Telekom SBC lehnt ausgehende Calls zeitweise mit 403 Forbidden ab
vor einer Stunde
Hallo liebes Telekom-Hilft-Team, liebe Community,
ich brauche mal technische Hilfe bei einem Problem, welches mich beschäftigt. Ich habe das Telefon meiner 83-jährigen-Mutter nun auch über meinen SIP-Server (FreePBX / Asterisk 22.8.2) geroutet, um auch ihr meine ganzen "Abwehrmechanismen" (SPAM-Check via Tellows, Blacklists, CNAM-Lookup etc.) zu bieten. Das mit den Spam/Betrugsanrufen nimmt leider immer mehr Überhand.
Also terminiere ich auch ihren Amtanschluss (Telekom Maganta Zuhause) nun auf meinem Server, ihr Telefon ist dahingehend nun als Extension via TLS angebunden. Funktioniert so weit prima.
An meiner FreePBX habe ich noch meinen Telekom-SIP-Trunk (CompanyFlex) sowie einen Easybell-SIP-Trunk für meine Zwecke in Betrieb. Die laufen 100% problemfrei.
Nur der Magenta-Zuhause zickt gerne mal. Meine Mutter beschwert sich, dass sie zeitweise (!) nicht abgehend telefonieren kann. Sie bekommt von meiner FreePBX die Ansage, dass keine Leitungen frei seien. Eine Viertelstunde später funktioniert es oft wieder.
Die SIP-Traces beweisen, dass meinerseits eigentlich alles gut ist - manchmal lehnt der Telekom-SBC aber den ausgehenden Ruf mit "403 Forbidden" ab. Weiterer Fakt ist: Der Anschluss ist durchgehend registriert, alle REGISTER und OPTIONS laufen einwandfrei und ankommende Anrufe funktionieren auch in den Perioden, wo abgehende Anrufe abgewiesen werden.
Ich poste hier mal den SIP-Austausch eines fehlgeschlagenen Testanrufs gestern. Das Telekom-Team findet diesen vielleicht auf Grund der Call-ID ( Timestamp des Invite: 2026-05-06 14:32:10.451 UTC). Alle sensiblen Daten sind anonymisiert:
+492171AAAAA: Eigene Nummer des Telekom-Anschlusses
+492275DDDDD: Angerufene Nummer
mm.mm.mm.mm: (Feste Telekom-) IP meines FreePBX-Servers
Anmerkung: Da es hier keine wirkliche "Codebox" gibt und diese Forensoftware konsequent die Daten in den spitzen Klammern in den Sip-Messages wegwirft, habe ich die kleiner-größer-Zeichen durch [...] in den Traces ersetzt!
Logischerweise schickt meine FreePBX das Invite an die Telekom:
INVITE sip:+492275DDDDD@tel.t-online.de SIP/2.0
Via: SIP/2.0/UDP mm.mm.mm.mm:6050;rport;branch=z9hG4bKPj46b9bcb5-8809-45e5-b9ab-b3a8a66753a8
From: [sip:+492171AAAAA@tel.t-online.de];tag=2d5ad287-d602-4b29-8d8f-f6918108eef6
To: [sip:+492275DDDDD@tel.t-online.de]
Contact: [sip:+492171AAAAA@mm.mm.mm.mm:6050]
Call-ID: 896542b0-219e-4029-bc89-d2d05b7a3d68
CSeq: 96 INVITE
Allow: OPTIONS, INVITE, ACK, BYE, CANCEL, UPDATE, PRACK, REGISTER, SUBSCRIBE, NOTIFY, PUBLISH, MESSAGE, INFO, REFER
Supported: 100rel, timer, replaces, norefersub, histinfo
Session-Expires: 1800
Min-SE: 90
P-Asserted-Identity: [sip:+492171AAAAA@tel.t-online.de]
Max-Forwards: 70
User-Agent: FPBX-17.0.28(22.8.2)
Content-Type: application/sdp
Content-Length: 287
v=0
o=- 745733922 745733922 IN IP4 mm.mm.mm.mm
s=Asterisk
c=IN IP4 mm.mm.mm.mm
t=0 0
m=audio 10250 RTP/AVP 9 8 0 101
