Solved
Von gestern auf heute: 'SIP/2.0 488 Not Acceptable Here - security violation'
1 year ago
Hallo zusammen!
Gestern ging das Heraus-Telefonieren mit meinem SNOM D715 (neueste Firmware vom August '23) noch, heute nicht mehr: Bei jedweder Telefonummer gibt es im SIP-Log die Fehlermeldung:
'SIP/2.0 488 Not Acceptable Here - security violation'
und im Display die verkürzte Version davon: '488 Not Acceptable Here: 08003301000' (z.B.)
Angerufen werden funktioniert jedoch einwandfrei, jedoch in der letzten Zeit manchmal mit Gesprächsabbrüchen wenn am anderen Ende der Leitung auch ein Telekom-Kunde sitzt.
An den Einstellungen des SNOM-Telefons wurde schon monatelang nichts geändert. Von wegen Security: RTP-Verschlüsselung wird vom Telefon schon ewig angeboten ("kann ich"), aber nicht zwingend gefordert ("mandatory"). Router- und DSL-Modem-Konfiguration sind auch schon monatelang konstant.
Nur an "tel.t-online.de" (konkret und aktuell: 217.0.148.5) wurde wohl heute nacht wieder geschraubt.
Und was soll ich jetzt ändern, damit's wieder geht???
Grüße
Ingo
1681
24
This could help you too
3098
0
2
8434
0
3
767
0
1
6 months ago
1486
0
13
Accepted Solution
accepted by
1 year ago
So, inzwischen funktioniert das Heraus-Telefonieren wieder.
Die Lösung lautet:
Bei den „RTP“-Einstellungen einer jeden SIP-Identität die Option „RTP/SAVP“ auf „verbindlich“ einzustellen. Die beiden anderen möglichen Einstellungen „Aus“ und „optional“ bewirken weiterhin den Fehler 488. Die „RTP/SAVP“-Einstellungen hatte ich schon im Dezember durch-permutiert, damals allerdings ohne Effekt! Wahrscheinlich hat es zwischendurch noch ein weiteres Update der SIP-Server gegeben.
Damit stellt sich als Fehlerquelle das mangelhafte Parsen der SIP-Messages auf den Telekom-Servern heraus. Am Beispiel einer von meinem Telefon gesendeten INVITE-Message kann ich das zeigen. Bei „RTP/SAVP“ auf „optional“ werden von Telefon zwei Blöcke mit den möglichen Codecs direkt hintereinander gesendet; einmal mit der Zeile „a=crypto ...“ für die unterstützte Verschlüsselung [blau], einmal ohne diese Zeile [rot]. Bei „ RTP/SAVP“ auf „verbindlich“ wird nur der erste [blaue] Block gesendet.
BLAU und ROT führen zur Fehlermeldung 488, d.h. daß es dem Telekom-Server nicht gelingt, diese beiden Blöcke auseinanderzuhalten. Eigentlich eine programmiertechnische Standard-Aufgabe, die man im ersten Semester Informatik lernt...
Eine weitere Auffälligkeit bei der mangelhaften Input-Verarbeitung bei den SIP-Servern zeigt sich beim Block mit der „Authorization“ [in grün]. Das SNOM-Telefon liefert innerhalb der INVITE-Message auch gleich die Anmeldedaten aus der Registrierung mit. Für den Fall, daß es seit der Registrierung eine Verbindungsunterbrechung oder einen Timeout gegeben haben könnte.
Was macht aber der SIP-Server der Telekom? Obwohl eigentlich alles Notwendige übermittelt wurde, wird mit „SIP/2.0 407 Proxy Authentication Required“ noch einmal zurückgefragt, worauf dann das Telefon den grünen Block mit „ACK“ noch einmal sendet. Und die ursprüngliche INVITE-Message muß danach auch noch einmal gesendet werden. Überflüssigerweise!
2
Answer
from
1 year ago
Erstmal danke für deine Problemlösung. Ich hatte genau das gleiche Problem und konnte danke deines Threads dieses schnell lösen.
Ein riesen Kompliment auch dafür, dass Du dem Problem auf den Grund gegangen bist und sogar es für die Telekom Techniker erklärt hast. Wenn ich die Telekom wäre, würde ich Dir direkt ein Jobangebot machen. Aber ich bezweifle, dass die da so auf Zack sind
Answer
from
17 days ago
Einen aktuellen Nachtrag hätte ich noch: Durch ein bißchen Probieren habe ich festgestellt, daß es neuerdings zusätzlich auf das korrekte Setzen der Uhrzeit ankommt.
SNOM-Telefone zum Beispiel speichern die zuletzt mit einem NTP-Server synchronisierte Zeit ab. Schaltet man sie aus und - irgendwann - wieder ein, gehen sie zunächst von dieser Uhrzeit aus. Erst wenn sie wieder einen NTP-Server erreichen können - das kann aus verschiedenen Gründen schon mal dauern - ist die Uhrzeit korrekt. Das kann durchaus auch nach dem Registriervorgang bei den Telekom-SIP-Servern sein! Anrufe in der Zwischenzeit können mit 'nem 488-Fehler fehlschlagen.
Soooo ungewöhnlich ist das allerdings nicht: In anderen Bereichen der Internetkommunikation hingen Verschlüsselung und richtige Zeitstempel schon immer untrennbar zusammen.
HTH
Ingo
Unlogged in user
Answer
from