PJSIP Rejected nur durch Reboot zu beheben

[rspecht]

Hallo Leute,

ich bin mal wieder am FreePBX zu Gange.
Die Anlage lief Monate ohne Probleme - nun zickt sie wieder.
Das gleiche Problem wie damals: irgendwann ist der Trunk Rejected. Das ganze habe ich in folgender Reihenfolge versucht zu beheben:
- Neuverbinden PJSIP
- Neustart Asterisk Serivce
- Reboot

erst der Reboot half. Und das habe ich so mehrfach bestätigt.
Woran kann das liegen?
Der Provider ist zu klein um Erfahrungen im WWW zu finden und selbst sagt er Asterisk sei eine Bastellösung.
Die Fritzbox sowie Agfeo Anlagen machen wohl keine Probleme (muss ich so glauben).

Dieser Ausfall war damals alle paar Wochen, dann lief es 2-3 Monate ohne Stress und nun mehrfach täglich.
Wissentlich habe ich nichts geändert - bis auf die Security Updates der Komponenten.

Der "Notkanal" über Sipgate funktioniert Wunderbar.

Hier noch der Netzaufbau:

Snom370 an Switch
FreePBX auf Raspberry an Switch
Switch an Router (UBNT USG Pro)
Router auf WAN Seite an einem Glasfaserkoppler und dann direkt raus zu Pfalzconnect.

Der Router baut noch ein Site2Site Lan auf, was jedoch für öffentliche IPs gesperrt ist.
Das bestätigt mir auch traceroute - auch im Fehlerfall gehts über den Lokalen Router raus.

Ich bin dankbar für jeden neuen Ansatz - gerade dass nur der Reboot vom Raspi hilft macht mich stutzig. Was ändert das?

Tante Edit:
evtl hilft das: ich habe rasterisk laufen und sehe nun laufend:
[2020-03-06 13:30:30] WARNING[10941][C-000000d0]: Ext. s:7 @ from-sip-external: "Rejecting unknown SIP connection from 45.143.220.4:41625"
[2020-03-06 13:30:43] WARNING[11061][C-000000d1]: Ext. s:7 @ from-sip-external: "Rejecting unknown SIP connection from 45.143.220.4:40802"
[2020-03-06 13:30:56] WARNING[11166][C-000000d2]: Ext. s:7 @ from-sip-external: "Rejecting unknown SIP connection from 45.143.220.4:19460"
[2020-03-06 13:31:08] WARNING[11308][C-000000d3]: Ext. s:7 @ from-sip-external: "Rejecting unknown SIP connection from 45.143.220.4:27216"
....
mit wechselnden ports aber gleicher IP.

Gruß Raphael

 

[sonyKatze]

Hilft dieser Thread?

Wir müssten viel mehr wissen:

1. Welche Versionen von Asterisk bzw. FreePBX?
2. Welche Variante von Asterisk: chan_sip oder chan_pjsip?
3. Gehört diese IP 45.xxx.xxx.xxx Deinem Anbieter PfalzConnect? Ist das die einzige IP die ankommend aufschlägt?

Am Einfachsten wäre, Du würdest den Daten-Verkehr mitschneiden†. Dann siehst Du, was für SIP-Nachrichten ankommen (Keep-Alive, …). Die nächste Frage ist, warum PfalzConnect verschiedene Ports nutzt: Hast Du vier Registrierungen gleichzeitig am Laufen?

† Wenn Dein Switch kein Port-Mirroring kann, dann holst Du Dir einen kleinen Smart-Switch††. So kannst Du live mit einem Computer und Wireshark mitschneiden. In Wireshark filterst Du nach „sip“. Dein Problem tritt ja neuerdings täglich auf. Wenn Du einen Computer mit mindestens 16 GB anschließt, dürftest Du sogar über Monate hinweg mitschneiden können.
†† Ja, sowohl Raspberry als auch UniFi Security Gateway können tracen, aber solch ein Switch-nur-für-Port-Mirroring ändert quasi nichts am Aufbau.

 

[rspecht]

Hallo,
ich kümmere mich darum. Dank dem automatischen Reboot ist er Ausfall nur 30sek/Tag.
Interessant bisher:
Seit ich das Rebootscript installiert habe gibt es alle 23:57 eine Reboot Mail.

Zu den Fragen:
1. FreePBX 14.0.13.26
2. PJSIP
3. das kann ich nicht herausfinden - hinter der SIP Adresse steht ein ganz anderer Range.Bisher ist es die einzige Adresse die in der Asterisk-Konsole aufschlägt.

