Digitalisierungsbox und IP120 - keine Antwort auf SIP REGISTER
Hallo zusammen,
bevor ich nun beim weiteren Probieren vollends verzweifle möchte ich gerne die Community um Rat fragen.
Ausgangssituation: Digitalisierungsbox Smart, mehrere VLANs, eins davon (ID=1) verwendet als "Management-Netz" für Geräte, die für die "normalen Nutzer" nicht erreichbar sein sollen (bisher hauptsächlich Switches) mit entsprechendem IP-Bereich und DHCP.
Bislang ist ausschließlich IPv4 in Verwendung - intern, extern, überall.
In besagtem VLAN habe ich den Zugriff auf das Internet sowie alle anderen vorhandenen lokalen Netze mittels ACL eingeschränkt.
Konkret habe ich unter Netzwerk -> Zugriffsregeln konfiguriert:
1.) Erlaube alle Zugriffe innerhalb der im VLAN vorhandenen IP-Range (Source=/24, Destination=/24)
2.) Damit DHCP funktioniert noch any -> any:67,68 erlaubt.
3.) zwei andere Regeln, die die anderen IPs der Digibox betreffen (Digibox soll auf die .1 dieses Netzes auch aus anderen Netzen reagieren) -> hier vermutlich unwichtig
4.) Rest verboten (insb. auch Internet - dies noch mal zusätzlich per Firewall-Regel)
Soweit so gut, alles wie gewünscht erreichbar bzw. nicht erreichbar. 
Nun habe ich IP120-Telefone angeschafft, die ich in dieses VLAN1 aufnehmen möchte. Der DHCP ist für Autokonfig vorbereitet, die Telefone bziehen diese und werden in der Digibox im entsprechenden Menü erkannt.
Allerdings kam bei den IP120 die Anzeige "Fehler in IP-Account Konfiguration".
Syslog der Digibox sagt dazu:
2017-04-23 02:38:58 Warning gw01.int.firma.tld local0 VOIP IWU: data_write: error get localip for destination 172.16.8.103,39000000
... und das mehrmals pro Minute.
172.16.8.103 ist eines der IP-Telefone (IP vom DHCP, Range ist korrekt). Das Telefon bezieht außerdem die Uhrzeit vom NTP-Server (wird per DHCP mitgegeben).
Kein weiterer Hinweis, weder von ACL noch SIF, dass etwas blockiert würde (Log-Level: debug).
Im nächsten Schritt habe ich mir daher die Netzwerk-Traces angesehen, sowohl auf der Digibox als auch direkt vom Telefon heruntergeladen (super, dass die Firmware das gleich mitbringt!).
Ergebnis: Erwartungsgemäß wird DHCP und NTP korrekt abgewickelt. Auf das REGISTER des Phones kommt aber - nichts! Auf der Digibox kommt dieses Paket scheinbar an, es war in den Traces von "beiden Enden" vorhanden.
ARP usw. sieht normal aus, die beiden Geräte finden sich auf IP-Layer. 
Testweise bei den Zugriffsregeln ein allow any->any hinzugefügt - siehe da, funktioniert. Im Trace tauchen die entsprechenden SIP-Messages auf.
Durch weiteres Ausprobieren konnte ich es einschränken bis auf ein 0.0.0.0/31 -> Telefon-IP/32. (/31 deshalb, damit die Box nicht ein any draus macht), Protokoll: any.
Sobald eine entsprechende Regel vorhanden ist, folgt auf das REGISTER sofort ein 200 OK - also alles so, wie es sein soll.
Da ich weder in den Logs noch in irgendeiner Dokumentation finden konnte, was die Auto-Konfig der Telefone genau braucht, habe ich begonnen, es selbst auszuprobieren - bislang mit mäßigem Ergebnis.
Was ich verraten kann: Es ist weder TCP noch UDP. Wenn ich diese per ACL vor der ANY-Regel blockiere, dann funktioniert das jeweile Telefon immer noch.
Von den anderen in der ACL angebotenen L3/4-Protokollen habe ich einige probiert (jeweils nur eins gewhitelistet, um zu sehen, wann sich das Telefon registriert) - bislang kein Treffer.
