Internet Backup Leitung, Starface in der Cloud

  • Diese Frage sollte im Zusammenhang mit dem Artikel in https://support.starface.de/fo…6111&viewfull=1#post36111 betrachtet werden.


    Situation:

    • Starface Cloud Angebot von Starface GmbH
    • Firewall mit Backupleitung
    • Eine Menge Telefone im LAN des Kunden


    Die Starface steht nicht als Appliance im LAN des Kunden. Es geht hier nur um die SIP/RTP Verbindungen zwischen Telefonen und einer abgesetzten Starface im Internet.


    Problem:
    Ich habe zurzeit ein Problem mit der Firewall Backup Leitung bei einem Kunden. Die Backupleitung funktioniert an und für sich perfekt.
    Bei einem Ausfall der Hauptleitung wird auf die Backupleitung umgeschaltet. Wenn die Hauptleitung wieder funktioniert erfolgt ein Wechsel zurück auf die Hauptleitung.


    Alles OK, AUSSER SIP Verbindungen....



    • Bei einem Ausfall der Hauptleitung und der Umschaltung auf die Backupleitung gibt es einen Telefonieunterbruch. Vollkommen verständlich.
    • Die Dauer des Unterbruchs ist unterschiedlich und richtet sich nach dem Re-registrierungs Intervall der Telefone.
    • Dieses Intervall (bei den T46G zum Beispiel 3600 Sekunden) ist bei der Provisionierung von der Starface fix vorgegeben.
    • Für Telefone im gleichen LAN wie eine Starface Appliance sind 3600 Sekunden sicher OK, aber für dieses Backup Szenario ist die Grüsse dieses Timeouts sehr hinderlich. Nicht nur deshalb dränge ich seit Jahren auf eine Möglichkeit gewisse Konfigurationen pro Telefon direkt auf der Starface vornehmen zu können (siehe https://starface.uservoice.com…ning-eigene-einstellungen)
    • Die SIP Sessions werden bei der Umschaltung auf der Firewall geschlossen, was nahe liegt da ja ein Ende weg ist. (Ist aber ungünstig.. siehe unten)
    • Die Starface seitigen SIP OPTIONS requests laufen ins Leere, da die Hauptleitung ja tot ist (WAN IP hat gewechselt).
    • Spätestens nach 60 Sekunden wird die Starface die Telefone auf UNREACHABLE setzen (es sei denn die Starface wartet mehr als ein Zyklus.. das wurde mir bei meinen Messungen nicht klar)
    • Tatsächlich passiert nichts bis die Telefone entweder neu gestartet werden, oder der re-registrierungs Intervall abgelaufen ist.
    • Für Backup Szenarien nicht gut...


    Es geht weiter...



    • Erfolgt die Umschaltung zurück auf die Hauptleitung, passiert das gleiche nochmal.
    • Je nachdem wie lange die Hauptleitung tot war, ergeben sich verschiedene Bilder
    • War die Hauptleitung nur für einige Minuten weg, dann wäre der Telefon Unterbruch nur kurz, wäre da nicht das leidige Detail dass die SIP Sessions gekillt wurden.
    • Irgendwann setzt die Starface die Telefone erneut auf UNREACHABLE.
    • Ich muss die Telefone jetzt manuell neu starten oder den re-registrierungs Intervall abwarten. (1)



    Fazit:
    Mit dem momentanen Setup ist die Backupleitung zwar funktionell, aber für die Telefonie muss ich manuell eingreifen, was nicht akzeptabel ist.


    Natürlich kann ich jedes Telefon anfassen und den Re-registrierungs Intervall manuell anpassen. Ich kann den Intervall soweit reduzieren bis ich wahrscheinlich irgendwann das Blacklisting triggere (weiss jemand wann das ist?). Aber bei der nächsten Provisionierung, und sei es nur eine Tastenbelegung die der Benutzer ändert, ist diese Änderung wieder dahin.


    Frage:
    Wie löst ihr das Problem mit dem für diese Situation zu grossen SIP Re-registrierungs Intervall?


    Oder vielleicht gibt es ja eine bessere Lösung?


    Daniel



    (1) Bei der Zyxel USG welche ich einsetze gibts noch einen Bug :( . Dieser führt dazu dass bei einer Umschaltung zurück auf die Hauptleitung immer noch die Backupleitung für SIP Verkehr genutzt werden will. Sehr sehr lästig...

    Edited once, last by DanielH ().