Mitschneiden kann ich gerne - ich muss nur schauen wie ich das bewerkstellige. Der Switch kann alles - mal schauen. Im Moment liegts eher am fehlenden PC mit 2ter Ethernetkarte. Aber auch das bekomme ich geregelt.

Vielen Dank schonmal

 

[sonyKatze]

Wenn die IP-Adresse nicht zu PfalzConnect gehört, frage ich mich, wie die es durch die Firewall bis zu Deinem FreePBX geschafft hat. Du kannst auch mit einer Ethernet-Karte mitschneiden. Du musst nur darauf achten, dass der Mirroring-Port nicht rein passiv liest (sondern Dich auch raus lässt).

 

[rspecht]

Hallo,
also ich werds über die 2. NWK machen - die soll heute kommen.
Ich bin nun aber etwas "verblüfft" da ich heute vor dem 11 Uhr Reboot mehrere einzelne Rejects ausgelöst bekommen habe (reboot über cron wenn 8 von 8 Leitungen Rejected sind).
Der Reboot war heute um 11:21 - danach ist nun alles wieder am laufen.
Ich hoffe echt ich bekomme den Spaß diese Woche in den Griff - so kann das nicht weitergehen.
Wenn ich bis zum Wochenende nicht weiter komme versuche ich mit einem Reboot abends um 8 mal die Zeiten auserhalb der Bürozeit zu "verschieben".

Heute sind die Leitungen ab halb 1 immer mal wieder weggebrochen. Das habe ich grade versucht zu analysieren.
Erstmal die Graphen:


Am "besten" Performt die Nr. mit Endung 35. Da alle fast die gleiche Config haben, hier noch der Vergleich:



Wie man sieht ist die 35 identisch zu 34,38 und 39. Die Performance ist auch "ähnlich" gut. Die Reject Zeiten sind auch immer nur 1...2 Minuten.
Richtig schlecht ist die 33 und 40. Hier unterscheiden sich die Expiration Time und das AOR. Seltsam ist das die Expiration Time bei 31/32 ebenso niedrig ist (hab gerade zum Vergleich die 40 auch auf 480 gezogen). Die 31 und 32 sind aber nie über lange Zeit ausgeloggt gewesen.
Zum weiteren Test für (morgen?) habe ich die Fatal Retry Invervall von 39 auf 20 gesetzt. Eigentlich müsste ich nun noch den match inbound auth variieren, aber das sind mir dann zu viel Variablen auf einmal.
Evtl. ergibt das mitschneiden ja auch neue Erkentnisse.

LG

Bilder geschrumpft by stoney

 

[rspecht]

So, ich habe nun eine 2te NWK an einem Rechner dran und komme per Anyview drauf.
Wireshark läuft und der Unify Switch ist auf Port Mirroring zu diesem USB Adapter eingestellt. Was analysiere ich genau? Gibts da Tools oder suche ich einfach was an Kommunikation während dem Abbruch von Außerhalb eingeht?

 

[sonyKatze]

Du filterst in Wireshark erstmal auf „sip“. Wenn dort keine neuen Erkenntnisse zu sehen sind, gehst Du einen Layer tief auf UDP: „udp.port == 5060“. Das gibt alle Nebenstellen. Wenn Du Dich auf eine Nebenstelle konzentrieren willst, nimmst Du deren abgehenden UDP-Port. Mit einem Rechts-Klick kannst Du einzelne Felder als Filter generieren lassen und hinzufügen. Aber am Anfang wirst Du erstmal grob anfangen müssen.

Was ich immer noch nicht verstehe ist diese IP-Adresse 45.143.220.4: Wie kommt die an Deinen Asterisk ran – nimmst Du zu der irgendwie vorher Kontakt auf oder ist die wegen irgendwelchen Port-Forwardings zugelassen, hat aber gar nichts mit „uns“ zu tun?

 

[rspecht]

zur Firewall: Ich habe zum Test SIP von außen per Portforwarding durchgeleitet. Das werde ich nun wieder ausschalten. Aber evtl. bringt uns das weiter - ganz am Ende dieses Threads kommt ne anfrage von "außen".

