Sporadische SIP-De-Registrierung und -Registrierung

  • Hallo zusammen,

    seit heute habe ich das Problem an einer virtualisierten Starface 7.0.2.1 das aus- und eingehende Anrufe meistens nicht mehr funktionieren.
    Die Anlage läuft seit Ende 2021 ohne Fehler. Es wurde keine Konfiguration geändert.

    Ich habe die Dienste der Starface neugestartet. Klappte wieder kurzzeitig.

    Ich habe die VM neugestartet. Klappte wieder kurzzeitig.

    Ich habe die Telekom Digitalisierungsbox neugestartet. Klappte wieder kurzzeitig.

    Nach einer Weile registriert sich die Anlage dann wieder. Bis sie sich wieder deregistriert.

    Die interne Telefonie hat zu jeder Zeit funktioniert. Daher lag der Verdacht am IP-Anschluss.

    Die Telekom hat aus der Ferne alles durchgemessen und sagt, dass sie keinen Fehler finden können.
    Man solle sich über eine Firmwareaktualisierung der Starface informieren.
    Ok, Snapshot in VMware erstellt und ein Update der Starface auf Version 7.1.1.7 durchgeführt (für alle weiteren Updates benötigt man einen Updatevertrag und die Durchführung ist mir nicht möglich)

    Die Anlage lief danach wie gewohnt, bis sich die gleiche Problematik einstellte.
    Ein Blick im Adminmenü -> Leitungen -> zeigt, dass der SIP-Anschluss nicht registriert ist.
    Starte ich die Dienste neu, registriert sie sich wieder. Über die öffentliche IP ist sie auch während der SIP-Deregistrierung noch erreichbar und auch Starface Comfortphoning App verbindet sich mit der Anlage. Alles klappt. Außer Telefonie/SIP.

    In den Updatesnotes der 7.1.1.7 stand:
    Vor der Installation sollten Sie überprüfen, ob das siptrunk.de-Profil Ihres Anbieters aktualisiert wurde.
    Diese "scheinen" ja zu funktionieren. Haben Sie zumindest seit Inbetriebnahme. Normalerweise gibt es da nur ein ganz oder gar nicht.

    Hat jemand einen Rat, welche Log-Dateien bei dieser Problematik überprüft werden müssen, um das Problem einzugrenzen?
    Ich weiß mir im Moment leider keinen Rat mehr und hoffe auf eure Hilfe.
    Vielen Dank.

    Angehängt das derzeitige SIP-Profil.

  • Joshua May 8, 2023 at 5:11 PM

    Changed the title of the thread from “Sporadische SIP-De-Registrierung” to “Sporadische SIP-De-Registrierung und -Registrierung”.
  • Hallo Joshua,

    wenn ich das richtig sehe, ist das ein Telekom SIP-Trunk. Ich hatte gestern das Problem auch. Bei uns in der Firma selbst und auch beim Kunden. Andere Telekomprodukte hatten das nicht. - sofern ich das beurteilen kann. Sieht mir nach einem externen Problem aus.

    VG

    Merlin

  • Hallo zusammen,

    zunächst vielen Dank für die raschen Antworten!

    Ulf Danke für den Link.
    Ich habe die Logs überprüft und der Eintrag beginnend mit "chan_sip.c: Call from" taucht ab Log heute zwei Mal auf. Die Zielrufnummer ist allerdings i-eine im Ausland. So sieht es für mich zumindest aus.
    [2023-05-09 08:04:56,332] NOTICE[54772][C-00000069] chan_sip.c: Call from '' (xxx.xxx.xxx.xxx:63121) to extension '-00972593693438' rejected because extension not found in context 'default'.

    [2023-05-09 08:51:21,250] NOTICE[54772][C-0000006d] chan_sip.c: Call from '' (xxx.xxx.xxx.xxx:51733) to extension '500972593693438' rejected because extension not found in context 'default'.
    Hat das eine Bedeutung oder kann das ignoriert werden?


    Ohnehin kann ich unzählige SIP-Einwahlversuche auf der Starface beobachten. Genauso wie gescheiterte Login-Versuche.
    Das beobachte ich allerdings seit Bestehen der Anlage. Ich nehme an, das ist das Übel eine festen IP-Adresse und gehe davon aus, dass dieses Verhalten normal ist.

