Umstellung von DeutschlandLAN auf CompanyFlex (Telekom)

Liebe Community,

die Umstellung auf CompanyFlex (Telekom) erfolgte vor ein paar Tagen (vorher DeutschlandLAN).
Seit der Umstellung brechen die externen Gespräche ab, die länger als 15-20 Minuten dauern.

Ich habe die „Störung“ bei Telekom gemeldet und Telekom schreibt:

Guten Morgen Herr Hahn,

Unsere Fachabteilung hat den Beispiel-Call vom 26.12.2022 20:19 Uhr analysiert.

Der Call wird vom Netz beendet,
weil der User-Agent Auerswald COMmander 6000RX/8.4B000
ein Register mit einem abweichenden Souren-Port im Contact-Haeder sendet.

Bitte klären sie mir Ihrem Support warum der User-Agent Auerswald COMmander die Ports im Contact ändert.

Rückmeldung der Fachabteilung:

Fehler des User-Agent " Auerswald COMmander 6000RX/8.4B000 "
Das INVITE kam über tcp/tls-Session Port 29444,
so registriert sich das Endgerät auch ( Contact: <sip:+49XXX296000000XXXXXX@80.XXX.XXX.XX:29444;transport=tls;) .
Um 22.32 ist immer noch der Port 29444 gültig, aber Endgerät sendet im REGISTER einen anderen Port
( Contact: <sip:+49XXX296000000XXXXXX@80.XXX.XXX.XX:39756;transport=tls;) .
Der „alte“ Contact über den der Call aufgebaut wurde, ist somit ungültig und die aBCF löst korrekt aus
( cause=504;text=„CC_IMS_LOCAL_CLEAN_UP“ ) .

Die persönlichen Daten habe ich geixt.

COMmander 6000RX ist auf den neusten Stand, Firmware 8.4B, Build 000
Das Template ist das Aktuellste (CompanyFlex SIP Trunk V200).

Folgende Änderungen im Bezug auf das Auerswald-Template:
Ich habe die Verschlüsselung SIPS - SIP/TLS eingeschaltet damit die Anlage sich bei Telekom registriert.
Und ich habe SRTP auf vorgeschrieben gesetzt und den Mediasec Header nach IETF aktiviert. Das habe ich im Telekom Forum gefunden. Sonst keine Änderung.

Laut Telekom ist die Anlage richtig registriert.

Kann SRTP das Problem sein? Ich sehe, die Anlage registriert sich auch mit deaktivieren SRTP und Mediasec Header nach IETF nach einem Neustart.
Aber was aktiviert bleiben muss ist SIPS - SIP/TLS.

Weiß jemand, was das genau bedeutet? und was ich konkret in der Anlage ändern muss?

Ich bedanke mich für euere Hilfe und wünsche euch einen guten Rutsch.

Hallo Dragos-Cristian.
Ein Grund wieso sich Ports ändern sind Router die die,Verbindung (SIP-Kommunikations-Ports) schließen. Die Anlage registriert sich neu und der Router vergibt einen neuen Port. Das ist in der Regel ein Router der nicht „VoIP-readyˋ ist. Bei der Fritz-Box gibt es z.B. auch eine Einstellung unter den Telefonie-Einstellungen->Eigene Rufnummern->Anschlusseinstellungen → Portweiterleitung des Internet-Routers für Telefonie aktiv halten → sollte aktiv sein, in der Regel ist 5 Minuten eingestellt.

Welchen Router/Netzwerkaufbau verwendestn Du? Auch eine Firewall kann dies natürlich bewirken.

Lieber Herrybert,

vielen Dank für deine Antwort.
Ich habe einen LANCOM Router 1783VAW und einen LANCOM GS 2326P+ Switch, Firmware auf dem neuesten Stand.

Gestern und heute habe ich mit dem Auerswald Support geschrieben.
Auerswald schreibt:
bitte aktivieren Sie im Anbietertemplate die folgende Einstellung und speichern diese ab.
„DNS-Abfrage überdauert SIP Session (RFC 3263)“

Das habe ich gemacht und es gibt keine Gesprächsabbrüche mehr.