Zum Mitschnitt:
Mein Filter ATM: !(ip.addr == 192.168.1.208) and sip
Damit blende ich alle internen SIP Geräte aus da diese im Moment noch über eine Fritzbox angebunden sind.
Nach außen Verbinde ich zu Sipgate als Backup und zu Pfalzconnect als "Hauptleitungen".
Damit ich nun mal weis was davon Sipgate ist hab ich mir deren IPv4 Range angeschaut und laut deren Website sind es folgende:

• 217.10.64.0/20
• 217.116.112.0/20
• 212.9.32.0/19

Damit erweitert sehe ich wie es aussehen soll:
!(ip.addr == 192.168.1.208) and sip and (ip.addr == 217.10.64.0/20 || ip.addr == 217.116.112.0/20 || ip.addr == 212.9.32.0/19)

No.    Time    Source    Destination    Protocol    Length    Info
111    23.289595    192.168.1.254    217.10.79.9    SIP    478    Request: OPTIONS sip:[email protected] |
112    23.295858    217.10.79.9    192.168.1.254    SIP    419    Status: 200 OK |
158    44.402211    192.168.1.254    217.10.79.9    SIP    613    Request: REGISTER sip:sipgate.de:5060  (1 binding) |
159    44.410871    217.10.79.9    192.168.1.254    SIP    517    Status: 401 Unauthorized |
160    44.412295    192.168.1.254    217.10.79.9    SIP    791    Request: REGISTER sip:sipgate.de:5060  (1 binding) |
161    44.421936    217.10.79.9    192.168.1.254    SIP    523    Status: 200 OK  (1 binding) |
284    83.290816    192.168.1.254    217.10.79.9    SIP    478    Request: OPTIONS sip:[email protected] |
285    83.296972    217.10.79.9    192.168.1.254    SIP    419    Status: 200 OK |
457    143.291536    192.168.1.254    217.10.79.9    SIP    478    Request: OPTIONS sip:[email protected] |
458    143.297838    217.10.79.9    192.168.1.254    SIP    419    Status: 200 OK |
502    154.423524    192.168.1.254    217.10.79.9    SIP    613    Request: REGISTER sip:sipgate.de:5060  (1 binding) |
503    154.432005    217.10.79.9    192.168.1.254    SIP    517    Status: 401 Unauthorized |
504    154.433187    192.168.1.254    217.10.79.9    SIP    791    Request: REGISTER sip:sipgate.de:5060  (1 binding) |
505    154.441708    217.10.79.9    192.168.1.254    SIP    523    Status: 200 OK  (1 binding) |
656    203.290989    192.168.1.254    217.10.79.9    SIP    478    Request: OPTIONS sip:[email protected] |
657    203.297157    217.10.79.9    192.168.1.254    SIP    419    Status: 200 OK |
846    263.306978    192.168.1.254    217.10.79.9    SIP    478    Request: OPTIONS sip:[email protected] |
847    263.313288    217.10.79.9    192.168.1.254    SIP    419    Status: 200 OK |

Bereinigt um meine SIP ID.

Hier kommt regelmäßig ein "Status: 401 Unauthorized" - das sollte doch so auch nicht sein, oder?

Mit einem Ausrufezeichen mehr sehe ich nun Pfalzconnect:
!(ip.addr == 192.168.1.208) and sip and !(ip.addr == 217.10.64.0/20 || ip.addr == 217.116.112.0/20 || ip.addr == 212.9.32.0/19)

