Problemen met registeren SIP TRUNK Mitel centrale - Serversoftware en clouddiensten

donderdag 28 augustus 2014 14:03

Acties:

Topicstarter

Hallo Experts,

Wij zijn hier al 2 dagen bezig om een SIP trunk registred te krijgen bij ONEXS.

Ondertussen 4 verschillende firewalls geprobeert, maar de Mitel blijft komen met de melding:

Incoming Message Discarded(Ignored) - UATK Ip address mismatch in topmost Via header; StkErrCode: 2016

Situatie is dus LAN firewall WAN zonder speciale VPN's of andere VLANS.

Zelf hebben wij een CISCO ASA firewall, maar ook al geprobeerd met diverse andere routers.

ONEXS zegt dat bij hun alles goed staat, en hun hebben onze trunk getest met een andere mitel centrale.

Op onze CISCO staat AL het verkeer naar buiten toe open, dat geeft dus geen probleem.

Als ik monitor zie ik ook op poort 5060 richting ip adress van ONEXS activiteit en vice versa, en er wordt niets geblockt.

[ Voor 23% gewijzigd door Grolsch op 28-08-2014 14:11 ]

PVOUPUT - 13.400WP - Twente

donderdag 28 augustus 2014 14:54

Acties:

mbaltus

En hoe zijn de instellingen op de PBX dan? wellicht is het helemaal geen firewall probleem, maar staat er iets niet goed geconfigureerd in de PBX. Als ik de foutmelding lees, lijkt het eerder dat daar iets mis zit dan dat er verkeer geblokkeerd wordt.

The trouble with doing something right the first time is that nobody appreciates how difficult it is

donderdag 28 augustus 2014 15:36

Acties:

KoeKk

Als je NAT gebruikt tussen je LAN en WAN: staat dit gedefinieerd in je centrale en/of staat de SIP ALG aan of uitgeschakeld in de firewall?

Hiermee spelen kan wel eens helpen, sommige firewalls zijn zo slim om in SIP pakketjes de IP adressen zelf te vertalen naar de NAT IP adressen die geconfigureerd zijn op de firewall. Dit kan wel eens spannende effecten hebben

donderdag 28 augustus 2014 15:59

Acties:

Grolsch

Topicstarter

@KoeKk, ik snap niet precies wat je bedoeld.

Er wordt inderdaad NAT gebruikt. Waar zou ik in mijn firewall SIP ALG aan of uit kunnen zetten

Wij hebben een CISCO ASA5505.

Volgens de "Mitel" expert wordt de SIP verbinding van binnen naar buiten opgebouwd en zou je geen "port forwarding" van buiten naar binnen hoeven toe te passen.

Ik heb wel in de instelling van Service Policy Rules de inspection default aangepast zodat SIP niet geinspecteerd wordt (dit stond wel aan namelijk, en dat werkte ook niet).

Ik kan daar van alles instellen, maar zou niet weten wat verstandig is, zie onderstaand screenshot

Afbeeldingslocatie: http://i60.tinypic.com/2bu1wm.jpg

Afbeeldingslocatie: http://i60.tinypic.com/2bu1wm.jpg

Afbeeldingslocatie: http://i58.tinypic.com/20tflvt.jpg

PVOUPUT - 13.400WP - Twente

donderdag 28 augustus 2014 16:27

Acties:

KoeKk

Ik heb geen idee wat je zou precies moet aanpassen, ik ken Cisco / ASA's alleen zijdelings, ik kom zelf uit de Juniper hoek. Als ik zo kijk staat SIP uit en daar zou ik eens mee spelen (= zet hem eens aan en kijk wat er gebeurd, check een voor een als de configure instellingen), En check ook in je centrale of daar iets ingesteld staat op NAT gebied.

