Verbindungsprobleme mit Cloud-PBX (Starface)

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
tobib
Beiträge: 76
Registriert: Do 02.07.2015, 13:19

Verbindungsprobleme mit Cloud-PBX (Starface)

Beitrag von tobib »

Hallo zusammen

ein Kunde von uns nutzt eine Cloud-Telefonanlage von Starface. Hierbei kommt es nahezu täglich vor, dass Telefone die Verbindung zur Anlage verlieren. Ein Neustart der UTM behebt das Problem.
Auch das Log der Anlage deutet auf ein Problem mit der Firewal (UTM v11.7.15) hin.

Starface hat zu dem Fehler einen WIKI-Eintrag bereitgestellt: https://knowledge.starface.de/pages/vie ... d=23987347
Unter "Anmerkungen zu NAT" ist beschrieben, dass die Gültigkeit der NAT-Tabelle auf mindestens 61 Minuten eingestellt werden muss.

Daher meine Fragen: Ist das Problem bekannt? Gibt es die Möglichkeit diesen Wert anzupassen?

Vielen Dank!

Gruß Tobias

Svenja
Beiträge: 85
Registriert: Mo 16.04.2018, 12:00

Beitrag von Svenja »

Moin!

Der UDP-Timeout könnte angepasst werden (das benötigen manche Telefonanlagen)

https://wiki.securepoint.de/System_cli_v11
Beispiel:
Es kommt immer wieder vor, dass VoIP Provider Vorgaben zum Session Timeout für die UDP Pakete machen. Dieser Wert steht in der Werkseinstellung auf 30 Sekunden und ist damit vielen Providern zu wenig.

[justify]Damit eine Änderung auch nach einem Update oder einem Neustart noch besteht, muss hier eine Variable hinzugefügt werden die den gewünschten Wert enthält.
In unserem Beispiel setzen wir den Session Timeout Wert für UDP Pakete auf einen Wert von 300 Sekunden.
[/justify]
[justify]system sysctl new name net.netfilter.nf_conntrack_udp_timeout value 300[/justify]
[justify]Um sicher zu gehen, dass diese Änderung übernommen und auch in der Konfiguration gespeichert wird, müssen folgende Kommandos erfolgen:[/justify]
system update system
system config save
Grüße
Svenja

tobib
Beiträge: 76
Registriert: Do 02.07.2015, 13:19

Beitrag von tobib »

Hallo Svenja,

danke für den Tipp. Diesen habe ich umgesetzt, leider tritt das Problem nach wie vor auf. Hat jemand noch eine Idee?

kennethj
Beiträge: 408
Registriert: Di 25.04.2017, 10:17
Wohnort: Lüneburg
Kontaktdaten:

Beitrag von kennethj »

Hallo Tobias,

wurden testweise Conntrack Module für SIP und H323 deaktiviert? (Zusätzlich zum UDP Timeout)

Code: Alles auswählen

debug kmod unload module nf_conntrack_sip
debug kmod unload module nf_conntrack_h323
Gruß

Kenneth

tobib
Beiträge: 76
Registriert: Do 02.07.2015, 13:19

Beitrag von tobib »

Hallo,

das habe ich bereits vor etlichen Tagen gemacht. Habe die Befehle eben nochmal eingegeben. Dann kommt folgendes:

debug kmod unload module nf_conntrack_sip
rmmod: can't unload 'nf_conntrack_sip': unknown symbol in module, or unknown parameter

Danke!

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

wie ist bei Ihnen der Aufbau. Modem oder Router vor der Firewall? Feste oder dynamsiche IP? Zwangstrennung vom ISP? Wie sieht es aus wenn Sie einfach das conntrack löschen. Geht dann das telefonieren wieder? Befehl mit dem Benutzer root und per SSH wäre: conntrack -F
Betrifft es alle Geräte oder nur einige?

Gruß Björn

tobib
Beiträge: 76
Registriert: Do 02.07.2015, 13:19

Beitrag von tobib »

Hallo,

der Aufbau ist folgendermaßen:

Modem vor der Firewall mit fester IP. Zwangstrennung: nein. Allerdings habe ich eben festgestellt, dass in der Konfiguration noch ein "Redial" für 3 Uhr eingetragen war. Habe ich jetzt deaktiviert. Es betrifft alle Geräte, aber nicht gleichzeitig. Das heißt an dem einen Tag mal das eine Telefon und am nächsten das andere. Es war aber schon jedes mal betroffen.

Da die Telefone eben wieder ausgefallen sind, konnte ich den Befehl (conntrack -F) testen. Hat funktioniert, die Telefone sind direkt wieder verbunden.

Danke!

Bjoern
Securepoint
Beiträge: 685
Registriert: Mi 03.07.2013, 10:06

Beitrag von Bjoern »

Hallo,

dann würde ich vermuten das es durch das Redail kommt. Sollte die Securepoint gerade die Neueinwahl machen hat diese keine IP auf der Firewall und auch keine gültige Route. Wenn nun das Telefon versucht sich neu zu verbinden wird dies falsch markiert. Dies kann man verhindern wenn man keine Zwangstrennung hat oder conntrack löschen oder wenn das Telefon 30 Sekunden lang keine Daten schickt. Das conntrack löscht sich nach 30 Sekunden von alleine es sei denn es kommen neue Anfragen dazu an.


Gruß Björn

Antworten