No.    Time    Source    Destination    Protocol    Length    Info
519    160.758407    192.168.1.254    77.244.109.179    SIP    496    Request: OPTIONS sip:sip.pfalzconnect.de |
520    160.764195    77.244.109.179    192.168.1.254    SIP    574    Status: 503 Not Implemented - Fake Return Code |
538    172.167273    192.168.1.254    77.244.109.179    SIP    529    Request: OPTIONS sip:[email protected]:5060 |
539    172.173292    77.244.109.179    192.168.1.254    SIP    588    Status: 503 Not Implemented - Fake Return Code |
599    201.163270    192.168.1.254    77.244.109.179    SIP    530    Request: OPTIONS sip:[email protected]:5060 |
600    201.168933    77.244.109.179    192.168.1.254    SIP    589    Status: 503 Not Implemented - Fake Return Code |
660    203.804769    192.168.1.254    77.244.109.179    SIP    529    Request: OPTIONS sip:[email protected]:5060 |
661    203.810664    77.244.109.179    192.168.1.254    SIP    588    Status: 503 Not Implemented - Fake Return Code |
670    206.898385    192.168.1.254    77.244.109.179    SIP    529    Request: OPTIONS sip:[email protected]:5060 |
671    206.904196    77.244.109.179    192.168.1.254    SIP    588    Status: 503 Not Implemented - Fake Return Code |
672    207.012334    192.168.1.254    77.244.109.179    SIP    529    Request: OPTIONS sip:[email protected]:5060 |
673    207.018132    77.244.109.179    192.168.1.254    SIP    588    Status: 503 Not Implemented - Fake Return Code |
677    209.258800    192.168.1.254    77.244.109.179    SIP    530    Request: OPTIONS sip:[email protected]:5060 |
678    209.264880    77.244.109.179    192.168.1.254    SIP    589    Status: 503 Not Implemented - Fake Return Code |
685    211.386520    192.168.1.254    77.244.109.179    SIP    529    Request: OPTIONS sip:[email protected]:5060 |
686    211.392605    77.244.109.179    192.168.1.254    SIP    588    Status: 503 Not Implemented - Fake Return Code |
705    220.773576    192.168.1.254    77.244.109.179    SIP    496    Request: OPTIONS sip:sip.pfalzconnect.de |
706    220.779527    77.244.109.179    192.168.1.254    SIP    574    Status: 503 Not Implemented - Fake Return Code |
715    223.428466    192.168.1.254    91.212.38.226    ICMP    484    Destination unreachable (Port unreachable)
728    232.168473    192.168.1.254    77.244.109.179    SIP    529    Request: OPTIONS sip:[email protected]:5060 |
729    232.174547    77.244.109.179    192.168.1.254    SIP    588    Status: 503 Not Implemented - Fake Return Code |
794    261.162998    192.168.1.254    77.244.109.179    SIP    530    Request: OPTIONS sip:[email protected]:5060 |
795    261.169295    77.244.109.179    192.168.1.254    SIP    589    Status: 503 Not Implemented - Fake Return Code |
848    263.805718    192.168.1.254    77.244.109.179    SIP    529    Request: OPTIONS sip:[email protected]:5060 |
849    263.811897    77.244.109.179    192.168.1.254    SIP    588    Status: 503 Not Implemented - Fake Return Code |
856    266.899774    192.168.1.254    77.244.109.179    SIP    529    Request: OPTIONS sip:[email protected]:5060 |
857    266.905452    77.244.109.179    192.168.1.254    SIP    588    Status: 503 Not Implemented - Fake Return Code |
858    267.013921    192.168.1.254    77.244.109.179    SIP    529    Request: OPTIONS sip:[email protected]:5060 |
859    267.019715    77.244.109.179    192.168.1.254    SIP    588    Status: 503 Not Implemented - Fake Return Code |
864    269.255889    192.168.1.254    77.244.109.179    SIP    529    Request: OPTIONS sip:[email protected]:5060 |
865    269.261583    77.244.109.179    192.168.1.254    SIP    588    Status: 503 Not Implemented - Fake Return Code |
869    271.385406    192.168.1.254    77.244.109.179    SIP    529    Request: OPTIONS sip:[email protected]:5060 |
870    271.391466    77.244.109.179    192.168.1.254    SIP    588    Status: 503 Not Implemented - Fake Return Code |
899    280.758710    192.168.1.254    77.244.109.179    SIP    496    Request: OPTIONS sip:sip.pfalzconnect.de |
900    280.764793    77.244.109.179    192.168.1.254    SIP    574    Status: 503 Not Implemented - Fake Return Code |
925    292.168428    192.168.1.254    77.244.109.179    SIP    528    Request: OPTIONS sip:[email protected]:5060 |
926    292.174678    77.244.109.179    192.168.1.254    SIP    587    Status: 503 Not Implemented - Fake Return Code |
978    321.164753    192.168.1.254    77.244.109.179    SIP    530    Request: OPTIONS sip:[email protected]:5060 |
979    321.171077    77.244.109.179    192.168.1.254    SIP    589    Status: 503 Not Implemented - Fake Return Code |
1033    323.805301    192.168.1.254    77.244.109.179    SIP    528    Request: OPTIONS sip:[email protected]:5060 |
1034    323.811317    77.244.109.179    192.168.1.254    SIP    587    Status: 503 Not Implemented - Fake Return Code |
1038    326.617452    192.168.1.254    77.244.109.179    SIP    654    Request: REGISTER sip:sip.pfalzconnect.de:5060  (1 binding) |
