Willkommen in der Business Community

Die Telekom Community für Geschäftskunden

Aktueller Hinweis

3CX Sip-Trunk 403 Forbidden bei ausgehenden Gesprächen nach 24h

Gelöst

Hallo,

 

wir haben eine 3CX (15.5.1694) mit dem Telekom Sip Trunk in Betrieb.

 

Nach einer bestimmten Zeit (schätze mal 24 Stunden) kommt folgende  Fehlermeldung bei ausgehenden Gesprächen:

Terminating targets, reason: SIP ;cause=403 ;text="Forbidden (R403_REQUEST_NOT_ALLOWED)"

 

Eingehende Gespräche funktionieren weiterhin. 3CX sendet ebenfalls regelmäßig ein REGISTER (mit Wireshark überprüft) das positiv beantwortet wird.

 

Gruß

Markus

 

4 AKZEPTIERTE LÖSUNGEN
Lösung

@Micknik

 

Die DNS Auflösung war wirklich das Problem.

 

Ein Ändern des DNS Serverns in der /etc/resolv.conf auf den Nameserver der Telekom hat die Lösung gebracht. Anscheined ist hier wohl etwas schief gelaufen mit dem Cachen der SIP Trunk Server Blades im lokalen Router.

 

Danke an Alle für die Unterstützung.

 

Grs.

Lösung in ursprünglichem Beitrag anzeigen  

@NPS011172

Einfach mit Google, diese IP kam im Zusammenhang mit SIP-trunk schon in Diskussionen vor.

 

@mabe-sb
Gibt es im Router SIP-Logik?

Bei den DNS-Abfragen solltest Du auch direkt zum Vergleich auf den DNS Server von der Telekom gehen, so kann man ein Caching Problem im lokalen DNS ausschließen. Alternativ einfach den Telekom DNS bei der 3CX direkt angeben statt dem lokalen.

Lösung in ursprünglichem Beitrag anzeigen  

....dann macht die sw-basierte TK-Anlage grundsätzlich was falsch und schickt das Invite an eine falsch aufgelöste IP-Adresse.

 

So lautet die korrekte IP, klar, dass die SIP-Requests Typ INVITE von dort kommen, da bist du ja auch angemeldet:

s-ipr-a02.sip-trunk.telekom.de.A300217.0.26.37

 

Die 217.0.15.67 ist keiner der drei aufgelösten Blades zuzuordnen.

 

Daher sage ich, dass die Methodik, IP-Adresseauflösung vor dem INVITE ausgehend, erst mal sowie so falsch ist, weil man das Ziel des INVITES (die aktuelle IP der Reg.) aus dem Cache/einer Tabelle etc. entnehmen MUSS. Wie soll denn sonst eine Telefonie sicher gestellt werden.

Alle mir bekannten Hersteller machen das mittlerweile so (Zyxel, bintec).

 

Also - Hersteller muss sein Hausaufgaben machen - und du musst eine Digibox ins Netz tun...

Lösung in ursprünglichem Beitrag anzeigen  

Lösung

Ich konnte den Fehler nun eingrenzen. Ich denke der Fehler liegt bei 3CX.

 

 

Ursprüngliche Anmeldung am 01.07.2017 gegen 16 Uhr ging an 217.0.26.37


root@3cx:/etc# nslookup -q=SRV _sip._tcp.reg.sip-trunk.telekom.de
Server: 192.168.1.1
Address: 192.168.1.1#53
Non-authoritative answer:
_sip._tcp.reg.sip-trunk.telekom.de service = 0 5 5060 s-ipr-a02.sip-trunk.telekom.de.
_sip._tcp.reg.sip-trunk.telekom.de service = 1 5 5060 s-ipr-a01.sip-trunk.telekom.de.
_sip._tcp.reg.sip-trunk.telekom.de service = 10 5 5060 d-ipr-a02.sip-trunk.telekom.de.


