- Beitrag abonnieren
- Beitrag stummschalten
- Beitrag als ungelesen kennzeichnen
- Beitrag als gelesen kennzeichnen
DigiBox / be.ip als Firewall mit NFON
06.09.2016 16:03 Zuletzt bearbeitet: 06.09.2016 16:08 durch den Autor
Hallo in die Runde.
Wir haben bei einem Kunden folgendes Problem:
Der Kunde betreibt eine be.ip als Router.
Als Telefonanlage nutzt er eine NFON Cloud Lösung (nicht DLAN NFON sondern "Original"). Die Telefone melden sich jedoch mehrmals täglich ab.
Als Ursache wurden falsche NAT-Timeouts, SIP-ALG und Intrusion Prevention/Detection System festgemacht, die jedoch vom Firewall-Dienstleister ausgeschlossen wurden.
Folgende Meldung wird im Protokoll angezeigt:
NAT: denied incoming session on ifc: 30010001 prot 17 [IP-Adresse Standort]:44503 <- 109.68.97.120:6050
NAT: denied incoming session on ifc: 30010001 prot 17 [IP-Adresse Standort]:44503 <- 109.68.97.120:6050
NAT: denied incoming session on ifc: 30010001 prot 17 [IP-Adresse Standort]:60525 <- 109.68.97.120:6050
NAT: denied incoming session on ifc: 30010001 prot 17 [IP-Adresse Standort]:60525 <- 109.68.97.120:6050
NAT: denied incoming session on ifc: 30010001 prot 17 [IP-Adresse Standort]:53113 <- 109.68.97.120:6050
NAT: denied incoming session on ifc: 30010001 prot 17 [IP-Adresse Standort]:53113 <- 109.68.97.120:6050
Dies scheint die Ursache zu sein.
Hat jemand eine Idee? Warum blockt die be.ip die eingehenden Antworten des Servers ab?
Vorgehensweise ist folgende:
1. Telefone melden sich via 6050 am NFON Server an 109.68.97.120
2. 109.68.97.120 gibt Antwort via 6050
3. Telefone registrieren sich
Schritt 2 ist der Schritt, der nicht funktioniert...
Ich hoffe irgendwer hat eine Idee, da Bintec selbst bislang auch nicht wirklich helfen kann...
Danke im Voraus! Viele Grüße!
Gelöst! Gehe zu Lösung.
Hallo in die Runde.
Das Problem wurde gelöst. Der Bintec-Support musste diverse IP-routen per SSH ändern. Nun läuft alles stabil!
Danke für die Hilfe!
09.09.2016 15:21
falls die Antworten von @Micknik nicht weiterhelfen, bitte ich Sie, sich an unsere Telekom-Cloud-Kollegen zu wenden. Diese kennen sich mit der DeutschlandLAN NFON-Telefonanlage sehr gut aus und können Ihnen sicherlich weiterhelfen.
Unsere Kollegen finden Sie hier: http://bit.ly/2bwU1gA
Bitte halten Sie uns auf dem Laufenden, ob Sie gemeinsam eine Lösung finden konnten.
Liebe Grüße
Behiye G.
06.09.2016 18:15
@we-tech-la schrieb:
Als Ursache wurden falsche NAT-Timeouts, SIP-ALG und Intrusion Prevention/Detection System festgemacht, die jedoch vom Firewall-Dienstleister ausgeschlossen wurden.
Von welchem Firewall-Dienstleister bzw. welcher Firewall redest Du hier?
Wie sieht das Netzwerk aus? Wie sind die Telefone an die be.IP angebunden? Direkt oder befindet sich da noch etwas dazwischen?
06.09.2016 19:27
Blöde Frage - ich hab von NFON keinen Plan.
Also: warum die Telefone direkt bei NFON registrieren und nicht an der be.ip?
Andernfalls könnte eine Portweiterleitung für 6050 erforderlich sein.
06.09.2016 19:57
Hallo und danke für die Nachricht.
Der Dienstleister ist ein externer IT-Dienstleister, der das Netzwerk betreut. Er ist auch etwas ratlos und ich frage deshalb hier in die Runde in der Hoffnung, dass jemand die gleiche Konstellation kennt / einsetzt und eine zündende Idee hat.
