Starface PBX VM Edition 6.7.3.20 Anrufe können nicht angenommen werden o. extrem slow

  • Hallo zusammen,


    Wir haben derzeit ein Recht großes Problem mit unserer Starface.
    Technische Details:

    • Version: 6.7.3.20
    • Lizens: STARFACE PBX Server VM Edition, STARFACE PBX User, STARFACE PBX User, STARFACE PBX User, STARFACE PBX User, STARFACE PBX User, STARFACE PBX User Light, STARFACE PBX User Light, STARFACE PBX User Light, STARFACE PBX User, STARFACE PBX User


    Starface Settings Version.png
    Starface Settings Module.png


    Sicherheitstechnisch stellen wir derzeit viel in unserem Netzwerk um, deswegen werden auch für die Starface nur noch die Verbindungen erlaubt die Zwingend notwendig sind.
    Seitdem können aber teilweise keine Anrufe mehr angenommen werden und Anrufe ausgehend funktionieren auch nicht.


    Ich habe eine Skizze aller Verbindungen die wir auf der Firewall freigegeben haben erstellt, ich hoffe das hilft:
    Starface Skizze_Zensiert.jpg


    Ich hab bereits folgende Logs und einen tcpdump vom Server gesichert:

    • /var/log/asterisk/full
    • /var/log/starface/call-model.log
    • /var/log/starface/call-processing.log
    • /var/log/starface/support.log
    • capture.pcap


    Es geht um die Einträge von folgender Test Person:

    • Feldmann
    • 192.168.8.68
    • SIP/1040.winclient


    Durchwahl und Handy nummern wurden folgendermaßen Zensiert:

    • ### DURCHWAHL ARBEIT ###
    • ### HANDY PRIVAT ###


    In diesen Logs ist hoffentlich erkennbar das Herr Feldmann versucht hat sich selbst auf seinem Handy anzurufen 2 mal, und dies nicht funktioniert hatte.
    Danach hat Herr Feldmann versucht sich selbst vom Handy aus auf der Arbeit anzurufen, dann hatte es geklingelt aber er konnte nicht abnehmen. Der Click auf den grünen Hörer funktionierte nicht.
    Der Zeitraum dieser Tests liegt ungefähr zwischen 10:52 Uhr und 10:57 Uhr.


    Im ersten Post folgen aufgrund der Zeichenlimitierung von maximale 30000 Zeichen die Logs da ich diese nicht als Datei hochladen kann.
    das tcpdump Capture.pcap kann ich ebenfalls nicht hochladen.

  • Call-model:

  • full:

  • call-processing:

  • support:

  • Telefone und/oder Softphones sind im selben Subnetz wie die Telefonanlage?
    Welche Adresse (interne/externe) wird bei der Provisionierung in die Telefone geschrieben?

    Viele Grüße
    Rouven

  • Hallo cpa


    Etwas was mich in den Logs stört, ist wie oft der UCC-Client sich neu an der STARFACE anmeldet.
    Hat er zwischen den Testanrufen den Client komplett beendet und wieder gestartet?


    Wenn nein, scheint irgendetwas Agressiv den Port 5060 zu schliessen.


    MfG


    Fabian

  • Etwas was mich in den Logs stört, ist wie oft der UCC-Client sich neu an der STARFACE anmeldet.
    Hat er zwischen den Testanrufen den Client komplett beendet und wieder gestartet?


    Nein das ist nicht der Fall.


    Wenn nein, scheint irgendetwas Aggressiv den Port 5060 zu schließen.


    Die Ports 5060 sowie 5061 sind auf der Firewall freigegeben, dies konnte ich mittels Telnet erfolgreich testen.
    (z.B. Telnet 10.254.3.19 5060)


    Telefone und/oder Softphones sind im selben Subnetz wie die Telefonanlage?


    Nein der UCC Client und die Starface Telefonanlage sind nicht im selben Subnetz.


    Welche Adresse (interne/externe) wird bei der Provisionierung in die Telefone geschrieben?


    Was den für eine Adresse?

  • Nein der UCC Client und die Starface Telefonanlage sind nicht im selben Subnetz.


    Kann es sein, dass eure Firewall zwischen den Subnetzen noch Ports zu hat und die Anbindung deswegen nicht sauber funktioniert?


    Zitat

    Was den für eine Adresse?


    tel.PNG


    Je nach dem was hier bei dir ausgewählt ist und wie eure Firewall arbeitet, kann es dazu führen, dass eure internen Telefone so behandelt werden, als ob sie von extern zugreifen.
    Und für den externen Zugriff fehlen laut deiner Grafik Portfreigaben bzw. -weiterleitungen.