1039    326.618112    192.168.1.254    77.244.109.179    SIP    654    Request: REGISTER sip:sip.pfalzconnect.de:5060  (1 binding) |
1040    326.623252    77.244.109.179    192.168.1.254    SIP    624    Status: 401 Unauthorized |
1041    326.623253    77.244.109.179    192.168.1.254    SIP    624    Status: 401 Unauthorized |
1042    326.624426    192.168.1.254    77.244.109.179    SIP    895    Request: REGISTER sip:sip.pfalzconnect.de:5060  (1 binding) |
1043    326.625461    192.168.1.254    77.244.109.179    SIP    895    Request: REGISTER sip:sip.pfalzconnect.de:5060  (1 binding) |
1044    326.630399    77.244.109.179    192.168.1.254    SIP    440    Status: 100 Trying |
1045    326.631116    77.244.109.179    192.168.1.254    SIP    440    Status: 100 Trying |
1046    326.637903    77.244.109.179    192.168.1.254    SIP    602    Status: 200 OK  (1 binding) |
1047    326.637905    77.244.109.179    192.168.1.254    SIP    602    Status: 200 OK  (1 binding) |
1048    326.899444    192.168.1.254    77.244.109.179    SIP    527    Request: OPTIONS sip:[email protected]:5060 |
1049    326.905601    77.244.109.179    192.168.1.254    SIP    586    Status: 503 Not Implemented - Fake Return Code |
1050    327.012849    192.168.1.254    77.244.109.179    SIP    529    Request: OPTIONS sip:[email protected]:5060 |
1051    327.018563    77.244.109.179    192.168.1.254    SIP    588    Status: 503 Not Implemented - Fake Return Code |
1055    329.255914    192.168.1.254    77.244.109.179    SIP    530    Request: OPTIONS sip:[email protected]:5060 |
1056    329.261822    77.244.109.179    192.168.1.254    SIP    589    Status: 503 Not Implemented - Fake Return Code |
1057    329.593503    192.168.1.254    77.244.109.179    SIP    654    Request: REGISTER sip:sip.pfalzconnect.de:5060  (1 binding) |
1058    329.599188    77.244.109.179    192.168.1.254    SIP    624    Status: 401 Unauthorized |
1059    329.600820    192.168.1.254    77.244.109.179    SIP    895    Request: REGISTER sip:sip.pfalzconnect.de:5060  (1 binding) |
1060    329.606718    77.244.109.179    192.168.1.254    SIP    440    Status: 100 Trying |
1061    329.616278    77.244.109.179    192.168.1.254    SIP    602    Status: 200 OK  (1 binding) |
1065    331.386906    192.168.1.254    77.244.109.179    SIP    529    Request: OPTIONS sip:[email protected]:5060 |
1066    331.393167    77.244.109.179    192.168.1.254    SIP    588    Status: 503 Not Implemented - Fake Return Code |
1084    340.773974    192.168.1.254    77.244.109.179    SIP    496    Request: OPTIONS sip:sip.pfalzconnect.de |
1085    340.780032    77.244.109.179    192.168.1.254    SIP    574    Status: 503 Not Implemented - Fake Return Code |
1101    352.168719    192.168.1.254    77.244.109.179    SIP    529    Request: OPTIONS sip:[email protected]:5060 |
1102    352.174995    77.244.109.179    192.168.1.254    SIP    588    Status: 503 Not Implemented - Fake Return Code |
1178    381.165350    192.168.1.254    77.244.109.179    SIP    529    Request: OPTIONS sip:[email protected]:5060 |
1179    381.171222    77.244.109.179    192.168.1.254    SIP    588    Status: 503 Not Implemented - Fake Return Code |
1240    383.805934    192.168.1.254    77.244.109.179    SIP    529    Request: OPTIONS sip:[email protected]:5060 |
1241    383.811944    77.244.109.179    192.168.1.254    SIP    588    Status: 503 Not Implemented - Fake Return Code |
1251    386.900156    192.168.1.254    77.244.109.179    SIP    528    Request: OPTIONS sip:[email protected]:5060 |
1252    386.905791    77.244.109.179    192.168.1.254    SIP    587    Status: 503 Not Implemented - Fake Return Code |
1253    387.013918    192.168.1.254    77.244.109.179    SIP    529    Request: OPTIONS sip:[email protected]:5060 |
1254    387.019673    77.244.109.179    192.168.1.254    SIP    588    Status: 503 Not Implemented - Fake Return Code |
1259    389.256563    192.168.1.254    77.244.109.179    SIP    530    Request: OPTIONS sip:[email protected]:5060 |
1260    389.262485    77.244.109.179    192.168.1.254    SIP    589    Status: 503 Not Implemented - Fake Return Code |
1268    391.387911    192.168.1.254    77.244.109.179    SIP    529    Request: OPTIONS sip:[email protected]:5060 |
1269    391.393917    77.244.109.179    192.168.1.254    SIP    588    Status: 503 Not Implemented - Fake Return Code |
1286    400.760744    192.168.1.254    77.244.109.179    SIP    496    Request: OPTIONS sip:sip.pfalzconnect.de |
1287    400.766991    77.244.109.179    192.168.1.254    SIP    574    Status: 503 Not Implemented - Fake Return Code |
1328    412.168800    192.168.1.254    77.244.109.179    SIP    527    Request: OPTIONS sip:[email protected]:5060 |
1329    412.178066    77.244.109.179    192.168.1.254    SIP    586    Status: 503 Not Implemented - Fake Return Code |
1382    440.552120    192.168.1.254    51.89.99.24    ICMP    475    Destination unreachable (Port unreachable)