Aber seitdem habe ich ein anderes Problem:
Ich habe gestern 2 Mal die folgende E-Mail von der Commander 6000RX:
29.12.2022 - 21:51 Uhr [ERROR] Registration lost. Provider=de Telekom CompanyFlex SIP-Trunk IPv4 Account-Rufnummer=90 (Name=- - - Rufnummer=- - -). Status: 403"Forbidden"

Daraufhin schreibt Auerswald:
Anhand der Meldung ist die Registrierung zum Telekom CompanyFlex SIP-Trunk abgebrochen und eine Anfrage von der TK-Anlage für eine neue Registrierung wurde mit „Forbidden“ abgelehnt. Ob zu diesem Zeitpunkt eine Störung im Telefonnetz vorlag, müsste auf der Seite des Anbieters geklärt werden.

Heute habe ich die Störung bei Telekom gemeldet, es lag wohl keine Störung bei Telekom vor.

Telekom antwortet:
Zur Ihrer Anfrage , warum unser Netz mit SIP 403 auf einige Register des User-Agent: Auerswald COMmander 6000RX/8.4B000 reagiert,
habe ich mir diese Register angesehen.

Das Sip 403 resultiert aus dem Fehlenden Authorization-Header nach dem SIP/2.0 401 Unauthorized.
Der User-Agent: Auerswald COMmander 6000RX/8.4B000 sende hier nach Aufforderung keine Authentifikation.

Wieder mit Auerswald geschrieben, die Antwort war:
Bei einer Registrierung erfolgt zuerst eine Anfrage ohne Authentifikation und nach Aufforderung vom VoIP-Anbieter erfolgt eine zweite Anfrage mit Authentifikation (sogenanntes Challenge-Response-Verfahren). Dieses Verfahren führt die TK-Anlage COMmander 6000 immer durch. Nach Auskunft der Telekom ist die Anfrage mit Authentifikation bei der Telekom nicht angekommen. Dieser Fall zeigt auf eine Störung der lokalen Netzwerkkomponenten, da vorher die Registrierung abgebrochen ist.

Im Netzwerk habe ich nichts umgestellt. Seit 2017 bis letzten Freitag hatte ich DeutschlandLAN SIP-Trunk und es funktionierte alles einwandfrei.
Der Mitarbeiter von Telekom sagte, es sei für ihn unverständlich, warum die Anlage erst beim 3. Mal den fehlenden Authorization-Header mitschickt.
Die ersten 2 Anfragen erfolgen ohne Header.
Hängt das wirklich mit dem Router zusammen?

Lieben Gruß
Dragos

Ich habe 2 Internet Anschlüsse mit festen IP-Adressen, nutze Loadbalancing.

ABER, in der Firewall gibt es eine Regel, die feste IP-Adresse der Telekom auf die TK-Anlage zeigen lässt und alle Ports und Dienste für die Anlage freigibt.
Den Router habe ich damals (2017) mit dem LANCOM Support einrichten lassen, als das noch telefonisch möglich war.

Moin Dragos.
Prüfe evtl. folgende Punkte:

1. SIP-ALG imRouter ausgeschaltetmlassen.
2. TCP-Aging -Zeit auf 120 Sek. Setzen (ich schaue nochmal später nach dieser Zeit).
3. keine Portumleitungen im Router auf die Anlage einrichten.
4. DNS - es sollte der Telekom-DNS im Router/Firewall eingetragen sein, die Anlage nutzt dann den DNS der Firewall/Router.
5. Prüfe die Anlage auf abgelaufene Zertifikate (unter Administration)

Sips/SRTP würde ich erst mal ausschalten, damit die Protokollierung einfach möglich ist. Die Verbindung muß über den Telekom-DSL geführt werden.
Fragen:
1.Ist das noch DSL oder ein anderes Medium?
2. wurde neue Firmware auf Router/Firewall/andere Netzwerkkomponenten aufgespielt?
→ beim den Lancom-Routern gab es mal ein Firmwareupdate der die tcp-Aging-Zeit ungünstig veränderte…