    /edit: du kannst auch mal in eines deiner Telefone schauen, sieht man auch welche Adresse (Verwendete Serveradresse) provisioniert wurde

    Viele Grüße
    Rouven

  • Kann es sein, dass eure Firewall zwischen den Subnetzen noch Ports zu hat und die Anbindung deswegen nicht sauber funktioniert?


    Möglicherweise. Welche Ports neben 80, 443, 5060 und 5061 soll ich denn noch testen?


    tel.PNG
    Je nach dem was hier bei dir ausgewählt ist und wie eure Firewall arbeitet, kann es dazu führen, dass eure internen Telefone so behandelt werden, als ob sie von extern zugreifen.
    Und für den externen Zugriff fehlen laut deiner Grafik Portfreigaben bzw. -Weiterleitungen.


    Ja, welche Ports fehlen denn deiner Meinung nach neben Ausgehend 5060, 5061 5039, 1025-65535 und eingehend 5060, 5061, 5039, 10000-20000?


    /edit: du kannst auch mal in eines deiner Telefone schauen, sieht man auch welche Adresse (Verwendete Serveradresse) provisioniert wurde


    Die Verwendete Serveraddresse ist Local (nicht Extern) 10.254.3.19.

  • Möglicherweise. Welche Ports neben 80, 443, 5060 und 5061 soll ich denn noch testen?


    Wenn die Firewall intern die restlichen Ports zu macht, dann fehlen TCP 5222, TCP 50080, TCP 50081 sowie sämtliche UDP Ports, über die die Sprache läuft.

    Viele Grüße
    Rouven

  • Wenn die Firewall intern die restlichen Ports zu macht, dann fehlen TCP 5222, TCP 50080, TCP 50081 sowie sämtliche UDP Ports, über die die Sprache läuft.


    Die Sprache läuft doch über RTP also Eingehend 10000-20000 und Ausgehend 1025-65535 oder Irre ich mich da? So ist es jedenfalls in der Starface Doku beschrieben.
    https://knowledge.starface.de/…ge.action?pageId=46564693
    Und 5222 ist doch nur XMPP, soweit ich weiß ist das nur für die Chatfunktion die sowieso nicht genutzt wird und auch nicht benötigt wird.
    50080 und 50081 sind nur für die Provisionierung, müssen Softclients wie z.B. der Starface UCC Client Provisioniert werden?


    P.S.: Ich habe eben eine neue Information bekommen. Intern hängt gar keine Firewall zwischen den Netzen also zwischen dem PBX Server und den Softphones.
    Nur nach extern ist jetzt eine Firewall dazwischen.
    Die Ports für die Auto Provisionierung sind also Frei auch wenn diese meiner Meinung nach gar nicht benötigt werden.

    2 Mal editiert, zuletzt von cpa ()

  • Die UCI für die Remote Procedure Calls nutzt auch XMPP (XML-RPC über XMPP. Ob das der gleiche Port ist, da bin ich mir nicht sicher). Das ist der wichtigste und meistgenutzte Weg der Apps Daten mit dem Server auszutauschen.


    // edit: Dürfte Port 5223 sein.

    Viele Grüße,

    Aaron


    Team Android


    STARFACE GmbH | Adlerstraße 61 | 76137 Karlsruhe | www.starface.com

    2 Mal editiert, zuletzt von Aaron ()

  • Die UCI für die Remote Procedure Calls nutzt auch XMPP


    Was genau bedeutet dass denn? Welche Funktionalitäten werden damit abgedeckt? Was genau sind Remote Procedure Calls bzw was für Daten werden auf diesem Weg zwischen Apps und Server ausgetauscht?


    // edit: Dürfte Port 5223 sein.


    Also da wie gesagt intern gar keine Firewall zwischen den Netzen hängt, konnte ich gerade erfolgreich testen das Folgende Ports auf PBX Seite offen und aus dem Softphones netz erreichbar sind.
    80,443,5060,5061,5222,5223,50080,50081

    Einmal editiert, zuletzt von cpa ()

  • Die Sprache läuft doch über RTP also Eingehend 10000-20000 und Ausgehend 1025-65535 oder Irre ich mich da?


    RTP basiert auf UDP (normalerweise). Du kannst also das UDP auch gerne durch RTP ersetzen, scheint aber ja nicht das Problem zu sein, wenn keine Firewall dazwischen hängt.
    Ganz einfach ausschließen kannst du das aber, wenn du dir einfach mal einen UCC Client in das Netz der TK hängst und schaust ob es einen Unterschied macht.

