Eingehende Audiodaten sporadisch weg | Sophos XG

  • Hallo zusammen,


    ich bin leider etwas am verzweifeln. Seit nunmehr vier Monaten haben wir das Problem das, so scheint es, absolut willkürlich eigehende Sprachdaten nicht mehr durchkommen. Die Anlage lief zuvor 11 Monate ohne dieses Problem. Von den Einstellungen her sind wir in der STARFACE bei den Netzwerkeinstellungen und den Leitungsprofilen auf dem Stand, von nach der Inbetriebnahme, der lief. Die Software-Version haben wir auch wieder zurückgesetzt auf 6.7.3.11 (über Backup auf duplizierten Platten also sollte da auch nicht schiefgegangen sein)
    D.h. der anrufende / angerufene hört uns noch aber wir hören den anrufenden / angerufenen nicht mehr. Wer das Gespräch aufbaut ist egal. Zudem scheint es so, dass sich das Verhalten zu bestimmten Zeiten häuft (ca. 20 - 30 Telefonate am Tag, meist liegen die Fehlschläge nah beieinander aber nicht immer) und manchmal auch an Tagen gar nicht vorkommt.
    In Summe haben wir ca. 2 - 3000 Gespräche pro Tag. An Auslastungsgrenzen kann es meines Erachtens nicht liegen, da alle Anlagen von der Appliance über die Sophos max. 10% Prozessorlast erreichen und das Problem auch schon aufgetreten ist als ich es alleine getestet habe.
    Wir haben einen SIP-Trunk Pure der Telekom welcher leider nur über TLS läuft und somit die Analyse für mich unmöglich macht.
    Wir haben mehrere Anschlüsse der Telekom und haben in der XG eingestellt, dass alle Daten des VOIP Netzes nur über den Telekom Lancom R883+ laufen. Die FW im 883+ ist deaktiviert. Die Webfilterung und VOIP Helper Geschichten etc. in der XG sind alle deaktiviert.


    Nun die Frage, hatte jemand schon mal ein ähnliches Problem oder hat noch eine Idee wie es sein kann, dass eingehende RTP Pakete ohne erkennbaren Zusammenhang nicht mehr ankommen?



    Starface Platinum v5 <-> Sophos XG <-> Lancom R883+ <-> WAN


    SW v. 6.7.3.11

  • Hallo Lukas


    Wir hatten mal grossen Ärger mit dem Feature "UDP Flood Protection" bzw "UDP Flow Control" auf einer Sophos Firewall


    Bitte stelle Sicher, dass dieses Feature für die STARFACE deaktiviert ist.


    MfG


    Fabian


  • War auch eine unserer ersten Vermutungen aber das war es leider nicht :/ Mittlerweile glaube das es eher an sowas liegt, dass jemand die Ports der Switche miteinander verbunden hat oder sowas beklopptes -.-

  • Hallo Lukas,


    ich hatte mit der XG nach Update der Firmware leider bei mehreren Kunden schon Probleme.


    Seitdem ich folgendes eingerichtet habe (https://techbast.com/2021/01/s…-firmware-version-18.html) läuft es ohne Probleme. Entscheident war bei mir die UDP Timout Stream welchen ich höher gesetzt habe.


    Und der Punkt ist auch sehr entscheidend zum Thema Telefon Registrierung bei SF Cloud in Verbindung mit vorhandenen VPN Tunnel.


    set ips sip_preproc disable


    Disable VPN conn-remove-tunnel-up on Sophos XG

    Philipp Sander


    3NET GmbH

    Microsoft Solutions Partner | DATEV Solution Partner

    Tel: +49 40 254045-25

    www.3net.de

    STARFACE Excellence Partner

  • Wir haben den UDP Timeout Stream angepasst aber leider keine Besserung erfahren :/ Wir haben die Firewall nach der Änderung noch nicht Neugestartet weil das hier nur mit einiger Vorbereitung möglich ist. Aber Erfahrungsgemäß, ist ein Neustart der XG notwendig?