  • Hallo Daniel


    Die Antwort hast Du ja in dem vor Dir erwähnten Post bereits erhalten.


    Das Problem ist doch, dass Du für den Internetzugriff eine unveränderliche fixe IP-Adresse benötigst und dies ist nur möglich, wenn Du Deine Leitungen (bspw. mit viprinet) vor der Firewall bündelst. Siehe dazu auch die ausführlichen Bemerkungen in dem von Dir erähnten Post von Fabian Wolf.

    Gruss
    Thomas


    hertli ¦ IT
    hertli Informatik+Treuhand


    eMail: mail ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

  • Oder das Backup von einem Anbieter nehmen, der das als Managed Service bietet und an der Stelle dann auch die IP-Adressen umroutet,...


    -Matthias

    Starface Excellence Partner & plusnet Exklusive Partner :)
    Kontakt: 07141-23999-0 (Telefon) / -99 (Fax) / URL: www.ucs-team.de / Mail: info@ucs-team.de
    NGN-Pakete für Starface - bitte kontaktieren - SIP-Trunks für alle Starface-Anlagen / auch für Starface Cloud (ohne dedizierte IPv4-Adresse!)

  • Ich hab da ein Modul "IPFailover" dafür geschrieben.


    Das Modul geht hin, und Fragt bei einem Google Server ab, mit welcher IP er gerade daher kommt.


    Wenn diese IP-Adresse nicht die IP-Adresse ist, die bei Server ==> Netzwerk Eingetragen ist, wird die neue IP-Adresse hinterlegt, und Anschliessend ein Reboot (Diensteneustart) durchgeführt.



    MfG


    Fabian

  • Hallo Fabian,
    Spannend. Aber das passt für eine Appliance im LAN dessen WAN IP grad gewechselt hat.
    Aber leider nicht für Telefone deren WAN IP sich gerade verändert hat, welche mit einer Starface in der Starface Cloud liegt.
    Daniel

  • Kann man das nicht über einen DynDNS dienst lösen? Der hat ja immer die aktuelle IP und stellt sich darauf ein. An der TK Anlage (weiß nicht ob's geht) dann den DynDNS host eintragen statt der IP. Dann bleibt für die appliance alles gleich

  • Kann man das nicht über einen DynDNS dienst lösen? Der hat ja immer die aktuelle IP und stellt sich darauf ein. An der TK Anlage (weiß nicht ob's geht) dann den DynDNS host eintragen statt der IP. Dann bleibt für die appliance alles gleich


    Nein, das geht nicht. Die STARFACE hat mit der Registrierung die öffentliche IP-Adresse der per NAT maskierten Endgeräte mitgeteilt bekommen und kann diese darüber erreichen.
    Wenn sich diese IP-Adresse ändert, kann sie die Endgeräte nicht mehr erreichen. Das ist nicht weiter überraschend. Und daran ändert auch ein DynDNS nichts, denn die STARFACE kennt den DynDNS-Namen nicht und bedient sich der IP-Adresse des Endgeräts, die im SIP-Contact-Header oder IP-Adress-Header mitgeteilt wurde.


    Lösung: Man sorgt entweder dafür, dass sich die eigene IP-Adresse nicht ändert oder triggert bei einer solchen Änderung eine Reregistrierung der Endgeräte.


    Man könnte hierzu ein SIP-Check-Sync an alle Endgeräte senden, müßte das jedoch händisch (per Skript im lokalen Netz) realisieren (was auch klar ist, denn die STARFACE ist im genannten Szenario nicht mehr in der Lage, irgendetwas an die Geräte zu senden).


  • Lösung: Man sorgt entweder dafür, dass sich die eigene IP-Adresse nicht ändert oder triggert bei einer solchen Änderung eine Reregistrierung der Endgeräte.


    Man könnte hierzu ein SIP-Check-Sync an alle Endgeräte senden, müßte das jedoch händisch (per Skript im lokalen Netz) realisieren (was auch klar ist, denn die STARFACE ist im genannten Szenario nicht mehr in der Lage, irgendetwas an die Geräte zu senden).


    Hallo Fabian,
    Das ist ein interessanter Ansatz. Mein (temporärer) Ansatz ist den PoE Port der Telefone zu unterbrechen um einen Reboot zu forcieren. Aber das ist natürlich absolute Holzhammermethode und ich habe dazu noch kein Script geschrieben oder die entsprechenden SNMP MIB's durchsucht damit ich den entsprechenden string für snmpset finde..(vielleicht das hier, oder das da?).


