Was würde dazu führen, dass der SIP-Verkehr in einen Switch gelangt, aber nicht wieder herauskommt?

15

Hintergrund

Ich hatte Mühe, meine SIP-Telefone dazu zu bringen, sich hinter einem brandneuen Router zu registrieren und in unserem brandneuen Büro zu wechseln. Unsere Telefonanlage wird extern gehostet. Ich habe mit unserem Provider zusammengearbeitet, um verschiedene Ansätze zu versuchen. Wir haben versucht, eine normale NAT-Verbindung zu ihrem NAT-fähigen Session Border Controller herzustellen. Wir haben versucht, mit siproxd (dem pfSense-Paket) die SIP-Registrierungsanforderungen abzufangen und uns im Namen des Telefons zu registrieren. Schließlich haben wir versucht, die Telefone manuell für die Registrierung beim siproxd-Daemon in meinem lokalen Netzwerk zu konfigurieren.

Während der Tests haben wir festgestellt, dass die Telefone alle folgenden Funktionen erfolgreich ausführen:

  • Wenden Sie sich unter Angabe der IP-Adresse an den gehosteten FTP-Server
  • Laden Sie die Konfiguration von diesem Server herunter
  • Führen Sie DNS-Abfragen durch, um die IP-Adresse des NTP-Servers aufzulösen
  • Fragen Sie den NTP-Server ab, um die Uhrzeit festzulegen
  • Führen Sie DNS-Abfragen durch, um die IP-Adresse der SIP-Server aufzulösen.

Symptome

Nachdem die Telefone alle Vorregistrierungsaufgaben erfolgreich erledigt haben, wird der Registrierungsversuch weder in der pfSense-Box noch in der Telefonanlage des Anbieters angezeigt. Ich habe die höchste Stufe des Debuggens in siproxd auf meinem Ende aktiviert und habe keine TCP-Verbindung oder UDP-Paket gesehen. Ein einfaches Telnet an Port 5060 von einer Workstation generiert jedoch erwartete Protokollnachrichten. Das Durchführen einer Paketerfassung auf der pfSense-Box zeigte absolut keine SIP-Verkehrsversuche.

Was zum Teufel?

Mein letzter Fehlerbehebungsschritt, der mich gründlich verblüffte und mich dazu brachte, diese Frage zu stellen, war wie folgt. Ich habe zuerst den Switch-Port gespiegelt, an den ein Telefon an den Switch-Port meiner Workstation angeschlossen war. Ich habe eine Paketerfassung des gesamten Datenverkehrs auf der Schnittstelle durchgeführt. Zu meiner Überraschung sah ich SIP-Registrierungspakete vom Telefon kommen. Hier ist ein Beispiel:

Telefonpaket-Erfassung

Das Telefon versucht offensichtlich, sich bei den TK-Anlagen anzumelden (dies sind auch die korrekten IP-Adressen).

Mein nächster Schritt bestand darin, den Switch-Port zu spiegeln, der in die LAN-Seite des pfSense-Routers eingespeist wird. Ich habe gesehen, dass der gesamte FTP-, NTP- und DNS-Verkehr vom 172.200.22.102-Telefon aus dem Switch kommt, aber keine Spur der SIP-Pakete. Das ist völlig verblüffend für mich! Was bewirkt, dass nur der SIP-Verkehr im Switch verschwindet?

Umgebung

Switch-Konfiguration

Das Telefon mit der IP-Adresse 172.22.200.102 befindet sich an Port 4 dieses Switches, die LAN-Verbindung des Routers an Port 22.

VLAN-Konfiguration

Teilnahme an VLAN 200

Ich kann weitere Einstellungen freigeben, die möglicherweise erforderlich sind.

pfsense sip switch Hobodave
quelle
Ich weiß, dass es normal ist, dass die Pakete für die LAN-Schnittstelle des Routers bestimmt sind, aber nehmen wir nichts als selbstverständlich an. Könnten Sie wireshark veranlassen, Ihnen die Ziel-MAC-Adressen der Pakete anzuzeigen, die das Telefon verlassen, und bestätigen, dass es sich tatsächlich um die MAC-Adresse des Routers handelt? Wenn dies aus irgendeinem Grund nicht der Fall wäre, würde dies erklären, warum Sie sie nicht am Spiegelport sehen.
MadHatter unterstützt Monica
@Mad: Bestätigte korrekte Ziel-MAC-Adresse des Routers
hobodave
Verdammt. Nun, es hat sich gelohnt, es zu überprüfen. Sorry, keine besseren Ideen zu haben.
MadHatter unterstützt Monica

Antworten:

16

Ich fand die Lösung, nachdem ich ungefähr 40 Stunden mit diesem Problem verbracht hatte.

Im Schalter befindet sich eine Einstellung, die den "Auto DoS" -Schutz aktiviert. Anscheinend wird TCP- oder UDP-Datenverkehr mit übereinstimmenden Quell- oder Zielports als offensichtlicher Angriff betrachtet und das Paket verworfen . Dies ist lächerlich kurzsichtig, da der SIP-Verkehr häufig (immer?) Davon abhängt, dass die Quell- und Zielports 5060 sind.

Falls eine Textbeschreibung unzureichend war:

Bildbeschreibung hier eingeben

Hobodave
quelle
Wow, das ist brutal. Gute Arbeit, das zu finden. Ich wette, es wird auch nicht in den Protokollen angezeigt, oder?
Gravyface
@gravyface: Richtig, nichts protokolliert. Alle Protokolle zeigen grundlegende Link-Up / Down und Authentifizierungsversuche
Hobodave
2
Whaaaaaaaaaaaaaaat? Gute Arbeit, HP!
Voretaq7
1
Das ist Scheiße; es würde (zB) auch NTP und Server-Server-DNS schrauben. Mit den Worten von voretaq, "nice job. HP". Gut diagnostiziert, Hobodave; Du verdienst ein Bier!
MadHatter unterstützt Monica
1
+1 - Ich bin heute in einer anderen Anwendung auf diesen Schalter gestoßen. Das SonicWALL-Protokoll "Single Sign-On" verwendet UDP-Datagramme mit denselben Quell- / Zielports. Ich wünschte, ich hätte hier nachgesehen, bevor ich es mit einem Ethernet-Tap ausfindig gemacht hätte. Es ist interessant zu bemerken, dass die "beleidigenden" Frames sogar entfernt werden, wenn der Eingangsport portspiegelt wird. Vollständiges Versagen, HP. Ich kann bestätigen, dass die im Januar veröffentlichte PK 1.15-Firmware immer noch diesen Fehler enthält.
Evan Anderson