Hallo zusammen,

bevor ich nun beim weiteren Probieren vollends verzweifle möchte ich gerne die Community um Rat fragen.

Ausgangssituation: Digitalisierungsbox Smart, mehrere VLANs, eins davon (ID=1) verwendet als "Management-Netz" für Geräte, die für die "normalen Nutzer" nicht erreichbar sein sollen (bisher hauptsächlich Switches) mit entsprechendem IP-Bereich und DHCP. 

Bislang ist ausschließlich IPv4 in Verwendung - intern, extern, überall.

In besagtem VLAN habe ich den Zugriff auf das Internet sowie alle anderen vorhandenen lokalen Netze mittels ACL eingeschränkt.

Konkret habe ich unter Netzwerk -> Zugriffsregeln konfiguriert:

1.) Erlaube alle Zugriffe innerhalb der im VLAN vorhandenen IP-Range (Source=/24, Destination=/24)

2.) Damit DHCP funktioniert noch any -> any:67,68 erlaubt.

3.) zwei andere Regeln, die die anderen IPs der Digibox betreffen (Digibox soll auf die .1 dieses Netzes auch aus anderen Netzen reagieren) -> hier vermutlich unwichtig

4.) Rest verboten (insb. auch Internet - dies noch mal zusätzlich per Firewall-Regel)

Soweit so gut, alles wie gewünscht erreichbar bzw. nicht erreichbar.

Nun habe ich IP120-Telefone angeschafft, die ich in dieses VLAN1 aufnehmen möchte. Der DHCP ist für Autokonfig vorbereitet, die Telefone bziehen diese und werden in der Digibox im entsprechenden Menü erkannt.

Allerdings kam bei den IP120 die Anzeige "Fehler in IP-Account Konfiguration".

Syslog der Digibox sagt dazu:

2017-04-23 02:38:58	Warning		gw01.int.firma.tld	local0	VOIP	IWU: data_write: error get localip for destination 172.16.8.103,39000000

... und das mehrmals pro Minute.

172.16.8.103 ist eines der IP-Telefone (IP vom DHCP, Range ist korrekt). Das Telefon bezieht außerdem die Uhrzeit vom NTP-Server (wird per DHCP mitgegeben).

Kein weiterer Hinweis, weder von ACL noch SIF, dass etwas blockiert würde (Log-Level: debug).

Im nächsten Schritt habe ich mir daher die Netzwerk-Traces angesehen, sowohl auf der Digibox als auch direkt vom Telefon heruntergeladen (super, dass die Firmware das gleich mitbringt!).

Ergebnis: Erwartungsgemäß wird DHCP und NTP korrekt abgewickelt. Auf das REGISTER des Phones kommt aber - nichts! Auf der Digibox kommt dieses Paket scheinbar an, es war in den Traces von "beiden Enden" vorhanden.

ARP usw. sieht normal aus, die beiden Geräte finden sich auf IP-Layer. Beispiel der ausbleibenden Responses auf das SIP-Register

Testweise bei den Zugriffsregeln ein allow any->any hinzugefügt - siehe da, funktioniert. Im Trace tauchen die entsprechenden SIP-Messages auf.

Durch weiteres Ausprobieren konnte ich es einschränken bis auf ein 0.0.0.0/31 -> Telefon-IP/32. (/31 deshalb, damit die Box nicht ein any draus macht), Protokoll: any.

Sobald eine entsprechende Regel vorhanden ist, folgt auf das REGISTER sofort ein 200 OK - also alles so, wie es sein soll.

Da ich weder in den Logs noch in irgendeiner Dokumentation finden konnte, was die Auto-Konfig der Telefone genau braucht, habe ich begonnen, es selbst auszuprobieren - bislang mit mäßigem Ergebnis.

Was ich verraten kann: Es ist weder TCP noch UDP. Wenn ich diese per ACL vor der ANY-Regel blockiere, dann funktioniert das jeweile Telefon immer noch.

Von den anderen in der ACL angebotenen L3/4-Protokollen habe ich einige probiert (jeweils nur eins gewhitelistet, um zu sehen, wann sich das Telefon registriert) - bislang kein Treffer.

Ich hoffe, jemand aus der Community weiß mehr - evtl. @Kalle2014? - (Ich hoffe Sie nehmen mir nicht übel, dass ich Sie gleich im ersten Beitrag erwähne )

Lieben Dank bereits jetzt für jeden Tipp!

Beste Grüße,

C. Gerharz