Options forbidden

Discussion:

Options forbidden

(zu alt für eine Antwort)

Tim Ritberg

2019-05-11 14:47:14 UTC

Hi!

Ich wollte noch mal nachfragen, was da los ist.

Asterisk sagt:
OPTIONS sip:tel.t-online.de SIP/2.0

Telekom sagt dann:
SIP/2.0 403 Forbidden

Ich hab dann von aussen einen Testanruf gemacht:
Dann gibt es einen INVITE von aussen.

Asterisk sagt dann:
401 Unauthorized

Weiterhin meint Asterisk:
sip show registry = alle Nummern Registered

Sehr komisch und dann hab ich noch mal genauer geguckt.
Asterisk kommt mit den Sip-Servern durcheinander. Anrufe kommen oft
nicht von dem Host, wo die Nummern registriert worden sind.

Aber selbst von ich tel.t-online.de fest in /etc/hosts eintrage, passt
das nicht.

Tim

Andreas Hartmann

2019-05-11 16:29:50 UTC

Permalink

Post by Tim Ritberg
Hi!
Ich wollte noch mal nachfragen, was da los ist.
OPTIONS sip:tel.t-online.de SIP/2.0
SIP/2.0 403 Forbidden

Ist üblich - habe ich hier auch ab und zu. Konnte aber noch nichts Negatives damit verbinden.

Post by Tim Ritberg
Dann gibt es einen INVITE von aussen.
401 Unauthorized

Hierzu muss man wissen, wie Asterisk eingehende Calls zuordnet. Was nutzt Du? chan_sip oder pjsip?
Zu pjsio könnte ich Dir da mehr dazu sagen.

Gruß
Andreas

Tim Ritberg

2019-05-11 16:35:50 UTC

Permalink

Post by Andreas Hartmann
Hierzu muss man wissen, wie Asterisk eingehende Calls zuordnet. Was nutzt Du? chan_sip oder pjsip?
Zu pjsio könnte ich Dir da mehr dazu sagen.

chan-sip

Tim

Andreas Hartmann

2019-05-11 17:27:51 UTC

Permalink

Post by Tim Ritberg

Post by Andreas Hartmann
Hierzu muss man wissen, wie Asterisk eingehende Calls zuordnet. Was nutzt Du? chan_sip oder pjsip?
Zu pjsip könnte ich Dir da mehr dazu sagen.

chan-sip

Das bekommst Du damit nicht wirklich hin. Der alte chan_sip ist für das komplexe Umfeld der Telekom nicht sonderlich geeignet. Nimm pjsip.
Habe ich aber glaube ich schon öfter erwähnt.

Mehr zum Problem findest Du hier (auch den Hinweis, dass das mit chan_sip nicht geht im Zusammenhang mit der Telekom, weil Du keinerlei
Ahnung hast, von welchem Server der Call kommen kann):

https://blogs.asterisk.org/2016/01/27/the-pjsip-outbound-registration-line-option/

Gruß
Andreas

Tim Ritberg

2019-05-11 18:14:43 UTC

Permalink

Post by Andreas Hartmann
Das bekommst Du damit nicht wirklich hin. Der alte chan_sip ist für das komplexe Umfeld der Telekom nicht sonderlich geeignet. Nimm pjsip.
Habe ich aber glaube ich schon öfter erwähnt.
Mehr zum Problem findest Du hier (auch den Hinweis, dass das mit chan_sip nicht geht im Zusammenhang mit der Telekom, weil Du keinerlei
https://blogs.asterisk.org/2016/01/27/the-pjsip-outbound-registration-line-option/

Lässt sich angeblich auch über DNS lösen:
https://telekomhilft.telekom.de/t5/Telefonie-Internet/VOIP-SIP-Server-meldet-FORBIDDEN-Asterisk-DNS/td-p/2822238/page/4

Tim

Andreas Hartmann

2019-05-11 19:03:38 UTC

Permalink

Post by Tim Ritberg

https://telekomhilft.telekom.de/t5/Telefonie-Internet/VOIP-SIP-Server-meldet-FORBIDDEN-Asterisk-DNS/td-p/2822238/page/4

Das löst vielleicht teilweise das Outbound-Problem - ganz sicher aber nicht das Inbound-Problem.

Außerdem eine schlechte Idee, den DNS quasi statisch zu machen - denn wenn die Telekom auf einen anderen Server umzieht, hängst Du in der
Luft. Das hat alles seinen Sinn, wie die Jungs das machen. Wichtig in diesem Zusammenhang ist auch ein ordentliches SRV handling. Das kann
chan_sip gar nicht.

Die ganzen HA-Thematiken (wie es die Telekom nutzt) sind mit Asterisk > 13 (am besten >= 15 - 16 ist wieder eine LTS-Version) und pjsip
offiziell gelöst. Wichtig für die Telekom.

Als DNS würde ich grundsätzlich den von der Telekom beim pppoe gelieferten DNS verwenden, da der hinterher auch die SIP-Server liefert, die
für Dich am besten (weil nächsten) sind - damit die Gesprächsqualität optimal wird. Es macht keinen Sinn, irgendeinen SIP-Server zu
verwenden, wenn dadurch Deine Gespräche durch ganz Deutschland geroutet werden wenn's ganz dumm läuft, obwohl Du im Ortsnetz telefonierst.

