Posts by DanielW

    Meine Fresse (sorry) - ich habs.


    Der DNS Lookup SIP.Hans.Dampf hat mich nicht in Ruhe gelassen und mich daran erinnert das ich das Telefon zuerst so angelegt hatte und dann in lowercase (sip.hans.dampf) umbenannt habe. Das scheint wohl keine gute Idee zu sein.


    Also fix ein neues Telefon (sip.kallnapp) angelegt, dem User zugewiesen. zack feddisch.


    Also spezieller Dank an slu für den wink mit dem WireShark.

    Danke für die Tipps soweit! Also ich nehme mal VPN aus dem Setup um das auszuschliessen und habe diverse SIP clients im LAN, aber anderes VLAN installiert. Gleiches Ergebnis.

    Der tcpdump liefert aber interessantes, ich bin verwirrt, schliesse aber nicht aus was Grundlegendes nicht verstanden zu haben.


    Der SIP client ist registriert (grün in SF) als sip.hans.dampf auf host 192.168.1.26, SF hat die 192.168.10.2

    46.***.***.*** ist der SIP Trunk beim Provider, office.*****.de die DHCP search domain, 2nd level Domain DNS ist bei Cloudflare.


    Code
    No.    Time        Source            Destination     Protocol   Length  Info
    542    5.828586    46.***.***.***    192.168.10.2    SIP/SDP    1006    Request: INVITE sip:496119******99@192.168.10.2:5060 | 
    551    6.161933    192.168.10.2    192.168.1.1    DNS    76    Standard query 0x4620 A SIP.Hans.Dampf
    552    6.175102    192.168.1.1    192.168.10.2    DNS    151    Standard query response 0x4620 No such name A SIP.Hans.Dampf SOA a.root-servers.net
    553    6.175711    192.168.10.2    192.168.1.1    DNS    108    Standard query 0x24b6 A SIP.Hans.Dampf.office.*****.de
    554    6.192718    192.168.1.1    192.168.10.2    DNS    171    Standard query response 0x24b6 A SIP.Hans.Dampf.office.******.de SOA ***.ns.cloudflare.com
    555    6.307613    192.168.10.2    46.***.***.***    SIP    636    Status: 480 Temporarily unavailable | 
    556    6.323358    46.***.***.***    192.168.10.2    SIP    491    Request: ACK sip:496119*****99@192.168.10.2:5060 | 


    Wieso will die SF den DNS name vom SIP Telefon auflösen? Und wieso SIP.Hans.Dampf wenn das Telefon sip.hans.dampf heisst. 🤔

    Der SIP Trunk will direkt mit dem SIP client funken? NAT steht bei sip.hans.dampf auf ja.

    Frohes neues Jahr an die Community!


    Ich habe mich über die Feiertage mit UCC und SIP Clients beschäftigt, ich möchte gerne den einen oder anderen SIP Client via VPN an die SF anbinden aber scheitere gerade an dem Problem das der SIP Client sich anmelden kann, ausgehende Telefonie läuft aber eingehende Anrufe werden nicht signalisiert (Gesprächspartner z.Zt. nicht erreichbar)

    UCC ist (noch) keine Option da keine Premium-Lizenzen vorhanden sind und einfache SIP Clients die Anforderungen voll erfüllen würden.


    Ich habe lange das Forum durchstöbert, komme aber nicht weiter.


    Folgende Umgebung:

    • SF Appliance Version 6.7.3.22 mit einem ISDN Anlagenanschluss und einem SIP Trunk bei lokalem Anbieter, selbst erstelltes SIP Providerprofil. Ich konzentriere mich hier auf den SIP Anschluss da ISDN sehr bald abgeschaltet wird. v7 Upgrade ist in Planung.
    • getestete SIP Clients Zoiper 5 und Jitsi Desktop 2.10.5550, ich würde gerne bei letzterem bleiben.
    • Telefon Gerätetyp Standard SIP angelegt und erfolgreich mit SIP Client angemeldet und aktiv. Codec: alaw,ulaw; NAT Einstellungen: alle getestet.
    • Benutzer: Anklopfen aktiv, DND aus. SIP Telefon als primäres Telefon und primäre externe Nummer des SIP Anschlusses.
    • Sophos UTM Firewall, ANY Verbindungen freigegeben und im Log werden keine Verbindungen zwischen SIP Trunk, SF und SIP client geblockt gezeigt.