Die Telefone sind über einen PoE Switch mit dem Router verbunden.
06.09.2016 20:46
Wieviele Telefone sind es insgesamt?
Hängen alle direkt an einem Switch?
Welche Typenbezeichnung hat der Switch?
Auch schon mal ohne Switch direkt an der be.IP probiert?
Auf welchem Wert steht der Inaktivitäten-Timeout für UDP unter Firewall -> Richtlinien -> Optionen?
07.09.2016 08:15 Zuletzt bearbeitet: 07.09.2016 08:17 durch den Autor
Wieviele Telefone sind es insgesamt?
5 Endgeräte (4x SIP-Telefon, 1x SIP-Analog-Wandler)
Hängen alle direkt an einem Switch?
Ja bzw. über eine CAT-Verkabelung.
Welche Typenbezeichnung hat der Switch?
DLINK DGS1008P (unmanaged) PoE Switch
Auch schon mal ohne Switch direkt an der be.IP probiert?
Nein, am Switch wird es auch nicht liegen.
Auf welchem Wert steht der Inaktivitäten-Timeout für UDP unter Firewall -> Richtlinien -> Optionen?
120s (UDP-NAT-Timeout soll bei NFON zwischen 120 und 130 s liegen).
Die gleiche Konstellation wird an zwei weiteren Standorten betrieben - Fehler ist der gleiche! Die Telefone waren vorher hier bei uns im Netzwerk zur Vorbereitung angeschlossen - keine Probleme!
VG
07.09.2016 09:18
Welche Firmware läuft auf der be.IP?
Läuft die be.IP als MGW oder PBX?
Wurde NFON über den Assistenten eingerichtet?
Ich würde halt einfach mal den Switch von der be.IP abstöpseln, ein Telefon direkt an der be.IP anstöpseln und es so probieren. Der Aufwand ist überschaubar.
07.09.2016 09:46
Welche Firmware läuft auf der be.IP?
Die aktuellste Firmware wurde vorgestern installiert.
Läuft die be.IP als MGW oder PBX?
Als MGW, wird jedoch nicht benötigt. Die be.ip dient nur als Router mit VPN-Verbindung an einen Hauptstandort.
Wurde NFON über den Assistenten eingerichtet?
Nein, da hier "Original-NFON" benutzt wird. Dazu wird kein Assistent benötigt.
Ich würde halt einfach mal den Switch von der be.IP abstöpseln, ein Telefon direkt an der be.IP anstöpseln und es so probieren. Der Aufwand ist überschaubar.
Sicher, allerdings ist der Kd. rund 100km von uns entfernt und wir haben nur die Telefone geliefert. Diese sollten per "Plug and Play" laufen. Hier bei uns liefen sie im Testnetzwerk am gleichen Switch ohne Probleme. Zudem haben die Telefone kein Netzteil und werden über PoE gespeist.
VG
07.09.2016 09:52
@we-tech-la schrieb:
Als MGW, wird jedoch nicht benötigt. Die be.ip dient nur als Router mit VPN-Verbindung an einen Hauptstandort.
Läuft die Telefonie auch über den VPN-Tunnel?
07.09.2016 09:58
@Micknik schrieb:@we-tech-la schrieb:
Als MGW, wird jedoch nicht benötigt. Die be.ip dient nur als Router mit VPN-Verbindung an einen Hauptstandort.
Läuft die Telefonie auch über den VPN-Tunnel?
Nein. Die Telefone benötigen nur einen Internet-Zugang und ausgehende Verbindungen.
(siehe: http://www.mynfon.com/de/merkblaetter/anlagen-spezifische-themen/merkblatt-plug-play/)
07.09.2016 09:59 Zuletzt bearbeitet: 07.09.2016 09:59 durch den Autor
@we-tech-la schrieb:
@Micknik schrieb:@we-tech-la schrieb:
Als MGW, wird jedoch nicht benötigt. Die be.ip dient nur als Router mit VPN-Verbindung an einen Hauptstandort.
Läuft die Telefonie auch über den VPN-Tunnel?