    Ich habe mit deinem Hinweis etwas recherchiert. Ich finde einiges zum Thema SIP-Check-Sync, aber meistens sehr HW-abhängig. Leider habe ich nichts schlaues gefunden um ein solches Script zu entwerfen (ich bin eh kein Programmierer). Ich nehme auch an dass die Konfiguration der Telefone ein SIP-Check-Sync erlauben müssen (z.B. Snom: http://wiki.snom.com/Settings/allow_check_sync).
    Dazu fehlt uns bei den Starface Cloud Anlagen den Zugriff auf die entsprechenden Telefon-Konfigurationsdateien (.cfg, .xml).


    Yealink beschreibt den Vorgang in einem kurzen Dokument: file:///C:/Users/daniel/Downloads/HowtoremoterebootphonethroughSIPmessageRev_610-20460023840.pdf


    Was mir nicht klar ist, wie kann ich einem Telefon einfach eine solche SIP Message "einschleusen"? Irgend ein Sicherheitsmechanismus sollte doch verhindern dass da irgendwer ständig die Telefone neu startet..
    Vielleicht eine angepasste Variante von dem hier? https://github.com/rundekugel/…lob/master/src/callSip.sh



    Daniel

  • Wenn ich unbedingt die eine Cloud TK nutzen wollte, würde ich für mich versuchen mittels VPN zwei Verbindungen zu einem Internetserver aufzubauen. Mittels OSPF/BGP o.ä. würde ich dann den Traffic für die Cloudtelefonie über diese beiden Verbindungen routen und als Absender die Adresse des Internetservers nutzen. Die Hauptleitung würde dann eine höhere Prio bekommen. Dadurch würde selbst bei einem Ausfall der Leitung die Telefonie weiter funktionieren (ggf. einem kurzen Aussetzer).


    Aber ehrlich gesagt, müsste meiner Meinung nach die Cloud von Starface einen solchen Dienst per Default anbieten. Damit hätte man auch direkt die Kommunikation besser abgesichert und es würden keine Metadaten im Internet sichtbar sein. Aber solche Lösungen findet man selten bei Anbietern, da die meisten keine Ahnung von sowas haben...

  • Wenn ich unbedingt die eine Cloud TK nutzen wollte, würde ich für mich versuchen mittels VPN zwei Verbindungen zu einem Internetserver aufzubauen. Mittels OSPF/BGP o.ä. würde ich dann den Traffic für die Cloudtelefonie über diese beiden Verbindungen routen und als Absender die Adresse des Internetservers nutzen. Die Hauptleitung würde dann eine höhere Prio bekommen. Dadurch würde selbst bei einem Ausfall der Leitung die Telefonie weiter funktionieren (ggf. einem kurzen Aussetzer).


    Aber ehrlich gesagt, müsste meiner Meinung nach die Cloud von Starface einen solchen Dienst per Default anbieten. Damit hätte man auch direkt die Kommunikation besser abgesichert und es würden keine Metadaten im Internet sichtbar sein. Aber solche Lösungen findet man selten bei Anbietern, da die meisten keine Ahnung von sowas haben...


    Das ist genau der Ansatz, den man mit einem Viprinet-Router umsetzt, nur dass dieser die beiden Leitungen auch echt bündeln kann und für Protokolle wie RTP die Latenzen und Jitter optimieren kann.


    Die Architektur ist dann:
    Viprinet Hub in einem externen Rechenzentrum (z.B. AWS); Viprinet Router mit x Leitungen am eigenen Standort.

  • Aber ehrlich gesagt, müsste meiner Meinung nach die Cloud von Starface einen solchen Dienst per Default anbieten. Damit hätte man auch direkt die Kommunikation besser abgesichert und es würden keine Metadaten im Internet sichtbar sein. Aber solche Lösungen findet man selten bei Anbietern, da die meisten keine Ahnung von sowas haben...


    sehe ich nicht so.


    STARFACE ist kein Anbieter von Netzwerkinfrastruktur. Würde man diese Überlegung weiterspinnen, dann müsste STARFACE ja dann auch als Internet-Zugangsprovider auftreten, um sicherzustellen, dass die STARFACE-Kunden keinen Internet-Ausfall haben.


    STARFACE soll sich auf die Telefonie beschränken und konzentrieren.

