Antworten
Gelöst

VOIP SIP Server meldet FORBIDDEN (Asterisk, DNS)

Highlighted
1 Sterne Mitglied
1 Sterne Mitglied
Lösung
Akzeptiert von
Beitrag: 16 von 20

So, kurz zur Rückmeldung. Wir haben das Problem gefunden.

 

Es handelt sich um ein DNS Problem in kombination der Telekom DNS Server und unserem DNSMASQ (auf OpenWRT).

Um es kurz zu machen, die Telekom DNS Server lösen den SIP Server anders auf als die öffentlichen SIP Server. Auch verschiedene Telekom DNS Server lösen die Adressen (tel.t-online.de) verschieden auf.

Scheint was mit dem Loadbalancing zu tun zu haben, ich kann schlecht nachvollziehen ob es sich um einen Bug oder ein Feature handelt.

 

Schlussendlich habe ich auf den Asterisk Servern einen bind-server installiert. Alternativ kann man auch einen externen DNS anstelle dem Router-DNS eintragen.

 

Läuft erstmal. Bei Interesse schick ich gern weitere Infos.

Danke für die Mühe.

 

MFG Christian

 

Community Guide
Community Guide
Beitrag: 17 von 20

Ok, genausowas hatte ich vermutet. Danke für die Rückmeldung .

01001100 11000011 10110110 01110011 01100101 00100000 01100100 01100001 01110011 00100000 01010000 01110010 01101111 01100010 01101100 01100101 01101101 00101100 00100000 01101110 01101001 01100011 01101000 01110100 00100000 01100100 01101001 01100101 00100000 01010011 01100011 01101000 01110101 01101100 01100100 01100110 01110010 01100001 01100111 01100101 00101110 00001101 00001010
1 Sterne Mitglied
1 Sterne Mitglied
Beitrag: 18 von 20

Hallo Christian,

danke für dein bereits umfangreiches Troubleshooting. Ich habe mit ziemlicher Sicherheit das gleiche Problem mit meiner auf Linux basierenden 3cx Appliance. Es läuft stundenlang und irgendwann bekomme ich einen 403 (forbidden) zurück. Manchmal erholt sich der Trunk alleine, manchmal nicht. Sieht für mich auch nach DNS und deinem beschriebenen Phänomen aus. Ich nehme an, ihr habt auf dem besagten BIND die IP statisch dem Namen tel.t-online.de zugeornet. Wenn ja, würde mich interessieren, welche IP ihr nehmt und ob ihr noch weitere Änderungen vorgenommen habt. Ich würde sonst die IP einfach in der hosts eintragen.

Danke Matthias

1 Sterne Mitglied
1 Sterne Mitglied
Beitrag: 19 von 20

Hallo Matthias,

 

ich versuchs mal zusammen zu bekommen, ist ja schon eine Weile her. Leider nervt das Loadbalancing der Telekom extrem.

 

tel.t-online.de löst bei mir über die externen Rootserver auf 217.0.23.100 auf.

Wir haben auf jeder Anlage einen eigenen BIND in Standardkonfiguration laufen.

 

Als das Problem bestand, hatten wir einen Router mit einem DNSMASQ am laufen. Dieser hat die DNS Anfragen an die Telekom-DNS Server geFORWARDed.

 

Im Asterisk lief das dann folgendermaßen:

REGISTER/INVITE an den Server welcher unter "_sip._udp.tel.t-online.de" aufgelöst wurde

Asterisk löst danach neu auf, auf "tel.t-online.de"

"_sip._udp.tel.t-online.de" entsprach nicht "tel.t-online.de"

Das Gespräch kommt nicht zu stande, da dieser Server nichts von dem REGISTER weiß, daher meldet dieser FORBIDDEN.

 

bei der Auflösung über BIND/Rootserver löste "_sip._udp.tel.t-online.de" auf die selbe Adresse auf wie "tel.t-online.de".

Daher reichte die Installation vom BIND und das umlegen der resolv.conf auf 127.0.0.1

 

Man konnte das sehr schön im SIPLOG vom Asterisk sehen (sip set debug on).

 

Ich hoffe ich konnte helfen.

 

MFG Christian

 

Anbei noch die sip-conf für den telekom peer (verhindert auch andere BUGs):

[Telekom]
type=peer
insecure=invite
username=anonymous@t-online.de
secret=nopass
host=tel.t-online.de                                                                                                                 
fromdomain=tel.t-online.de                                                                                                           
canreinvite=no                                                                                                                       
realm=tel.t-online.de                                                                                                                
canreinvite=no                                                                                                                       
directmedia=no
nat=no                                                                                                                               
qualify=yes
context=default                                                                                                                      
insecure=port,invite
session-timers=refuse
dtmfmode=inband
videosupport=no
ignoresdpversion=yes

 

1 Sterne Mitglied
1 Sterne Mitglied
Beitrag: 20 von 20

Hallo Christian,

danke für deine schnelle Antwort. Ich denke, ich habe es jetzt hinbekommen. Der Trunk steht jetzt seit seit mehr als 48h stabil ohne Abbrüche.

Am Ende hast du mich auf den richtigen Weg gebracht. Das Problem ist, dass wenn die 3cx den Service Locator Record "_sip._udp.tel.t-online.de" anfragt, gibt es 2 Namen zurück. Der erste wird zwar präfertiert aber es kommt dennoch ab und zu vor, dass der 2. Server gefragt wird. Dieser weiß dann offensichtlich nichts von der Sitzung und gibt "403 forbidden" zurück.

 

nslookup

 

> set type=srv

 

> _sip._udp.tel.t-online.de

Server: 172.19.xxx.xxx (mein Nameserver)

Address: 172.19.xxx.xxx#53

 

Abfrage des SRV Records ergibt 2 Hosts

 

Non-authoritative answer:

_sip._udp.tel.t-online.de service = 0 5 5060 ims001.voip.t-ipnet.de.

_sip._udp.tel.t-online.de service = 1 5 5060 ims002.voip.t-ipnet.de.

 

Kurz die IP checken

 

Non-authoritative answer:

ims001.voip.t-ipnet.de canonical name = b-epp-001.isp.t-ipnet.de.

Name: b-epp-001.isp.t-ipnet.de

Address: 217.0.23.100

> ims002.voip.t-ipnet.de

Server: 172.19.xxx.xxx

Address: 172.19.xxx.xxx#53

 

Non-authoritative answer:

ims002.voip.t-ipnet.de canonical name = h2-epp-801.isp.t-ipnet.de.

Name: h2-epp-801.isp.t-ipnet.de

Address: 217.0.128.132

> ims002.voip.t-ipnet.de

Server: 172.19.xxx.xxx

Address: 172.19.xxx.xxx#53

 

Ich habe mir jetzt so geholfen, dass ich 

ims001.voip.t-ipnet.de.

ims002.voip.t-ipnet.de.

in meine /etc/hosts (unter Windows einfach im "windows/system32/drivers/etc/hosts") die beiden Server eingetragen habe und auf die selbe IP verweise (217.0.23.100).

 

Man kann natürlich auch auf seinem DNS Server eine Zone voip.t-ipnet.de anlegen und dort die beiden A-records pflegen.

 

Ich hoffe, die T-kom ändert nicht demnächst die IP Adressen Zwinkernd

 

Viele Grüße

Matthias