Solved
Fehlermeldung in Digitalisierungsbox Premium: SIP Proxy: REGISTER rejected
6 years ago
Unsere Digibox erzeugt derzeit alle fünf Minuten diese Meldung:
Nov 02 22:40:49 - VOIP:[568]: SIP Proxy: REGISTER rejected by BAC [Telekom] Nov 02 22:40:49 - VOIP:[568]: SIP NAT: create NAT deny for 46.229.XX.XXX because check admission failed for REGISTER
Welche Mechanismen hat die Digibox, um solche Angriffsversuche auf die SIP Implementierung zu unterbinden?
Würden sie durch eine Sperre der IP in „Netzwerk → Zugriffsregeln“ gestoppt?
Der Bereich lädt leider dazu ein, falsche Regeln anzulegen (Zugriffsfilter, Regelketten, Schnittstellenzuweisungen, 13 Dropdowns, …).
Gibt es einen einfachen/robusten Weg, eine fremde IP komplett zu sperren (vgl. iptables … -j DROP)?
-------------------
Anmerkung Telekom hilft Team: IP-Adresse editiert
1217
12
This could help you too
1279
0
2
in
291
0
1
2 years ago
505
0
2
You might also be interested in
Buying advice
Do you need personal purchasing advice? Telekom's business customer team will be happy to advise you.
View offers
Informieren Sie sich über unsere aktuellen Internet-Angebote.
6 years ago
Beim technischen Original, der be.IP plus kann über die Zugriffsfilter tatsächlich entsprechend agiert werden.
Die Firewall der GUI sitzt in der Abarbeitungskette zu weit hinten - ist somit ungeeignet für diesen Fall.
Ein Restart für eine neue IP scheint bei Dir kein Weg zu sein - hast Du eine Fix-IP?
Achtung: Die Zugriffsregeln haben das Potential, sich komplett auszusperren. Vor Experimenten halte bitte ein Konfigurationsbackup vor.
Ich hatte mal in einem Thread - ich glaube im IP-Phone-Forum meine Vorgehensweise dokumentiert. Leider finde ich den Thread aus 2017 aber nicht wieder.
Damals hatte ich eine Basisregel angelegt: Alle Pakete für 5060 verwerfen - ausser.....
Das wird über die Reihenfolge der Einträge erreicht. Die letzte Regel lehnt alles ab und die davor bilden die Aussnahmen. Vorsicht: Die Reihenfolge in der GUI bildete damals die Reihenfolge der Regelkette nicht korrekt ab. Die Listbox für die Regelkettenauswahl im "Verschieben"-Dialog hatte aber die richtige Reihenfolge.
1
Answer
from
6 years ago
Die Digibox hat eine feste IP, ein Neustart alleine hilft daher leider nicht weiter.
Ich hatte jetzt zwei Zugriffsfilter mit Dienst „sip“ (Port 5060 TCP und UDP) und der entsprechenden IPv4-Quelladresse.
Diese dann in einer neuen Regelkette aneinandergehängt mit „Verweigern, wenn Filter paßt“.
Die Regelkette habe ich zunächst der Schnittstelle ethoa35-5 zugewiesen und später ethoa35-5-1 – hier ergab sich keine Änderung.
Bei Zuweisung zu „Germany - Telekom Entertain“ habe ich mich dann plötzlich komplett selbst ausgesperrt.
Das ist nicht nur sehr ärgerlich, sondern auch komplett unverständlich, da die Regeln sowohl auf Port 5060 als auch die Quell-IP eingeschränkt waren!
Was läuft denn da schief auf der Digibox?
Unlogged in user
Answer
from
6 years ago
vielen Dank für Ihren Beitrag. Ich reiche Ihre Fragestellung gerne einmal an unsere technische Fachseite weiter. Sobald ich von dort eine Rückmeldung habe, melde ich mich hier wieder.
Viele Grüße und noch einen schönen Sonntag Abend
Angela G.
4
Answer
from
6 years ago
Ich hatte zuerst. Blacklisting versucht.
Die Liste wurde sehr schnell sehr lang und unübersichtlich. Selbst als ich ganze netzbereiche sperrte, wuchs die Liste weiter.
Danach Whitelisting.
Telekom gibt z.b. keine info über die zulässigen ip- Bereiche.
Bei mehr Providern wirds anstrengend. Und wenn dann mal was nicht funzt bei der Telefonie - was ist als erstes auszuschließen?
Habe es aufgegeben. Ist aber auch "nur" ein privatanschluss.
Answer
from
6 years ago
Aha, guter Hinweis mit der letzten Regel als Whitelisting! In der Doku ist dies auch erwähnt, sehe ich gerade (Benutzerhandbuch S. 259). Das teste ich bei nächster Gelegenheit.
Answer
from
6 years ago
https://www.ip-phone-forum.de/threads/be-ip-plus-firewall-konfigurieren.296876/#post-2243187
Unlogged in user
Answer
from
Accepted Solution
accepted by
6 years ago
ich springe einmal für meine Kollegin Angela ein. Es liegt uns nun eine Rückmeldung der technischen Fachseite vor.
Die BAC ist die Bandwidth Admission Control, worüber auch die Schnittstellenbindungen für die SIP-Accounts verwaltet wird. Die Meldung deutet darauf hin, dass sich eine für Sie unbekannte IP-Adresse versucht bei Ihnen zu registrieren.
Die Registrierungsversuche werden von dieser IP-Adresse fünf Minuten geblockt.
Bei weiteren Fragen melden Sie sich gern wieder hier.
Herzliche Grüße
Tanja R.
4
Answer
from
6 years ago
Soweit ich weiß nicht.
Sollte Dich das nerven geht es nur über die Zugriffskontrolle. Und wie Du richtig erkannt hast
Blacklisting ist unpraktisch
Whitelisting geht. Dazu müsstest Du im einfachsten Fall alle Netzbereiche Deine(s)(r) SIP-Provider eruieren und in die Liste aufnehmen. Dann hast Du schlagartig Ruhe.
Andererseits: Die automatische Sperre für 5 Minuten verhindert zumindest wirkungsvoll BruteForce-Attacken.
Answer
from
6 years ago
Hier noch kurz das Feedback zum Test, falls andere User das gleiche Problem haben:
Man benötigt tatsächlich ein Whitelisting als letzten Zugriffsfilter in einer Regelkette, damit man die Schnittstelle nicht versehentlich für alle Zugriffe sperrt. Also Dienst=any, Quelle/Ziel=beliebig und in der Regelkette „Zulassen, wenn Filter paßt”.
Beachten sollte man auch, daß die Zugriffsregeln und Regelketten frei definiert werden können, aber sobald Regelketten einer Schnittstelle zugewiesen werden, sind sie auch sofort aktiv. Man sollte also vor der Zuweisung an die Schnittstelle die Konfiguration speichern, damit man notfalls den alten Zustand mit einem Reboot wiederherstellen kann.
Answer
from
6 years ago
Ergänzung: Bei meiner be.ip stimmte angezeigte Reihenfolge im GUI nicht nach diversen Verschiebeaktionen.
Ob das in aktuellen Firmwareversionen behoben wurde weiß ich nicht. Deshalb nochmal der Link zu dem Artikel wo ich genauer drauf einging: https://www.ip-phone-forum.de/threads/be-ip-plus-firewall-konfigurieren.296876/post-2244034
Unlogged in user
Answer
from
Unlogged in user
Ask
from