abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du 
Aktuelle Eilmeldungen

TV: Kabelfernsehen wird Mietersache. Jetzt handeln!
Deine Störung ist nicht dabei? Dann nutz unseren Störungsfinder!

1

Frage

2

Antwort

3

Lösung

TCP Port 5061 (SIP TLS) blockiert
AlexGloe
Smart-Analyzer
Smart-Analyzer

Hallo,

 

seit einiger Zeit (seit Dezember) ist bei meinem Internetanschluss der Port 5061 (SIP TLS) ausgehend blockiert. Ich benötige diesen Port, da ich mich vom Homeoffice aus auf die FirmenTelefonanlage anmelden muss. 

Warum wird dies von Vodafone blockiert? Gerade jetzt in Zeiten von verstärkter / erzwungener Homeoffice Nutzung sollten gerade diese wichtigen Ports nicht gesperr sein.

 

Wer hat das gleiche Problem und wie bekommt man das behoben?

 

Viele Grüße

  Glöckner

9 Antworten 9
reneromann
SuperUser
SuperUser

SIP TLS wird eher weniger das Problem sein - dein größeres Problem ist eher, dass die zugehörigen RTP-Verbindungen nicht aufgebaut werden können.

 

Besser wäre es, wenn du dich per VPN direkt im Netz an der Telefonanlage anmelden und nicht über Internet drauf zugreifen würdest.

Ich hab ein Softphone, welches direkt mit der Telefonanlage über SIP TLS spricht. Dies ging alles bis vor kurzen problemlos. Es  geht auch jetzt noch über das 4G/LTE Netz von Vodafone. Aber an meinem Kabelanschluss ist es blockiert. Hat auch nichts mit RTP oder so zu tun, es ist schon direkt dieser TCP Port ausgehend gesperrt. (Mit Telnet getestet). Klar kann ich das mit Tunnel nutzen. Aber mein Hardware Telefon macht kein IPsec mit 2-Phasen Auth.  😕 

Was ist das denn bitte für eine IP Anschluss wenn man alle StandardPorts meiden muss, weil der Netzanbieter der Meinung ist, er wüsste genau, wie die Nutzer das Internet zu benutzen hat.   

Blockiert wird da prinzipiell nichts - mich würde es jedoch nicht wundern, wenn dein Problem wie gesagt mit DualStack Lite zusammenhängt und hier die Registrierung aufgrund der nicht möglichen Rückantwort ausbleibt.

 

Wie gesagt - mir wäre nicht bekannt, dass hier irgendwas blockiert wird. Siehe auch hier.

 

Was eher sein könnte: Der Port selbst ist nicht gesperrt, sondern der SIP Proxy im Router ist nicht richtig konfiguriert - in dem Fall kann es ebenfalls passieren, dass die Verbindung nicht korrekt aufgebaut wird. Dieser SIP Proxy liest die SIP-Verbindungen mit und schreibt sie z.T. um (z.B. auf die öffentliche IPv4-Adresse statt der internen IPv4), um dann passende Freigaben für die RTP-Datenströme zuzulassen.

Das hat alles noch gar nichts mit dem eigentlichen SIP zu tun. Ich bekomme bei einem Telenet schon gleich einen Fehler: "telnet: Unable to connect to remote host: Connection refused", während ich von allen möglichen anderen Anschlüssen (z.B. mein Handy Vodafobne LTE) problemlos auf den Port verbinden kann. 

Ich kann keine Blockierung in meiner Fritzbox dazu finden. Alle anderen Firewalls sind zum testen aus.

Was könnte es denn jetzt noch sein? 

Mich würde es ehrlich gesagt nicht wundern, wenn das Problem eher entweder an der Fragmentierung von DS-Lite oder gar an DS-Lite liegt (weil du dir dann eine IPv4 mit vielen anderen Kunden teilst). Zum Teil landen diese IPv4-Adressen recht schnell auf irgendwelchen Blacklists.

Es ist keine DS-Lite, es ist V4 only. Kabelmodem mit bridge Mode, dahinter Fritzbox 7390. 

Es ist die Firewall und das SBC vom Arbeitgeber, der entsprechende Mitarbeiter der DEVOPs Abteilung versicherte mir, dass meine IP nicht in irgendwelchen Black-/Blocklisten steht. 

Es ist auch rätselhaft warum es erst seit ca. 1 Monat nicht mehr geht. 

Wie kommt man denn bei Vodafone an jemand, der technisch die Überprüfen könnte ob hier eine Filterregel aktiviert wurde? 

Wenn am Start- und am Zielpunkt nichts gefiltert wird und es trotzdem nicht geht, muss ja der Weg das Problem sein.

Mich würde es nicht wundern, wenn hier die FritzBox reinhackt...

SIP und NAT sind noch nie gute Freunde gewesen - und wenn hier die Fritte auf einmal der Meinung ist, sie müsse die SIP-Pakete kapern, dann war's das.

 

Wie gesagt - wenn ein VPN möglich ist (kann ja auch mit einem separaten Raspberry oder o.ä. sein), dann ist dies auf jeden Fall einer Direktverbindung über das Internet vorzuziehen. Noch dazu, weil SIP TLS zwar sagt, dass die eigentliche SIP-Verbindung verschlüsselt abläuft - aber über die Verschlüsselung des RTP-Streams rein gar nichts aussagt. Im dümmsten Fall ist der RTP-Stream nämlich -trotz SIP TLS- unverschlüsselt und jeder kann mithören...

Ich hätte das mit dem SIP nicht erwähnen sollen, das lenkt ab.

TELNET Verbindung - wir sind noch gar nicht bei der VoIP Applikation.

 

Wenn ich eine Telnet Verbindung zum entsprechenden Port macht bekommt man einen Prompt wie beim Webserver auch. Aber in meinem Fall bekomme ich direkt ein Connection refused. Hat also nichts mit DS-Lite, SIP, RTP usw. zu tun.  

Mal ganz davon abgesehen, dass Telnet kein SSL kann (und damit z.T. die Gegenstelle die Verbindung ebenfalls abweist, wenn kein Handshake binnen einer vordefinierten Zeit stattfindet), hacken halt einige SIP-Proxies auch per DPI mit rein.

 

Wenn ich z.B. per telnet auf meinen lokalen HTTPs-Webserver zugreifen will, kommt auch nur ein "Could not connect to remote host on port 443: Connection Error"...

 

Einfacher wäre, wenn du mit Wireshark o.ä. schaust, was wirklich über die Leitung geht und was für Antworten da kommen. Nicht das hier ein abgelaufenes SSL-Zertifikat der Grund für das Übel ist.