[Erledigt] Port 5060 Erreichbarkeit

[HobbyStern]

Hallo Zusammen,

ich nutze eine FBF 7490 und melde mich und andere SIP Klienten dort aus dem Internet an.
Es scheint so, dass die FBF seit einigen Wochen die Anmeldung (also den Request auf Port 5060) schlicht nicht annimmt.

Gehe über nicht über den öffentlichen Zugang und die Freigabe, sondern direkt über VPN, werde ich registriert. Nutze ich die Freigabe, erhalte ich schlicht keine Antwort.

Dieses Prozedere ist nicht reproduzierbar und nach einem Neustart ist es erst einmal wieder weg.
Ich habe ein Trace laufen lassen, kurz: Die Anfrage kommt in der FBF manchmal an und manchmal nicht an.

Ist es denkbar, dass die FBF Port 5060 bei illegalen Brute-Force-Attacken allgemein abschaltet? Ich kenne das noch mit deizierter IP oder IP-Range Sperre.

Hat jemand ähnliche Verhalten beobachtet?

 

[sonyKatze]

Vorweg, ich benutze die Funktion selbst nicht. Aber ich würde erwarten, dass wir viel mehr Meldungen im IP-Phone-Forum hätten, weil der Port 5060 eigentlich über jenen Internet-Anbieter wie wild befragt wird. Daher würde ich Deine Situation mal nachbauen wollen. Dazu folgende Fragen:

1. Ist diese FRITZ!Box Dein vorderster Router, d.h keine Firewall davor (anderer Router oder Mobilfunk-Anschluss)?
2. Meinst Du mit Freigabe eine Port-Freigabe, Exposed-Host oder dieser Haken innerhalb eines „IP-Telefons“?
3. Was genau meinst Du mit Trace: Schneidest Du wie hier beschrieben die Schnittstelle „1. Internetverbinding“ mit?

 

[HobbyStern]

sonyKatze, Danke. AUch ich würde mehr Rückmeldungen und Ärger erwarten, wenn es diese Funktion gibt. Die Abfrage von Port 5060 sollte eher so eine Art "Dauerproblem" sein und nicht durch deny gelöst werden.

Deine Fragen:

1. Ja, ist sie. In diesem Szenario ist alles sehr einfach. Telefone von innen und von außen melden sich an. DSL.
2. Den öffentlichen Zugang / die Freigabe. Damit meine ich, die Freigabe der Telefonie, sich von außen anmelden zu können. Das Häkchen in der FBF.
3. Ja, ich habe den "Paketmitschnitt auf Interface" aktiviert und mir die capture Datei angesehen, das Ergebnis ist schlicht null. Meine REGISTER Anfrage kommt gar nicht erst an.

 

[B612]

AUch ich würde mehr Rückmeldungen und Ärger erwarten

Nicht unbedingt. Ich denke aus Sicherheitsgründen machen nicht viele Nutzer diese Freigabe.

 

[sonyKatze]

Meine REGISTER Anfrage kommt gar nicht erst an.

Auf welchen Interface genau, auf dem „1. Internetschnittstelle“? Wenn dort keinerlei SIP-Nachricht ankommt, dann kann die FRITZ!Box auch kein SIP verarbeiten. Auf jenem Interface siehst Du alles, wirklich alles, was die Firewall der FRITZ!Box dann erst bearbeitet. Folglich ist Dein Problem woanders zu suchen. Wo saß das Test-Gerät, außerhalb oder innerhalb Deines Heimnetzes? Weiß Du zufällig welchen Quell-Port es genommen hat, auch 5060, UDP oder TCP?

 

[HobbyStern]

@B612 - Port 5060 für Anmeldungen öffnen, ist sicherlich nicht unkritisch, aber auch kein absolutes NoGo, oder? Das geht jedoch stark offtopic.

@sonyKatze Auf wan0 kommen die Anfragen durchweg an, nur eben nicht mehr, wenn es zu meinem aktuellen Phänomen kommt.

Ich werde mir das weiter anschauen und beim nächsten Mal nochmals ein Trace starten, Daten bringe ich dann zurück.

 

[sonyKatze]

B612 meinte (vermutlich), dass wir falsch liegen, dass mehr Meldungen dazu im IP-Phone-Forum kommen müssten. Viele machen das hier entweder direkt mit dem VoIP/SIP-Anbieter oder über das FRITZ!OS eingebaute VPN.

Auf wan0 kommen die Anfragen durchweg an, nur eben nicht mehr, wenn es zu meinem aktuellen Phänomen kommt.

Merkwürdig. Probiere mal meine drei restlichen Fragen zu beantworten (außerhalb/innerhalb Heimnetz, Quell-Port, Transport-Art), vielleicht kommen wir so weiter. Ganz wilde Idee wäre noch die Hardware-Beschleunigung, denn ich weiß nicht sicher, ob man deren Output und deren Input auf wan0 sieht.

