Der Fehler bleibt.
Benutzeravatar
LoUiS
Site Admin
Site Admin
Beiträge: 5031
Registriert: 07 Nov 2004, 18:29
Wohnort: Aix la Chapelle

Re: IPv6 Firewall: ALLOW-SIP Regel funktioniert nicht

Beitrag von LoUiS »

Ich denke in einer der naechsten Builds der 10.12 sollte dann keine IPv6 Firewall Regel mehr notwendig sein.
In meinen eigenen lokalen Tests funktioniert es derzeit mit SIPGATE als Provider und konfigurierter IPv6 Adresse auch ohne expliziter Firewall-Regel.
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
booker
Beiträge: 100
Registriert: 01 Aug 2005, 16:05

Re: IPv6 Firewall: ALLOW-SIP Regel funktioniert nicht

Beitrag von booker »

Hallo LoUis,

Sipgate läuft bei mir auch problemlos, hier wird auch alle "paar Sekunden" die Registrierung aufgefrischt. M-Net erzwingt aber, dass die Re-Registrierung erst nach 1200 Sekunden erfolgt! Und da liegt das Problem.

Ich bin mal gespannt auf die nächsten 10.12er Builds :roll:

Gruß
booker
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: IPv6 Firewall: ALLOW-SIP Regel funktioniert nicht

Beitrag von cpuprofi »

Hallo LoUis,

ich habe gerade mal ein wenig mit IPv6 und SIP getestet:

Der Lancom macht bei Weiterleitungen/Rufumleitungen einseitige Telefonie (RTP).

1.) Anruf kommt auf Telefon_1 rein und wird nach Telefon_2 vermittelt:

Anrufer hört einen noch, aber man selber hört den Anrufer nicht.

2.) Anruf kommt auf Telefon_1 rein und wird nach Handy weitergeleitet:

Anrufer hört nichts, man selber hört auch nichts.

Das gleiche Szenario bei IPv4 macht keine Probleme!

Lancom 1781VA mit FW 10.12.0048.

Und bevor die Nachfrage kommt, IPv6 geht sowohl verschlüsselt, als auch unverschlüsselt nicht!

Grüße
Cpuprofi
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: IPv6 Firewall: ALLOW-SIP Regel funktioniert nicht

Beitrag von cpuprofi »

Hallo LoUiS,

mal zur Info, das Problem mit "Weiterleitungen/Rufumleitungen einseitige Telefonie (RTP)" bei IPv6 besteht immer noch.

FW: 10.12.0053

Grüße
Cpuprofi
Antworten