Telekom SIP-Trunk registriert sich nicht mehr

[bitn2]

Ach ja, beim Registrar bitte die Erkennung auf automatisch setzen (also den Haken rein)

 

[alex303]

Versuch mal nslookup -query=srv _sip._tcp.tel.t-online.de und nslookup -query=srv _sip._udp.tel.t-online.de. Was spuckt der da aus?

root@3cx:~# nslookup tel.telekom.de
Server:         192.168.40.254
Address:        192.168.40.254#53

Non-authoritative answer:
*** Can't find tel.telekom.de: No answer

root@3cx:~# nslookup -query=srv _sip._tcp.tel.t-online.de
Server:         192.168.40.254
Address:        192.168.40.254#53

Non-authoritative answer:
_sip._tcp.tel.t-online.de       service = 30 0 5060 hno002-l01-mav-pc-rt-001.edns.t-ipnet.de.
_sip._tcp.tel.t-online.de       service = 10 0 5060 hno003-l01-mav-pc-rt-001.edns.t-ipnet.de.
_sip._tcp.tel.t-online.de       service = 20 0 5060 nes008-f01-mav-pc-rt-001.edns.t-ipnet.de.

Authoritative answers can be found from:

root@3cx:~# nslookup -query=srv _sip._udp.tel.t-online.de
Server:         192.168.40.254
Address:        192.168.40.254#53

Non-authoritative answer:
_sip._udp.tel.t-online.de       service = 30 0 5060 hno002-l01-mav-pc-rt-001.edns.t-ipnet.de.
_sip._udp.tel.t-online.de       service = 20 0 5060 nes008-f01-mav-pc-rt-001.edns.t-ipnet.de.
_sip._udp.tel.t-online.de       service = 10 0 5060 hno003-l01-mav-pc-rt-001.edns.t-ipnet.de.

Authoritative answers can be found from:

root@3cx:~#

In den DHCP Einstellungen hatte ich 3cx eine feste IP gegeben, dort habe ich jetzt die DNS 217.0.43.113 (laut Google DNS der Telekom) eingetragen. Aber Ergebnis ist immer noch nicht besser.

 

[alex303]

Ach ja, beim Registrar bitte die Erkennung auf automatisch setzen (also den Haken rein)

Wo findet man das?

 

[bitn2]

Wo findet man das?

Ach ja, du bist ja auf der v20.... Gar nicht.


Ich hab mir das Template noch mal angeschaut, das könnte auch ein Problem sein. An der Stelle muss das eigentlich auf UDP stehen:

 

[alex303]

Ich hab mir das Template noch mal angeschaut, das könnte auch ein Problem sein. An der Stelle muss das eigentlich auf UDP stehen

Und nun?
Ist denn der DNS Server der Telekom 217.0.43.113 richtig?

 

[bitn2]

Und nun?
Ist denn der DNS Server der Telekom 217.0.43.113 richtig?

Über die SRV Records sollte das auch mit zb 8.8.8.8 gehen. Schau mal ob du den Trunk exportieren kannst, dann dort auf UDP oder ANY ändern und wieder importieren.

 

[alex303]

Sieht so aus:

<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<doc>
  <header>
    <name>XXXX</name>
    <time>2024-02-27T15:53:53.0162846Z</time>
    <template>
      <!--Do not change this field-->telekomcallandsurf.pv.xml</template>
    <type>
      <!--Do not change this field-->gateway-template</type>
  </header>
  <data>
    <device>
      <field name="Name">XXXX</field>
      <type>provider</type>
      <manufacturer></manufacturer>
      <model>provider</model>
      <field name="RegistrarHost">tel.t-online.de</field>
      <field name="RegistrarPort">0</field>
      <field name="ProxyHost"></field>
      <field name="ProxyPort">5060</field>
      <field name="IpInContactReg">1</field>
      <field name="TimeBetweenRegistration">500</field>
      <field name="SecondaryRegistrar"></field>
      <field name="IPRestriction">ANY</field>
      <field name="TransportRestriction">UDP</field>
      <field name="RequireAuthFor">4</field>
      <field name="IpInContactRegValue"></field>
      <field name="RegistrarInvite">0</field>
      <field name="IsSupportReinvite">0</field>
      <field name="IsSupportReplaces">0</field>
      <field name="DisableVideo">0</field>
      <field name="SRTPMode">0</field>
      <field name="IsBindToMS">1</field>
      <codecs>
        <codec rfcname="PCMA" />
        <codec rfcname="G722" />
      </codecs>
      <field name="ParameterIn" custom="" parameter="FromUserPart">$CallerNum</field>
      <field name="ParameterIn" custom="" parameter="FromUserPart">$CallerName</field>
      <field name="ParameterIn" custom="" parameter="ToUserPart">$CalledNum</field>
      <field name="ParameterOut" custom="" parameter="RequestLineURIUser">$CalledNum</field>
      <field name="ParameterOut" custom="" parameter="RequestLineURIHost">$GWHostPort</field>
      <field name="ParameterOut" custom="" parameter="ContactUser">$LineNumber</field>
      <field name="ParameterOut" custom="" parameter="ContactHost">$ContactUri</field>
      <field name="ParameterOut" custom="" parameter="ToUserPart">$CalledNum</field>
      <field name="ParameterOut" custom="" parameter="ToHostPart">$GWHostPort</field>
      <field name="ParameterOut" custom="" parameter="FromDisplayName">$CustomField</field>
      <field name="ParameterOut" custom="" parameter="FromUserPart">$LineNumber</field>
      <field name="ParameterOut" custom="" parameter="FromHostPart">$GWHostPort</field>
    </device>
  </data>
</doc>

