¿Qué causaría que se vea tráfico SIP entrando en un conmutador pero no saliendo?

15

Antecedentes

He estado luchando para que mis teléfonos SIP se registren detrás de un nuevo enrutador y cambien a nuestra nueva oficina. Nuestra PBX está alojada fuera del sitio. He trabajado con nuestro proveedor para intentar varios enfoques diferentes. Hemos intentado NAT normal para conectarse a su controlador de borde de sesión compatible con NAT. Hemos intentado usar siproxd (el paquete pfSense) para interceptar las solicitudes de registro SIP y registrarse en nombre de los teléfonos. Finalmente, hemos intentado configurar los teléfonos manualmente para registrarse con el siproxd daemon en mi red local.

Durante las pruebas, hemos visto que los teléfonos hacen todo lo siguiente con éxito:

  • Póngase en contacto con el servidor FTP alojado por dirección IP
  • Descargue la configuración de dicho servidor
  • Realizar consultas DNS para resolver la dirección IP del servidor NTP
  • Consulta el servidor NTP para configurar la hora
  • Realizar consultas DNS para resolver la dirección IP de los servidores SIP

Síntomas

Después de que los teléfonos hayan realizado con éxito todas las tareas de prerregistro, nunca veremos que el intento de registro golpee el cuadro pfSense o la PBX del proveedor. He habilitado el nivel más alto de depuración en siproxd en mi extremo y no he visto ninguna conexión TCP o paquete UDP. Sin embargo, un simple telnet al puerto 5060 desde una estación de trabajo generará los mensajes de registro esperados. La realización de una captura de paquetes en el cuadro pfSense no mostró absolutamente ningún intento de tráfico SIP.

¿Que demonios?

Mi paso final de solución de problemas que me dejó perplejo y me llevó a hacer esta pregunta fue el siguiente. Primero reflejé el puerto del conmutador en el que estaba conectado un teléfono al puerto del conmutador de mi estación de trabajo. Realicé una captura de paquetes de todo el tráfico en la interfaz. Para mi sorpresa, vi paquetes de registro SIP provenientes del teléfono. Aquí hay un ejemplo:

Captura de paquetes telefónicos

Claramente, el teléfono está tratando de registrarse con las PBX (esas también son las direcciones IP correctas).

Mi siguiente paso fue duplicar el puerto del conmutador que se alimenta al lado de LAN del enrutador pfSense. Vi todo el tráfico FTP, NTP y DNS del teléfono 172.200.22.102 que salía del conmutador, pero no un rastro de los paquetes SIP. ¡Esto es completamente desconcertante para mí! ¿Qué está causando que solo el tráfico SIP desaparezca dentro del switch?

Ambiente

Cambiar configuración

El teléfono con la dirección IP 172.22.200.102 está en el puerto 4 de este conmutador, el enlace LAN del enrutador está en el puerto 22.

Configuración de VLAN

Participación de VLAN 200

Puedo compartir más configuraciones que puedan ser necesarias.

hobodave
fuente
Sé que es de sentido común que los paquetes deben dirigirse a la interfaz LAN del enrutador, pero no tomemos nada por sentado. ¿Podría hacer que Wirehark le muestre las direcciones MAC de destino en los paquetes que salen del teléfono y confirme que en realidad son la dirección MAC del enrutador? Si por alguna razón no lo fueran, eso explicaría por qué no los estaba viendo en el puerto espejo.
MadHatter
@Mad: dirección MAC de destino correcta confirmada del enrutador
hobodave
Maldición. Bueno, valió la pena comprobarlo. Perdón por no tener mejores ideas.
MadHatter

Respuestas:

16

Encontré la solución después de pasar aproximadamente 40 horas en este problema.

Hay una configuración en el interruptor que habilita la protección "Auto DoS". Aparentemente, considera que el tráfico TCP o UDP que tiene puertos de origen o destino coincidentes es un ataque blat y descarta el paquete. Esto es ridículamente miope ya que el tráfico SIP a menudo (¿siempre?) Depende de que los puertos de origen y destino sean 5060.

En caso de que una descripción textual fuera insuficiente:

ingrese la descripción de la imagen aquí

hobodave
fuente
wow, eso es brutal. Buen trabajo encontrando eso. Apuesto a que tampoco aparece en los registros, ¿verdad?
gravyface
@gravyface: correcto, nada registrado. Todo lo que muestran los registros es un enlace básico arriba / abajo e intentos de autenticación
hobodave
2
Queaaaaaaaaaaaaaaat? Buen trabajo HP!
voretaq7
1
Eso apesta; también atornillaría (por ejemplo) NTP y DNS servidor-servidor. En palabras de voretaq, "buen trabajo. HP". Bien diagnosticado, sin embargo, hobodave; te mereces una cerveza!
MadHatter
1
+1 - Me encontré con esto hoy con el mismo interruptor en una aplicación diferente. El protocolo "Single Sign-On" de SonicWALL utiliza datagramas UDP con los mismos puertos de origen / destino. Desearía haber mirado aquí antes de rastrearlo con un toque de Ethernet. Es interesante notar que las tramas "ofensivas" incluso se eliminan cuando se duplica el puerto de entrada. Falla completa, HP. Puedo confirmar que el firmware PK 1.15, lanzado en enero, todavía tiene este error.
Evan Anderson