403 User Not Authenticated
vor 11 Jahren
Liebes TH-Team,
seit einigen Tagen funktioniert ein Aufbau an einem Telekom-AllIP-Anschluss nicht mehr.
Das Szenario ist ein Rufaufbau vom Home-Network zu einem entfernten Teilnehmer.
Der REGISTER-Vorgang ist erfolgreich, das INVITE wird allerdings mit 403 quittiert.
Interessant sind folgende Umstände:
- Vor einigen Tagen funktionierte es noch
- Ein Rufaufbau von einem anderen SIP-Client im Home-Network ("Telephone" für Mac) funktioniert!
- Der Rufaufbau von einem analogen Telefon an der FritzBox funktioneirt auch (gleiches Szenario wie zuvor, weil die FritzBox ja auch nur ein SIP-Client aus Sicht des Netzes ist)
- !!! Registriere ich vorher mit der FritzBox, schlägt der Rufaufbau nicht fehl!
Das bringt mich zu der Vermutung, dass die REGISTER-Nachricht meines SIP-Clients ungültig ist.
Um das nachzuvollziehen, habe ich die Nachrichten aus Sicht des Clients dokumentiert. MSN, öffentliche IP-Adressen und Nonces habe ich maskiert oder verändert.
xxxxx97: ausgehende Rufnummer
xxxxx86: entfernte Zielrufnummer
1. REGISTER
401 Challenge (vom Netz)
2. REGISTER
200 ACK (vom Netz)
INVITE
403 (vom Netz)
Gibt es im REGISTER irgendwelche Ungereimtheiten, weshalb das Netz die Transaktion mit 403 beendet?
Herzliche Grüße,
Ferdinand Malcher
PS: Den Router habe ich schon neugestartet, ein Gewitter hatten wir auch nicht
Hinweis:
Hinweis:
1407
0
0
Das könnte Sie auch interessieren
Kaufberatung anfragen
Füllen Sie schnell und unkompliziert unser Online-Kontaktformular aus, damit wir sie zeitnah persönlich beraten können.
Angebote anzeigen
Informieren Sie sich über unsere aktuellen Internet-Angebote.
vor 11 Jahren
...im FROM-HEADER kein kanonisches Format. Das gibt manchmal Probleme bei ausgehenden Rufen (habe ich selber schon gesehen), die IMS wird ja immer restriktiver.
Also +49341....muss in den HEADER, das ist Vorschrift nach 1TR114.
Anzeigename heißt das Feld oder Benutzername, jeder UA macht die Bildung anders...wie das bei dem UA "webrtc2sip Media Server 2.6.0" geht, kann ich nicht sagen.
NPS011172
0
0
von
vor 7 Jahren
@seifert.
Der Trace ist von der WAN-Seite?
Wenn ich meine Digitalisierungsbox als Proxy nutze, sieht der Telekom-Telefonieserver gar nichts von den angemeldeten Clients.
Das heißt es gibt nur einen Via-Eintrag.
0
von
vor 7 Jahren
@Oliver I.Danke für den Hinweis. Ich habe nun eine entsprechende T-Online-E-Mail-Adresse eingerichtet. Im Kundencenter steht dann auch "Eingeloggt als xyz@t-online.de" mit dem entsprechenden Namen. Der beschriebene Fehler bleibt allerdings bestehen.
@wari1957Richtig, die SIP-Nachrichten sind von der WAN-Seite. Danke, dass du dir den Verbindungsaufbau angeschaut hast!
Ich habe mehrfach versucht, den Via-Header der Clients im Proxy zu entfernen. Dabei hat es allerdings immer die SIP-Nachricht zerschossen. (Das lag sicher auch an meiner Konfiguration. Die Tatsache, dass das Entfernen nur sehr umständlich geht, zeigt allerdings auch, dass dieser Anwendungsfall im Proxy nicht vorgesehen ist.)
Bei meiner Recherche bin ich auf RFC 6314 (NAT-Traversal Practices for Client-Server SIP) gestoßen. Im Abschnitt 5.1.2 ist ein Beispiel, wo der Via-Header mit einer internen IP-Adresse einfach nach außen weitergereicht wird. Ich denke deswegen, dass das bei meinem INVITE auch in Ordnung sein sollte. Ich fände es aber interessant zu wissen, wie die Digitalisierungsbox das alles macht
Ist dir sonst noch etwas aufgefallen, was in meinem Fall nicht stimmen könnte?
0
von
vor 7 Jahren
@seifert.
- Bei meiner Recherche bin ich auf RFC 6314 (NAT-Traversal Practices for Client-Server SIP) gestoßen. Im Abschnitt 5.1.2 ist ein Beispiel, wo der Via-Header mit einer internen IP-Adresse einfach nach außen weitergereicht wird. Ich denke deswegen, dass das bei meinem INVITE auch in Ordnung sein sollte.
Bei tcp sind private IP-Adressen im Header ok.
Du nutzt aber udp.
Stell doch testhalber in deinem client tcp oder tls ein.
0