[Problem] Telekom: keine ausgehenden Anrufe / SIP/2.0 403 Zugriff nicht erlaubt (seit heute)

[Telekom hilft Team]

Hallo allerseits.

Ich übernehme einmal für meine Kollegin Natalie, da sie derzeit nicht im Hause ist.
@vwittich: Geht es voran oder sollen wir anschieben? Die Ergebnisse sind ja für einige User hier interessant.

Ein entspanntes Wochenende wünscht Nadine B. von Telekom hilft

 

[sparkie]

defaultexpirey und maxexpirey gibt es auch nicht. Es muss heissen defaultexpiry und maxexpiry

 

[MuP]

Die Werte für die SIP-Session-Timer sollten in der sip.conf noch gesetzt werden.
Sonst gibt es den 15Min.-Gesprächsende-Effekt.

 

[chsvat]

15 Min. Gesprächsunterbrechung hatten wir bis jetzt nie, obwohl session-timers nicht gesetzt ist.
Danke für den Hinweis auf den Tippfehler, default und maxexpiry abgeändert - hat aber noch den selben Effekt das 240 zu kurz ist. Scheinbar wurde der Wert auch mit dem Tippfehler verarbeitet.

 

[rentier-s]

Bei mir funktioniert T-Com problemlos. Also zumindest hat sich noch niemand beschwert, er würde mich nicht erreichen, und ich kann auch raus rufen.

Die Intention hinter dieser Konfig war, das Verhalten der handelsüblichen Router möglichst 1:1 nachzubauen.

[general]
bindport = 5065    ; [I]passendes Portforwarding in der vorgelagerten Fritzbox[/I]
disallow = all
allow = alaw,ulaw,gsm    ; [I]muss hier stehen für nicht authentifizierte Anrufe mittels allowguest[/I]
allowguest = yes      ; [I]hab keine Lust, Load Balancer zu pflegen[/I]
context = ankommend
alwaysauthreject = yes
maxexpiry = 3600
defaultexpiry = 1800
srvlookup = yes
localnet = 192.168.0.0/255.255.255.0
externhost = [I]meine.ddns[/I]
externrefresh = 300
encryption = no

register = [I]0123456[/I]:[I]persKennwort[/I]:[I]meineEmail[/I]@[email protected]/[I]0123456[/I]~3600

[t-com]
type = peer
host = tel.t-online.de
fromdomain = tel.t-online.de
authuser = [I]meineEmail[/I]@t-online.de
defaultuser = [I]meineEmail[/I]@t-online.de
remotesecret = [I]persKennwort[/I]
encryption = no
sendrpid = no
trustrpid = yes
nat = auto_force_rport,auto_comedia
directmedia = no

[t-com_out]
exten => _X.,1,Set(CALLERID(num)=[I]0123456[/I])
 same => n,Set(CALLERID(name)=[I]0123456[/I])
 same => n,Dial(SIP/t-com/${EXTEN})

Ich habe nur IPv4 ("IPv6 nicht verbunden") und habe den res_stun_monitor in Asterisk aktiv, dDNS Updates macht die Fritzbox.

Anfangs hatte ich noch irgendwas anders bzgl. abgehenden Gesprächen, da bekam ich immer Forbidden. Ich weiß aber nicht mehr, was das genau war.

 

[chsvat]

Danke für die Antwort, aber auch das funktioniert nicht.
Habe auch schon im Kundencenter neue Passwörter gesetzt, alle ausprobiert, mal mit Mail, mal mit Zugangsnummer (und auch mal mit -0001 hinten dran)...und nichts geht.

Immer -> Forbidden - wrong password on authentication for REGISTER for '064******' to 'tel.t-online.de'


edit: gerade mal mit dem Smartphone und der App "Zoiper" (mit der ich sonst über den * telefonieren kann) probiert mit den Daten wie auf der T-Com Website beschrieben - dort erhalte ich als Fehlermeldung "Netzwerk überlastet".

Außerdem habe ich mir per Mail nochmal neue Zugangsdaten zuschicken lassen, aber auch mit denen gehts nicht.
Was ich noch festgestellt habe: tel.t-online.de löst sich nun auf einen anderen Server als vorher auf ( 217.0.23.68 ) und genau ab dem Zeitpunkt ging es nichtmehr.

 

[chsvat]

Keiner noch eine Idee?
Die T-Com will von ihrer Seite aus leider auch nicht weiterhelfen "Asterisk wird nicht supportet"

 

[rentier-s]

In diesem Thread gibt es wohl ein ähnliches Problem, das wäre vielleicht ein möglicher Ansatz.