Wat er wel eens mis kan gaan met een firewall en NAT/ALG's:
Stel je hebt een static nat naar je VOIP PABX: je firewall vertaald van IP 1.1.1.10 naar 192.168.1.10 (En omgekeerd).
Je hebt een FW rule aangemaakt die verkeer IN en UIT toestaat naar je centrale. Je firewall is slim genoeg om te herkennen dat er SIP verkeer langs komt en neemt de beslissing om de genoemde IP adressen en TCP/UDP poorten in de SIP pakketjes te vertalen. Je firewall maakt alvast pinholes (Tijdelijke firewall rules) in je firewall om SIP verkeer toe te staan (Omdat SIP dynamisch poorten toewijst voor aparte SIP sessies) (Dit is in de basis wat een ALG doet).

Deze ALG stappen gaan soms mis, en dan kan je behoorlijk wat vage issues krijgen op VOIP sessies/trunks. Bij mij ging het zelfs een keer zo dat mijn provider verkeer zag binnenkomen waarin gevraagd werd een SIP sessie op te zetten naar mijn interne IP adressen.

Vanwege die SIP foutmelding die je noemt dacht ik gelijk hieraan

. Nu weet ik verder niets van SIP inhoudelijk, en ik vind ook helemaal niets op de foutmelding die je post.

vrijdag 29 augustus 2014 07:46

Acties:

Grolsch

Topicstarter

Die setting (SIP) stond default aan en toen werkte het niet.

Even terug naar de basis.

Private network = 192.168.100.0/24
IP Adres Mitel = 192.168.100.35
IP Adres Cisco = 192.168.100.10 (gateway voor de rest dus)

Public IP range = *.*.*.161/28

Het IP adres waarop al het verkeer naar buiten gaat = *.*.*.163 met als gateway *.*.*.161. (aan de WAN kant)

Ik heb geprobeerd een "Public Server" aan te maken op de cisco met als extern ip *.*.*.165 welke SIP (zowel UDP als TCP) doorstuurt naar 192.168.100.35.

Dit werkte ook, want als ik vanaf "buiten" een telnet sessie opzet naar poort 5060 kreeg ik SIP reacties terug van de Mitel.

Nu heb ik 0,0 verstand van die Mitel, daar was Mr. Mitel voor op bezoek.
Hij geeft aan dat de Mitel van binnen naar buiten SIP opbouwt, en dat je eigenlijk geen eens een public server op de firewall hoeft aan te maken, je moet alleen SIP verkeer van binnen naar buiten toestaan.
Nu is op onze firewall alles toegestaan van binnen naar buiten, dus dat kan het ook niet zijn.

Uiteindelijk gisteravond een andere router buiten de CISCO ingesteld met als public IP *.*.*.165 en als intern IP 192.168.100.12.

Vervolgens op de Mitel de gateway aangepast naar 192.168.100.12.
Toen werkte het wel

Maar konden we de partij van de buitenlijn niet horen. De buitenlijn hoort mij wel.

Omdat het al laat begon te worden en we ondertussen al 1,5 dag geen normale telefoonlijn meer hadden heeft hij uiteindelijk een MBG (mitel border gateway) ingericht, en nu werkt het wel, maar ik wil eigenlijk geen MBG, maar dat het gewoon werkt

PVOUPUT - 13.400WP - Twente

vrijdag 29 augustus 2014 09:21

Acties:

mbaltus

Ik zou op de ASA de SIP inspectie in principe aanzetten, zodat de firewall ook weet welke RTP flow er gebruikt wordt. De "public server" (ik neem aan een NAT rule) zou ik verwijderen. Te meer omdat je verkeer afhankelijk van hoe je de NAT rule geconfigureerd hebt, je server naar buiten toe nu misschien een ander IP heeft als naar binnen toe en de RTP stroom dus mis gaat. (tenzij in je NAT regel AL het verkeer vanaf de server getransleerd wordt)

The trouble with doing something right the first time is that nobody appreciates how difficult it is

vrijdag 29 augustus 2014 10:30

Acties:

Grolsch

Topicstarter

Ik had op de ASA SIP inspectie aanstaan, maar het werkte niet.
De public server (wat inhoud dat er NAT rules + ACL wordt aangemaakt) heb ik ook verwijderd, en het werkt nog niet..