    Gruss
    Thomas


    hertli ¦ IT
    hertli Informatik+Treuhand


    eMail: mail ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

  • thomas.hertli


    Das darfst du gerne anders sehen. Aber mit Internetprovider hat das aber auch nichts zutun! Es geht darum das ein Internetservice (der für bestimmte Firmen sehr kritisch ist) über ein oder mehrere VPNs angeboten werden.
    Das ist auch im Enterpriseumfeld nicht unüblich (wenn auch meist nur als VPN-Failover und ohne Routingservice).

  • sag ich doch; STARFACE ist kein Anbieter von Netzwerkinfrastruktur


    Es gibt genügend Baustellen und Problemchen im Telefoniebereich, dann muss sich STARFACE da nicht noch zusätzliche Fehlerquellen ans Bein binden, die mit der Telefonie direkt nichts zu tun haben.


    Es gibt sicher Firmen, für die gewisse Services Kritisch sind, dann sollen sie die auch absichern aber nicht davon ausgehen, dass der Anbieter einer Telefonanlage hier eine eierlegende Wollmilchsau liefert. Dies hätte sicher Kosten zur Folge, die sich auch in den Lizenzen niederschlagen würden und als jemand, für den dieser Service nicht ganz so kritisch ist wäre ich auch nicht bereit einen höheren Preis zu bezahlen um anderen dann diese Absicherung mitzufinanzieren.


    Wie gesagt, gibt es Lösungen (bspw. Viprinet); dann muss ich halt entscheiden ob unter Berücksichtigung der Viprinet-Kosten diese Services noch immer kritisch sind.

    Gruss
    Thomas


    hertli ¦ IT
    hertli Informatik+Treuhand


    eMail: mail ( a t ) hertli.ch
    Internet: www.hertli.ch


    Virtuelle Rechenzentren (IaaS, PaaS) mit Standorten in CH + DE, Managed Services, Security

  • thomas.hertli


    Es geht darum das ein Internetservice (der für bestimmte Firmen sehr kritisch ist) über ein oder mehrere VPNs angeboten werden.
    Das ist auch im Enterpriseumfeld nicht unüblich (wenn auch meist nur als VPN-Failover und ohne Routingservice).


    Also wenn Du das möchtest, finden wir da sicherlich eine individuelle Lösung. Versprechen kann ich noch nichts, aber letztlich ist es meist eine Preisfrage... ;)
    Notwendig ist zusätzliche Hardware oder eine VM im STARFACE RZ und Hardware auf Kundenseite.
    Bei ernsthaftem Interesse mir also ruhig eine private Mail im Forum schicken.

  • Also wenn Du das möchtest, finden wir da sicherlich eine individuelle Lösung. Versprechen kann ich noch nichts, aber letztlich ist es meist eine Preisfrage...


    Oh gott, nein :D Sowas würde ich wenn nötige selber bauen, bevor ich eine dritte Instanz dazwischen haue :D Aber wenn ich eine Starface TK anbieten würde, dann würde ich so etwas meinen Kunden anbieten. Natürlich auch gegen Aufpreis.
    Aber ich nutze wenn möglich keine Cloud-Dienste, da ich wegen dem Datenschutz sowas immer lokal halten möchte.


    PS: Außerdem müsst Ihr euch auf das Privacy-Modul konzentrieren, damit das bis nächste Woche fertig ist. Ich will das ungern selber bauen. :D :D

  • Oh gott, nein :D Sowas würde ich wenn nötige selber bauen, bevor ich eine dritte Instanz dazwischen haue :D Aber wenn ich eine Starface TK anbieten würde, dann würde ich so etwas meinen Kunden anbieten. Natürlich auch gegen Aufpreis.
    Aber ich nutze wenn möglich keine Cloud-Dienste, da ich wegen dem Datenschutz sowas immer lokal halten möchte.


    PS: Außerdem müsst Ihr euch auf das Privacy-Modul konzentrieren, damit das bis nächste Woche fertig ist. Ich will das ungern selber bauen. :D :D


    :D Ja, daran wird fleißig gewerkelt.


    Was das Thema VPNs in die STARFACE-Cloud angeht, so ist das primär ein organisatorisches Thema. Es muß nur geklärt werden, dass der Betrieb einer separaten VM oder Hardware im selben RZ möglich wird. Und warum soll man sich da nicht einmieten können?
    Anschließend ist die eigene Cloud-Instanz nur noch ein/zwei Hops, innerhalb der lokalen Infrastruktur entfernt.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!