    Wie erwähnt ausgehende Telfonie geht, Gespräch wird mit +496119*****99 angezeigt und aufgebaut, Sprachkanal steht.


    Bei Rückruf auf die +496119*****99 kommt "Gesprächspartner z.Zt. nicht erreichbar" und im support log:


    Code
    [2023-01-01 17:52:42,315] [0438] ********* Call created *********
    [2023-01-01 17:52:42,316] [0438] Starting call routing : SIP/97d29d43e698dde-00000094|1672591962.265 dial number 496119*****99 CallerId   <00491577*******>
    [2023-01-01 17:52:42,324] [0438] Incoming call from line WitCom SIP(4566)
    [2023-01-01 17:52:42,326] [0438] Found extension on line WitCom SIP(4566) 00496119*****99
    [2023-01-01 17:52:42,421] [0438] Routing call "  <00491577*******>" to number 00496119*****99 over service UserService
    [2023-01-01 17:52:42,422] [0438] CallLeg 197b18f9-adc5-4d18-88a0-3cee56af385c
    [2023-01-01 17:52:42,614] [0438] Got dialstatus DialReturnCodes(hc=SUBSCRIBER_ABSENT, ds=CHANUNAVAIL, cr=UNKNOWN)
    [2023-01-01 17:52:42,625] [0438] SIP/97d29d43e698dde-00000094 Hangup Cause: Subscriber absent
    [2023-01-01 17:52:42,645] [0438] ********* Call finished *********


    Ich habe in der Rufnummern und Leitungskonfiguration so ziemlich jede Konfiguration der Rufnummern und Rufnummern-Normierung ausprobiert, ohne nennenswerte Erfolge.

    Erwähnenswert ist noch das die Leitung sofort funktioniert wenn ich ein auto-provisioniertes Yealink Endgerät dem Benutzer zuweise, aber auch dann wird dem SIP Client kein Anruf signalisiert.


    Vielleicht hat noch jemand einen Tipp in welche Richtung ich weiter forschen könnte?

    Anbei schnell ein Dump aus unserem internen WIKI, damit du vorwärts kommst...


    Dankeschön!
    Was im Büro auf einem beliebigen Lenovo noch funktioniert hat ging auf der Pro Appliance nicht mehr, beim laden von Anaconda hat sich die Anlage neu gestartet und ist wieder von USB hochgefahren.


    Ich habs dann einfach mit der 5.5 Beta und http://wiki.starface.de/index.php/Bootfähigen_USB-Stick_erstellen probiert.
    Funktioniert! Backup eingespielt und alles ist da. Und da man sogar telefonieren kann lass ich es erstmal so ,)


    Danke für die Unterstützung!

    Hi Stefan,


    danke dir.
    es gab leider keine Fehlermeldungen, die 4 (oder sind es 5?) Schritte des Updates liefen durch und es kam die Meldung das das Update erfolgreich installiert wurde, weiter zum Anmeldebildschirm, dann war ich ausgesperrt.
    Ich hab jetzt auf die Schnelle auch in den Updatelogs keine Fehlermeldungen gefunden, ich sicher die aber gerne mal.


    <edit>Dann bräuchte ich kurz eure Unterstützung wie ich das ISO (von dem"free" download?) am besten auf einen USB Stick bekommen, einfach entpacken und drauf?</edit>
    Das mit den bootbaren USB hab ich im Wiki selbst gefunden ,)

    Hallo zusammen,


    ich habe eben das Update 5.3.0.9 eingespielt, es ist erfolgreich durchgelaufen.
    Nun kann ich mich aber nicht mehr anmelden.... Das Webinterface sagt "Anmeldedaten fehlerhaft" mit mehreren Usern und schlimmer noch: ALLE Telefone haben keinen User mehr eingetragen und können nicht telefonieren.


    Ich klicke mich durch Wiki und Forum und werde versuchen ein Backup einzuspielen, geht das nach Update?


    SSH/root geht noch.


