Früher ist es ca. alle 1 bis 2 Wochen passiert, dass die Anlage übers webinterface nicht mehr angsprechbar war, Funktion ansonsten ist ok.
Jetzt ist es so schlimm geworden, dass ich nur kurz nach einem Neustart (per Taste oder Stecker ziehen spielt keine Rolle) noch in die Konfiguration komme. Warte ich etwas länger geht schon wieder gar nichts mehr
Die Firmware meiner 5020 ist auf dem aktuellen Stand Version 4.2L - Build 000
Die Anlage läuft schon seit längerem nur noch als VOIP und ist mit einer Fritzbox 7490 als Router verbunden. Gleichzeitig ist die Fritzbox auch als ISDN-Unteranlage an die 5020 angehängt, auch schon seit langem.
In der Fritzbox habe ich -etwa zeitgleich mit dem schlimmer werdenden Symptom einen VPN zu einer anderen Fritzbox 7490 eingerichtet, glaube aber nicht, dass da ein Zusammenhang besteht. Sonst sind mir keine besonderen Änderungen bewußt, die den Effekt hervorrufen könnten. Es gab lediglich ein paar kleinere Anpassungen der Konfi bez. der schon länger eingetragenen VOIP-Anbieter.
Alle LEDs leuchten grün, außer der LAN: die flackert orange. Kann mich aber nicht erinnern, dass das schon mal anders war.
Ich habe mir im Internet schon die Finger wundgesucht und nichts Passendes gefunden. Es wäre toll, wenn mir jemand weiterhelfen könnte.
Es könnte sein, dass ich mein Problem durch einen Hinweis im Thread "5020 Netzwerkprobleme lösen konnte:
Dort schrieb
"Dauerbesetzt
Febr. '14
Hi lakonix,
nur ein Gedanke - irgendwelche Portforwardings in Deinem DSL-Router auf die 5020 hast Du nicht zufällig?
Mein Gedanke ist der, dass die Anlage evtl. aus dem Internet mit Anfragen zugeschüttet wird - und zwar in einer Menge, dass sie nicht damit fertig wird."
Daraufhin bin ich die Ports durchgegangen und habe festgestellt, dass ich im Zuge der Anlage von VOIP-Anschlüssen versehentlich den Port 5060 mit freigegeben hatte. Auf diesem Port produziert 1&1 wohl einen ziemlichen Traffic für die Fritzbox, der dann wohl auch die 5020 “geflutet” hat. Die Abstürze haben sich dann eingestellt, nachdem ich zusätzlich IP-Freigaben für den IP-Adressraum von 1&1 für die Lastverteilung eingerichtet hatte. Das hat der Anlage dann möglicherweise den Rest gegeben.
Jedenfalls läuft sie jetzt nach dem Schließen des Ports stabil. Mal sehen, ob das so bleibt.
eventuell liegt ein Fehler in der Anlage vor. Kommst du neben der Netzwerk IP auch über die APIPA Adresse (169.254.1.240) nicht auf die Anlage? Das würde einiges einschränken in der Fehlersuche.
Wenn das die Lösung sein sollte, dann ist “…Auf diesem Port produziert 1&1 wohl einen ziemlichen Traffic für die Fritzbox…” eine ziemlich naive Verkehrung von Ursache und Wirkung.
Was Du gemacht hast ist, den Port, auf dem sich Deine internen VoIP-Telefone an der Anlage registrieren sollen, in’s große weite Internet zu öffnen. Du hast Dich praktisch als VoIP-Provider für sämtliche Skript-Kiddies mit ihren Scan-Bots angeboten.
Eben solche Bots haben Deinen offenen Port 5060 automatisiert gefunden und nun nach einer funktionierenden Benutzername/Passwort-Kombination gesucht. Dieser Angriff ist inzwischen bekannt. Wenn sie sich dann einloggen können, wird versucht “günstige” Mehrwertdienstenummern im Ausland anzutelefonieren. Du hast dann die Telefonrechnung… Wenn es dann genug Bots sind, die da gleichzeitig auf die arme 5020 eindreschen, bricht die auch gern mal zusammen. Provider beschäftigen da ganze XEON-Serverfarmen, um solche Angriffe abzuwehren. Da hat Deine kleine 5020 ungeschützt an vorderster Front keine Chance…
Ports weiterzuleiten, ohne Sinn und Verstand, ist keine gute Idee im Internet, was für viele leider ziemliches “Neuland” ist.