Was ich noch nicht ganz verstehe: #ABER, in der Firewall gibt es eine Regel, die feste IP-Adresse der Telekom auf die TK-Anlage zeigen lässt und alle Ports und Dienste für die Anlage freigibt.#

Welche Feste IP-Adresse der Telekom sollte hier gemeint sein, oder meinst Du einen DNS-Namen? Die Telekom hat ja nicht nur eine ip-Adresse und einen Server… wichtig ist ja, das die Kommunikation rein und raus (!) nur über ein und den gleichen Internet-Anschluss geht…

Hallo Herrybert,

1. SIP-ALG ist deaktiviert.
2. TCP-Aging steht jetzt auf 300 Sekunden. Soll ich das auf 120 setzten?
   Du wolltest nochmal schauen, ich warte noch auf deine Antwort.
3. Es sind keine Portweiterleitungen im Router eingerichtet.
4. Du schreibst: DNS - es sollte der Telekom-DNS im Router/Firewall eingetragen sein, die Anlage nutzt dann den DNS der Firewall/Router." Das habe ich leider nicht verstanden… Wie sieht so eine Regel konkret aus? Wie erfahre ich den Telekom-DNS?
5. Ein abgelaufenes Zeritikat in der Anlage gefunden und gelöscht (Staat der Nederlanden EV Root CA (CN)

Wenn ich SIPS/SRTP ausschalte, verbindet sich die Anlage gar nicht mehr, das habe ich gestern noch einmal ausprobiert.
Ich habe VDSL 100 bei Telekom.
Alle Netzwerkkomponenten haben die neueste Firmware.

„Welche Feste IP-Adresse der Telekom sollte hier gemeint sein, oder meinst Du einen DNS-Namen? Die Telekom hat ja nicht nur eine ip-Adresse und einen Server… wichtig ist ja, das die Kommunikation rein und raus (!) nur über ein und den gleichen Internet-Anschluss geht…“
Ich habe 2 Anschlüsse, bei Telekom und bei Vodafone (damals Unitymedia), beide mit jeweils einer festen IP-Adresse.
Diese Anschlüsse sind im Router gebündelt, Lancom nennt das Loadbalancing.
Damit die Auerswald-Anlage ausschließlich über den Telekom-Anschluss rausgeht, musste wohl diese Regel angelegt werden.
Die TK-Anlage bzw. alle Dienste und Ports gehen ausschließlich über den Telekom Anschluss raus.
Diese Regel wurde von LANCOM über angelegt und DeutschlandLAN SIP-Trunk hat 5 Jahre problemlos funktioniert.

Übrigens, gestern Abend und heute nochmal die Meldung von Auerswald bekommen. Diese kommt ungefähr alle 12-15 Stunden.
31.12.2022 - 12:48 Uhr [ERROR] Registration lost. Provider=de Telekom CompanyFlex SIP-Trunk IPv4 Account-Rufnummer=90 (Name=- - - Rufnummer=- - -). Status: 403"Forbidden"

Lieben Dank für deine Antwort.
Dragos.

Lieber Herrybert,

ich habe im Lancom-Forum weiter gelesen.
UDP steht als Default auf 20 Sekunden… es soll auf 120 Sekunden gestellt werden. Aber TCP soll bei 300 bleiben.
Hat UDP-Aging was damit zu tun? Ich habe den Wert jetzt auf 120 Sekunden gesetzt und den Router neu gestartet.

Lieben Gruß
Dragos

Maskierung705×706 34.4 KB

Wenn ich SIPS bzw. SIP/TLS und SRTP deaktiviere, passiert folgendes:

Ohne SIPS mit SIP/TLS registriert sich die Anlage gar nicht.
Mit SIPS bzw. SIP/TLS registriert sich die Anlage, aber es können keine Gespräch geführt werden.
Erst mit SRTP kommen die Gespräche zustande.

Die Firewall Regel, worüber wir gesprochen haben sieht so aus:

Firewall5370×552 14.7 KB

Firewall4368×553 17.7 KB

Firewall3372×555 11.3 KB

Firewall2368×552 11.8 KB

Firewall1372×556 15.3 KB

Unter Verbindungsquelle sind die IP Adresse der Anlage und der VoIP-Module eingetragen. Diese werden natürlich fest über DHCP vergeben.
Unter Verbindungsziel ist die Internet Verbindung der Telekom eingetragen, sie heißt INTERNET.
Die andere Internetverbindung von Vodafone heißt KABELNET.

