[Problem] Gibt es einenTimer für die internen SIP Clients?

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
B

Bastler1

Mitglied
Mitglied seit
4 Dez 2009
Beiträge
325
Punkte für Reaktionen
38
Punkte
28
Hallo,
ich habe seit heute 13:20 Uhr ein interessantes Phänomen.

Basis ist die 7490 mit Release 06.51.
Eingerichtet als interne SIP Clients sind alle möglichen Nummern.
Angemeldet als interne SIP Clients sind seit längerer Zeit eine 7240 (WLAN Repeater mit lokalen ab Teilnehmer) als 620, und 3x Openstage 40 als 622, 624 + 629.
Die 7490 hat den letzten Neustart am 05.02.2016 04:58 Uhr gehabt.
Die 7240 hat den letzten Neustart am 25.02.2016 17:38 Uhr gehabt.
Das OS40 mit 622 hat den letzten Neustart am 29.01.2016 13:41 Uhr gehabt.
Das OS40 mit 624 hat den letzten Neustart am 29.01.2016 14:40 Uhr gehabt.
Das OS40 mit 622 hat den letzten Neustart am 29.01.2016 14:40 Uhr gehabt.

Alle diese Geräte haben seit heute 13:20 Uhr keine Verbindung mehr zum internen SIP Server der 7490.
Ich habe prophylaktisch die 7240 durchgestartet. Die WLAN Repeater Anmeldung erfolgt dann, aber leider erfolgt keine Anmeldung der 620.
Melde ich aber z.B. ein S6 mit Fritz!App Fon per WLAN als 625 an, so funktioniert dieses.
Sogar die 621 mit Zoiper funktioniert extern über Internet.

Ein Neustart der 7490 habe ich noch nicht gemacht, da dann zwar sicherlich die Wirkung beseitigt, aber nicht mehr die eigentliche Ursache ermittelt werden kann.

Wer hat Ideen um das Problem weiter zu erforschen?
Die Zeit rennt leider, da sonst schnell der "Haussegen" auf Grund der nicht funktionierenden Endgeräte schief hängt.

Das Thema habe ich auf Grund des vermuteten Zusammenhang mit der 06.51er Firmware hier erstellt.
Mit älteren Releases oder auch noch zu 7270er Zeit hatte ich diese Problem noch nie.

Gruß
Bastler1
 
Zuletzt bearbeitet:
Ein Telefon neu starten und unmittelbar danach mal die Support-Daten der 7490 auslesen ... dort sollte man im SIP-Teil eigentlich sehen, wenn da irgendwelche Probleme auftreten (und dann wird der Neustart sicherlich wegen des Haussegens möglich sein).

Wobei das ja dann eine "langzeitstabile" 7490 ist ... die ist ja dann vermutlich seit dem Update auf die 06.51 noch nie neu gestartet worden - mit so langen Laufzeiten fehlen mir persönlich jegliche Erfahrungen. Man probiert einfach zu viel herum, auch mit "Produktivboxen", weil sich immer mal irgendeine Zusatzkomponente ändert und dann ein Neustart die "Restart-Festigkeit" solcher Arbeiten umgehend klären kann, ehe beim/nach dem nächsten Stromausfall dann unerwartet nichts mehr geht.
 
Hallo PeterPawn

habe die 622 neu gestartet und nur den geänderten Teil hier angehängt:
2016-05-28 09:49:03.399 - IN: my=192.168.100.1%11:5060 peer=192.168.100.150 port=5060 UDP, sipiface=none:
REGISTER sip:192.168.100.1:5060;transport=udp 2.0
Via: SIP/2.0/UDP 192.168.100.150;branch=z9hG4bK9293043ddf108fc1d
From: "Wohnzimmer" <sip:[email protected]:5060>;tag=a22d531685;epid=SC27c55c
To: <sip:[email protected]:5060>
Call-ID: d4f8b8359e5282d9
CSeq: 1105671864 REGISTER
Contact: "Wohnzimmer" <sip:[email protected]:5060;transport=udp>;expires=3600
Max-Forwards: 70
Supported: X-Siemens-Proxy-State
User-Agent: OpenStage_40_V3 R3.40.0 SIP 150619 simple-uaCSTA
X-Siemens-IID: 802MAC=001ae******
Accept: application/dls-contact-me
Content-Length: 0