REGISTRIERUNG IN INVITE bei Gesprächen geht an s-ipr-a02.sip-trunk.telekom.de. (217.0.26.37) ok!


Invite am 02.07.2017 gegen 10 UHr geht an 217.0.15.67


root@3cx:~# nslookup -q=SRV _sip._tcp.reg.sip-trunk.telekom.de
Server: 192.168.1.1
Address: 192.168.1.1#53

Non-authoritative answer:
_sip._tcp.reg.sip-trunk.telekom.de service = 10 5 5060 d-ipr-a02.sip-trunk.telekom.de.
_sip._tcp.reg.sip-trunk.telekom.de service = 0 5 5060 s-ipr-a02.sip-trunk.telekom.de.
_sip._tcp.reg.sip-trunk.telekom.de service = 1 5 5060 s-ipr-a01.sip-trunk.telekom.de.

 

INVITE bei Gesprächen geht an ?????????? (217.0.15.67) -> Forbidden (R403_REQUEST_NOT_ALLOWED). Eingehende Anrufe kommen weiterhin von 217.0.26.37 und werden zugestellt.

 

 

Also scheint hier in den Nacht von 01.07. aus 02.07. sich etwas an den IP Adressen geändert zu haben und 3CX greift auf eine unbekannte IP Adresse zu.


Gruß
MB

Lösung in ursprünglichem Beitrag anzeigen  

Meinst du jetzt einen Anruf nach 24 Uhr oder einen Anruf mit mehr als 24 Stunden Gesprächszeit?

@mabe-sb

 

Welchen Router nutzt ihr?

Klingt nach der 24h Zwangstrennung mit IP-Wechsel, die solltest Du im Router deaktivieren.

Es handelt sich um neue ausgehenden Gespräche (SIP Invite).

 

Der DeutschlandLAN SIP Trunk hat eine feste IP Adresse. Und die PPPoe Verbindung am Router (RB2011UiAS)  besteht auch schon über mehrere Tage.

@mabe-sb

Diese Fehlermeldung lässt darauf schließen, dass etwas mit der Registrierung nicht okay ist - also die Basis der IP-Telefonie. Ohne korrekte Registrierung keine Telefonie. Das kann man konfigurativ m.E.n. nicht lösen. Schau dir mal den Anhang an (INVITE) und vergleiche das mit deinem Trace.

Der SIP-Trunk arbeitet mit der BULK-Registrierung und es werden spezielle Formate der SIP-Header verlangt.

Grundsätzlich arbeitet der SIP-Trunk der Deutschen Telekom nach 1TR114 + 1TR118 (beides öffentliche Dokumente).

Der Hersteller muss hier also noch Basisarbeit leisten - sprich, seinen SIP-Stack anpassen - so lange kann man aber die Zeit mit einem Sessionbordercontroller überbrücken, Empfehlung: Digitalisierungsbox Smart - die kann das Prima Fröhlich

@NPS011172

Danke für die Hilfestellung. Was verwunderlich ist, das die Registierung vom Telekom SIP Server nach den 24Stunden bestätigt wird, allerdings dann keine ausgehende Gespräche mehr möglich sind. Ich vermute das es mehrere Telekom SIP Server gibt und hier Telekom intern sich etwas nach 24Stunden ändern.

 

3CX als Hersteller ist hier nicht kooperativ.

 

Im Wireshark Protokoll habe ich eine Differenz gefunden. Du schreibst:

P-Preferred-Identity:  Kopfnummer ohne Null. Hier wurde bei mir mit Null übertragen. Dies habe ich jetzt mal geändert.

 

Zur Not muss ich wohl wirklich die hier in der Ecke stehende Digitalisierungsbox Premium in Betrieb nehmen. Mir graut es etwas davor dort ein VPN zu einem CISCO Catalyst einzurichten.

 

Grs.

 

@mabe-sb

 

An welche IP geht die Registrierung?

An welche IP geht der INVITE?