 

[bitn2]

Das sieht erstmal gut aus, dann hast du irgend ein anderes Problem. Verpasse der 3CX mal den Google DNS und starte die Kiste dann mal neu.

 

[alex303]

Opnsense und 3cx neu gestartet:

root@3cx:~# nslookup tel.t-online.de
Server:         192.168.40.254
Address:        192.168.40.254#53

Non-authoritative answer:
*** Can't find tel.t-online.de: No answer

root@3cx:~#

 

[mbehrens]

Ist denn der DNS Server der Telekom 217.0.43.113 richtig?

Vielleicht. Genaues zeigt das PPPoE Einwahlprotokoll.

 

[mbehrens]

In den DHCP Einstellungen hatte ich 3cx eine feste IP gegeben, dort habe ich jetzt die DNS 217.0.43.113 (laut Google DNS der Telekom) eingetragen. Aber Ergebnis ist immer noch nicht besser.

Ist dies denn auf der Firewall erlaubt? Das würde ich sicherheitstechnisch als Fehlkonfiguration ansehen.

 

[mbehrens]

Was muss denn da wie eingeben werden?
Ich tu mir da noch sehr schwer.
Muss das in meinen Fall in AdGuard eingerichtet werden, oder wahlweise in opnsense?

Auch ein interessanter Ansatz. Ich setzte im Netz Software ein, die ich in keinster Weise beherrsche und wundere mich, dass nichts richtig funktioniert.

 

[dj-melo]

root@3cx:~# nslookup tel.telekom.de
Server:         192.168.40.254
Address:        192.168.40.254#53

Non-authoritative answer:
*** Can't find tel.telekom.de: No answer

root@3cx:~# nslookup -query=srv _sip._tcp.tel.t-online.de
Server:         192.168.40.254
Address:        192.168.40.254#53

Non-authoritative answer:
_sip._tcp.tel.t-online.de       service = 30 0 5060 hno002-l01-mav-pc-rt-001.edns.t-ipnet.de.
_sip._tcp.tel.t-online.de       service = 10 0 5060 hno003-l01-mav-pc-rt-001.edns.t-ipnet.de.
_sip._tcp.tel.t-online.de       service = 20 0 5060 nes008-f01-mav-pc-rt-001.edns.t-ipnet.de.

Authoritative answers can be found from:

root@3cx:~# nslookup -query=srv _sip._udp.tel.t-online.de
Server:         192.168.40.254
Address:        192.168.40.254#53

Non-authoritative answer:
_sip._udp.tel.t-online.de       service = 30 0 5060 hno002-l01-mav-pc-rt-001.edns.t-ipnet.de.
_sip._udp.tel.t-online.de       service = 20 0 5060 nes008-f01-mav-pc-rt-001.edns.t-ipnet.de.
_sip._udp.tel.t-online.de       service = 10 0 5060 hno003-l01-mav-pc-rt-001.edns.t-ipnet.de.

Authoritative answers can be found from:

root@3cx:~#

Anhang anzeigen 14323
In den DHCP Einstellungen hatte ich 3cx eine feste IP gegeben, dort habe ich jetzt die DNS 217.0.43.113 (laut Google DNS der Telekom) eingetragen. Aber Ergebnis ist immer noch nicht besser.

sieht bei mir auf V20 absolut identisch aus aber Telefonie funkt. Ich würde hier ein DNS-Problem ausschließen. @alex303 schau aber der Vollständigkeithalber mal unter https://blog.vulnifo.com/2021/07/03/split-dns-opnsense/ und https://forum.opnsense.org/index.php?topic=23089.0

DJ

 

[alex303]

Bin jetzt einen Schritt weiter:

root@3cx:~# nslookup tel.t-online.de
Server:         192.168.40.254
Address:        192.168.40.254#53

Name:   tel.t-online.de
Address: 192.168.40.222

Jedoch springt der SIP Trunk immer von registriert in unregistriert.

