Solved
Fehlermeldung in Digitalisierungsbox Premium: SIP Proxy: REGISTER rejected
6 years ago
Unsere Digibox erzeugt derzeit alle fünf Minuten diese Meldung:
Nov 02 22:40:49 - VOIP:[568]: SIP Proxy: REGISTER rejected by BAC [Telekom] Nov 02 22:40:49 - VOIP:[568]: SIP NAT: create NAT deny for 46.229.XX.XXX because check admission failed for REGISTER
Welche Mechanismen hat die Digibox, um solche Angriffsversuche auf die SIP Implementierung zu unterbinden?
Würden sie durch eine Sperre der IP in „Netzwerk → Zugriffsregeln“ gestoppt?
Der Bereich lädt leider dazu ein, falsche Regeln anzulegen (Zugriffsfilter, Regelketten, Schnittstellenzuweisungen, 13 Dropdowns, …).
Gibt es einen einfachen/robusten Weg, eine fremde IP komplett zu sperren (vgl. iptables … -j DROP)?
-------------------
Anmerkung Telekom hilft Team: IP-Adresse editiert
1221
0
12
This could help you too
1295
0
2
in
297
0
1
2 years ago
544
0
2
8 years ago
13089
0
1
You might also be interested in
Buying advice
Do you need personal purchasing advice? Telekom's business customer team will be happy to advise you.
View offers
Informieren Sie sich über unsere aktuellen Internet-Angebote.
Accepted Solution
accepted by
6 years ago
ich springe einmal für meine Kollegin Angela ein. Es liegt uns nun eine Rückmeldung der technischen Fachseite vor.
Die BAC ist die Bandwidth Admission Control, worüber auch die Schnittstellenbindungen für die SIP-Accounts verwaltet wird. Die Meldung deutet darauf hin, dass sich eine für Sie unbekannte IP-Adresse versucht bei Ihnen zu registrieren.
Die Registrierungsversuche werden von dieser IP-Adresse fünf Minuten geblockt.
Bei weiteren Fragen melden Sie sich gern wieder hier.
Herzliche Grüße
Tanja R.
0
4
Answer
from
6 years ago
Soweit ich weiß nicht.
Sollte Dich das nerven geht es nur über die Zugriffskontrolle. Und wie Du richtig erkannt hast
Blacklisting ist unpraktisch
Whitelisting geht. Dazu müsstest Du im einfachsten Fall alle Netzbereiche Deine(s)(r) SIP-Provider eruieren und in die Liste aufnehmen. Dann hast Du schlagartig Ruhe.
Andererseits: Die automatische Sperre für 5 Minuten verhindert zumindest wirkungsvoll BruteForce-Attacken.
0
Answer
from
6 years ago
Hier noch kurz das Feedback zum Test, falls andere User das gleiche Problem haben:
Man benötigt tatsächlich ein Whitelisting als letzten Zugriffsfilter in einer Regelkette, damit man die Schnittstelle nicht versehentlich für alle Zugriffe sperrt. Also Dienst=any, Quelle/Ziel=beliebig und in der Regelkette „Zulassen, wenn Filter paßt”.
Beachten sollte man auch, daß die Zugriffsregeln und Regelketten frei definiert werden können, aber sobald Regelketten einer Schnittstelle zugewiesen werden, sind sie auch sofort aktiv. Man sollte also vor der Zuweisung an die Schnittstelle die Konfiguration speichern, damit man notfalls den alten Zustand mit einem Reboot wiederherstellen kann.
Answer
from
6 years ago
Ergänzung: Bei meiner be.ip stimmte angezeigte Reihenfolge im GUI nicht nach diversen Verschiebeaktionen.
Ob das in aktuellen Firmwareversionen behoben wurde weiß ich nicht. Deshalb nochmal der Link zu dem Artikel wo ich genauer drauf einging: https://www.ip-phone-forum.de/threads/be-ip-plus-firewall-konfigurieren.296876/post-2244034
Unlogged in user
Answer
from