Hallo Dragos.

Das Verhalten mit SIPS/SRTP klingt normal.

In deinem letzten Screenshot ist das Feld load-balancing „leer“ , was kann hier eingestellt werden? Dies sollte ja nur den einen Weg -über Telekom dsl- ausgewählt sein…

Hallo Herrybert,

da kann man auswählen:
Best Effort
Low Latency
Low Priority
Voice

Aber der Tag 1 macht, dass die Anfragen über den Internetanschluss von Telekom rausgehen.
Wenn ich Voice auswähle, bringt nichts. Das habe ich ausprobiert.

Wie konfiguriere ich diese DNS Route oder die Firewall Regel anders?

Lieben Gruß
Dragos

Oder anders formuliert… warum meldet sich die Anlage verschlüsselt an und unverschlüsselt nicht?
Laut Telekom müsste sie sich auch unverschlüsselt anmelden, wenn der Internetanschluss auch bei Telekom ist.

Ich sehe gerade, die Anlage hat sich auch unverschlüsselt angemeldet, aber es dauert über eine halbe stunde. Erst steht Fehler 503 DNS NO RESULT und dann 508 TIMEOUT und irgendwann später meldet sie sich an.

Weißt du woher das kommt?

Moin Dragos.

Der Wechsel zwischen den einzelnen Optionen (verschlüsselt/unverschlüsselt) kann ggfs. bei der Telekom etwas dauern, weil hier unter Umständen auch andere Server verteilt werden können.

Das TCP-Aging bitte mal auf 3600 Sekunden stellen, UDP (welche hier beim Sip-Trunk nicht verwendet wird) kann vorerst auf 120 Sekunden eingestellt bleiben.

Beim DNS: Normal erhält der Router/die Firewall bei der Einwahl über DSL ja den DNS des Providers mitgeteilt. Dieser (Telekom-DNS) sollte dann von der Anlage auch verwendet werden, eben dadurch das „normal“ die interne IP-Adresse des Routers/Firewall als DNS in der TK-Anlage eingetragen wird. Die Telekom erzeugt nämlich über DNS auch die Lastverteilung der VoIP-Telefonie, das kann sich bei bei Verwendung anderer DNS-Server schlechter auswirken und ggfs. auch zu merkwürdigen Effekten führen.

Moin Dragos.
Was sagt eigentlich die Stabilität der DSL-Leitung?
Wie ist das aktuelle Verhalten mit obigen Einstellungen?

Hallo Herrybert,

Telekom sagt, die Leitung ist stabil.

Das TCP-Aging bitte mal auf 3600 Sekunden stellen, UDP (welche hier beim Sip-Trunk nicht verwendet wird) kann vorerst auf 120 Sekunden eingestellt bleiben.

Das habe ich so eingestellt.
Ich habe NAT keep alive im Auerswald-Template des Anbieters von 45 Sek, auf 180 Sek. erhöht.
Ich habe noch eine DNS-Weiterleitung im LANCOM (Registrar-Domäne auf die Internetverbindung der Telekom mit dem entsprechenden Tag 1.)

Ich beobachte…

Lieben Gruß
Dragos

Nabend Dragos.

Was sagen die aktuellen Erkenntnisse?

GrüßeMartin

Guten Abend Martin,

die neuen Erkenntnisse… das Problem ist definitiv der 2. Internet Anschluss.
Alleine die Firewall Regel reicht nicht aus, es fehlt noch was.
Ich habe heute gelesen, dass man bei Load Balancing mehr Optionen hat:

IPv4-Maskierung

Stellen Sie hier die IPv4-Maskierung des Load-Balancers ein. Mögliche Werte:

Automatisch
Übernimmt die Maskierungsoption jeder einzelnen Leitung aus der Routing-Tabelle.

Ein
Aktiviert NAT auf allen Gegenstellen im Loadbalancer.