PVOUPUT - 13.400WP - Twente

vrijdag 29 augustus 2014 11:26

Acties:

mbaltus

dan ben ik wel eens benieuwd naar de ASA debugs. Kun je een
debug sip
debug sip ha

geven en laten zien wat de output is als je probeert te registreren?

The trouble with doing something right the first time is that nobody appreciates how difficult it is

vrijdag 29 augustus 2014 11:57

Acties:

Grolsch

Topicstarter

Ik heb mr. Mitel gevraagd om mij uit te leggen wat ik in de Mitel moet doen om het weer te wijzigen zodat het verkeer weer via de CISCO loopt.

Zal wel as. weekend of volgende week worden voordat ik kan testen, omdat bij een gateway wijziging op de Mitel de centrale gereboot moet worden.

PVOUPUT - 13.400WP - Twente

woensdag 10 september 2014 07:51

Acties:

Grolsch

Topicstarter

Nu ondertussen bijna 2 weken verder en ik heb gisteren getest.

Situatie op dit moment.

LAN netwerk = 192.168.100.*/24
Gateway = CISCO = LAN IP 192.168.100.10

Mr. Mitel heeft een MBG ingezet welke buiten de CISCCO om gaat, en rechtstreeks aan de WAN zit met een eigen public IP. Intern heeft deze MBG LAN ip 192.168.100.12

Mr. Mitel heeft mij uitgelegd dat ik onderstaande moet veranderen.

Onder trunks>SIP>SIP Peer profile:

Tabje basic Outbound proxy server MBG uitschakelen.
Afbeeldingslocatie: http://i58.tinypic.com/2nq5izp.jpg

Afbeeldingslocatie: http://i58.tinypic.com/2nq5izp.jpg

Onder "key press event" onderstaande settings.
Afbeeldingslocatie: http://i60.tinypic.com/sovnkj.jpg

Als ik dit doe dan zie ik op mijn CISCO onder monitoring SIP verkeer langs komen van 192.168.100.35, maar toch werkt het niet.

ALs ik onder maintenance Commands het commando sip link state all geef krijg ik een melding terug "not registred"

Als ik in de LOG files van de Mitel krijg zie ik dit gebeuren:

code:

Log Type  Software 
Log Number  2817 
Severity  Warning 
Date  2014/Sep/09 
Time  21:24:16 
Source  SSP 
Description  [sid=122581a8,cid=43] Incoming Message Discarded(Ignored) - UATK Ip address mismatch in topmost Via header stkErrCode No errorMAJOR:sdf_fn_uaCheckMessageValidity(): Error In validating the Via address ; StkErrCode: 2016 
Module  Main 
File Name and Line Number  SSPNWProcMsg.cpp;2450

@Mbaltus, kan ik die commands ook in de CISCO ASDM geven? of moet dat via telnet

Nu kan ik in de CISCO van alles in stellen, maar ik ben er niet zo happig op om lukraak %random% setting te proberen.

Uiteindelijk maar weer de MBG ingesteld, en nu kunnen we weer bellen, maar dit moet ook zonder MBG kunnen werken.

[ Voor 6% gewijzigd door Grolsch op 10-09-2014 07:52 ]

PVOUPUT - 13.400WP - Twente

donderdag 11 september 2014 10:00

Acties:

Grolsch

Topicstarter

mbaltus schreef op vrijdag 29 augustus 2014 @ 11:26:
dan ben ik wel eens benieuwd naar de ASA debugs. Kun je een
debug sip
debug sip ha

geven en laten zien wat de output is als je probeert te registreren?

als ik deze commando's in een telnet sessie geef krijg ik een error

PVOUPUT - 13.400WP - Twente

vrijdag 12 september 2014 11:18

Acties:

mbaltus

en je zit dan wel in enable mode (en niet in conf mode of unpriviliged mode)?

dus prompt als
asa#

en niet
asa>
of
asa(conf)#

The trouble with doing something right the first time is that nobody appreciates how difficult it is

vrijdag 12 september 2014 11:28

Acties:

tlpeter

Met mbg werkt het en via Cisco niet.
Op de Cisco moet je in en uitgaand verkeer toestaan.
SIP is een rx/tx spelletje.

vrijdag 12 september 2014 12:08

Acties:

Grolsch

Topicstarter

Uitgaand verkeer is toegestaan, er is zelfs geen enkele beperking op uitgaand verkeer.