    Danke für jeden Tipp, Daniel

    Hallo zusammen,


    wir erleben seit einiger Zeit sporadische Neustarts unserer Anlage vor allem in den morgenstunden.
    Es ist eine Pro 4 SO mit der aktuellsten Software (keine Beta)


    Heute morgen als ich zur Analyse auf die Anlage gegangen bin ist es mir min. zum zweiten mal passiert das sich die Anlage neu startet kurz nachdem ich mit über das Webinterface (http, kein https) eingeloggt habe, ist aber auch schon vorgekommen das sich die Anlage mitten in der Nacht neu gestartet hat, das kann ich aus den Logfiles entnehmen. Tiefgreifende Änderungen gab es auf der Anlage und im LAN eine, ein Cisco ONPlus 100 Network Agent der alle Minute einen Ping an alle gemonitorten devices schickt, die Neustarts waren aber auch schon vorher zu beobachten.


    Nach dem Neustart heute bin ich die Logfiles durchgegangen. Der fand um 9:39h statt. Vor dem Neustart finden sich nicht viele aussagekräftige Meldungen ausser:


    trace.log
    [2013-04-24 09:37:52,999] INFO de.vertico.starface.manager.SessionManager I DO have the Administration-Right for account: 1002
    [2013-04-24 09:37:53,699] INFO de.vertico.starface.manager.SessionManager I DO have the Administration-Right for account: 1002




    warning.log - error.log - callmanager.log
    [2013-04-24 09:39:56,004] WARN de.vertico.starface.pbx.AsteriskManager AsteriskManager not connected. Skip sending action.
    [2013-04-24 09:39:56,005] WARN de.vertico.starface.pbx.AsteriskManager --------- last max 20 actions to asterisk ----------
    [2013-04-24 09:39:56,008] WARN de.vertico.starface.pbx.AsteriskManager Command: reload
    [2013-04-24 09:39:56,008] WARN de.vertico.starface.pbx.AsteriskManager ----------------------------------------------------
    [2013-04-24 09:40:07,556] WARN de.vertico.starface.pbx.AsteriskManager AsteriskManager not connected. Skip sending action.
    [2013-04-24 09:40:07,556] WARN de.vertico.starface.pbx.AsteriskManager --------- last max 20 actions to asterisk ----------
    [2013-04-24 09:40:07,557] WARN de.vertico.starface.pbx.AsteriskManager ----------------------------------------------------
    [2013-04-24 09:40:29,040] INFO de.vertico.starface.pbx.AsteriskManager Starting component...
    [2013-04-24 09:40:29,040] INFO de.vertico.starface.pbx.AsteriskManager -->> AsteriskManager Constructor called !
    [2013-04-24 09:40:29,383] INFO de.vertico.starface.pbx.AsteriskManager Registered MBean of component.
    [2013-04-24 09:40:29,383] INFO de.vertico.starface.pbx.AsteriskManager Component started.




    Das Command: reload macht mich etwas stutzig, ist das die Meldung zum Neustart?
    Welche logs kann ich noch sensibler einstellen um evtl. mehr Hinweise zu bekommen?
    Wie erwähnt habe ich eine gute chance den Fehler zu reproduzieren, ich muss mich nur einloggen....



    Danke für jeden Tipp, Daniel

    Danke für die zahlreichen Antworten.
    Ich hatte leider vergessen zu erwähnen das wir über ISDN rausgehen, ich habe jetzt erstmal bei unserem Provider (städtischer Provider) angefragt ob es in dem Zeitraum verdächtige ISDN Verbindungen gab, die Antwort kam gerade parallel. Puh, es gab keine Verbindungen!





    Stimmt, ist merkwürdig aber die statistiken sagen mir das so: 31.2kB in - 2.1GB out.
    Dei 31.2kB werden die Attacke gewesen sein bis iptables dicht gemacht hat.
    TopServicesByClient_2013-03-11_11-37-00_OIsoiW.pdf


    Quote


    Bitte wiederlege meinen Verdacht, indem du einen Dienste-Neustart durchführst. Dabei werden dir zur Information laufende gespäche (live!) angezeigt. Dabei kannst du gleichzeitig auch Log-Files an unseren Support versenden, dann können dieser dabei helfen aus den Logs mehr Information herauszulesen - sofern diese nicht übergelaufen sind.


    Keine offnen Verbindungen, logfiles habe ich durchgeschickt.