Hallo hostbit,
mit der APIPA Adresse komme ich auch nicht drauf. Kann ich noch weiteres tun, um die Fehlersuche einzuschränken?
Hallo Dauerbesetzt,
5060 habe ich dicht gemacht. Danach schien sich Verhalten der Anlage auch etwas zu verbessern. Es dauert jetzt länger, bis die Anlage nicht mehr ansprechbar ist.
Andere Ports ab 5061 sind noch offen, für die IP-Telefonie. Ist das genauso riskant oder gilt das nur für den 5060, weil das der interne Port für die IP-Telefone ist?
Außerdem habe ich Freigaben für die IPs von Sipgate und 1&1 eingerichtet, weil die in der IP-Sperre auftauchten, die IP von easybell dagegen nicht. Von easybell und sipgate laufen sowohl trunks als auch Privatanschlüsse über die Anlage. Andere Anbieter sind in der Anlage nicht eingerichtet.
Die Anlage ist im übrigen noch mit einem ISDN- und einem VOIP6-Erweiterungsmodul bestückt.
Für weitere Hilfe wäre ich sehr dankbar.
Viele Grüße
Tomas
Normalerweise musst Du gar keine Ports freigeben! Die Freigaben für 1&1 sind häufig im Zusammenhang mit FritzBoxen empfohlen, weil damit die Firewall der FritzBox ausgehebelt wird. 1&1 schickt die Anrufe nämlich gern von anderen Servern, als von dem, bei dem man sich registriert hat. Wenn 1&1 da mal was ändert, oder AVM an der FritzBox, dann ist selbst das nicht mehr nötig. Warum und was leitest Du denn alles auf die arme 5020?
Einen Supergau, sprich jemanden, der auf meine Kosten telefoniert, hatte ich bislang noch nicht, toi,toi,toi.
Ich weiß im Einzelnen leider zum Teil nicht mehr, warum ich diese Port geöffnet habe.
5061 ff sind jedenfalls für die Zuordnung der diversen SIP-Anbieter und Nrn.
443 in Fernzugriff
Den 49152 bis 49408 liegt ein Grund zugrunde, an den ich mich leider nicht mehr erinnere.
Allerdings habe ich diese Ports schon recht lange eingerichtet, ohne dass die 5020 gebockt hat, bzw. sehr selten, alle paar Wochen mal.
gege auch mal meine Senf dazu, habe ja weitestgehend nur mitgelesen.
Warum machst nicht mal alle Portwardings dicht und schaust mal, ob Du noch telefonieren kannst bzw.
welche Einschränkungen es noch gibt. Ein gescheiter Router macht NAT korrekt, so dass Du auch die
Antwortpakete korrekt erhälst. Also brauchst das ganze Portforwarding Geraffel (im Regelfall) gar nicht.
Mindestens mal die Ports 5062-5073 würde ich dicht machen. Die Anlage komuniziert ja in Richtung
Provider und nicht umgekehrt. Also ist kein Portforwarding nötig.
Wenn Du von außerhalb die Anlage administrieren willst, macht Port 443 Sinn (sofern natürlich die Anlage
auf Port 443 mit seinem Webinterface antwortet. Meist ist es ja Port 80. Musst Dir natürlich im Klaren sein,
dass auch windige Gesellen sich bei schwachen Passwörtern in Deiner Anlage tummeln können.
Aber mein Webinterface ist auch offen
Port 49152-49408 UDP ist das RTP Protokoll. Diese Portforwardings könntest Du brauchen, wenn Du
nur eine einseitige Verständigung hast. Das also der Voicestream. Gute Router können damit natürlich
umgehen, brauchst Du also im Regelfall auch nicht. 1&1 hatte ja mal eine Ausnahme gemacht und dies
gefordert.
klipp und klar gesagt! Danke, mir wird immer mehr klar, was ich da für einen Unsinn angestellt habe.
Gesagt, getan: Alle Ports sind dicht, außer 443, auf starkes Passwort habe ich geachtet, soweit das in der 5020 geht, die nur Buchstaben und Zahlen akzeptiert.
Nach einem ersten Test konnte ich feststellen, dass die Telefonie weiterhin funktioniert.
Ob das auch mein ursprüngliches Problem mit dem nicht ansprechbaren Interface dauerhaft löst, muss sich noch zeigen.
Auf jeden Fall habe ich schon so ganz nebenbei einiges gelernt, vor allem aber, wie ahnungslos ich an die ganze Sache herangegangen bin…