    Viele Grüße
    Rouven

  • RTP basiert auf UDP (normalerweise). Du kannst also das UDP auch gerne durch RTP ersetzen, scheint aber ja nicht das Problem zu sein, wenn keine Firewall dazwischen hängt.
    Ganz einfach ausschließen kannst du das aber, wenn du dir einfach mal einen UCC Client in das Netz der TK hängst und schaust ob es einen Unterschied macht.


    Ich glaube die Logik geht nicht ganz auf, aber da haben dir glaube ich auch Infos gefehlt die ich hier bisher nicht los geworden bin.
    Und zwar gibt es im selben Netz sowohl mehrere Clients mit diesen in den Logs zu sehenden Problemen, aber auch mehrere Clients wie mein eigener, die gar keine Probleme haben. Im selben Netz wohlgemerkt.

  • Was genau bedeutet dass denn? Welche Funktionalitäten werden damit abgedeckt? Was genau sind Remote Procedure Calls bzw was für Daten werden auf diesem Weg zwischen Apps und Server ausgetauscht?
    (...)


    Im Prinzip 90% von dem was die Apps machen passiert über die UCI. Es wäre leichter aufzulisten was nicht über die UCI passiert. Lange Rede: Selbst wenn ihr keinen Chat in euren Apps verwendet, den Port werdet ihr definitiv benötigen.

    Viele Grüße,

    Aaron


    Team Android


    STARFACE GmbH | Adlerstraße 61 | 76137 Karlsruhe | www.starface.com

  • Im Prinzip 90% von dem was die Apps machen passiert über die UCI. Es wäre leichter aufzulisten was nicht über die UCI passiert. Lange Rede: Selbst wenn ihr keinen Chat in euren Apps verwendet, den Port werdet ihr definitiv benötigen.


    Das heißt 5222 und/oder 5223 muss auf jeden fall auch nach extern in Richtung Provider (Deutsche Telefon - 92.60.208.0/22 geöffnet werden?)
    Oder reicht es wenn das Netzwerk Intern funktioniert? Also in und zwischen den Netzen 10.254.3.0/24 und 192.168.8.0/24 wo sich keine Firewall zwischen befindet?

  • Das heißt 5222 und/oder 5223 muss auf jeden fall auch nach extern in Richtung Provider (Deutsche Telefon - 92.60.208.0/22 geöffnet werden?)
    Oder reicht es wenn das Netzwerk Intern funktioniert? Also in und zwischen den Netzen 10.254.3.0/24 und 192.168.8.0/24 wo sich keine Firewall zwischen befindet?


    5222 und 5223 nach extern wenn es Leute gibt, die von außen ohne VPN darauf zugreifen. UCI ist eine STARFACE Erfindung, diese Schnittstelle wird vom Provider nicht verwendet.

    Viele Grüße,

    Aaron


    Team Android


    STARFACE GmbH | Adlerstraße 61 | 76137 Karlsruhe | www.starface.com

  • 5222 und 5223 nach extern wenn es Leute gibt, die von außen ohne VPN darauf zugreifen. UCI ist eine STARFACE Erfindung, diese Schnittstelle wird vom Provider nicht verwendet.


    Um Missverständnissen vorzubeugen: Die genannten Ports sind Listener-Ports auf dem STARFACE Server und müssen VOM Internet aus erreichbar sein, sofern man mit unseren Desktop oder Mobile Apps von extern über eine öffentliche Internetverbindung aus arbeiten möchte.
    D.h. Sie müssen aus Richtung Internet-Provider von überall (man weiß ja vorher i.d.R. nicht wo überall sich Mitarbeiter rumtreiben - gewisse ausländische IP-Netze/Länder kann man aber vielleicht doch in der Firewall aussperren) erreichbar sein. Der Telefonie-Provider (SIP-Provider) hat damit nichts zu tun.


    Die Alternative wäre den Zugriff der Clients nur via VPN-Anbindung zuzulassen, dann können diese (und ggf. auch andere Ports, sofern auch keine externen Tischtelefone ohne VPN verwendet werden) in Richtung Internet dicht bleiben.


    Grundsätzlich: Macht aus Sicherheitsgründen immer nur genau die Ports auf, die für Eurer Anwendungsfälle wirklich benötigt werden und beschränkt sie auf die nötigen IP-Netze (was z.B. beim SIP- und RTP-Traffic zum Telefonie-Provider sehr gut geht).
    Die Frage ist also am Ende: Wer muss von wo was mit welchem Gerät oder Client nutzen können? Daraus ergibt sich dann die Matrix für Firewall-Regeln und Portforwardings. Hierzu berät dann sicherlich gerne der erfahrene STARFACE-Fachhändler.


    Gruß
    Andreas

    Presales Manager


    STARFACE GmbH | Adlerstraße 61 | 76137 Karlsruhe | www.starface.com

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!