Umstellung auf CompanyFlex (Telekom)

[G_StarRAW]

Liebe Community,

die Umstellung auf CompanyFlex (Telekom) erfolgte vor ein paar Tagen (vorher DeutschlandLAN).

Seitdem habe folgendes Problem:

Ich bekomme 2 Mal täglich die folgende E-Mail von der Commander 6000RX (Auerswald):
Ein Beispiel: 29.12.2022 - 21:51 Uhr [ERROR] Registration lost. Provider=de Telekom CompanyFlex SIP-Trunk IPv4 Account-Rufnummer=90 (Name=- - - Rufnummer=- - -). Status: 403"Forbidden"

Daraufhin schreibt Auerswald:
Anhand der Meldung ist die Registrierung zum Telekom CompanyFlex SIP-Trunk abgebrochen und eine Anfrage von der TK-Anlage für eine neue Registrierung wurde mit „Forbidden“ abgelehnt. Ob zu diesem Zeitpunkt eine Störung im Telefonnetz vorlag, müsste auf der Seite des Anbieters geklärt werden.

Ich habe die Störung bei Telekom gemeldet, es lag wohl keine Störung im Netz der Telekom vor.
Telekom antwortet:
Zur Ihrer Anfrage, warum unser Netz mit SIP 403 auf einige Register des User-Agent: Auerswald COMmander 6000RX/8.4B000 reagiert,
habe ich mir diese Register angesehen.

Das Sip 403 resultiert aus dem Fehlenden Authorization-Header nach dem SIP/2.0 401 Unauthorized.
Der User-Agent: Auerswald COMmander 6000RX/8.4B000 sende hier nach Aufforderung keine Authentifikation.

Wieder mit Auerswald geschrieben, die Antwort war:
Bei einer Registrierung erfolgt zuerst eine Anfrage ohne Authentifikation und nach Aufforderung vom VoIP-Anbieter erfolgt eine zweite Anfrage mit Authentifikation (sogenanntes Challenge-Response-Verfahren). Dieses Verfahren führt die TK-Anlage COMmander 6000 immer durch. Nach Auskunft der Telekom ist die Anfrage mit Authentifikation bei der Telekom nicht angekommen. Dieser Fall zeigt auf eine Störung der lokalen Netzwerkkomponenten, da vorher die Registrierung abgebrochen ist.

Kennt jemand den Grund? Hat jemand schon Erfahrungen mit CompanyFlex?

Ich habe 2 verschiedene Internetanschlüsse und nutze Loadbalancing. Die Internetanschlüsse habe verschiedene Tags.
INTERNET (Telekom) - Tag 1 und
KABELNET (Vodafone) - Tag 2
Es gibt eine Firewall Regel, die IP-Adresse der Telefonanlage über INTERNET (Telekom Anschluss) und Tag 1 ins Netz gehen soll.
Braucht man auch eine DNS-Weiterleitung? *reg.t-online.de (Registrar) -> INTERNET (Telekom Anschluss)?

Zwischen dem Lancom Roter und der Telefonanlage befindet sich noch ein Lancom Switch GS 2326P+
Die Telefonanlage ist eine Auerswald COMmander 6000RX.
Alle Geräte haben die neueste Firmware.


Mit freundlichen Grüßen

Dragos Hahn

[Dr.Einstein]

Hallo Dragos,

nur so als Idee: Hast du mal den TCP Aging Timer im Lancom Router unter IP-Router / Maskierung auf >= 30 Minuten gestellt? Es könnte sein, dass die TK-Anlage denkt, sie wäre noch registriert, der Lancom blockiert die SIP Verbindung, da aus Sicht des Lancoms die Session beendet ist. Und die TK-Anlage danach trotzdem weiterhin das bekannte Digest verwendet.

Gruß Dr.Einstein

[G_StarRAW]

Hallo Dr. Einstein,

das habe ich... TCP auf 3600, auf 1800 Sekunden... das bringt nichts.
UDP auf 120... auch nichts.

Auerswald schreibt heute:
Anhand der ursprünglichen Meldung hat der User-Agent Auerswald COMmander 6000RX/8.4B000 ein Register mit einem abweichenden Souren-Port im Contact-Haeder gesendet. Dieser Zustand zeigt auf den Fall, dass der andere Internet-Anschluß verwendet wurde.

Wie stelle ich ein, dass die Auerswald Anlage nur über den Telekom-Anschluss ins Internet geht?

IP der Telefonanlage ist 192.168.2.110
Routing Tag des Telekom-Anschlusses ist 1
Der Telekom-Internetanschluss heißt als gegenstelle INTERNET.

Kannst du mir konkret sagen, wie ich das einstelle?


Lieben Gruß
Dragos

[Dr.Einstein]

Hey,

dann ist aber deine Firewall nicht korrekt eingerichtet. Wobei mir dann die Ausfälle viel zu kurz vorkommen.

Firewallregel:

Quelle: IP TK Anlage, Quell Port: ANY
Ziel: ANY, Ziel Port ANY
Rtg Tag 1
Quelltag: 0 lassen
Aktion: erlauben

Gruß Dr.Einstein

[G_StarRAW]

Lieber Dr. Einstein,

vielen Dank für die schnelle Antwort.
Diese Regel besteht seit Jahren... ich kann leider keine Bilder hier hochladen.
Die ist genau so, wie du geschrieben hast, aber die reicht wohl nicht aus.

Viele Grüße
Dragos

[Dr.Einstein]

Anhand der ursprünglichen Meldung hat der User-Agent Auerswald COMmander 6000RX/8.4B000 ein Register mit einem abweichenden Souren-Port im Contact-Haeder gesendet. Dieser Zustand zeigt auf den Fall, dass der andere Internet-Anschluß verwendet wurde.