Bei funktionierender Verbindung gehen beide an 217.0.26.37.

Mal schauen, wie das morgen aussieht, wenn der Trunk abgehend nicht mehr funktioniert.

 

@mabe-sb

Micknik bringt mich auf die Idee....

 

Die Regel lautet:

Erst registrieren, und zwar via Ermittlung des priorisierten Blades über NAPTR - dann telefonieren.

Das INVITE muss dortin gesendet werden, wo man auch registriert ist. Ggf. arbeitet das Softphone hier schon fehlerhaft.

 

Das Auflösungsergebnis kann mittels Windows cmd so gegen das des Softphones geprüft werden:

  • nslookup -q=SRV _sip._tcp.reg.sip-trunk.telekom.de (unverschlüsselt)
  • nslookup -q=SRV _sips._tcp.reg.sip-trunk.telekom.de (verschlüsselt)

Es müssten drei Server ermittelt werden.

 

Gruß

NPS011172

@NPS011172

 

Softphone? Aehm.  Da wird 3CX aber traurig sein.

 

3CX ist eine Software PBX (bei mir unter Linux Debian installiert), die angeblich einen zertifizierten Telekom DeutschlandLAN SIP Trunk Trunk hat.

 

 

root@3cx:/etc# nslookup -q=SRV _sip._tcp.reg.sip-trunk.telekom.de
Server: 192.168.1.1
Address: 192.168.1.1#53

Non-authoritative answer:
_sip._tcp.reg.sip-trunk.telekom.de service = 0 5 5060 s-ipr-a02.sip-trunk.telekom.de.
_sip._tcp.reg.sip-trunk.telekom.de service = 1 5 5060 s-ipr-a01.sip-trunk.telekom.de.
_sip._tcp.reg.sip-trunk.telekom.de service = 10 5 5060 d-ipr-a02.sip-trunk.telekom.de.

Authoritative answers can be found from:

 

 

Ich habe allerdings einen Fehler in meiner Konfiguration gefunden. Hier gibt es zwei Internet Anschlüsse. Deutschland LAN und Telekom Hybrid. Ich habe versehentlich den Nameserver vom Hybrid Router verwendet.

Lösung

Ich konnte den Fehler nun eingrenzen. Ich denke der Fehler liegt bei 3CX.

 

 

Ursprüngliche Anmeldung am 01.07.2017 gegen 16 Uhr ging an 217.0.26.37


root@3cx:/etc# nslookup -q=SRV _sip._tcp.reg.sip-trunk.telekom.de
Server: 192.168.1.1
Address: 192.168.1.1#53
Non-authoritative answer:
_sip._tcp.reg.sip-trunk.telekom.de service = 0 5 5060 s-ipr-a02.sip-trunk.telekom.de.
_sip._tcp.reg.sip-trunk.telekom.de service = 1 5 5060 s-ipr-a01.sip-trunk.telekom.de.
_sip._tcp.reg.sip-trunk.telekom.de service = 10 5 5060 d-ipr-a02.sip-trunk.telekom.de.


REGISTRIERUNG IN INVITE bei Gesprächen geht an s-ipr-a02.sip-trunk.telekom.de. (217.0.26.37) ok!


Invite am 02.07.2017 gegen 10 UHr geht an 217.0.15.67


root@3cx:~# nslookup -q=SRV _sip._tcp.reg.sip-trunk.telekom.de
Server: 192.168.1.1
Address: 192.168.1.1#53

Non-authoritative answer:
_sip._tcp.reg.sip-trunk.telekom.de service = 10 5 5060 d-ipr-a02.sip-trunk.telekom.de.
_sip._tcp.reg.sip-trunk.telekom.de service = 0 5 5060 s-ipr-a02.sip-trunk.telekom.de.
_sip._tcp.reg.sip-trunk.telekom.de service = 1 5 5060 s-ipr-a01.sip-trunk.telekom.de.