Hier etwas mehr Codeausschnitt da es doch zu vielen Fehlermeldungen kommt.
Etwas weiter unten im Protokoll gibts noch eine andere Meldung:

No.    Time    Source    Destination    Protocol    Length    Info
56471    14473.226075    77.247.110.23    192.168.1.254    SIP    591    Request: REGISTER sip:externalIP:5061  (1 binding) |
56472    14473.227254    192.168.1.254    77.247.110.23    SIP    449    Status: 403 Forbidden |
56478    14474.782158    77.247.110.23    192.168.1.254    SIP    591    Request: REGISTER sip:externalIP:5061  (1 binding) |
56479    14474.783668    192.168.1.254    77.247.110.23    SIP    449    Status: 403 Forbidden |

Das schaut für mich so aus als ob der pfalzconnect server ein register anfragt?!
Auch ist die 77.247.110.23 eine andere IP, vorher war es die 77.244.109.179 - Vom Range her denke ich die IPs hängen zusammen. Auch hier habe ich die "private" IP ausgegraut und "externalIP" hingeschrieben.

Ich hoffe damit kommen wir ein Stück weiter.
Vielen Dank schonmal,
Gruß Raphael

Edit:
Wireshark hat ja tolle Analysetools...
Vllt hilft auch das:
Hier noch die Statistik von 7h logs:
SIP Responses:
3297x 503 Service Unavailable Count - davon 4 Resent
15x 489 Bad Event
13x 481 Call/Transaction Does Not Exist
3x 423 Interval Too Brief
46x 404 Not Found
4067x 403 Forbidden - davon 3 Resent
767x 401 Unauthorized - davon 2 Resent
5757x 200 OK - davon 10 Resent
166x 100 Trying

SIP Requests:
425x SUBSCRIBE
5979x REGISTER - davon 725 Resent
14133x OPTIONS - davon 5236 Resent
290x NOTIFY - davon 34 Resent
4x INVITE

 

[sonyKatze]

Du musst Dich erstmal nur um die von Dir abgehenden SIP-REGISTER kümmern: Hören die irgendwann auf, wenn ja, was passiert drum herum (besonders die ICMP). Daher würde ich alles andere ausschalten bzw. reduzieren, besondern die Message-Waiting-Subscriptions. Falls PfalzConnect nicht nur UDP sondern auch TCP kann, probier mal das.

Register: 401

Das geht nicht anders, denn SIP nutzt eine Challenge-Response-Authentifizierung: Die Gegenseite erzeugt bei der ersten Anfrage ein Nonce, welches in der 401 übermittelt wird. Dadurch wird ein SIP-Kennwort nicht im Klartext raus posaunt.

Options: 503

Das ist nicht ungewöhnlich. Nicht jeder Anbieter unterstützt die SIP-Methode „Options“. Asterisk will mit einer regelmäßigen Anfrage vermeiden, dass der UDP-Port in Gegenrichtung (von irgendwem auf der Gesamtstrecke) geschlossen wird. Firewalls lassen Ports in Gegenrichtung nur für kurze Zeit offen – wie lange genau, darauf konnte sich die Industrie nicht einigen. Trotzdem solltest Du Deinen Asterisk so umstellen, dass er keine „Options“ mehr an PfalzConnect schickst. Wie das in FreePBX geht – puh.

Register: 403

Eingehende Register solltest Du keine sehen, nachdem Du alle Port-Forwardings gelöscht hast. Solche Register (und Invites) kommen von Bösewichten, die das Internet nach offenen Servern absuchen. Normalerweise kein Problem, aber wenn Dein Server auch 5060/tcp oder 5061/tls offen hat, könnten Deinem Raspberry Pi irgendwann die File-Deskriptoren für neue Ports ausgehen.

 

[koyaanisqatsi]

Moinsen

Trotzdem solltest Du Deinen Asterisk so umstellen, dass er keine „Options“ mehr an PfalzConnect schickst.

Das ist doch mal ein schönes Beispiel dafür, wie Asterisk mit aktivierten "qualify" zu einem DoS-Angreifer wird.
Und die Suggestion, dass durch "qualify" was besser wird, verschlechterts meist nur.