Wenn Du sagst, das Problem besteht, seitdem Du auf einen anderen Server kommst, setz doch mal einen lokalen host Eintrag auf einen anderen Server. Wäre schon ein Ding, wenn es dann klappen würde.

Hast Du eigentlich schon mal die anonymen Zugangsdaten probiert? Am eigenen Anschluss ist die Anmeldung mit Email+PW ja eigentlich gar nicht notwendig.

Ansonsten leih Dir irgendwo einen Speedport, dann wird sich relativ schnell herausstellen, ob es an Asterisk liegt.

 

[chsvat]

Ja, das Problem trat erst nach einem Neustart auf.
Könntest du mir bitte mal den register String für die anonymen Zugangsdaten posten?
Keine Ahnung wie man den angeben soll...

[Beitrag 2:]

Vlt sollte ich nochmal dazu sagen, ich verwende Asterisk 1.4 <- sind da evtl. Probleme bekannt wg. Telekom?

Habe jetzt auch nochmal exakt deine sip.conf oben genommen, geht nicht - "wrong password"

 

[rentier-s]

register => 0123456::[email protected]@tel.t-online.de/0123456
bis hin zu
register => [noparse][email protected][/noparse]

Dazu musst Du das Autologin im Kundenceter eingeschaltet haben. Ich würde an Deiner Stelle aber trotzdem mal mit einem geliehenen Speedport oder mit HomeTalk testen, nur um sicher zu gehen bzw. der Telekom sagen zu können, dass es mit ihren Geräten/Software auch nicht geht. Wenn es damit funktioniert können wir uns weiter über Asterisk unterhalten.

 

[chsvat]

Ok. Danke.
Sitze gerade an der Arbeit, kann es also erst heute Abend wieder testen.

Mit Hometalk geht es (zeitweise). Gestern Abend z.B. hatte aber auch Hometalk Probleme sich zu verbinden.

Habe jetzt auch mal ein Softphone (Linphone) ausprobiert und dieses kann sich scheinbar registrieren, denn ausgehende und auch eingehende Anrufe funktionieren. Während Hometalk gestern Abend aber nicht funktionierte, ging es mit Linphone auch nicht.

Irgendwie habe ich das Gefühl, dass ich vor lauter Bäumen den Wald nichtmehr sehe.
Einstellungen in Linphone sind:

SIP ID = Tel Nr. mit +49
Sip User = Tel Nr. mit +49
Proxy = tel.t-online.de
Passwort = Loginpasswort, aber nicht das, was mit den Zugangsdaten geschickt wurde.
Benutzername ist nirgendwo als Mail angegeben.

Autologin im Kundencenter ist angeschaltet.


edit: 28.02.15

gerade die anonyme Registrierung versucht - geht auch nicht
Ich werd noch verrückt... :-(

 

[rentier-s]

Angeregt durch die Diskussion zur Sicherheit mit aktivem Auto-Login hab ich das gestern abgeschaltet. Im Asterisk hatte ich meine Zugangsdaten sowieso schon drin, die eine direkt in der Fritzbox angelegte Nummer hab ich entsprechend umgestellt. Man glaubt nicht was passiert ist, kurz darauf konnte ich zwar mit der Fritzbox, nicht aber mit Asterisk raus rufen, 403 Forbidden direkt nach dem INVITE. Vorhin wollte ich mir die Sache dann ansehen, durfte aber feststellen, dass ich ohne weiteres Zutun auch mit Asterisk wieder raus rufen kann. Trotzdem habe ich bei der Fritzbox mal den Paketmitschnitt angeworfen, hier der direkte Vergleich.

Asterisk

INVITE sip:[email protected] SIP/2.0
Via: SIP/2.0/UDP 12.34.56.78:5065;branch=z9hG4bK16a275c7
Max-Forwards: 70
From: <sip:[email protected]>;tag=as63033d66
To: <sip:[email protected]>
Contact: <sip:[email protected]:5065>
Call-ID: [email protected]
CSeq: 102 INVITE
User-Agent: Asterisk_11
Date: Thu, 05 Mar 2015 07:21:39 GMT
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH
Supported: replaces, timer
Content-Type: application/sdp
Content-Length: 310

Fritzbox

INVITE sip:[email protected] SIP/2.0
Via: SIP/2.0/UDP 12.34.56.78:5060;rport;branch=z9hG4bK2F2198F8DCD45B8C
From: <sip:[email protected]>;tag=416348EB424819FC
To: <sip:[email protected]>
Call-ID: [email protected]
CSeq: 585 INVITE
Contact: <sip:[email protected];uniq=2BD151BFEA61BD9282ABFA4193B88>
P-Preferred-Identity: <sip:[email protected]>
Max-Forwards: 70
Expires: 120
User-Agent: AVM FRITZ!Box Fon WLAN 7390 84.06.23 (Jan 19 2015)
Supported: 100rel,replaces
Allow-Events: telephone-event,refer
Allow: INVITE,ACK,OPTIONS,CANCEL,BYE,UPDATE,PRACK,INFO,SUBSCRIBE,NOTIFY,REFER,MESSAGE,PUBLISH
Content-Type: application/sdp
Accept: application/sdp, multipart/mixed
Accept-Encoding: identity
Content-Length:   150