    Und hat sonst noch jemand weitere Ideen? Es ist einfach verhext -.-

    Einmal editiert, zuletzt von lukashwm ()

  • Hast du alle Schritte aus dem Link umgesetzt? Gerade der SIP ALG, der per Default bei der XG an ist, war bei uns bisher der Hauptverursacher der Probleme.

    Gruß
    PK

  • Hast du alle Schritte aus dem Link umgesetzt? Gerade der SIP ALG, der per Default bei der XG an ist, war bei uns bisher der Hauptverursacher der Probleme.


    Unser Dienstleister meldete vollständige Umsetzung. Hattet ihr denn auch genau das Verhalten, das eingehende RTP Pakete nicht mehr durchkamen, also Angerufener hört uns, wir hören angerufenen aber nicht mehr?!

  • Bei eingeschaltetem SIP ALG hatten wir das Problem der beidseitig fehlenden Audioübertragung, da die XG quasi alles "verworfen" hat.
    Es funktionierte also nur die Anrufsignalisierung einwandfrei und sobald man ranging, hörte uns weder der Anrufer, noch wir den Anrufer.


    Der fehlende, eingehende RTP Stream hört sich für mich nach einem Problem in einer NAT Regel an.
    Ich nehme an, auf eurem LANCOM habt ihr die XG als Exposed Host eingerichtet, so dass sämtlicher Traffic direkt auf das Interface der XG genatted wird?
    Hast du die DNAT Regeln auf der XG in Richtung Starface nochmals kontrolliert?

    Gruß
    PK

  • Bei eingeschaltetem SIP ALG hatten wir das Problem der beidseitig fehlenden Audioübertragung, da die XG quasi alles "verworfen" hat.
    Es funktionierte also nur die Anrufsignalisierung einwandfrei und sobald man ranging, hörte uns weder der Anrufer, noch wir den Anrufer.


    Der fehlende, eingehende RTP Stream hört sich für mich nach einem Problem in einer NAT Regel an.
    Ich nehme an, auf eurem LANCOM habt ihr die XG als Exposed Host eingerichtet, so dass sämtlicher Traffic direkt auf das Interface der XG genatted wird?
    Hast du die DNAT Regeln auf der XG in Richtung Starface nochmals kontrolliert?


    Njaa, bei uns ist ja das Problem, dass mehrere tausend Anrufe am Tag fehlerfrei funktionieren also sollten die Regeln alle soweit passen, sonst würde ja kein Anruf funktionieren. Nur ist es jetzt so, dass sporadisch ohne einen erkennbaren Grund dutzende Anrufe pro Tage einen einseitigen Verbindungscut erfahren.
    Es liegt nicht an Leitungsengpässen, es liegt nicht an Performance-Engpässen, die Firewall-Regeln wurden mehrfach geprüft, die Firewall im Lancom ist deaktiviert, das VOIP Netz wird nur über den Lancom nach außen geroutet, DNS nur über den Lancom, es ist egal ob Festnetz oder Handynummer und es hat zu Anfang 11 Monate ohne Probleme funktioniert. Gestern sind tatsächlich keine Fehler dokumentiert worden, am Donnerstag, also nach dem wir der Anleitung vollständig gefolgt sind, wurden jedoch weitere Abbrüche dokumentiert. Ich bin gespannt ob die Änderungen einfach erst über Nacht übernommen wurden aber meine Hoffnung ist eher gering, meine Verzweiflung dafür enorm :/

  • Nur ist es jetzt so, dass sporadisch ohne einen erkennbaren Grund dutzende Anrufe pro Tage einen einseitigen Verbindungscut erfahren.


    Bis Du dir sicher das es an euch und nicht dem Anrufer/(dessen) Provider liegt?
    Waren auf der Firewall kein RTP Paket sichtbar?


    Bei solchen Anrufmengen natürlich schwer zu debuggen...