a=rtpmap:9 G722/8000
a=rtpmap:8 PCMA/8000
a=rtpmap:0 PCMU/8000
a=rtpmap:101 telephone-event/8000
a=fmtp:101 0-16
a=ptime:20
a=maxptime:140
a=sendrecv
Dann kommt erwartungsgemäß ein "Trying":
SIP/2.0 100 Trying
Via: SIP/2.0/UDP mm.mm.mm.mm:6050;rport;branch=z9hG4bKPj46b9bcb5-8809-45e5-b9ab-b3a8a66753a8
From: [sip:+492171AAAAA@tel.t-online.de];tag=2d5ad287-d602-4b29-8d8f-f6918108eef6
To: [sip:+492275DDDDD@tel.t-online.de]
Call-ID: 896542b0-219e-4029-bc89-d2d05b7a3d68
CSeq: 96 INVITE
Content-Length: 0
... dem sofort das 403 Forbidden folgt:
SIP/2.0 403 Forbidden
Via: SIP/2.0/UDP mm.mm.mm.mm:6050;received=mm.mm.mm.mm;rport=6050;branch=z9hG4bKPj46b9bcb5-8809-45e5-b9ab-b3a8a66753a8
From: [sip:+492171AAAAA@tel.t-online.de];tag=2d5ad287-d602-4b29-8d8f-f6918108eef6
To: [sip:+492275DDDDD@tel.t-online.de];tag=mavodi-0-264-bf1-1-0-_02A6A2F14EEC-2bf9-5405a700-68b7e13-69fb50ea-7a986
Call-ID: 896542b0-219e-4029-bc89-d2d05b7a3d68
CSeq: 96 INVITE
Content-Length: 0
Ich komme hier nun nicht weiter. Von meiner Seite her ist alles prima, warum aber hat der Telekom-SBC manchmal Phasen und rejected mit 403, während meistens einwandfrei funktioniert. Hier fehlt mir die Glaskugel, welche nur das Telekom-Team hat ;-)
Vielen Dank für eure Hilfe!
Marco
39
0
4
Das könnte Ihnen auch weiterhelfen
vor 2 Jahren
814
0
6
vor 13 Jahren
16837
0
7
vor 2 Jahren
265
0
3
Beliebte Tags letzte 7 Tage
Das könnte Sie auch interessieren
Kaufberatung anfragen
Füllen Sie schnell und unkompliziert unser Online-Kontaktformular aus, damit wir sie zeitnah persönlich beraten können.
Angebote anzeigen
Informieren Sie sich über unsere aktuellen Internet-Angebote.
vor einer Stunde
@jacotec1 : Ich habe keinerlei Ahnung von SIP und kann daher zu Deinen Protokolleinträgen nix sagen. Mir ist aber durch den Kopf geschossen, dass die Telekom ja SIP-TLS 1 und 2 anbietet. TLS funktioniert aber nicht immer, dann gibt es kein automatisches Fallback, nur wenn TLS 1 nicht funktioniert wird auf unverschlüsselt umgeschaltet. Könnte das der Grund sein?
Gruß Ulrich
0
3
von
vor 48 Minuten
@UlrichZ TLS wird offiziell nur für SIP-Trunks bzw. Geschäftskundenanschlüsse angeboten, nicht für die "kleinen" Privatanschlüsse. Mein CompanyFlex läuft auch über TLS, beim MagentaZuhause funktioniert das nicht stabil. Es ist ja auch kein Signalisierungsproblem, die Messages kommen ja alle an - und durchgehend registriert ist der Anschluss auch. Verringerung des Expire hat auch nichts gebracht.
Die Privatkundensachen laufen meines Wissens nach auf einer anderen Plattform als die SIP-Trunks. Und die scheint deutlich pingeliger zu sein. Aber diese "manchmal weise ich es ohne erkennbaren Grund ab" ist schon mega nervig. Ich habe jetzt für sie schon eine Alternativroute mit geringerer Priorität über meinen Easybell-Trunk konfiguriert (der kann wenigstens CLIP-No-Screening). Wenn meine Mutter mal einen Notfall hat und die Telekom gerade "keine Lust hat" den Ruf zu bearbeiten ist das auch eher Suboptimal.