Ob die Unterschiede wirklich einen Unterschied machen :noidea:

 

[chsvat]

Es funktioniert leider immer noch nicht :-(
Es gibt nur eine komische Auffälligkeit...haben ja 3 Rufnummern und wenn ich nun wieder alle drei gleichzeitig registrieren lasse, lässt sich mal eine der Nummern reg., die anderen zwei nicht ("PW falsch"), nach einem "sip reload" gehn dann aber die anderen zwei oder eine davon, dafür aber wieder nicht die erste - nun kommt bei dieser "PW falsch". Mache ich dann wieder ein "sip reload" geht diese aufeinmal wieder (vorher ja die Meldung PW falsch), dafür eine der anderen zwei nicht, usw usw usw.
Also kann das Passwort ja nicht falsch sein ?????!!!!!

edit: und während ich davon schreibe und nochmal den Asterisk Dienst starte geht es aufeinmal wieder - jetzt lassen sich alle Nummern registrieren (mit DSL Passwort / Zugangsnummer) - ENDLICH (...ohne, das ich was verändert habe - also doch T-Com Fehler! )

[Audio Probleme in neuen Thread verschoben -> http://www.ip-phone-forum.de/showthread.php?t=277510]

 

[ktw2003]

Der Auth-Fehler beim Raustelefonieren per Asterisk tritt normalerweise nicht auf, wenn man zuvor die Identity mit gibt, genau wie es auch die Fritzbox macht. Das ist aber nicht neu ...

Aus meiner seit 2011 unveränderten T-COM Konfiguration die bisher problemlos funktioniert

exten => s,n(tcomid),Set(CALLERPRES()=allowed_passed_screen)
exten => s,n,Set(CALLERID(name)=06912345678) ; T-COM Standard
exten => s,n,Set(CALLERID(num)=06912345678)  ; T-COM Standard
exten => s,n,SipAddHeader(P-Preferred-Identity: <sip:[email protected]>)
exten => s,n,SipAddHeader(P-Asserted-Identity: <sip:+496912345678\;user=phone>)

Vielleicht hilft es Euch ja weiter.

 

[vwittich]

Nachtrag

Noch ein kleiner Nachtrag. Ich hatte die ganze Zeit nicht wirklich die Telekom gebraucht bin aber jetzt wieder auf das Forbidden-Problem gestoßen:

WARNING[3716]: chan_sip.c:20245 handle_response_invite: Received response: "Forbidden" from '"0699999999" <sip:[email protected]>;tag=as628bfe42'

Dabei ist mir aufgefallen ein realm=tel.t-online.de das Problem gelöst hat... wäre interessant ob das jemand beständigen kann.

[telekom] type=peer
context=from_telekom
username=loginmail
secret=xxxxxx
host=tel.t-online.de
fromdomain=tel.t-online.de
[B]realm=tel.t-online.de[/B]
qualify=yes  
port=5060
insecure=port,invite
usereqphone=no
nat=yes
call-limit=5
canreinvite=no

Kurzes nachschlagen erklärt den Parameter wie folgt:

Der Systemname des Asterisk-Servers zur Authentifizierung.
Default: asterisk oder ein ggf. in
asterisk.conf eingestellter Systemname. Verwenden
Sie hier den Host- oder Domain-Namen Ihres Servers.

 

[rentier-s]

Ist realm für peers überhaupt relevant? Ich dachte, das gibt der Server (bei abgehenden Anrufen also die T-Com) im SIP 401 vor, weil das für die response benötigt wird. :gruebel:

Jedenfalls hab ich realm=meine-dynDNS im general, sonst nirgends. Die Forbidden sind in letzter Zeit sehr wenig geworden bzw. kann ich mich schon gar nicht mehr erinnern, wann überhaupt noch. Als dieser Thread entstanden ist passierte das sporadisch und nicht rekonstruierbar, war aber immer durch sip reload zu beheben.

 

[chsvat]

Hier läuft es aktuell komplett stabil - zumindest sind mir bis jetzt keine Fehler mehr aufgefallen beim Telefonieren

Immer noch Asterisk 1.4, jetzt aber in einer VM.

[general]
allowguest=no
alwaysauthreject=yes
autocreatepeer=no
pedantic=no
context=default
bindport=5060
;bindaddr=192.168.100.208
bindaddr=0.0.0.0                ; registrieren von extern aus funktioniert nur hiermit!
externhost=xyz.ddns.net
externrefresh=30
useragent=asteriskpbx
srvlookup=no
nat=no
disallow=all
allow=alaw
allow=ulaw
allow=gsm
language=us
defaultexpiry=585
maxexpiry=3600
allowoverlap=yes
session-timers=refuse
registerattempts=0
registertimeout=20
;
;
;
; DTAG-IP -> Registrierung der Rufnummer(n)
;
register => 06xxxxxxxxx:Vertragskennwort:[email protected]/06xxxxxxxxx
register => 06xxxxxxxxx:Vertragskennwort:[email protected]/06xxxxxxxxx
register => 06xxxxxxx:Vertragskennwort:[email protected]/06xxxxxxx
;
;
; DTAG-IP -> Ankommende Registrierung T-Com
;
[external-standard](!)
trustrpid=no
canreinvite=no
context=ankommend
type=peer
insecure=port,invite
usereqphone=no
t38pt_udptl=no
disallow=all
allow=alaw
allow=ulaw
allow=gsm
dtmfmode=rfc2833
;
; DTAG-IP -> Abgehende Registrierung T-Com
;
[DTAG-IP](external-standard)
disallow=all
allow=alaw
allow=ulaw
allow=gsm
canreinvite=no
[email protected]
[email protected]
username=User-ohne0001
secret=Vertragskennwort
remotesecret=Vertragskennwort
host=tel.t-online.de
fromdomain=tel.t-online.de
qualify=yes
qualifyfreq=600
call-limit=3
;
; DTAG-IP -> Telekom Loadbalancer
;

--- verschiedene LB der TCom, eingebunden als ---

[DTAG-IP_IN16_026](external-standard)
allow = alaw
allow = gsm
host = 217.0.16.26
trustrpid=no
;
[DTAG-IP_IN16_035](external-standard)
allow = alaw
allow = gsm
host = 217.0.16.35
trustrpid=no

--- und so weiter ---

 

[sunnyman]

Ich habe deine Konfig. nachgebaut, (zumindest alles was Art und Frequenz der Registrierung betrifft), bei mir läufts aber *nicht*. Asterisk ist 1.8. Nach Asterisk Start läuft es wunderbar, nach spätestens 24 Stunden geht es aber nicht mehr und ich bekomme das Fortbilden. sip reload hilft - bis zum nächsten Ausfall...

 

[abw1oim]

Welche 1.8er Version? Im Zweifel musst Du die altualisieren auf die 1.8.32.3 (1.8er Final) und folgendes im General-Abschnitt der sip.conf ergänzen:

register_retry_403=yes

wobei die anderen relevanten Optionen im general-Teil dann so aussehen sollten

registerattempts=0
registertimeout=60

Hintergrund: Die 1.8 bricht die (Re)Registrierung ab, wenn vom peer ein SIP/403 Ergebnis (Forbidden) kommt. Mit dieser Einstellung ist es in den höheren 1.8er Versionen (ich weiß aber nicht mehr ab welcher) möglich, das Verhalten so zu beeinflussen, dass es der Asterisk doch weiter versucht (und es edann auch wieder klappt).

 

[sunnyman]

Ich habe 1.8.32.3 (das Upgrade auf Asterisk 11 steht auf meiner "Wenn ich mal Zeit habe"-Liste),

leider brachte dein Tipp keine Besserung.
Das Problem ist dabei wohl auch, dass Asterisk der Meinung zu sein scheint, alles ist in Ordnung, denn unter sip show peers heißt es für die Telekom-Leitung "OK".
Meine sip.conf sieht aktuell so aus:

[general]
context=eingehend
defaultexpiry=600
allowsubscribe=yes
callcounter=yes
register_retry_403=yes
registerattempts=0
registertimeout=60
register => telefonnumer:[email protected]

language=de
port = 5060
bindaddr = 0.0.0.0
qualify=no
disallow=all
allow=g722
allow=alaw
allow=ulaw
allow=g729
allow=gsm
allow=slinear
srvlookup=yes


[telekom-template](!)
type=friend
insecure=invite
nat=yes
host=tel.t-online.de
fromdomain=tel.t-online.de
realm=tel.t-online.de
defaultexpiry=585
qualify=yes
qualify=600
canreinvite=no
dtmfmode=rfc2833
registerattempts=0
registertimeout=20
session-timers=refuse
maxepiry=3600

[ttest](telekom-template)
context=telekomamt
username=telefonnummer
fromuser=telefonnummer
secret=passwort
user=telefonnummer