"Nur" ein veränderter Port, oder auch IP-Adresse? Klingt eher danach, dass die Auerswald die Verbindung intern verliert.

[G_StarRAW]

Das stimmt auch, die Anlage verliert die Verbindung, weil der weil der Authorisation Header nicht vollständig bei Telekom ankommt.

Hängt das vielleicht mit der IP Maskierung des Loadbalancer zusammen? Soll ich diese auf „ein“ stellen? Im Moment steht es auf „automatisch“
Hängt es mit dem Client Binding zusammen?

Irgendeine Einstellung, die die Anlage nur über den Telekom Anschluss mit Telekom kommunizieren lässt, fehlt.

Lieben Gruß,
Dragos

[G_StarRAW]

Lieber Dr. Einstein,

um es genauer auszudrucken, der Anlage wird die Anmeldung von Telekom verweigert, weil der Autorisierung Header in der Anmeldung fehlt.
Ich habe mit Auerswald mehrfach geschrieben, die sagen, das ist definitiv ein Routingproblem. Der Router würde nicht sauber nur über den Internetanschluss der Telekom routen.

Ich habe TCP-Aging auf 3600 und UDP-Aging auf 120 erhöht.
Routing-Tabelle - der Internetanschluss der Telekom steht auf Routing-Tag 1
In der DNS-Weiterleitung gibt es noch einen Eintrag für den Telekomanschluss mit Routing-Tag 1, Domäne: * (Sternchen)
Firewall IPv4 - Die IP-Adresse der Anlage wird über Routing-Tag 1 geroutet (markieren), Ziel: beliebig, Dienste und Ports: alle an alle.

Unverschlüsselt meldet sich die Anlage gar nicht an, dann gibt es Fehler 503 - NO DNS
Verschlüsselt meldet sie sich an. Trotzdem wird der Anlage ab und zu die Anmeldung von Telekom verweigert.

Kann das Problem an die Firewall IPv6 liegen? Ich benutze keine IPv6, Firewall IPv6 ist aktiviert, nur die Standardeinstellungen. Bis jetzt hat sie nicht gestört.
Das Intranet hat VLAN 1. Kann das damit zusammenhängen?
Womit kann es noch zusammenhängen?

Hat jemand noch eine Idee?

Ich bedanke mich im Voraus.

Lieben Gruß
Dragos

[Dr.Einstein]

Ich kann es mir nicht vorstellen, dass es bei so wenigen Loginproblemen an der Leitungsauswahl liegt. Wenn du dir da ganz sicher gehen willst, dann setz doch die Default Route vom Loadbalancer auf den Telekom Anschluss für 24h.

[G_StarRAW]

Hallo Dr. Einstein,

ich habe heute Mittag die IPv6 Firewall deaktiviert. Nun warte ich bis morgen und hoffe, dass keine Abmeldung mehr kommt.
Sollte bis morgen Mittag noch eine Verweigerung der Anmeldung von der Seite der Telekom kommen, setze ich den Ladbalancer auf Routing Tag 1.

Lieben Dank!

Viele Grüße
Dragos

[G_StarRAW]

Hallo Dr. Einstein,

es gibt neue Erkenntnisse:
1. es liegt nicht an die Firewall IPv6, der Anlage wurde die Anmeldung verweigert auch wenn das IPv6 Firewall deaktiviert war.
2. ich habe den Vodafone-Internetanschluss komplett aus dem Router entfernt, auch den Loadbalancer.
Die einzige Internetverbindung ist der Telekom-Anschluss, als
255.255.255.255 - 0.0.0.0 - default route - INTERNET (Telekomanschluss)
Routing Tag 0
DNS-Weiterleitung * - Routing Tag 0 - INTERNET (Telekomanschluss)


Und... die Anlage funktioniert, keine Änderung in der Anlage gemacht.
Sie verbindet sich sofort auch unverschlüsselt, was vorher nicht möglich war (Fehler 503 NO DNS Results).

Es muss wohl an dem Lancom liegen. Womit hängt dieses Fehler 503 noch zusammen? Ich glaube, es ist kein Routingproblem, sondern ein DNS-Problem.

Weiß jemand voran es liegt?

Lieben Gruß
Dragos

[G_StarRAW]

In der Konfiguration mit 2 Internetanschlüssen sieht die DNS-Weiterleitung der Default-Route (WAN-Balancer) so aus:

* (Sternchen) - Routing Tag 0 - 8.8.8.8

Als LANCOM damals den Router eingerichtet hat, sagte, es wäre besser da den google Server einzutragen. Bis jetzt keine Probleme gehabt.
Soll vielleicht da statt 8.8.8.8 lieber WAN-Balancer als Gegenstelle stehen?

[Dr.Einstein]

Sie verbindet sich sofort auch unverschlüsselt, was vorher nicht möglich war (Fehler 503 NO DNS Results).

Wenn das vorher nur verschlüsselt ging (Anforderung bei Verbindungsaufbau über Netze außerhalb der Telekom), dann funktionierte die Firewallregel nicht.

Poste mal bitte deine lokalen Netzwerke und die Firewallregeln (nicht nur die Rtg Tag Regel, falls eine andere Regel vorher greift).

DNS Auflösung glaub ich nicht. Die google DNS Server lösen problemlos die SIP SRV Dienste der Telekom auf.

Gruß Dr.Einstein

[G_StarRAW]

Hier sind die...

[G_StarRAW]

PUBLICNET - ist für Publicspot, es soll nur über KABELNET ins Internet gehen und komplett getrennt von den anderen Netzen sein.
INTRANET - benutze ich aktuell für alles
PHONENET soll ein getrenntes Netz nur für VoIP sein, ist nur angelegt, wird aber NOCH nicht nicht benutzt.