  • Ja, absolut, der Fehler ist immer gleich und in den ersten elf Monaten nicht einmal aufgetreten. Es ist absolut willkürlich, mal nach 1,5 min mal nach 23 min, mal haben das Problem drei Leute im Büro zu selben Zeit, mal hat das Problem nur einer in dem Büro über drei Tage hinweg... *sigh*


    Edit: Die Protokollansicht zeigt nichts bei den RTP Paketen wenn der Stream abschmiert. Zumindest bei den 2-3 mal wo ich versucht habe was zu finden aber vermutlich auch deswegen nicht weil alle Daten verschlüsselt sind. Wireshark zeigt in den Pcap Dateien auch nischt...

    Einmal editiert, zuletzt von lukashwm ()

  • Ja, absolut, der Fehler ist immer gleich und in den ersten elf Monaten nicht einmal aufgetreten. Es ist absolut willkürlich, mal nach 1,5 min mal nach 23 min, mal haben das Problem drei Leute im Büro zu selben Zeit, mal hat das Problem nur einer in dem Büro über drei Tage hinweg... *sigh*


    Edit: Die Protokollansicht zeigt nichts bei den RTP Paketen wenn der Stream abschmiert. Zumindest bei den 2-3 mal wo ich versucht habe was zu finden aber vermutlich auch deswegen nicht weil alle Daten verschlüsselt sind. Wireshark zeigt in den Pcap Dateien auch nischt...


    Was sagt denn der SIP Provider von euch? Habt ihr den schon miteinbezogen?
    Ist das alles im gleichen Netz oder gibt es auch Homeoffice Kollegen die die Probleme haben?
    Eventuell mal den Switch anschauen?

    Philipp Sander


    3NET GmbH

    Microsoft Solutions Partner | DATEV Solution Partner

    Tel: +49 40 254045-25

    www.3net.de

    STARFACE Excellence Partner

  • laut Telekom SIP Support-Team sieht auf deren Seite alles in Ordnung aus und die haben das meines Erachtens wirklich intensiv geprüft. Das Problem tritt im Home-Office genau so auf wie innerhalb des Firmennetzes und dort auch über verschiedene VLANS hinweg. Soweit ich das aktuell beurteilen kann allerdings nicht bei internen Gesprächen.

  • Wir haben ein ähnliches wenn nicht sogar das selbe Problem


    Ab und zu - egal ob interne Telefonie oder extern, hören sich die Gesprächsteilnehmer gegenseitig nicht, oder nur einseitig


    Ich hatte ein einziges Mal das Glück so einen Moment mitzuschneiden mit Wireshark. Bei dem Telefonat waren keinerlei RDP Daten im Stream auf der TK Anlage.


    Log sah aber normal aus.


    Ich weiß mittlerweile echt nicht mehr ob es an der Starface, am Netzwerk oder and der Sophos liegt. Ich bin einfach nur verzweifelt, weil weder Sophos noch Starface Support hilfreich ist

  • Hallo Käse


    Wenn der RTP Stream auf der Anlage im Mitschnitt nicht mehr mitkommt, geht es bereits auf dem Weg dahin verloren.
    Würdest du es noch sehen, so geht es auf dem weg von der Anlage zu den Endpunkten verloren.


    Der Log muss nicht zwingend etwas anzeigen, denn die Anlage kann nicht feststellen, ob der RTP Port geschlossen wurde, oder aktuell kein Datenverkehr folgt, da es ja UDP ist.


    MfG


    Fabian

  • Bei uns ist es tatsächlich immer eine Richtung, also wir hören das Gegenüber nicht und auch nur bei externen Gesprächen. Ich habe innerlich aufgegeben, hatte vorgestern noch den Qualify Wert im Leitungsprofil von yes (=2000ms) auf 25000 gestellt, das gibt gerade noch Hoffnung weil diejenigen mit denen ich heute gesprochen hatte keinen Ausfall mehr hatten. ABER ich gebe dem ganzen 3% Erfolgswahrscheinlichkeit...
    Ich sehe in Wireshark ja leider absolut keine VOIP Daten weil verschlüsselt und unverschlüsselt geht bei unserm Trunk nicht -.-



    Edit: Der heutige Tag sah auch gut aus. Hoffnung steigt auf 10 %.

    Einmal editiert, zuletzt von lukashwm ()

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!