Що може призвести до того, що трафік SIP переходить на комутатор, але не виходить?


15

Фон

Я намагаюся змусити свої SIP-телефони зареєструватися за абсолютно новим маршрутизатором і перейти на наш абсолютно новий офіс. Наша АТС розміщується за межами сайту. Я працював з нашим провайдером, щоб спробувати кілька різних підходів. Ми намагалися регулярно NAT підключитися до їхнього контролера кордону сеансу, відомого NAT. Ми намагалися використовувати siproxd (пакет pfSense) для перехоплення запитів на реєстрацію SIP та реєстрації від імені телефонів. Нарешті, ми спробували налаштувати телефони вручну, щоб зареєструватися демон демона siproxd у моїй локальній мережі.

Протягом тестування ми бачили, що телефони успішно виконують наступне:

  • Зверніться до розміщеного FTP-сервера за IP-адресою
  • Завантажте конфігурацію з вказаного сервера
  • Виконайте запити DNS для вирішення IP-адреси сервера NTP
  • Запросіть NTP-сервер, щоб встановити час
  • Виконувати DNS-запити для вирішення IP-адреси SIP-серверів

Симптоми

Після того, як телефони успішно виконали всі завдання перед реєстрацією, ми ніколи не бачимо, щоб спроба реєстрації потрапила у вікно pfSense або АТС постачальника. Я ввімкнув найвищий рівень налагодження в siproxd на моєму кінці і побачив, що існує TCP-з'єднання або UDP-пакет. Однак простий телнет на порт 5060 з робочої станції генерує очікувані повідомлення журналу. Здійснення захоплення пакетів у вікні pfSense не показало абсолютно ніяких спроб SIP-трафіку.

Якого біса?

Мій останній крок усунення несправностей, який мене ретельно обдурив і змусив задати це питання. Спочатку я віддзеркалив порт комутатора, у який телефон був підключений до мого порту комутатора робочої станції. Я здійснив захоплення пакетів всього трафіку на інтерфейсі. На моє здивування, я побачив, що з телефону приходять пакети реєстрації SIP. Ось приклад:

Захоплення пакету телефонів

Очевидно, що телефон намагається зареєструвати АТС (це теж правильні IP-адреси).

Наступним моїм кроком було віддзеркалення порту комутатора, який подається в локальну мережу маршрутизатора pfSense. Я бачив увесь трафік FTP, NTP та DNS з телефону 172.200.22.102, який виходив з комутатора, але не було і слідів пакетів SIP. Це мене зовсім бентежить! Що змушує лише трафік SIP зникати всередині комутатора?

Середовище

Конфігурація комутатора

Телефон з IP-адресою 172.22.200.102 знаходиться в порті 4 цього комутатора, посилання LAN маршрутизатора знаходиться в порту 22.

Конфігурація VLAN

Участь VLAN 200

Я можу поділитися будь-якими іншими налаштуваннями, які можуть знадобитися.


Я знаю, що це здоровий глузд, що пакети повинні спрямовуватися на локальний інтерфейс маршрутизатора, але давайте нічого не сприймемо як належне. Чи можете ви отримати зворотний провід, щоб показати вам MAC-адреси призначення в тих пакетах, які залишають телефон, і підтвердити, що вони насправді є MAC-адресою маршрутизатора? Якщо їх чомусь не було, це пояснило б, чому ви їх не бачили на дзеркальному порту.
MadHatter

@Mad: підтверджено правильну MAC-адресу маршрутизатора
hobodave

Блін. Ну, варто було перевірити. Вибачте, що немає кращих ідей.
MadHatter

Відповіді:


16

Я знайшов рішення, витративши приблизно 40 годин на цю проблему.

У перемикачі є налаштування, яке дозволяє захистити "Auto DoS". Мабуть, він вважає, що трафік TCP або UDP, який має відповідні джерела або порти призначення, є ненадійною атакою і скидає пакет. Це смішно недалеко, оскільки SIP-трафік часто (завжди?) Покладається на порти джерела та місця призначення 5060.

У випадку, якщо текстового опису було недостатньо:

введіть тут опис зображення


вау, це жорстоко. Добре знайшовши це. Б'юсь об заклад, він також не відображається в журналах, правда?
gravyface

@gravyface: правильно, нічого не записано. Усі покази журналів - це основні спроби вгору / вниз та спроби аутентифікації
hobodave

2
Whaaaaaaaaaaaaaaaat? Приємна робота HP!
voretaq7

1
Це смокче; він також вкрутить (наприклад) NTP та DNS сервер-сервер. За словами voretaq, "приємна робота. HP". Хоча добре діагностується, хобадова; ти заслужив пива!
MadHatter

1
+1 - Я сьогодні зіткнувся з цим ж перемикачем в іншій програмі. Протокол SonicWALL "Один вхід" використовує дейтаграми UDP з тими ж портами джерела / призначення. Я хотів би, щоб я заглянув сюди, перш ніж відстежувати його за допомогою крана Ethernet. Цікаво відзначити, що "ображаючі" кадри видаляються навіть при дзеркальному відображенні вхідного порту. Повна помилка, HP. Я можу підтвердити, що прошивка PK 1.15, випущена в січні, все ще має цю помилку.
Еван Андерсон
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.