2016-05-28 09:49:03.401 - OUT: my=192.168.100.1%11:5060 peer=192.168.100.150 port=5060 UDP, sipiface=none tcclass=sip_internet, netmark=0:
SIP/2.0 401 Unauthorized
Via: SIP/2.0/UDP 192.168.100.150;branch=z9hG4bK9293043ddf108fc1d
From: "Wohnzimmer" <sip:[email protected]:5060>;tag=a22d531685;epid=SC27c55c
To: <sip:[email protected]:5060>;tag=836B22F1DD3EE252
Call-ID: d4f8b8359e5282d9
CSeq: 1105671864 REGISTER
WWW-Authenticate: Digest realm="fritz.box", nonce="82756F4276F2668C"
User-Agent: FRITZ!OS
Content-Length: 0

Und was sagt mir das, außer das sich das Endgerät nicht registriert?

Gruß
Bastler1

Da ich das Problem weiter einkreisen wollte, habe ich in der Oberfläche der 7490 einfach mal das gleiche alte Passwort für die 622 gesetzt => es funktioniert
=> Es muss sich bei der Passwortauthentifizierung bei den SIP Clients irgendetwas geändert haben....
 
Zuletzt bearbeitet:
Moins


:confused:
Und was sagt mir das, außer das sich das Endgerät nicht registriert?
Zum Vergrößern anklicken....
Genauso viel wie uns.

Eine Eigenart des REGISTER ist, dass die erste Antwort des Servers immer Unauthorized ist.
Denn der Server übergibt erst dann das: WWW-Authenticate: Digest realm="fritz.box", nonce="82756F4276F2668C"
Dieses nonce muss der Klient im zweiten Anlauf richtig beantworten.

Ergo solltest du der Vollständigkeit halber auch nachfolgendes REGISTER und dessen Serverantwort posten...
Code: 
Sent to udp:192.168.178.1:5060 at May 28 11:16:52.386 (650 bytes):

REGISTER sip:192.168.178.1 SIP/2.0
Via: SIP/2.0/UDP 192.168.0.2:5060;branch=HASH
From: "snom1@fb" <sip:[email protected]>;tag=HASH
To: "snom1@fb" <sip:[email protected]>
Call-ID: HASH
CSeq: 145 REGISTER
Max-Forwards: 70
User-Agent: snom320/8.7.5.44
Contact: <sip:[email protected]:5060>;reg-id=1;q=1.0;audio;mobility="fixed";duplex="full";description="snom320";actor="principal";events="dialog";methods="INVITE,ACK,CANCEL,BYE,REFER,OPTIONS,NOTIFY,SUBSCRIBE,PRACK,MESSAGE,INFO"
Allow-Events: dialog
X-Real-IP: 192.168.0.2
Supported: path
Expires: 3600
Content-Length: 0

Received from udp:192.168.178.1:5060 at May 28 11:16:52.399 (428 bytes):

SIP/2.0 401 Unauthorized
Via: SIP/2.0/UDP 192.168.0.2:5060;branch=HASH;rport=1024;received=192.168.178.9
From: "snom1@fb" <sip:[email protected]>;tag=HASH
To: "snom1@fb" <sip:[email protected]>;tag=HASH
Call-ID: HASH
CSeq: 145 REGISTER
WWW-Authenticate: Digest realm="fritz.box", [COLOR="#FF0000"]nonce=HASH[/COLOR]
User-Agent: FRITZ!OS
Content-Length: 0

Sent to udp:192.168.178.1:5060 at May 28 11:16:52.418 (813 bytes):

REGISTER sip:192.168.178.1 SIP/2.0
Via: SIP/2.0/UDP 192.168.0.2:5060;branch=HASH;rport
From: "snom1@fb" <sip:[email protected]>;tag=HASH
To: "snom1@fb" <sip:[email protected]>
Call-ID: HASH
CSeq: 146 REGISTER
Max-Forwards: 70
User-Agent: snom320/8.7.5.44
Contact: <sip:[email protected]:5060>;reg-id=1;q=1.0;audio;mobility="fixed";duplex="full";description="snom320";actor="principal";events="dialog";methods="INVITE,ACK,CANCEL,BYE,REFER,OPTIONS,NOTIFY,SUBSCRIBE,PRACK,MESSAGE,INFO"
Allow-Events: dialog
X-Real-IP: 192.168.0.2
Supported: path
Authorization: Digest username="621",realm="fritz.box",[COLOR="#FF0000"]nonce=HASH[/COLOR],uri="sip:192.168.178.1",response=HASH,algorithm=MD5
Expires: 3600
Content-Length: 0