 

[HobbyStern]

Hey sonyKatze,

um im Thread zu bleiben: Ja, sobald ich das unerwünschte Verhalten wieder habe, werde ich Informationen sichern.

ich bin jetzt schon ein paar Jahre aus dem technischen Betreuen von VoIP-Anlagen raus, an mir ist sicherlich einiges an Neuerungen vorbeigezogen. Damals hatte man die Nutzung von VPN für VoIP versucht zu vermeiden. Ob es in Bezug auf die Latenz war, kann ich noch nicht einmal sagen. Grundsätzlich wäre es in meinem Szenario selbstverständlich möglich, alle VoIP Anschlüsse über das existierende VPN zu ziehen, da gibt es diese Probleme nicht. Wie steht "man" heute dazu?

Grüße und Danke, Stefan

 

[B612]

Wie steht "man" heute dazu?

Die meisten machen es heute über VPN und es gibt da selten Probleme.

 

[sonyKatze]

Wie steht "man" heute [zu direkt SIP versus VPN]?

Hat sich eigentlich nichts geändert. Dauerhaft ein VPN aufrecht zu erhalten kann wegen Re-Keying bzw. Software-Inkompatibilitäten herausfordernd sein. Auch saugt VPN erheblich am Akku, weil viel mehr Layer aufrechterhalten werden müssen. Aber die Latenz und damit ein mögliches Echo bei Telefonieren sollte sich eigentlich kaum unterscheiden.

Also wenn Du auf Seiten der FRITZ!Box eine öffentliche IPv4 hast und wenn Du auf der anderen Seite ein stationäres Gerät hast, bei dem VPN kein Problem macht, würde ich VPN wählen. Das hat auch den Vorteil, dass man Dir auf dieser Strecke beim Telefonieren nicht zuhören kann. Aber der andere, direkte Weg müsste ebenfalls klappen. Während spannend zu wissen, wieso Du die Daten-Pakete erst gar nicht siehst.

 

[HobbyStern]

Hallo Ihr Zwei,

Danke für Eure Meinung. Das VPN habe ich aus den Gründen von Dir, sonyKatze nicht genutzt. "Dauerhaft ein VPN aufrecht zu erhalten", es soll ja schließlich "Sekretärinnen tauglich" sein. Aber wenn ich es nicht stabil hinbekomme, wähle ich diesen Weg.

AM heutigen Morgen hatte ich das Verhalten prompt sofort wieder, aber beim Neuversuch binnen von 30 Sekunden war dann die Registrierung da.
Wie geschrieben, sobald ich es habe und mich genug ärgern, werde ich es tracen und hier veröffentlichen.

Ich wünsche Euch ein erholsames Wochenende!

 

[HobbyStern]

Wie versprochen Feedback, wenn auch unzufriedenstellendes.

Ich habe die Situation dreifach erlebt, alle drei Male waren nicht ideal zum "Probleme suchen" - aber es muss ja sein.

Interschnittstelle mitgeschnitten. Wireshark damit geöffnet und die Anfrage gefunden:

REGISTER kommt an
Antwort ist 401 Unauthorized

das geht dann zweifach hin- und her und dann ist es REGISTERED.

Meine Ursprungsfrage war: "Ist es denkbar, dass die FBF Port 5060 bei illegalen Brute-Force-Attacken allgemein abschaltet?"

Antwort ist nein, alles weitere hier fällt unter die Abkürzung EDV und wird seine Gründe haben.
Mit Eurem OK: Frage beantwortet.

 

[sonyKatze]

Also klappt es nun? Oder immer noch nicht? Kann auch sein, dass jemand im Netz gelungen ist eine Anfrage zu basteln, welche die FRITZ!Box aus dem Tritt bringt.

 

[HobbyStern]

Ich bleib da am Ball. Im Endeffekt ist die "Lösung" für mich aktuell noch diese:

- Gehe ich über das WAN raus und auch über das WAN wieder rein zur Anmeldung
- muss ich damit leben, dass ich zu Beginn eines Arbeitstages (nur da) ggf. mit einem Neustart meiner Registrierung leben muss, auch mehrfache Wiederholungen können nötig sein

Allerdings ist es bisher immer gelungen nach einigen Eingriffen (Wiederholungen bis FBF Neustart) das Problem wieder zu lösen.

Reproduzierbar ist das nicht, aber Abhilfe kann ja die Tunnelung der VoIP-Verbindung schaffen, da treten diese Fehler nicht auf.

Also aktuell erst einmal "erledigt". Danke für Eure Mithilfe, vielleicht stolpert ein anderer über diesen Thread und bringt bei Zeiten etwas Schwung hinein?

Grüße und Danke an Euch zwei, Stefan

 

[sonyKatze]

Allerdings ist es bisher immer gelungen nach einigen Eingriffen (Wiederholungen bis FBF Neustart) das Problem wieder zu lösen.

Aber wenn Du diese Situation hast, dann doch bitte auf LAN und WAN mitschneiden. Dann müssten wir doch zusammen schnell sehen, was mit den Daten-Paketen passiert.

Gehe ich über das WAN raus und auch über das WAN wieder rein zur Anmeldung

Das beutetet, Du hast das Problem ganz stark bei LAN ↔︎ LAN?