 

INVITE bei Gesprächen geht an ?????????? (217.0.15.67) -> Forbidden (R403_REQUEST_NOT_ALLOWED). Eingehende Anrufe kommen weiterhin von 217.0.26.37 und werden zugestellt.

 

 

Also scheint hier in den Nacht von 01.07. aus 02.07. sich etwas an den IP Adressen geändert zu haben und 3CX greift auf eine unbekannte IP Adresse zu.


Gruß
MB

....dann macht die sw-basierte TK-Anlage grundsätzlich was falsch und schickt das Invite an eine falsch aufgelöste IP-Adresse.

 

So lautet die korrekte IP, klar, dass die SIP-Requests Typ INVITE von dort kommen, da bist du ja auch angemeldet:

s-ipr-a02.sip-trunk.telekom.de.A300217.0.26.37

 

Die 217.0.15.67 ist keiner der drei aufgelösten Blades zuzuordnen.

 

Daher sage ich, dass die Methodik, IP-Adresseauflösung vor dem INVITE ausgehend, erst mal sowie so falsch ist, weil man das Ziel des INVITES (die aktuelle IP der Reg.) aus dem Cache/einer Tabelle etc. entnehmen MUSS. Wie soll denn sonst eine Telefonie sicher gestellt werden.

Alle mir bekannten Hersteller machen das mittlerweile so (Zyxel, bintec).

 

Also - Hersteller muss sein Hausaufgaben machen - und du musst eine Digibox ins Netz tun...

@mabe-sb

 

Gibt es bei der 3CX denn Konfig-Optionen in diese Richtung?

Die 217.0.15.67 gehört übrigens zu dem n-ipr-a01.sip-trunk.telekom.de

@Micknik

 

Wie hast du den Name herausbekommen - ich bekomme das nicht hin - ein "normaler" Server für MSN- basierertes Voip klappt....

 

Klappt:

>nslookup 217.0.23.103
Server:  zyxel.box
Address:  192.168.15.250

Name:    b-epp-004.isp.t-ipnet.de
Address:  217.0.23.103

 

Klappt nicht:
>nslookup 217.0.15.67
Server:  zyxel.box
Address:  192.168.15.250

*** 217.0.15.67 wurde von zyxel.box nicht gefunden: Server failed.

 

Gruß

@NPS011172

Einfach mit Google, diese IP kam im Zusammenhang mit SIP-trunk schon in Diskussionen vor.

 

@mabe-sb
Gibt es im Router SIP-Logik?

Bei den DNS-Abfragen solltest Du auch direkt zum Vergleich auf den DNS Server von der Telekom gehen, so kann man ein Caching Problem im lokalen DNS ausschließen. Alternativ einfach den Telekom DNS bei der 3CX direkt angeben statt dem lokalen.

@Micknick

 

Es gibt schon viele Config Möglichkeiten. Nur leider keine betreffend mehrerer SIP Server Adressen. 

 

Ich habe das ganze nochmals im 3CX Forum gepostet.

 

Lösung

@Micknik

 

Die DNS Auflösung war wirklich das Problem.

 

Ein Ändern des DNS Serverns in der /etc/resolv.conf auf den Nameserver der Telekom hat die Lösung gebracht. Anscheined ist hier wohl etwas schief gelaufen mit dem Cachen der SIP Trunk Server Blades im lokalen Router.

 

Danke an Alle für die Unterstützung.

 

Grs.

@mabe-sb

@Micknik

 

....ich habe hier noch mal eine generelle Info zum Thema DNS-Server verwenden.

 

Alle Verkehre, die über einen fremden, das heißt, Nicht-Telekom-DNS (incl. Google) eingetragen werden, werden über ein spezielles DNS-Auflösungsergebnis aus der Masse ausgesondert. Das ist Schmutzverkehr!

Daher - bei Nutzung des Sprachdienstes immer die DNS-Server im Standard belassen (PPPoE), bzw. korrekt eintragen (dedizerte Server im LAN).