Gruß
Andreas

Tim Ritberg

2019-05-11 19:38:17 UTC

Permalink

Post by Andreas Hartmann
Das löst vielleicht teilweise das Outbound-Problem - ganz sicher aber nicht das Inbound-Problem.

Wie stellt man denn auf pjsip um? Ich habe hier für Ubuntu:
libpjsip-ua2 - SIP handling library - SIP user agent library

Reicht das?

Tim

Andreas Hartmann

2019-05-12 05:57:37 UTC

Permalink

Post by Tim Ritberg

Post by Andreas Hartmann
Das löst vielleicht teilweise das Outbound-Problem - ganz sicher aber nicht das Inbound-Problem.

libpjsip-ua2 - SIP handling library - SIP user agent library
Reicht das?

Kann ich Dir nicht sagen. Ich verwende FreePBX auf Basis von CentOS. Da ist das ein Click im WebGUI - man kann bei jedem Trunk / Endpoint
den Treiber auswählen, den man gerne hätte.

Gruß
Andreas

Tim Ritberg

2019-05-24 11:31:53 UTC

Permalink

Post by Andreas Hartmann
Kann ich Dir nicht sagen. Ich verwende FreePBX auf Basis von CentOS. Da ist das ein Click im WebGUI - man kann bei jedem Trunk / Endpoint
den Treiber auswählen, den man gerne hätte.

Habs jetzt soweit, dass die Nummer registriert werden.
Ich hab jetzt nur noch ein Problem mit der Callerid:
exten => 01234,1,System(log.sh 1234 ${CALLERID(num)})
exten => 01234,n,Wait(20)

Callerid ist komischerweise immer der 1. Sip-Account, also eine meiner
Nummern und nicht die vom Anrufer.

Als ich testweise nur einen Sip-Account eingestellt hatte, war es richtig.

Tim

Tim Ritberg

2019-05-25 15:27:07 UTC

Permalink

Post by Tim Ritberg
Callerid ist komischerweise immer der 1. Sip-Account, also eine meiner
Nummern und nicht die vom Anrufer.

Ah, da war wohl ein Fehler.
Ich habe mir die Konfig hier geklaut:
https://telekomhilft.telekom.de/t5/Telefonie-Internet/Asterisk-pjsip-conf-fuer-tel-t-online-de-hinter-NAT/td-p/3125047

Dort wird eine Callerid mit der eigenen Rufnummer gesetzt. Das ist wohl
falsch. Wenn ich das auskommentiere, kann ich nun die Anrufer richtig
sehen.

Tim

Andreas Hartmann

2019-05-26 05:42:47 UTC

Permalink

Post by Tim Ritberg

Post by Tim Ritberg
Callerid ist komischerweise immer der 1. Sip-Account, also eine meiner
Nummern und nicht die vom Anrufer.

Ah, da war wohl ein Fehler.
https://telekomhilft.telekom.de/t5/Telefonie-Internet/Asterisk-pjsip-conf-fuer-tel-t-online-de-hinter-NAT/td-p/3125047
Dort wird eine Callerid mit der eigenen Rufnummer gesetzt. Das ist wohl
falsch. Wenn ich das auskommentiere, kann ich nun die Anrufer richtig
sehen.

Ja, passt.

Dem seine Konfig ist auch an anderer Stelle nicht ganz optimal (u.a. Zuordnung der eingehenden Calls zum korrekten Trunk - aber wenn er nur
eine Nummer registriert hat, geht das trotzdem noch einigermaßen). Konkret geht es um das Gebastel:

----------------------------------
[telekom_9931234567_identify]
type = identify
endpoint = telekom_9931234567
match = 217.0.0.0/13
----------------------------------

Das ist eben eine Notlösung, die mit der line-Konfig[1] sehr viel eleganter gelöst werden kann:

----------------------------------
[telekom_9931234567_reg]
type = registration
...
line=yes
endpoint=telekom_9931234567
----------------------------------

Und dann das obige match so einstellen, dass es nicht mehr matchen kann:
match = 127.0.0.10

Aber das sei dahingestellt. Wenn es für Dich so funktioniert ist ja erst mal alles gut.

Gruß
Andreas

[1] https://blogs.asterisk.org/2016/01/27/the-pjsip-outbound-registration-line-option/

Tim Ritberg

2019-06-02 10:08:33 UTC

Permalink

Post by Andreas Hartmann
[telekom_9931234567_identify]
type = identify
endpoint = telekom_9931234567
match = 217.0.0.0/13
----------------------------------

Da hab ich eine Firewallregel, musste sie aber erweitern:
source IP range 217.0.128.0-217.0.128.254 udp dpt:5060
source IP range 217.0.18.0-217.0.29.254 udp dpt:5060

Manchmal kommen Anrufe aus 217.0.128.0
Das ganze /13er wollte ich eigentlich nicht freigeben.

Tim