Nein. Die Telefone benötigen nur einen Internet-Zugang und ausgehende Verbindungen.
(siehe: http://www.mynfon.com/de/merkblaetter/anlagen-spezifische-themen/merkblatt-plug-play/)
Die DeutschlandLAN NFON Lösung ist für den Kd. leider unpassend, da er eine richtige Cloud-Lösung fordert und nicht die abgespeckte Variante nutzen möchte.
07.09.2016 10:05
@we-tech-la schrieb:Nein. Die Telefone benötigen nur einen Internet-Zugang und ausgehende Verbindungen.
(siehe: http://www.mynfon.com/de/merkblaetter/anlagen-spezifische-themen/merkblatt-plug-play/)
Es ist nicht die Frage was benötigt wird sondern ob es richtig in der be.IP konfiguriert ist.
09.09.2016 15:21
falls die Antworten von @Micknik nicht weiterhelfen, bitte ich Sie, sich an unsere Telekom-Cloud-Kollegen zu wenden. Diese kennen sich mit der DeutschlandLAN NFON-Telefonanlage sehr gut aus und können Ihnen sicherlich weiterhelfen.
Unsere Kollegen finden Sie hier: http://bit.ly/2bwU1gA
Bitte halten Sie uns auf dem Laufenden, ob Sie gemeinsam eine Lösung finden konnten.
Liebe Grüße
Behiye G.
Hallo in die Runde.
Das Problem wurde gelöst. Der Bintec-Support musste diverse IP-routen per SSH ändern. Nun läuft alles stabil!
Danke für die Hilfe!
09.09.2016 16:10
Es freut mich, dass zu Ihrem Anliegen eine Lösung gefunden wurde.
Liebe Grüße
Behiye G.
26.09.2016 12:23
Hallo,
können Sie mir sagen was der Bintec Support genau gemacht hat?
Ich stehe vor exakt dem gleichen Problem und komme nicht weiter.
Ich hoffe nur, hier antwortet noch jemand ^^
28.09.2016 12:26
was genau unsere Digitalisierungsexperten gemacht haben, kann ich Ihnen nicht sagen.
@we-tech-la kann Ihnen vielleicht mehr dazu sagen?
Liebe Grüße
Behiye G.
29.09.2016 21:51
@Behiye G. schrieb:
Hallo @smcgmbh1,
was genau unsere Digitalisierungsexperten gemacht haben, kann ich Ihnen nicht sagen.
@we-tech-la kann Ihnen vielleicht mehr dazu sagen?
Liebe Grüße
Behiye G.
Ich hoffe ja auf eine Antwort 😕 Ich habe exakt dasselbe Problem. Es ist genau das gleiche aber niemand kann mir weiterhelfen und der User der die Lösung hat, schaut hier nicht mehr rein 😕
30.09.2016 08:14
Guten Morgen zusammen.
Entschuldigt die späte Antwort!
Leider kann ich die genaue Lösung auch nicht mitteilen, da wir nur Verwalter der NFON-Anlage sind und der IT-Dienstleister, der die be.ip eingerichtet, die Änderungen mit Bintec durchgeführt hat.
Der Support hat dort wohl "Routingtabellen per SSH-Zugriff" abgeändert... Das kann auch wohl nur Bintec selbst...
Ich hoffe das hilft weiter!
VG
23.01.2017 16:34
Hallo zusammen,
bei uns hat es geholfen auf der Nfon Anlage die Verschlüsselung zu aktivieren. Damit wird das Problem zwar nicht behoben aber ungangen und die nfon Anlage funktioniert ohne Probleme.
Gruß
Felix
24.01.2017 08:21
@felixj100 schrieb:Hallo zusammen,
bei uns hat es geholfen auf der Nfon Anlage die Verschlüsselung zu aktivieren. Damit wird das Problem zwar nicht behoben aber ungangen und die nfon Anlage funktioniert ohne Probleme.
Gruß
Felix
Hallo!
Ja, das hilft i.d.R.! Mussten wir leider auch schon bei diversen Kunden machen. Manche Firewalls machen da halt diverse Probleme.
VG