Test ob Provider OPTIONS beantwortet
sip.pfalzconnect.de

#nslookup sip.pfalzconnect.de
Server:         192.168.188.1
Address:        192.168.188.1#53

Non-authoritative answer:
Name:   sip.pfalzconnect.de
Address: 77.244.109.179

#sipsak -vv -H osmc -m 1 -n 1 -N 1 --sip-uri=sip:[email protected]
No SRV record: _sip._tls.sip.pfalzconnect.de
No SRV record: _sip._tcp.sip.pfalzconnect.de
No SRV record: _sip._udp.sip.pfalzconnect.de
using A record: sip.pfalzconnect.de
warning: osmc is not resolvable... continouing anyway
Max-Forwards set to 1
** timeout after 500 ms**
** timeout after 1000 ms**
** timeout after 2000 ms**
** timeout after 4000 ms**
** timeout after 4000 ms**
** timeout after 4000 ms**
** timeout after 4000 ms**
** timeout after 4000 ms**
** timeout after 4000 ms**
** timeout after 4000 ms**
** timeout after 4000 ms**
*** giving up, no final response after 35629.971 ms
SIP failure

Irgendwie eindeutig, oder?

Mal gucken was sonst noch geht...
sip.1und1.de

#sipsak -vv -H osmc -m 1 -n 1 -N 1 --sip-uri=sip:[email protected]
No SRV record: _sip._tls.sip.1und1.de
No SRV record: _sip._tcp.sip.1und1.de
using SRV record: _sip._udp.sip.1und1.de:5060
warning: osmc is not resolvable... continouing anyway
Max-Forwards set to 1

message received:
SIP/2.0 200 OK
Via: SIP/2.0/UDP osmc:46986;branch=z9hG4bK.5b48b09d;rport=53619;alias;received=46.142.4.150
From: sip:sipsak@osmc:46986;tag=61c9a94d
To: sip:[email protected];tag=dd908d6a9435ad3a0e1f1737d32623ce.e641
Call-ID: 1640606029@osmc
CSeq: 1 OPTIONS
Server: UI Kamailio
Content-Length: 0



** reply received after 32.762 ms **
   SIP/2.0 200 OK
   final received
SIP ok

Mit 1&1 geht Qualifying

 

[gehtdoch]

Trotzdem solltest Du Deinen Asterisk so umstellen, dass er keine „Options“ mehr an PfalzConnect schickst. Wie das in FreePBX geht – puh.

In "Qualify frequency" im Trunk bei den erweiterten pjsip-Einstellungen 0 eintragen.

 

[sonyKatze]

Asterisk mit aktivierten "qualify" [wird] zu einem DoS-Angreifer […] Irgendwie eindeutig, oder?

Nein. Wenn Du angemeldet bist, dann wirst Du normalerweise, unter Umständen, vielleicht, wahrscheinlich bei einem 503 nicht gefiltert. Oder anders ausgedrückt: Der Rückschluss ist nicht zwingend. Wäre das zutreffend, würde ich auch erwarten, dass rspecht weit mehr ICMP-Nachrichten erhält bzw. viel häufiger rausfliegt. Trotzdem, und genau deswegen, weil die Möglichkeit besteht, rate ich SIP-Options auszuschalten.

 

[rspecht]

Hallo Leute,
es hat nun wieder bis heute gedauert. Aber um 2:10 Uhr waren alle Leitungen Rejected und der Reboot wurde ausgeführt.
Ab 1:37 Uhr wurden die Leitungen unstabil. Die 31 und 32 wurden rejected.
Um 1:34 Uhr kam die erste ICMP 557 TTL exceeded message - Aber auf eine OPTIONS sip:[email protected]
4 Sekunden Später kam die gleiche Meldung nochmal - auf ne Options der 39.
Nochmal 3 Sek später wurde eine TTL Info zur OPTIONS Anfrage für die 32 gesendet.
Im paar Sek. Takt geht es so eine Minute Lang.
Dann kommen schlagartig 20..30 Options Anfragen von Asterisk. Als abschluss ist eine Options Anfrage ohne Telefonnummer/Teilnehmer - sozusagen allgemein.
Diese "unbezogenen" Abfragen kommen nun immer mehr. Die Anzahl der ICMP TTL exceeded Mitteilungen steigen auch.
Auch um 1:35 Fangen Register Anfragen an - 30 Sek später gibts dazu auch die ersten ICMP TTL exceeded Mitteilungen.

Alles in allem schaut es ja so aus als ob igend ein Node dazwischen eine DDOS o.ä. erkennt und den Verkehr blockt.

Ich habe nun die Qualify auf Zeit 0 gesetzt um die OPTIONS auszuschalten. Wireshark läuft wieder und ich beobachte was passiert.