Mögliche Ursachen: Das Ziel (sip:217.0.147.197:5060;lr) ist nicht erreichbar, bei der FQDN-Auflösung ist ein DNS-Fehler aufgetreten oder der Dienst ist nicht verfügbar.

Firewall Test ist auch OK:

resolving 'stun-eu.3cx.com'... done
resolving 'stun2.3cx.com'... done
resolving 'stun3.3cx.com'... done
resolving 'sip-alg-detector.3cx.com'... done
testing 3CX PhoneSystem 01 SIP Server... done
stopping service... done
detecting SIP ALG... not detected
testing port 5060... done
starting service... done
testing 3CX PhoneSystem Media Server... done
stopping service... done
testing port 5090... done
testing ports [9000..9398]... done
testing port 9000... done
testing port 9002... done
testing port 9004... done
testing port 9006... done
testing port 9008... done
testing port 9010... done
testing port 9012... done
testing port 9014... done
testing port 9016... done
testing port 9018... done
testing port 9020... done
testing port 9022... done
testing port 9024... done
testing port 9026... done
testing port 9028... done
testing port 9030... done
testing port 9032... done
testing port 9034... done
testing port 9036... done
testing port 9038... done
testing port 9040... done
testing port 9042... done

 

[alex303]

Ich habe mal eine Nummer neu eingerichtet, dann kommt diese Meldung:

sip:[email protected];transport=TCP hat geantwortet: 403 Forbidden; from IP:217.0.147.133:5060

Die anderen Nummer die drin waren sind grün, aber telefonieren geht nicht.

 

[mbehrens]

Bin jetzt einen Schritt weiter:

root@3cx:~# nslookup tel.t-online.de
Server:         192.168.40.254
Address:        192.168.40.254#53

Name:   tel.t-online.de
Address: 192.168.40.222

Irgendwie überhaupt nicht. Die Namensauflösung ist kaputt. Wie kann da eine RFC 1918 Adresse herauskommen?
Oder gibt es doch einen SBC/SIP Proxy?

 

[alex303]

So sieht es aktuell bei der 3cx aus:

root@3cx:~# nslookup google.de 8.8.8.8
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
Name:   google.de
Address: 216.58.206.35
Name:   google.de
Address: 2a00:1450:4001:81c::2003

root@3cx:~# nslookup tel.t-online.de 8.8.8.8
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
*** Can't find tel.t-online.de: No answer

und so sieht es im Windows aus:

C:\Windows\System32>nslookup google.de 8.8.8.8
Server:  dns.google
Address:  8.8.8.8

Nicht autorisierende Antwort:
Name:    google.de
Addresses:  2a00:1450:4001:81c::2003
          216.58.206.35


C:\Windows\System32>nslookup tel.t-online.de 8.8.8.8
Server:  dns.google
Address:  8.8.8.8

Name:    tel.t-online.de

Keine Ahnung wo hier der Fehler liegt, AdGuard habe ich schon ausgeschaltet und nur mit Unbound probiert.
Da ist kein Unterschied.

 

[alex303]

Versuch mal nslookup -query=srv _sip._tcp.tel.t-online.de und nslookup -query=srv _sip._udp.tel.t-online.de. Was spuckt der da aus?

Das hier auch unter 3cx:

root@3cx:~# nslookup -query=srv _sip._tcp.tel.t-online.de
Server:         192.168.40.254
Address:        192.168.40.254#53

Non-authoritative answer:
_sip._tcp.tel.t-online.de       service = 20 0 5060 nes008-f01-mav-pc-rt-001.edns.t-ipnet.de.
_sip._tcp.tel.t-online.de       service = 10 0 5060 hno003-l01-mav-pc-rt-001.edns.t-ipnet.de.
_sip._tcp.tel.t-online.de       service = 30 0 5060 hno002-l01-mav-pc-rt-001.edns.t-ipnet.de.

Authoritative answers can be found from:

root@3cx:~#
root@3cx:~# nslookup -query=srv _sip._udp.tel.t-online.de
Server:         192.168.40.254
Address:        192.168.40.254#53

Non-authoritative answer:
_sip._udp.tel.t-online.de       service = 30 0 5060 hno002-l01-mav-pc-rt-001.edns.t-ipnet.de.
_sip._udp.tel.t-online.de       service = 20 0 5060 nes008-f01-mav-pc-rt-001.edns.t-ipnet.de.
_sip._udp.tel.t-online.de       service = 10 0 5060 hno003-l01-mav-pc-rt-001.edns.t-ipnet.de.