    Hier ein kleiner Auszug:

    [2023-05-09 08:11:28,176] NOTICE[54772] chan_sip.c: Registration from '<sip:5024@xxx.xxx.xxx.xxx>' failed for '66.218.150.11:5060' - Wrong password

    [2023-05-09 08:11:34,867] NOTICE[54772] chan_sip.c: Registration from '<sip:1068@xxx.xxx.xxx.xxx>' failed for '50.232.16.163:5060' - Wrong password

    [2023-05-09 08:11:41,741] NOTICE[54772] chan_sip.c: Registration from '<sip:5030@xxx.xxx.xxx.xxx>' failed for '12.150.57.187:5060' - Wrong password

    [2023-05-09 08:11:42,541] NOTICE[54772] chan_sip.c: Registration from '<sip:312@xxx.xxx.xxx.xxx>' failed for '185.77.217.93:3386' - Wrong password

    [2023-05-09 08:11:51,086] NOTICE[54772] chan_sip.c: Registration from '<sip:1047@xxx.xxx.xxx.xxx>' failed for '199.255.223.100:5060' - Wrong password

    [2023-05-09 08:12:18,447] NOTICE[54772] chan_sip.c: Registration from '<sip:956@xxx.xxx.xxx.xxx>' failed for '12.150.57.187:5060' - Wrong password

    Merlin

    Herzlichen Dank für deinen Austausch!
    Wie es "derzeit" scheint, war es dann wohl doch ein Problem seitens der Telekom. Deine Aussage bekräftigt das.
    Im Log PBX unter dns hatte ich gestern im Sekundentakt DNS-Auflösungen auf reg.sip-trunk.telekom.de

    [2023-05-08 22:04:08,712] [INFO ] [] [DnsResolver] | -- Found DNS Entries: --

    [2023-05-08 22:04:08,712] [INFO ] [] [DnsResolver] | [Entry{ h='xxx.xxx.xxx.xxx', p=30, w=0, d=A, n=''}, Entry{ h='xxx.xxx.xxx.xxx', p=10, w=0, d=A, n=''}, Entry{ h='xxx.xxx.xxx.xxx', p=20, w=0, d=A, n=''}]

    [2023-05-08 22:04:08,712] [INFO ] [] [DnsResolver] | -- After sorting: --

    [2023-05-08 22:04:08,712] [INFO ] [] [DnsResolver] | [Entry{ h='217.0.129.165', p=10, w=0, d=A, n=''}, Entry{ h='xxx.xxx.xxx.xxx', p=20, w=0, d=A, n=''}, Entry{ h='xxx.xxx.xxx.xxx', p=30, w=0, d=A, n=''}]

    [2023-05-08 22:04:08,712] [INFO ] [] [DnsResolver] | -- After removed double entries: --

    [2023-05-08 22:04:08,712] [INFO ] [] [DnsResolver] | [Entry{ h='xxx.xxx.xxx.xxx', p=10, w=0, d=A, n=''}, Entry{ h='xxx.xxx.xxx.xxx', p=20, w=0, d=A, n=''}, Entry{ h='xxx.xxx.xxx.xxx', p=30, w=0, d=A, n=''}]

    [2023-05-08 22:04:08,712] [INFO ] [] [DnsResolver] ------------- RESOLVING DNS SERVICE ( Name:reg.sip-trunk.telekom.de Secured:true TCP:true Dns Server: ) --------------

    [2023-05-08 22:04:08,712] [INFO ] [] [DnsResolver] | --- Current depth: 1 Resolving: reg.sip-trunk.telekom.de

    [2023-05-08 22:04:08,712] [INFO ] [] [DnsResolver] | timeout: 2000 retries:3



    Die letzte DNS-Auflösung hab es heute morgen um 04.08 Uhr

    [2023-05-09 04:08:54,134] [INFO ] [] [DnsResolver] | A dnsService (h-ipr-a02.edns.t-ipnet.de): Entry{ h='xxx.xxx.xxx.xxx', p=-1, w=-1, d=A, n=''}