Tante Edit: Ich habe nun schon 3 Meldungen bekommen dass der Trunk down wäre - diese Meldung wird erzeugt wenn jemand versucht über einen Trunk rauszurufen und dieser keine Verbindung aufbauen kann (ohne näheren Grund). Das ist nun eine Häufung die nach der Änderung des Qualify passiert ist. Soll ich noch etwas warten oder direkt mal SIP per TCP probieren? Ich will halt immer nur eins ändern damit ich weiß was geholfen hat. -> Edit2: TCP ist nicht unterstützt, bekomme direkt ein 401.

No.    Time    Source    Destination    Protocol    Length    Info
482365    10:05:55,713251    192.168.200.25    192.168.1.254    SIP    588    Status: 403 Use Proxy |
482842    10:08:20,254263    192.168.1.254    77.244.109.179    SIP/SDP    1019    Request: INVITE sip:[email protected]:5060 |
482843    10:08:20,267416    77.244.109.179    192.168.1.254    SIP    773    Status: 407 authentication required |
482844    10:08:20,268401    192.168.1.254    77.244.109.179    SIP    490    Request: ACK sip:[email protected]:5060 |
482845    10:08:20,268772    192.168.1.254    77.244.109.179    SIP/SDP    1278    Request: INVITE sip:[email protected]:5060 |
482846    10:08:20,282289    77.244.109.179    192.168.1.254    SIP    553    Status: 100 Trying |
482847    10:08:20,736807    77.244.109.179    192.168.1.254    SIP    628    Status: 480 Temporarily Not Available |
482848    10:08:20,737573    192.168.1.254    77.244.109.179    SIP    490    Request: ACK sip:[email protected]:5060 |
483344    10:08:37,773843    192.168.1.254    77.244.109.179    SIP/SDP    1019    Request: INVITE sip:[email protected]:5060 |
483345    10:08:37,787165    77.244.109.179    192.168.1.254    SIP    773    Status: 407 authentication required |
483346    10:08:37,788703    192.168.1.254    77.244.109.179    SIP    490    Request: ACK sip:[email protected]:5060 |
483347    10:08:37,789646    192.168.1.254    77.244.109.179    SIP/SDP    1278    Request: INVITE sip:[email protected]:5060 |
483348    10:08:37,802662    77.244.109.179    192.168.1.254    SIP    553    Status: 100 Trying |
483349    10:08:38,256155    77.244.109.179    192.168.1.254    SIP    628    Status: 480 Temporarily Not Available |
483350    10:08:38,257400    192.168.1.254    77.244.109.179    SIP    490    Request: ACK sip:[email protected]:5060 |

Hier der Stream des ersten Versuchs - Im log sind 2 Telefonie Versuche.


Kann ich mir in Wireshark die TTL in Verbindung zum Paket anzeigen lassen? Also dass ich direkt sehe was widerrufen wurde.

Gruß und Vielen Dank für alles - ohne Euch hätte ich schon lange aufgegeben.

 

[sonyKatze]

Bekommst Du nachts eine neue IPv4 zugewiesen? Oder macht irgendwas bei Dir eine Zwangstrennung?

Kann ich mir in Wireshark die TTL in Verbindung zum Paket anzeigen lassen? Also dass ich direkt sehe was widerrufen wurde.

Welche ICMP-Meldungen zu welchen ursprünglichen Paket gehört? Das müsste direkt im Paket stehen, kannst Du also filtern. Aber eigentlich solltest Du gar keine ICMP sehen. Das sollte Dein Ziel sein. Wieviele Sekunden steht als Expiry im SIP-Status OK auf Dein SIP-Register?

Wenn Du bei SIP-over-TCP einen SIP-Status bekommst, dann reagiert die Gegenstelle auf TCP – normalerweise geht dann auch TCP. Daher würde ich eher auf Deine Konfiguration tippen; etwas ist krumm, was bei UDP nicht auffällt.

 

[rspecht]

Eine kurze Rückmeldung: bis heute gab es kein Ausfall mehr.
Ich versuche dennoch heute Abend eine Leitung auf TCP umzustellen.
Können die Optionsanfragen das Problem gewesen sein?

 

[sonyKatze]

Können die Optionsanfragen das Problem gewesen sein?

Ja, wie oben von koyaanisqatsi geschildert. Es kann die Ursache gewesen sein, muss es aber nicht. Wenn alles klappt, würde ich das mit TCP erstmal lassen. Das ist eine Konfiguration, die bei PfalzConnect noch weniger getestet sein dürfte als der UDP. Im Fehlerfall stehst Du noch alleiniger da, als Du mit Digium Asterisk bereits dastehst.