Volgens de geleerden zou je voor SIP geen rules van buiten naar binnen aan hoeven maken.

Zoals aangegeven heb ik dat zelfs ook al geprobeerd, maar dat werkte ook niet.

[ Voor 50% gewijzigd door Grolsch op 12-09-2014 12:10 ]

PVOUPUT - 13.400WP - Twente

vrijdag 12 september 2014 12:12

Acties:

Grolsch

Topicstarter

mbaltus schreef op vrijdag 12 september 2014 @ 11:18:
en je zit dan wel in enable mode (en niet in conf mode of unpriviliged mode)?

dus prompt als
asa#

en niet
asa>
of
asa(conf)#

Als ik enable in vul kan ik idd wel het commando geven.

Excuses moi, maar hoe kan ik nou die debugging gegevens terugvinden

Het is jaren geleden dat ik met cisco's gestoeid heb

PVOUPUT - 13.400WP - Twente

vrijdag 12 september 2014 12:34

Acties:

tlpeter

Onexs is Mitel gecertificeerd als SIP provider.
Vraag aan Onexs om een configuratie document.
Wat ik mij wel afvraag is waarom Onexs zelf geen router levert?

dinsdag 23 september 2014 14:56

Acties:

Grolsch

Topicstarter

Onexs geeft aan alleen zaken te doen met onze telefoon leverancier.

Onze telefoonleverancier geeft aan dat hij er verder niet uitkomt.

Ik wil de zaken graag werkend hebben zonder MBG.

Ik heb het 1 en ander geprobeerd, maar krijg het nog niet werkend.

Heeft iemand van jullie nog een idee wat ik kan veranderen

Het is met name deze melding welke het probleem veroorzaakt.

code:

Log Type  Software 
Log Number  2817 
Severity  Warning 
Date  2014/Sep/09 
Time  21:24:16 
Source  SSP 
Description  [sid=122581a8,cid=43] Incoming Message Discarded(Ignored) - UATK Ip address mismatch in topmost Via header stkErrCode No errorMAJOR:sdf_fn_uaCheckMessageValidity(): Error In validating the Via address ; StkErrCode: 2016 
Module  Main 
File Name and Line Number  SSPNWProcMsg.cpp;2450

PVOUPUT - 13.400WP - Twente

woensdag 24 september 2014 13:14

Acties:

Chaos77

is de ONEXS trunk via Internet aangesloten dan adviseer ik je ten alle tijden een MBG te gebruiken. Is het een directe SIP trunk (afgeleverd met Router) dan heb je niet perse een MBG nodig, echter wel te adviseren. Je geeft de SIP provider anders netwerktechnisch toegang tot aan het Mitel IP-toestel. Persoonlijk gebruiken wij voor iedere SIP trunk met een Mitel een MBG.

Mocht je een Senior Mitel SIP specialist zoeken die dit probleem op locatie moet oplossen geef dan maar een seintje.

vrijdag 26 september 2014 07:23

Acties:

Breezers

Als je SIP trunk provider geen support kan leveren en je Mitel leverancier hier niet meer uit komt, dan zou ik zoals Chaos77 hier boven aangeeft een andere Mitel leverancier/specialist inschakelen ?

“We don't make mistakes just happy little accidents” - Bob Ross

vrijdag 26 september 2014 07:54

Acties:

Grolsch

Topicstarter

Het is een ONEXS Trunk via internet zonder afgeleverde router.

Misschien dan toch maar denken aan een MBG,lijkt mij nogal overkill voor 4 trunkjes, en volgens de telco leverancier werkt dit normaal zonder problemen.

PVOUPUT - 13.400WP - Twente

vrijdag 26 september 2014 08:26

Acties:

tlpeter

Een SIP trunk via het internet moet gewoon een mbg hebben.
Je zal niet de eerste en de laatste zijn die gehackt wordt.

Pagina: 1

Reageer