    [2023-05-09 04:08:54,134] [INFO ] [] [DnsResolver] | --- Current depth: 3 Resolving: h-ipr-a01.edns.t-ipnet.de

    [2023-05-09 04:08:54,134] [INFO ] [] [DnsResolver] | timeout: 2000 retries:3

    [2023-05-09 04:08:54,301] [INFO ] [] [DnsResolver] | A dnsService (h-ipr-a01.edns.t-ipnet.de): Entry{ h='xxx.xxx.xxx.xxx', p=-1, w=-1, d=A, n=''}

    [2023-05-09 04:08:54,301] [INFO ] [] [DnsResolver] | --- Current depth: 3 Resolving: do-ipr-b02.edns.t-ipnet.de

    [2023-05-09 04:08:54,301] [INFO ] [] [DnsResolver] | timeout: 2000 retries:3

    [2023-05-09 04:08:54,462] [INFO ] [] [DnsResolver] | A dnsService (do-ipr-b02.edns.t-ipnet.de): Entry{ h='xxx.xxx.xxx.xxx', p=-1, w=-1, d=A, n=''}

    [2023-05-09 04:08:54,462] [INFO ] [] [DnsResolver] | ----------------------------------------------------------------

    [2023-05-09 04:08:54,462] [INFO ] [] [DnsResolver] | -- Found DNS Entries: --

    [2023-05-09 04:08:54,462] [INFO ] [] [DnsResolver] | [Entry{ h='xxx.xxx.xxx.xxx', p=10, w=0, d=A, n=''}, Entry{ h='xxx.xxx.xxx.xxx', p=20, w=0, d=A, n=''}, Entry{ h='xxx.xxx.xxx.xxx', p=30, w=0, d=A, n=''}]

    [2023-05-09 04:08:54,462] [INFO ] [] [DnsResolver] | -- After sorting: --

    [2023-05-09 04:08:54,462] [INFO ] [] [DnsResolver] | [Entry{ h='xxx.xxx.xxx.xxx', p=10, w=0, d=A, n=''}, Entry{ h='xxx.xxx.xxx.xxx', p=20, w=0, d=A, n=''}, Entry{ h='xxx.xxx.xxx.xxx', p=30, w=0, d=A, n=''}]

    [2023-05-09 04:08:54,462] [INFO ] [] [DnsResolver] | -- After removed double entries: --

    [2023-05-09 04:08:54,462] [INFO ] [] [DnsResolver] | [Entry{ h='xxx.xxx.xxx.xxx', p=10, w=0, d=A, n=''}, Entry{ h='xxx.xxx.xxx.xxx', p=20, w=0, d=A, n=''}, Entry{ h='xxx.xxx.xxx.xxx', p=30, w=0, d=A, n=''}]

    Seit dem kam keine neue Auflösung hinzu. Das wird es wohl gewesen sein.

  • Ohnehin kann ich unzählige SIP-Einwahlversuche auf der Starface beobachten. Genauso wie gescheiterte Login-Versuche.

    Das beobachte ich allerdings seit Bestehen der Anlage. Ich nehme an, das ist das Übel eine festen IP-Adresse und gehe davon aus, dass dieses Verhalten normal ist.

    Ja, das ist leider "normal" und wird nach einer Anzahl X von der Starface abgefangen und macht eigentlich keine Probleme. Wir halten es hier allerdings so, dass diese Fehllogins und andere Auffälligkeiten in einer vorgeschalteten Firewall Beachtung finden und solche "Versuche" zumindest nach dem ersten Auftreten weitestgehend schon im Vorfeld abgefangen und geblockt werden. In der Regel gibt es erkennbare Muster immer gleicher Ausgangs-IPs dafür - ich muss aber vorwarnen - pauschal / automatisch in eine Sperre übernehmen funktioniert eher nur leidlich, da man so auch schnell mal etwas aussperrt, was man nicht sperren wollte oder sollte. Hier ist tatsächlich Handarbeit und manuelle Einzelprüfung angesagt ... lohnt sich aber - es wird dann deutlich ruhiger auf der Starface ...

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!