Ich hoffe, jemand aus der Community weiß mehr - evtl. @Kalle2014? - (Ich hoffe Sie nehmen mir nicht übel, dass ich Sie gleich im ersten Beitrag erwähne )
Lieben Dank bereits jetzt für jeden Tipp!
Beste Grüße,
C. Gerharz
Hallo ihr beiden,
danke schon mal für eure Antworten!
@legro schrieb:Bei mir zuhause ist kaum ein Gerät (Fernseher, SAT Receiver, ..) fähig VLAN Konfigurationen zu bedienen. Kann das etwa die (mir unbekannte) Digitalsierungsbox überhaupt?
Ja, ist sie und funktioniert hier auch soweit.
Geräte, die kein VLAN unterstützen, bekommen am Switch das jeweilige Netz auf einem untagged Port.
@legro schrieb:Mir ist nicht bekannt, dass über ACL (access control lists) auch die VLAN Konfiguration gesteuert werden kann. Oder irre ich mich da?
Kurz zur Einordnung: In allen VLANs gibt es mehr oder minder autarke Netze, jeweils unterschiedliche IP-Ranges und ggf. mit DHCP. Die Digitalisierungsbox fungiert als Gateway, d.h. dort kann ich festlegen, ob zwischen den Netzen ein Routing erfolgen soll oder nicht - also ob der Zugriff möglich sein soll.
Daher meine entsprechende Konfiguration - aus dem Netz der Telefone soll nichts als das eigene Netz (und die Digitalisierungsbox als Gateway und SIP-Server) erreichbar sein.
Wegen des geschilderten Problems muss ich allerdings mit einer zusätzlichen Regel gewisse Kommunikation (nämlich von 0.0.0.0) in das Netz zulassen.
Mein Ziel ist es, die Regel so spezifisch wie möglich zu machen. Das ist mir bisher nicht gelungen, weil ich noch nicht weiß, was dem Telefon "fehlt".
Dein Beitrag bringt mich allerdings auf eine Idee: Das Telefon ist VLAN-fähig und ist an einen Port angeschlossen, auf dem untagged das "normale" Client-Netz anliegt und tagged das Netz für's Telefon. Im Telefon ist VLAN-Tagging aktiviert.
Das ganze deshalb, da man so den zweiten Netzwerkport des Telefons nutzen kann, um noch einen PC anzuschließen (der sich dann im anderen VLAN befindet als das Telefon).
Das scheint auch soweit zu funktionieren, da das Telefon ja per DHCP eine IP aus dem richtigen Netz (also richtiges VLAN) bezieht und auch die Uhrzeit vom per DHCP mitgegebenen Zeitserver.
Dennoch versuche ich mal das Telefon an einen untagged Port mit entsprechendem Netz anzuschließen - auch wenn ich das als Ursache für unwahrscheinlich halte...
@Kalle2014 schrieb:Wenn ich das richtig sehe, so wurde die IP - Adresse der DigiBox geändert. Über welchen Menupunkt ist diese Änderung erfolgt? Denn da könnte der Fehler liegen, falls das nicht über den "Assistenten Erste Schritte erfolgt ist.
Soweit ich das noch rekonstruieren kann ist das über besagten Menüpunkt erfolgt. Jedenfalls steht dort auch die 172.16.8.1 und nicht eine der IPs, die die Digitalisierungsbox in den anderen VLANs hat.
Ich hatte am Anfang allerdings ziemliche Schwierigkeiten mit dem WLC in Verbindung mit VLAN, bis ich diesen schließlich deaktiviert habe.
Ein super Hinweis, sagt das Logfile ja etwas von "localip". Das würde in dem Kontext ja passen.
Ich versuche das ganze mal mit einer Digibox im Werkszustand nachzustellen und werde dort nichts anfassen, was nicht zum Telefon gehört.
Viele Grüße,
cg
das ist ein sehr interessantes Thema.
Ich freue mich, dass Sie sich als neues Mitglied hier zu Wort melden. Einige Tipps und Vorschläge wurden bereits gemacht. Sie wollten sich noch einmal zu Wort melden, sobald Sie die Digitalisierungsbox auf Werkszustand gesetzt haben.
Wie ist der aktuelle Status? Ich freue mich auf eine Rückmeldung.
Viele Grüße
Yalcin A.