    Quote


    Beim Diensteneustart werden alle laufende Gespräche getrennt, bitte gehe sicher, daß die IP auch dauerhaft geblockt wird - am besten direkt in der Firewall. Wenn das wirklich ein erfolgreicher Angriff war, wäre mir das Vorgehen total neu, das Prinzip würde mich interessieren, um unseren Security-Advisor weiter zu verbessern.



    Ja, ich stelle um auf VPN (L2TP/IPsec, kein PPTP)
    derzeit ist die starface von aussen ganz offline.


    Quote


    DanielW: Mach dir keine Sorgen, fahre einmal eine Auswertung der tatsächlichen Rufe der Anlage und schau ob überhaupt ein Ruf ausgeführt wurde. Darüber hinaus unterstützt Starface überhaupt kein SIP via TCP, insofern passt da irgendwas in der Auswertung nicht. Bist du sicher, dass der Verkehr deines Graphen nicht "Outbound" Richtung deiner Starface visualisiert? Der Verkehr aus dem Netz hört ja nicht dadurch auf, dass die Starface die lokale Firewall hochzieht. Der Verkehr hält für die Dauer der Attacke an, wird jedoch nicht mehr in Starface verarbeitet.


    Was die (ISDN) Verbindungen angeht entwarnung, der Traffic ging über UDP (siehe Attachment). Schade das ich wohl nicht mehr rausfinden kann was für eine Attacke da gefahren wurde die die Anlage, oder auch die Astaro, wohl veranlasst hat 8h UDP traffic zu schicken. Aber in Zukunft tcpdumps mitzuschreiben werde ich mir wohl auch nicht leisten können.


    Naja, lesson learned.
    Die starface wird jetzt nur noch über VPN erreichbar sein, schon richtig das das die best practice ist.
    Nutzen will ich das tatsäschlich für SIP clients auf iOS, jetzt muss ich halt die kollegen bitten erst eine VPN verbindung aufzubauen, Security vs. Usability, das alte Thema.

    Hallo,


    wir haben unsere Starface nach aussen für SIP offen und da ist man es ja schon gewohnt mehrmals am Tag attackiert zu werden, die auto-blacklist macht ihren job.
    Nach einer gestrigen SIP Attacke aus den USA bin ich aber stutzig geworden:


    um 4.16 Uhr wurde der Angreifer geblockt.
    [2013-03-09 04:16:14,235] INFO de.vertico.starface.helpers.SystemUtils Invoking script: iptables -A ATTACKER-DETECTION -s 72.9.109.50 -j DROP

    in unserer Firewall macht sich danach jedoch ein Traffic über 8h und insg. 2.1GB bemerkbar, alles über port 5060/tcp, outbound, zu der geblockten IP. 700k im Schnitt ist auch eine ganze Menge für SIP.
    itfusage_eth2.10_daily.png



    Ich hatte natürlich erstmal schnappatmung und kurz panik vor der nächsten rechnung aber in der Statistik-Auswertung habe ich keine geführten Telefonate/Faxe finden können.


    Frage: gibt es noch weitere interessante logfiles in der Starface in denen ich mehr über dieses Attacke rausfinden könnte?
    Ich werde das zum Anlass nehmen den Zugriff von aussen auf deutsche IPs zu beschränken aber vielleicht hat ja sonst noch jemand tipps?


    Beste Grüße, Daniel

    Danke für die fundierte Antwort.
    Kann man denn einschätzen in welcher Preisspanne das S510 Pro liegt?
    Mein Bedarf hier ist wirklich der simpelste, Anrufe annehmen und tätigen, über 2 - 3 N510 Basen hinweg, ohne Handover.
    Wenn das S810 in Zukunft noch telefonie unterstützen wird wären es genau diese ~60€ die ich investieren könnte.

    Ich glaube ich habe mir ein falsches Setup zugelegt.


    Kann es sein das das E49H sich nicht an mehreren Basisstationen anmelden kein, sprich kein Roaming beherrscht?


    Ich habe hier 3 N510 IP Pro und 5x E49H an einer Starface PBX hängen und bekomme es nicht hin das sich ein Handset automatisch an Basis 2 meldet. Handover ist hierbei unwichtig.


    Vielleicht hilft mir der Repeater-Mode mit dem ich 2 der 3 N510 zu repeatern machen könnte?


    Danke für jeden Tipp, Daniel