Received from udp:192.168.178.1:5060 at May 28 11:16:52.442 (928 bytes):

[COLOR="#FF0000"]SIP/2.0 200 OK[/COLOR]
Via: SIP/2.0/UDP 192.168.0.2:5060;branch=HASH;rport=1024;received=192.168.178.9
From: "snom1@fb" <sip:[email protected]>;tag=HASH
To: "snom1@fb" <sip:[email protected]>;tag=HASH
Call-ID: HASH
CSeq: 146 REGISTER
Contact: <sip:[email protected]:5060>;q=1.0;reg-id=1;audio;mobility="fixed";duplex="full";description="snom320";actor="principal";events="dialog";methods="INVITE,ACK,CANCEL,BYE,REFER,OPTIONS,NOTIFY,SUBSCRIBE,PRACK,MESSAGE,INFO";expires=300
Contact: <sip:[email protected]:5060>;expires=148
User-Agent: AVM FRITZ!Box Fon WLAN 7360 SL 109.06.30 (Jul 10 2015)
Supported: 100rel,replaces,timer
Allow-Events: telephone-event,refer,reg
Allow: INVITE,ACK,OPTIONS,CANCEL,BYE,UPDATE,PRACK,INFO,SUBSCRIBE,NOTIFY,REFER,MESSAGE,PUBLISH
Accept: application/sdp, multipart/mixed
Accept-Encoding: identity
Content-Length: 0
 
Zuletzt bearbeitet:
Das gezeigte "Fehlerbild" mit einer 401-Antwort auf den ersten Kontaktversuch ist vollkommen normal ... das liegt einfach daran, daß dort eine Anmeldung verwendet wird, die das Kennwort nicht im Klartext übermittelt.

Damit da auch keine "replay"-Attacke stattfinden kann (also eine ältere, "verschlüsselte" - so eine Hash-Funktion ist tatsächlich eine Einweg-Verschlüsselung - Anmeldung einfach noch einmal gesendet werden kann), gibt es eine einmalige Komponente (genannt "nonce"), die vom Server (hier der FRITZ!Box) vorgegeben wird und die der Client (das OpenStage) in die Berechnung des Anmeldewertes mit einbeziehen muß. Das genaue Verfahren ist im entsprechenden Internet-Standard beschrieben (RFC).

Da der Client beim ersten Anmeldeversuch noch keine Credentials gesendet hat (kann er auch nicht, er braucht erst den aktuellen "nonce" von der Box), kriegt er erst einmal die Antwort "401" ... aber mit dieser Antwort zusammen erhält er jetzt (im "WWW-Authenticate"-Header) den "Namensraum" (realm) und den einmaligen Wert (nonce), mit denen er Benuternamen und Kennwort verknüpfen kann/muß, bevor auf das Gesamtergebnis eine Hash-Funktion angewendet wird.

Den Hash-Wert über dieses Gesamtergebnis muß der Client dann in einer weiteren Anmeldung angeben (im "Authorization"-Header, zusammen mit den anderen Angaben, die er für die Berechnung verwendet hat).

Der Server prüft dann, ob tatsächlich die angegebenen Daten benutzt wurden (in erster Linie, ob der Client wirklich den vorgegebenen "nonce"-Wert benutzt hat und nicht einfach hier wieder einen älteren "unterjubelt") und nimmt seinerseits mit Benutzernamen und Kennwort dieselbe Berechnung vor.

Stimmen die errechneten Hash-Werte überein, hat nach der Theorie (Hash-Kollisionen spielen hier keine wirkliche Rolle) der Client dieselben Ausgangsdaten verwendet, somit muß er sie tatsächlich kennen, ergo ist er "berechtigt" zum Zugriff.