Nein
Deaktiviert NAT auf allen Gegenstellen im Loadbalancer.

Nur Intranet
Aktiviert NAT für Netze vom Typ INTRANET. Die DMZ wird nicht maskiert.

Bei mir steht es jetzt auf „automatisch“

Würde es mehr Sinn machen auf „Ein“ zu setzen?

Lieben Gruß
Dragos

Dann kann man noch das Client Binding aktivieren.

Client-Binding kann Verbindungen, die bestimmten Protokoll- / Port-Kombinationen entsprechen, pro Zieladresse eine feste WAN-Verbindung zuordnen. Wechselnde Quelladressen bei der Kommunikation über diese Verbindungen werden dadurch vermieden. Das Client-Binding wird beim Load-Balancing ggf. aktiviert.

Binding-Minuten

Definieren Sie hier die Zeit in Minuten, für die die Binding-Einträge für einen Client gültig sein sollen.

Balance Sekunden

Um zu vermeiden, dass Daten über die Internetverbindung der Haupt-Session fließen, die problemlos über parallele Verbindung zu übertragen wären, sorgt ein entsprechender Timer dafür, dass der Load-Balancer für eine definierte Dauer zusätzliche Sessions auf die zur Verfügung stehenden Internetverbindungen verteilt. Erst nach Ablauf des Timers zwingt das Client-Binding eine neue Session wieder auf die ursprüngliche Internetverbindung und startet den Timer neu. Der Server erkennt somit weiterhin den Anmeldestatus des Benutzers anhand seiner aktuellen IP-Adresse. Definieren Sie hier die Zeit in Sekunden, innerhalb der der Load-Balancer neue Sessions nach dem Start der Haupt-Session frei auf andere Internetverbindungen verteilt.

Unter Client-Binding-Protokolle konfigurieren Sie die entsprechenden Protokoll- / Port-Kombinationen.

Ich bin verwirrt…

Irgendwie wird mir der Aufbau noch nicht ganz klar.
In der Firewallregel ist "192.168.2.110-192.168.2.1… " die Auerswald-Anlage?
Was verbirgt sich hinter Gegenstelle „INTERNET“? Ist das dein Telekom-Anschluss?
Dann würden ja nur die Daten Richtung Telekom-Anschluss dort behandelt. Ich denke Du musst dies einfach in „Verbindungen an alle Stationen“ ändern. Dann würden alle Pakete mit dem Routing-Tag 1 versehen und dann über den Telekom Anschluss nach draußen gehen.

Hallo Ganzfix

ich glaube, ich bin gerade fertig… mit meiner Welt und mit der Konfiguration.
Nächte vor dem PC verbracht, vieles ausprobiert… wobei es war ganz einfach.

1. Du hast vollkommen Recht… in der Firewall darf bei Verbindungsziel nicht der Telekom-Anschluss „Internet“ stehen, sondern „Verbindungen an alle Stationen“.
2. Ich habe in Kommunikation / Gegenstellen / WAN-Tag Tabelle die 2 Internetanschlüsse mit dem jeweiligen Tag eingetragen. In meinem Fall… Internet - Routing Tag 1, Kabelnet - Routing Tag 2.
   Hier sollen nur die Internetanschlüsse eingetragen werden, die einen abweichenden Routing-Tag als 0 haben.
3. Und zuletzt in DNS / DNS-Weiterleitung habe ich für den Telekomanschluss (Internet) - mit dem Routing-Tag 1 - statt 8.8.8.8 die beiden DNS-Server der Telekom eingetragen, die im LAN Monitor abzulesen sind. Die ändern sich nicht.
   TCP kann auf 300 bleiben, UDP auf 20. ich habe mit allen Möglichen werten versucht, ohne Erfolg.

Die Anlage verbindet sich jetzt verschlüsselt und unverschlüsselt, kein DNS Fehler mehr.
Und nach einem Neustart des Routers verbindet sie sich auch sofort.

Ich würde aber gerne tracen, um zu schauen ob dns richtig auflöst, habe aber keine Ahnung wie.
Das habe ich noch nie gemacht.

Lieben Gruß
Dragos