Pascom ONE / Gegenseite hört nichts

Hallo zusammen.

Wir haben bei einem Kunden auf dessen Wunsch hin pascom eingeführt und die bisherige Auerswald-Anlage abgelöst wurde.
Grundlegend verlief das Thema gut.
Nun treten aber im Betrieb Symptome auf, welche sich beim Kunden wie folgt äußern:

  • Gegenseite hört nach dem Gesprächsaufbau durch den Kunden nichts
  • Gespräch wird nach ein paar Sekunden abgebrochen

Das Thema tritt mit DECT-Geräten, Festgeräten und Softphone auf.
Mit der Handy-App (kein WLAN, nur Mobilfunk) lt. Kunde nicht.

Die Firewall-Regeln sind in der Securepoint-UTM-Firewall gesetzt: Portübersicht & IP-Adressen | Firewall konfigurieren

Da ich leider zu diesem/ähnlichen Themen nur ältere Beiträge finde, die nicht auf pascom ONE zielen, frage ich hiermit in einem neuen Beitrag dazu.
Wo kann ich zielführend ansetzen?

Grüße und danke,

Jan

Hallo,

Sind alle Geräte auf der neusten Version?
Was meistens auch hilft, mal die Anlage an sich neuzustarten.

Oben in der Leiste auf den Punkt Appliance und dort auf Reboot gehen.
(Dauert in der Regel 5min, bis sie wieder da ist)

Mit freundlichen Grüßen
Tobias

hat der kunde 2 wan anschlüsse an der firewall?
sip alg DEAKTIVERT?
QOS im netzwerk und firewall richtig eingestellt?

das sind rtp bzw. routing probleme, da es mit der app im handynetz keine probleme gibt, würde ich auf lokale probleme tippen…

Der Kunde hat einen WAN, @Tele-crew .
SIP ohne ALG gemäß Securepoint-WIKI: https://wiki.securepoint.de/UTM/FAQ-VoIP#VoIP_ohne_SIP_Helper (Zitat: Ein laden oder entladen der sip-Helper Module per CLI ist nicht mehr erforderlich)
QoS über die GPO verteilt.

auch die firewall benötigt RICHTIGE einstellungen - solang sie kein eigenens dsl modem verbaut hat und die werte erkennt…

ansonsten bin ich leider raus und du brauchst den support von pascom

edit: begrenzt die firewall evtl die verbindungen zu pascom.cloud oder zum gerät ? hatte damit mal problemem mit nem exchange…

Danke für die Hilfe, @Tele-crew .
Die RICHTIGEN Einstellungen habe ich von der pascom-Seite, wie beschrieben:
image
Mehr finde ich dort leider nicht.
pascom-Support bin ich mal gespannt …

Hi @Tobias.T ,

ja, zumal es ja, wie beschrieben, verschiedenste Geräte-Typen betrifft.
Neustart Cloud-TK würde ich eigentlich nur dann einplanen, wenn der Support dies empfiehlt.
Diese Themen sind ja nicht unbekannt, aber eben sehr diffus bzgl. Ursachensuche.
Irgendwo habe ich was bzgl. #Hairpinning in einem Beitrag zu einer on-prem von 2018 oder so gelesen. Ist das ein Begriff?

VG
Jan

Hairpinning betrifft nur Onsite-Anlagen unter bestimmten Konstellationen. Für die Cloud ist das irrelevant.
Ich stimme @Tele-crew zu, dass mit sehr hoher Wahrscheinlichkeit etwas LAN-WAN-Umfeld auf Kundenseite ist, was zu einseitigem Audio führt, häufig unzureichende Port-Range für die RTP-Daten oder Connections, die vorschnell seitens Router/Firwall wieder geschlossen werden, Stichwort Connection-Lifetime.

Der Hinweis ist nicht wirklich wichtig. Viel interessanter finde ich die Aussage

> Soll VoIP ohne die sip-Helper und damit ohne ALG durchgeführt werden, muss eine neuer Dienst angelegt werden, der den Port 5060 UDP ohne den Protokolltyp *sip* verwendet

Mal abgesehen davon, dass Protokoll und Port nicht stimmen und Du ja auch kein Verbindungsaufbau-Problem (SIP) hast, sondern ein RTP-Problem, wäre hier noch zu prüfen, ob denn wohl Regeln für die RTP-Port ebenfalls als manueller Dienst angelegt wurden oder ob es da auch möglicherweise auch einen vorgefertigen Dienst zu gab. Hier würde ich die Regeln dann wohl auch eher manuell anlegen.

Alles in allem hilft hier nur, den SIP/RTP-Traffic zu analysieren (beispielsweise mit Wireshark) und zu schauen, wo es hängen bleibt.

Und Du könntest natürlich auch noch zu Testzwecken zusätzlich einen alternativen Provider parallel verwenden und darüber mal gezielt eingehende und ausgehende Anrufe testen.

Dabei fällt mir auf: Du schreibst nichts zum Provider, der bei Deinem Kunden im Einsatz ist.

Hi @noses ,

danke für die Infos.

Was die Firewall angeht, habe ich mich ausschließlich an die Infos von der pascom-Seite (siehe Beitragseröffnung) gehalten.

Dann kam heute die Securepoint-WIKI-Thematik dazu, die, wie Du sagst, für SIP falsch wäre.
Wie müsste sie denn korrekt lauten?

Und nein, für RTP gibt es keine weiteren Regeln als die von der pascom-Seite.
Die Dienste(-Gruppe) sehen wie folgt aus:
image

Und die Regel dazu wie folgt:

Provider ist übrigens pascom selbst, also Colt.

Hilft das noch irgendwie weiter? Denn ja, Wireshark ist grundlegend kein Neuland. Aber die Auswertung und das Erkennen im Bereich VoIP auch nicht unbedingt trivial. Da haben wir mit Auerswald schon die tollsten “Aufwände” generieren müssen.

Grüße und danke,

Jan

Wem sagst Du das. Ich bin auch immer dankbar, wenn ich das nicht machen muss. Ich bin kein ausgewiesener Experte was Securepoint angeht. Gleichwohl spricht insbesondere die Tatsache, dass es bei den Mobiles im mobilen Umfeld nicht auftritt, dass es auf der Kundenseite liegt.

Du solltest jedoch auch zusätzlich ein Ticket bei Pascom aufmachen. Ganz ausschließen, dass es dort irgendwo hängt kann man natürlich auch nicht. Aufgrund der Vielzahl von Instanzen wäre dort aber bestimmt schon was “hoch gekommen”, sollte es sich um ein generelles Problem dort handeln.

Moin,
ich würde zur Sicherheit auch mal nen 2. SIP Provider nehmen (Easybell, Peoplefone, Dt. Telefon, Placetel…) - einfach zum Testen mal einen in der Tasche haben ist nicht verkehrt :wink:

Alternativ: Ich hatte letztes Jahr bei einem Pascom Kunden mit ner CheckPoint FW ähnliche THemen (wobei da beidseitiges Audio klappte und nach z.B. 30 Sekunden einfach die Verbindung abbrach beim Desktop Client). Da hat uns Google und die CheckPoint Community geholfen mit ein paar Tipps:

  • unter Network Resources → Services → SIP_TCP und SIP_UDP (“disable inspection for this service”, “keep connections open after policy has been installed” und “disable aggressive aging”)

Vielleicht kommst du damit ja weiter…viel Erfolg!

VG Philip