Damit ist es eben vollkommen normal, wenn so eine Anmeldung im ersten Versuch scheitert (sie kann - wegen fehlender "nonce" - gar nicht funktionieren) und wenn da seitens des Clients keine weiteren REGISTER-Versuche zu sehen sind, dann werden die entweder nicht gesendet (läge dann am Client, ohne REGISTER dann natürlich auch keine Antwort) oder sie werden tatsächlich von der "Firewall" der FRITZ!Box schon vor dem "voipd" abgewiesen/blockiert.

Das wäre auch denkbar (schließlich kann man mit ständigen REGISTER-Versuchen so ein Gerät auch entsprechend beschäftigen für den Versuch einer DoS-Attacke), wenn die FRITZ!Box tatsächlich die REGISTER-Versuche eines Clients zählt (als absoluten Wert und nicht pro Zeiteinheit) und/oder dabei irgendein Zähler nicht richtig zurückgesetzt wird bzw. nach so langer Zeit dann übergelaufen ist.

Wobei dann die Frage aufkäme, warum es der erste Versuch jeweils durch diese Firewall (ob es dort eine Limitierung der Requests gibt, muß man aber eben auch erst testen, ich stand noch nie vor diesem Problem) schaffen sollte ...

Ich hatte auch noch die Frage vergessen, ob irgendetwas im Eventlog der Box zu sehen ist, was fehlgeschlagene Anmeldungen von SIP-Clients betreffen könnte.

Da die Firewall mit einiger Wahrscheinlichkeit auf der Basis von IP- und/oder MAC-Adressen arbeitet, wäre ein weiterer Test (wenn nicht die Änderung eines einzelnen Kennworts gleich alle Clients wieder funktionieren läßt - ich würde hier auch auf das Zurücksetzen von Zählern beim Aktualisieren so eines SIP-Clients tippen) mit abweichender IP-Adresse für eines der Telefone noch ein denkbare Untersuchung.

Neuere Clients können sich ja offensichtlich weiterhin anmelden nach #1 und der Unterschied zwischen den Siemens-Telefonen und der FRITZ!Box 7240 bei inzwischen gleichen Symptomen könnte in einer anderen Häufigkeit der Erneuerung so einer Registrierung liegen (so ein "keepalive" ist auch nicht richtig standardisiert, das kann über alle möglichen SIP-Nachrichten erfolgen, je nach Implementierung auf beiden Seiten) ... ich würde mal behaupten, daß eine event. schon länger nicht erfolgreiche Anmeldung der 7240 nicht auf Anhieb auffallen würde (ansonsten ist die Theorie auch Schrott, weil die 7240 auch drei Monate gelaufen wäre - die OS ja vier - und das dann schon ein merkwürdiger Fehler/Zufall wäre, wenn zum identischen Zeitpunkt diese Überläufe auftreten würden).

Normalerweise zeigt die FRITZ!Box im Rahmen der Ausgabe von "showvoipdstat" in den Support-Daten auch an, wie lange so ein Client jetzt schon registriert ist ... das wäre auch interessant. Selbst wenn ein OS seit Ende Januar arbeitet, muß das ja nicht zwangsläufig auch heißen, daß die Registrierung über diesen gesamten Zeitraum bestand - insofern "rechnet" es sich schlecht und die Meinung des FRITZ!OS, wie lange so ein Kontakt nun schon besteht, wäre eben interessant.

- - - Aktualisiert - - -

@koy war schneller, meine Erklärung ist umfangreicher ... ich lasse sie stehen.

@koy: Die Erklärung ist soweit richtig ... außer daß der "nonce"-Wert selbst noch kein Hash-Wert ist (auch wenn er event. mittels einer Hash-Funktion ermittelt werden sollte). Das ist einfach eine "Zufallszahl" (hier ja 16 * 4 = 64 Bit). Selbst wenn das bereits ein Hash-Wert wäre (man kann natürlich auch MD5 auf die aktuelle Uhrzeit o.ä. anwenden und dann irgendwo abschneiden beim Ergebnis, denn MD5 liefert ja selbst 128 Bit), muß ja sichergestellt sen, daß sich das "Ausgangsmaterial" vom vorhergehenden unterscheidet, sonst würde sich der "nonce"-Wert nie ändern.
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 621 (Mitglieder: 5, Gäste: 616)

Neueste Beiträge

Statistik des Forums

Themen
244,878
Beiträge
2,220,027
Mitglieder
371,604
Neuestes Mitglied
broekar
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück