No-auth-in

Hallo zusammen,

MobyDick macht eigentlich was es soll… jedoch wie überall bestätigen AUSNAHMEN die Regel.

1. ich will anrufen und es geht nicht OBWOHL “sip register show” alles super bekomme ich auf dem Telefon ein Forbidden
2. es will mich jemand Anrufen, ruft mich dann auf dem Handy und um mir zu sagen, dass mein Festnetz nicht geht.

Dies habe ich soeben nachvollzogen… es kommt:

== Using SIP RTP TOS bits 184
== Using SIP RTP CoS mark 5
– Executing [00493501xxxxxxx@no-auth-in:1] Hangup(“SIP/arcor.de-00000069”, “”) in new stack
== Spawn extension (no-auth-in, 00493501xxxxxxx, 1) exited non-zero on ‘SIP/arcor.de-00000069’
– Executing [h@no-auth-in:1] Hangup(“SIP/arcor.de-00000069”, “”) in new stack
== Spawn extension (no-auth-in, h, 1) exited non-zero on ‘SIP/arcor.de-00000069’

auch hier sagt mir “sip register show”

Host dnsmgr Username Refresh State Reg.Time
tel.t-online.de:5060 N 00493501xxxx 585 Registered Fri, 17 Mar 2017 19:38:36
tel.t-online.de:5060 N 00493501xxxx 585 Registered Fri, 17 Mar 2017 19:38:36
tel.t-online.de:5060 N 00493501xxxx 585 Registered Fri, 17 Mar 2017 19:38:36

Warum die nummer im Username verkürzt steht? keine Ahnung…

Mache ich ein sip reload ist auch dieses Problem gelöst… Ein Zustand ist das leider nicht.

das erste Problem habe ich mit einem Script behoben welches das Logfile im Minutentak nach Forbidden durchsucht und falls einer da is sip reload macht.

Letzteres wird leider NIRGENDS in ein Logfile geschrieben, davon abgesehen das es so oder so ein Lost Call gibt.

Jemand eine Idee?

Hi,

nutzt du jetzt Arcor als Provider oder die Telekom? Wer stellt dir die Internetleitung zur Verfügung und von wem verwendet du die Telefonnummer, das wäre erstmal interessant.
Weil einmal schreibst du von SIP/arcor.de … und dann die Registrierung von tel.t-online.de (Telekom).

Im Falle Arcor wäre noch wichtig zu wissen, ob du eine Box von Arcor einsetzt als Router sozusagen dedizierte Leitung? Und wie ist dein Amt konfiguriert, wer registriert sich wo.

Grüße
Markus

Also ich habe meine Leitung bei der T-Com und auch mein Telefon dort.

arcor ist das gerät (vodafon) mein handy von welchem aus ich angerufen habe.

Ich benutze ein Modem und eine Firewall weder Arcorbox noch irgendwelchen Telekom-Mist.

Das was ich da oben rein geschrieben habe ist übrigens das, was ich während eines Anruf-Versuches der fehlschlägt im LIVE asterisk sehe.

Ich hab gesagt Amt T-Com (gibts zu vorauswahl von euch) da meldet sich Mobydick bei der T-com an…
Meine Telefone Siemens irgendwas 610IP melden sich an Mobydick an.

Will man raus wählen kommt ganz oft soetwas:

[Mar 24 20:31:18] WARNING[3150][C-00000006]: chan_sip.c:22914 handle_response_invite: Received response: “Forbidden” from ‘“0350179xxxxx” <sip:0049350179xxxxx@tel.t-online.de>;tag=as5dded7c1’
== Everyone is busy/congested at this time (1:0/0/1)

Re,

setzt du die aktuelle 7.13 ein? Wenn ja, dann würde ich dich bitten, dass du ein neues Amt mit der Vorlage Telekom einrichtest. So wie es aussieht, passen die Rufnummern nicht zusammen bzw. Auth nicht.
Bitte aufpassen, es gibt hier zwei Vorlagen. Der Benutzername sollte im Normalfall die NatVAZ + deine OnKz + Rufnummer sein, z.B. 0991987654.
Bei der Telekom kann es manchmal etwas tricky sein, wenn du schon mal die falschen Daten zur Auth angeliefert hast, dann verweigert die Telekom schon mal für die nächsten 10-15Minuten eine weitere Auth.
Mehr Details findest du dann, wenn du z.B. mit dem Command “sipgrep tel.t-online.de” dir den Traffic anschaust.

Grüße
Markus

Hallo Markus,

NatVAZ???

Interessant ist ja, dass ein reload hilft obwohl ich registriert bin. Wenn ich das falsch habe, düfte doch auch ein reload nichts helfen oder?

Naja was solls, ich hab upgrade auf 7.13 gemacht und das Amt entfernt -> neu mit T-com wieder eingefügt

OPTIONS sip:tel.t-online.de SIP/2.0.
Via: SIP/2.0/UDP 192.168.20.200:5060;branch=z9hG4bK4d74ad12;rport.
Max-Forwards: 70.
From: “asterisk” <sip:035017929xxx@192.168.20.200>;tag=as560bf5ce.
To: <sip:tel.t-online.de>.
Contact: <sip:035017929xxx@192.168.20.200:5060>.
Call-ID: 7177039525e6c4447eca3b7066d6e993@192.168.20.200:5060.
CSeq: 102 OPTIONS.
User-Agent: Asterisk PBX certified/11.6-cert16.
Date: Mon, 27 Mar 2017 17:29:39 GMT.
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH.
Supported: replaces.
Content-Length: 0.
.

U 2017/03/27 19:29:39.206178 192.168.20.200:5060 -> 217.0.21.166:5060

OPTIONS sip:tel.t-online.de SIP/2.0.
Via: SIP/2.0/UDP 192.168.20.200:5060;branch=z9hG4bK4c89d33d;rport.
Max-Forwards: 70.
From: “asterisk” <sip:035017929xxx@192.168.20.200>;tag=as333c0475.
To: <sip:tel.t-online.de>.
Contact: <sip:035017929xxx@192.168.20.200:5060>.
Call-ID: 185bab2b7008a006556770e516247079@192.168.20.200:5060.
CSeq: 102 OPTIONS.
User-Agent: Asterisk PBX certified/11.6-cert16.
Date: Mon, 27 Mar 2017 17:29:39 GMT.
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH.
Supported: replaces.
Content-Length: 0.
.

U 2017/03/27 19:29:39.223454 217.0.21.166:5060 -> 192.168.20.200:5060

SIP/2.0 403 Forbidden.
Via: SIP/2.0/UDP 192.168.20.200:5060;received=192.168.20.200;rport=5060;branch=z9hG4bK4d74ad12.
To: <sip:tel.t-online.de>;tag=h7g4Esbg_imvj6emg6thgenzd25v53sfyb7o2384b.
From: “asterisk” <sip:035017929xxx@192.168.20.200:5060>;tag=as560bf5ce.
Call-ID: 7177039525e6c4447eca3b7066d6e993@192.168.20.200:5060.
CSeq: 102 OPTIONS.
Content-Length: 0.
.

U 2017/03/27 19:29:39.223519 217.0.21.166:5060 -> 192.168.20.200:5060

SIP/2.0 403 Forbidden.
Via: SIP/2.0/UDP 192.168.20.200:5060;received=192.168.20.200;rport=5060;branch=z9hG4bK4c89d33d.
To: <sip:tel.t-online.de>;tag=h7g4Esbg_z9do4gkkwrxgqycqsfzs7ev9l4yicbvf.
From: “asterisk” <sip:035017929xxx@192.168.20.200:5060>;tag=as333c0475.
Call-ID: 185bab2b7008a006556770e516247079@192.168.20.200:5060.
CSeq: 102 OPTIONS.
Content-Length: 0.

Ich habe nun einmal nach div. googlen von friend zu peer umgestellt und zusätzlich folgenden Wert angefügt:

externrefresh=60

Sobald ich ein sip reload mache kommt das folgende:
U 2017/03/27 20:08:19.336846 192.168.20.200:5060 -> 217.0.21.166:5060

REGISTER sip:tel.t-online.de SIP/2.0.
Via: SIP/2.0/UDP 87.185.62.241:5060;branch=z9hG4bK16eaa87f.
Max-Forwards: 70.
From: <sip:035017929xxx@tel.t-online.de>;tag=as0b840746.
To: <sip:035017929xxx@tel.t-online.de>.
Call-ID: 2ef9764940aa80ef789404ef7b44451c@192.168.20.200.
CSeq: 103 REGISTER.
User-Agent: Asterisk PBX certified/11.6-cert16.
Authorization: Digest username="pd@t-online.de", realm=“tel.t-online.de”, algorithm=MD5, uri=“sip:tel.t-online.de”, nonce=“3DBCCC181F55D9580000000072573C3D”, response=“42c8e3be54dfb1689788e793ee2d1dfa”, qop=auth, cnonce=“4b2a0720”, nc=00000001.
Expires: 600.
Contact: <sip:035017929xxx@87.185.62.241:5060>.
Content-Length: 0.
.

U 2017/03/27 20:08:19.411861 217.0.21.166:5060 -> 192.168.20.200:5060

SIP/2.0 200 OK.
Via: SIP/2.0/UDP 192.168.20.200:5060;branch=z9hG4bK16eaa87f.
To: <sip:+4935017929xxx@tel.t-online.de>;tag=h7g4Esbg_df847ca5024c6ce850c81d5d46fb14b9.
From: <sip:+4935017929xxx@tel.t-online.de>;tag=as0b840746.
Call-ID: 2ef9764940aa80ef789404ef7b44451c@192.168.20.200.
CSeq: 103 REGISTER.
Contact: <sip:035017929xxx@192.168.20.200:5060>;expires=600.
P-Associated-Uri: <sip:+4935017929xxx@tel.t-online.de>.
P-Associated-Uri: <tel:+4935017929xxx>.
Service-Route: <sip:217.0.21.166:5060;transport=udp;lr>.
Content-Length: 0.
Authentication-Info: qop=auth,rspauth=“4af18f24ab04a06629e5f9bbc2dce4de”,cnonce=“4b2a0720”,nc=00000001.

und eine Minute später beim zusehen:

OPTIONS sip:tel.t-online.de SIP/2.0.
Via: SIP/2.0/UDP 87.185.62.241:5060;branch=z9hG4bK61a5b803;rport.
Max-Forwards: 70.
From: “asterisk” <sip:035017929xxx@87.185.62.241>;tag=as1602448d.
To: <sip:tel.t-online.de>.
Contact: <sip:035017929xxx@87.185.62.241:5060>.
Call-ID: 118ff7d02ef7713c2c887d21316baef4@87.185.62.241:5060.
CSeq: 102 OPTIONS.
User-Agent: Asterisk PBX certified/11.6-cert16.
Date: Mon, 27 Mar 2017 18:10:19 GMT.
Allow: INVITE, ACK, CANCEL, OPTIONS, BYE, REFER, SUBSCRIBE, NOTIFY, INFO, PUBLISH.
Supported: replaces.
Content-Length: 0.
.

U 2017/03/27 20:10:19.111027 217.0.21.166:5060 -> 192.168.20.200:5060

SIP/2.0 403 Forbidden.
Via: SIP/2.0/UDP 192.168.20.200:5060;received=192.168.20.200;rport=5060;branch=z9hG4bK2fbe83c8.
To: <sip:tel.t-online.de>;tag=h7g4Esbg_eodfs3dfzhkt2huw6pj8eezntbel1fdw.
From: “asterisk” <sip:035017929xxx@192.168.20.200:5060>;tag=as66f9a538.
Call-ID: 6f2d45de7e9dfe304c96bd3438df67bb@87.185.62.241:5060.
CSeq: 102 OPTIONS.

Hi,

du musst hier unterscheiden, was du als erstes nach dem Reload gesehen hast ist der REGISTER

CSeq: 103 REGISTER.
.

Aufgrund der SIP Option “qualify=yes” werden zum Provider OPTION-Pakete geschickt, das kannst du auch abschalten.

CSeq: 102 OPTIONS.

Diese haben erstmal nichts mit dem funktionieren von ein-/ausgehenden Gesprächen zu tun. Jeder Provider hat hier seine unterschiedlichen Vorstellungen dazu, wie oft er diese akzeptiert und ob überhaupt.

Wie sieht denn die SIP Kommunikation aus, wenn du tatsächlich einen Anruf durchführst. Schon probiert oder von den OPTIONS abschrecken lassen?

Grüße
Markus

Hallo Markus,

vielen Dank. Ich habe das soeben geändert. Telefonieren konnte ich schon immer auch eingehend ging es… Das Problem tritt sporadisch auf.

Von intern nach extern steht dann ein Forbidden im messages.log (hier greift ein script von mir und macht einen reload)
Von extern kommen (siehe oben) anrufe einfach nicht mehr an bis ich händisch ein reload machen weil man mir am Handy sagt, dass ich daheim nicht erreichbar bin.

Leider finde ich in keiner Logfile einen Eintrag dazu, so dass ich es auch nicht abfangen kann.

Hi,

ich fasse kurz zusammen, generell funktionieren ein-/abgehende Telefonate. Nach einer Zeit X funktionieren nur eingehende Gespräche nicht mehr und die Fehlermeldung mit no-auth-in erscheint. Wenn das der Fall ist, hast du einen SIP-Trace vom eingehenden Gespräch?

Gruß
markus

Hallo Markus,

ich fasse zusammen: ALLES geht bis irgendwann nichts mehr geht (weder ein noch ausgehend) bei eingehend sehe ich im astersik -r genau das, was ich oben gepostet habe.

Hallo,

ich habe das Thema leider nur kurz überflogen, aber kann hier ausgeschlossen werden, dass die WAN IP des Gateways wechselt (dynamische IP)? Sollte diese wechseln, ist genau das das Problem.

Grüße,
Steve

Hallo Steve,

klar ändernt sich meine IP ab und zu es ist ein VDSL Anschluss und wäre seltsam wenn die sich gar nicht ändern würde. Das muss eine Asterisk aber abkönnen. Davon abgesehen prüfe ich alle 1 Minute auf IP änderung per Cron und lassen (wenn ip anders) ein sip reload laufen…

Dennoch gibt es ab und an das Problem das ich nicht erreichbar bin und das ist nun einfach mal ein no go. Ich hätte gern gewußt woher es kommt bzw. einen Ansatz wie ich es beheben kann.

Beim Rauswählen kann ich ein Forbidden im log sehen und damit arbeiten aber der Anrufversuch taucht im Log nicht auf sondern nur direkt in der Asterisk Console.

Re,

kannst du bitte prüfen, auf welche IP “tel.t-online.de” - was bei dir als HOST angegeben ist - aufgelöst wird, bzw. wenn es zum Abbruch kommt, ob sich die IP geändert hat und die IP mit dem Register im Asterisk und in den SIP Paketen noch überein stimmt.

Grüße
Markus

Hallo Markus,

bitte entschuldige… ich verstehe Deine Ausführungen nicht

tel.t-online.de -> sollte meines wissens nach immer auf das selber auflösen
im asterik steht registered…

Wie gesagt ausgehend fange ich das ab aber eingehend kann ich das leider nicht abfangen.

#!/bin/bash
ip=host domain.tld | cut -d ' ' -f4;
if -z “$ip” ];
then
echo “ip leer”;
else
if -z cat /root/host | grep -v 'out;' ];
then
echo “0.0.0.0” > /root/host;

else
if “$ip” != cat /root/host | grep -v 'out;' ];
then
echo “root host auslesen”;
cat /root/host | grep -v ‘out;’;
echo “neue IP in Host schreiben”;
host domain.tld | cut -d ’ ’ -f4 > /root/host;
echo “reload sip”;
echo “aktuelle IP”;
echo $ip;
/usr/sbin/asterisk -rx ‘sip reload’;
exit;
fi
fi
fi

Das sorgt dafür, dass nach eine IP Wechsel sich das System selber kümmert…

Ändert nichts an meinem “ich bin nicht erreichbar” Problem…

Bisher kam es seit der Neuinstallation welche Du mit Empfohlen hast erst einmal zu dem Problem, dass ich nicht erreichbar bin… ich werde es weiter beobachten.

Re,

du könntest zum Test noch die IP von “tel.t-online.de” beim Host direkt eintragen. Wichtig bitte den asterisk an der Stelle neu starten.
So dass wir DNS Probleme ausschließen können.

Grüße
Markus

Connected to Asterisk certified/11.6-cert16 currently running on asterisk (pid = 2795)
== Using SIP RTP TOS bits 184
== Using SIP RTP CoS mark 5
– Executing [03501xxxxxxx@no-auth-in:1] Hangup(“SIP/arcor.de-000000bf”, “”) in new stack
== Spawn extension (no-auth-in, 03501xxxxxxx, 1) exited non-zero on ‘SIP/arcor.de-000000bf’
– Executing [h@no-auth-in:1] Hangup(“SIP/arcor.de-000000bf”, “”) in new stack
== Spawn extension (no-auth-in, h, 1) exited non-zero on ‘SIP/arcor.de-000000bf’

Soben bin ich wieder mal nicht erreichbar. Also Console auf und mich selbst vom Handy (arcor) aus angerufen… was in der Console auftaucht habe ich mal hier hinein kopiert.

Host dnsmgr Username Refresh State Reg.Time
tel.t-online.de:5060 N 03501xxxxxxx 585 Registered Sat, 13 May 2017 09:37:40
tel.t-online.de:5060 N 03501xxxxxxx 585 Registered Sat, 13 May 2017 09:37:01
tel.t-online.de:5060 N 03501xxxxxxx 585 Registered Sat, 13 May 2017 09:36:43

Das ist der aktuelle Stand. tel.t-online.de ist erreichbar und antwortet mit: 217.0.23.100

Die letzte IP Änderung war am 10.05.2017 05:23 Uhr.

mache ich nun ein SIP reload funzt alles wieder… warum logt der Asterisk das nicht mit? dann könnte ich das abfangen

Nach dem reload antwortet mir tel.t-online.de übrigens mit 217.0.23.36

Ich habe die 36er IP nun einmal in die HOSTs eingetragen

Hallo zusammen,

nun, wir haben hier das gleiche Problem.

Hier die Details:

Telekom DeutschlandIP als ALL-IP mit fester IP-Adresse.

Alle üblichen Portforwardings und Firewall-Einträge gesetzt.
Die MobyDick läuft in einem isolierten Netzsegment (/24).

Alle 3 Rufnummern sind eingetragen (ehemaliger ISDN-PunktzuMehrpunkt).
Die Registrierung und das REIN/RAUS-Telefonieren funktioniert…

Bis nach 1h oder aber auch deutlich mehr ein FORBIDDEN erscheint.
SIP SHOW REGISTRY zeigt gültige Registrierung.

Nach einem SIP RELOAD läuft alles wieder für (un)bestimmte Zeit.

Offensichtlich findet ein INVITE nach einiger Zeit nicht mehr statt.

Alle möglichen Logs und auch die Konfigs als Screenshot sind verfügbar - und die Telekom schafft es noch nicht mal innerhalb von 10 Tagen
wenigstens mal zurück zu rufen… => Bereits Bekannt… 8=(

Langsam gehen uns die Ideen aus…

Hier nun die aktuelle Config:

Pascom MobyDick 7.14 (mit 30Tage Demo-Lizenz)

• 2x Unify OpenStage 40G (SIP)
• 1x Yealink T46G

Zwischenzeitlich habe ich nach längerer Suche diese Konfiguration probiert:

nat=force_rport,comedia
fromuser=004920xxxxxxx
fromdomain=tel.t-online.de
insecure=port,invite
canreinvite=yes
qualify=yes
qualifyfreq=600
dtmfmode=rfc2833
videosupport=no
localnet=192.168.105.0/255.255.255.0
externhost=8x.1xx.xxx.xxx
disallow=all
allow=alaw
allow=ulaw
allow=gsm
defaultexpirey=180
session-timers=refuse

Scheinbar kann man den Registrierungstimeout auch nicht verändern - scheint auf 600 sec. festgelegt zu sein bei der Telekom.

Interessant, das die gleiche Hardware/Softwarekombination an meinem Privatanschluss mit meinen Zugangsdaten funktioniert…

Und da ja nomadische Anmeldung nicht mehr möglich ist, bringt mir das schon mal gar nichts…

Sollte jemand noch eine Idee haben, ich stehe gerne zur Verfügung…

Vielen Dank !

MfG…Detlef

Attachments

73c669d82280bcc203de8ea3501c630db0187879.jpg1355×498 87.2 KB

27a77ccbb25f0c922f758d430c6436b6d2a75df6.jpg1339×517 82.1 KB

efe1ed6f6345319923a892402f65fabf494386c5.jpg1355×618 75.1 KB

a9c9695632b3939700daba55c760b8cac09a69a1.jpg1028×551 86.6 KB

Guten Tag.

Das Problem tritt hier auch auf. Asterisk-Log und TCP-Dump wurden an das Ticket 593657 angehängt und Herr Murr telefonisch informiert. Herr Murr möchte das Problem ggf an einen Kollegen weiterleiten.

Ich bin gespannt auf die Ursache und die Lösung.

Falls @Markus oder @Steve schon eine Lösung bekannt ist, würde ich mich über einen Hinweis sehr freuen.

Schönen Tag,
merlin

Hallo,

könntet ihr bitte sicherstellen, das kein Portforwarding für SIP zur Anlage gesetzt ist und die Firewall auch kein SIP ALG /SIP Helper oder ähnliche Mechanismen einsetzen, die die Header manipulieren?

Bei fester IP sollte es hier keine Probleme mehr geben, bei wechselnder könnte es sein, das durch die Option Pakete noch alte NAT Table Einträge am Leben gehalten werden, die so gar nicht mehr richtig sind. Da zugegebenermaßen einige, insgesammt gesehen jedoch wenige diese Probleme haben, sehe ich hier eher die Firewallkonfiguration als Problem.

Das ausgehende forbidden denke ich liegt eher am fehlenden fromuser oder falschem CLIP, wenn die Registrierung noch in Ordnung ist. Alternativ könnte es natürlich sein das sich ein andere Host in der zwischenzeit mit dem Account registriert hat, dies kann bei Routern von der Telekom auftreten, welche diese gerne Remote konfigurieren (häufig bei Firmware updates oder Telekom internen Änderungen).

Bitte prüft auch hier schon TCP zu verwenden:
nat=force_rport,comedia
fromuser=0xxxxxxxxxx
fromdomain=tel.t-online.de
insecure=invite
videosupport=no
disallow=all
allow=alaw
qualify=yes
directmedia=no
session-timers=refuse
transport=tcp

Sollte obiges alles abgeklärt sein und es dennoch auftreten, würde ich euch bitten unserem Support einen Mitschnitt der SIP Daten (sngrep oder tcpdump auf SIP gefiltert) + Registrierungsstatus + CLI Auszug + derzeit aufgelöste IP für tel.t-online.de zukommen. Ich weiß das ist viel verlangt, aber ohne dies kommen wir hier leider nur schwer weiter.

Beste Grüße,
Steve