Ich habe eben auch mal die PAI abgehend deaktiviert. Aber ich würde gerne wissen, woran es liegt anstatt wild rumzuraten und zu probieren. 😎
0
von
vor 43 Minuten
TLS wird offiziell nur für SIP-Trunks bzw. Geschäftskundenanschlüsse angeboten, nicht für die "kleinen" Privatanschlüsse.
@UlrichZ TLS wird offiziell nur für SIP-Trunks bzw. Geschäftskundenanschlüsse angeboten, nicht für die "kleinen" Privatanschlüsse. Mein CompanyFlex läuft auch über TLS, beim MagentaZuhause funktioniert das nicht stabil. Es ist ja auch kein Signalisierungsproblem, die Messages kommen ja alle an - und durchgehend registriert ist der Anschluss auch. Verringerung des Expire hat auch nichts gebracht.
Die Privatkundensachen laufen meines Wissens nach auf einer anderen Plattform als die SIP-Trunks. Und die scheint deutlich pingeliger zu sein. Aber diese "manchmal weise ich es ohne erkennbaren Grund ab" ist schon mega nervig. Ich habe jetzt für sie schon eine Alternativroute mit geringerer Priorität über meinen Easybell-Trunk konfiguriert (der kann wenigstens CLIP-No-Screening). Wenn meine Mutter mal einen Notfall hat und die Telekom gerade "keine Lust hat" den Ruf zu bearbeiten ist das auch eher Suboptimal.
Ich habe eben auch mal die PAI abgehend deaktiviert. Aber ich würde gerne wissen, woran es liegt anstatt wild rumzuraten und zu probieren. 😎
@jacotec1
Wo hast Du das denn her? TLS ist auch in den Magenta Tarifen seit vielen Jahren Standard.
Der 403 kommt häufig wenn die IP-Adressen der Telekom Server durcheinander gewürfelt werden. Asterisk konnte ja sehr lange nicht sauber mit SRV Records umgehen, keine Ahnung wie der aktuelle Stand ist.
Prüfe mal an welcher IP die Registrierung hängt und an welche IP der Invite geschickt wird. Die müssen identisch sein.
von
vor 28 Minuten
TLS wird offiziell nur für SIP-Trunks bzw. Geschäftskundenanschlüsse angeboten, nicht für die "kleinen" Privatanschlüsse.
@UlrichZ TLS wird offiziell nur für SIP-Trunks bzw. Geschäftskundenanschlüsse angeboten, nicht für die "kleinen" Privatanschlüsse. Mein CompanyFlex läuft auch über TLS, beim MagentaZuhause funktioniert das nicht stabil. Es ist ja auch kein Signalisierungsproblem, die Messages kommen ja alle an - und durchgehend registriert ist der Anschluss auch. Verringerung des Expire hat auch nichts gebracht.
Die Privatkundensachen laufen meines Wissens nach auf einer anderen Plattform als die SIP-Trunks. Und die scheint deutlich pingeliger zu sein. Aber diese "manchmal weise ich es ohne erkennbaren Grund ab" ist schon mega nervig. Ich habe jetzt für sie schon eine Alternativroute mit geringerer Priorität über meinen Easybell-Trunk konfiguriert (der kann wenigstens CLIP-No-Screening). Wenn meine Mutter mal einen Notfall hat und die Telekom gerade "keine Lust hat" den Ruf zu bearbeiten ist das auch eher Suboptimal.
Ich habe eben auch mal die PAI abgehend deaktiviert. Aber ich würde gerne wissen, woran es liegt anstatt wild rumzuraten und zu probieren. 😎
@jacotec1 : Wie schon @Micknik schrieb, auch meine beiden "kleinen Privatanschlüsse" bieten SIP TLS, hier die Einstellungen für den Speedport 7:
Gruß Ulrich
0
Uneingeloggter Nutzer
von
Uneingeloggter Nutzer
von