Authoritative answers can be found from:

und unter Windows:

C:\Windows\System32>nslookup -query=srv _sip._tcp.tel.t-online.de
Server:  OPNsense
Address:  192.168.40.254

heinen.net
        primary name server = ns10.webreus.net
        responsible mail addr = zonemaster.heinen.net
        serial  = 2023011601
        refresh = 10800 (3 hours)
        retry   = 3600 (1 hour)
        expire  = 604800 (7 days)
        default TTL = 3600 (1 hour)

C:\Windows\System32>
C:\Windows\System32>nslookup -query=srv _sip._udp.tel.t-online.de
Server:  OPNsense
Address:  192.168.40.254

heinen.net
        primary name server = ns10.webreus.net
        responsible mail addr = zonemaster.heinen.net
        serial  = 2023011601
        refresh = 10800 (3 hours)
        retry   = 3600 (1 hour)
        expire  = 604800 (7 days)
        default TTL = 3600 (1 hour)

 

[fxbastler]

So sieht es aktuell bei der 3cx aus:

root@3cx:~# nslookup google.de 8.8.8.8
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
Name:   google.de
Address: 216.58.206.35
Name:   google.de
Address: 2a00:1450:4001:81c::2003

root@3cx:~# nslookup tel.t-online.de 8.8.8.8
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
*** Can't find tel.t-online.de: No answer

und so sieht es im Windows aus:

C:\Windows\System32>nslookup google.de 8.8.8.8
Server:  dns.google
Address:  8.8.8.8

Nicht autorisierende Antwort:
Name:    google.de
Addresses:  2a00:1450:4001:81c::2003
          216.58.206.35


C:\Windows\System32>nslookup tel.t-online.de 8.8.8.8
Server:  dns.google
Address:  8.8.8.8

Name:    tel.t-online.de

Keine Ahnung wo hier der Fehler liegt, AdGuard habe ich schon ausgeschaltet und nur mit Unbound probiert.
Da ist kein Unterschied.

Ist völlig korrekt so.

Das hier auch unter 3cx:

root@3cx:~# nslookup -query=srv _sip._tcp.tel.t-online.de
Server: 192.168.40.254
Address: 192.168.40.254#53

Non-authoritative answer:
_sip._tcp.tel.t-online.de service = 20 0 5060 nes008-f01-mav-pc-rt-001.edns.t-ipnet.de.
_sip._tcp.tel.t-online.de service = 10 0 5060 hno003-l01-mav-pc-rt-001.edns.t-ipnet.de.
_sip._tcp.tel.t-online.de service = 30 0 5060 hno002-l01-mav-pc-rt-001.edns.t-ipnet.de.

Authoritative answers can be found from:

root@3cx:~#
root@3cx:~# nslookup -query=srv _sip._udp.tel.t-online.de
Server: 192.168.40.254
Address: 192.168.40.254#53

Non-authoritative answer:
_sip._udp.tel.t-online.de service = 30 0 5060 hno002-l01-mav-pc-rt-001.edns.t-ipnet.de.
_sip._udp.tel.t-online.de service = 20 0 5060 nes008-f01-mav-pc-rt-001.edns.t-ipnet.de.
_sip._udp.tel.t-online.de service = 10 0 5060 hno003-l01-mav-pc-rt-001.edns.t-ipnet.de.

Authoritative answers can be found from:

Das ist auch völlig korrekt so.

Die Windows Antwort direkt darunter nicht. Das passt wieder gar nicht.

Das was du weiter oben geschrieben hast und @mbehrens bemängelt hat ist auch wieder ein anderes Ergebnis. Das kann und darf so nicht sein, auch nicht als einmaliger Ausrutscher. Was verbirgt sich denn hinter dieser ominösen IP 192.168.40.222 bei dir?

Unterm Strich kann ich sagen: wir haben fast überall pfSense mit aktiviertem pfBlockerNG vor unseren 3CX, auch vor denen mit irgendwelchen Telekom SIP Trunk und das funktioniert mehr oder weniger problemlos. Zumindest so lange, bis die Telekom mal wieder am Anschluss oder am Vertrag rumspielt. Dann dürfen wir auch immer mal kurz nachsetzen, tlw. die Parameter einmal hin- und zurücksetzen. Das kommt i.d.R. nur an Anschlüssen mit dyn. IP vor.

Ich hatte zeitweilig auch opnSense testweise im Einsatz, habe aber aufgegeben. Immerhin habe ich es versucht und mir über mehrere Wochen hinweg wirklich Mühe damit gegeben. Aber das kommt mittel- oder gar langfristig absehbar nicht zum Einsatz. Das nervt zu sehr, das UI kann einiges nicht, der haProxy ist tlw. richtig daneben und: pfBlockerNG fehlt und es gibt keinen Ersatz dafür. Adblock bringt das lange nicht.

 

[alex303]

Was verbirgt sich denn hinter dieser ominösen IP 192.168.40.222 bei dir?

Das ist die IP der 3cx.