Beantwoord

Gigaset N300A IP - SIP/2.0 401 Unauthorized op Ubiquity USG-3P

  • 5 juni 2021
  • 36 reacties
  • 283 keer bekeken

Reputatie 1
Badge

Ubiquity USG-3P (firmware: v4.4.55.5377096) 
    (met custom Coolhva JSON geconfigureerd)
Gigaset N300a IP (firmware: 42.258) 

de Gigaset zit via een Netgear GS108E switch verbonden aan de USG en er is geen EB meer aanwezig in het netwerk

Deze setup heeft het ongeveer een week goed gedaan qua Telefonie/Internet/IPTV maar sinds afgelopen donderdag is ineens de connectie verbroken en krijg ik de "Registration Failed" melding in de N300a IP.
Na een aantal herstarts van de verschillende componenten en een poosje wachten (ik had namelijk geen configuratie wijzigingen doorgevoerd) bleef het stuk.

Als ik het sip verkeer bekijk op de usg zie ik:

16:00:25.857736 IP 82.170.47.90.5060 > 81.173.115.217.3478: SIP
16:00:25.881262 IP 81.173.115.217.3478 > 82.170.47.90.5060: SIP
16:00:28.836028 IP 82.170.47.90.5060 > 145.7.97.53.5060: SIP: REGISTER sip:ims.imscore.net SIP/2.0
16:00:28.932938 IP 145.7.97.53.5060 > 82.170.47.90.5060: SIP: SIP/2.0 401 Unauthorized 

en de laatste 2 blijven zich herhalen 

Hieronder de TCPDump output

tcpdump: listening on pppoe2, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
16:00:25.857736 IP (tos 0x0, ttl 127, id 28737, offset 0, flags [none], proto UDP (17), length 48)
    <W.A.N.IP>.5060 > 81.173.115.217.3478: SIP
16:00:25.881262 IP (tos 0x0, ttl 55, id 50094, offset 0, flags [df], proto UDP (17), length 96)
    81.173.115.217.3478 > <W.A.N.IP>.5060: SIP
16:00:28.836028 IP (tos 0x88, ttl 127, id 64136, offset 0, flags [none], proto UDP (17), length 539)
    <W.A.N.IP>.5060 > 145.7.97.53.5060: SIP, length: 511
        REGISTER sip:ims.imscore.net SIP/2.0
        Via: SIP/2.0/UDP <W.A.N.IP>:5060;branch=z9hG4bK9969648218d33fcb18abbc75701f14fd;rport
        From: "KPN" <sip:+31<Telefoonnummer>@ims.imscore.net>;tag=4191534086
        To: "KPN" <sip:+31<Telefoonnummer>@ims.imscore.net>
        Call-ID: 1<removed>4@<W_A_N_IP>
        CSeq: 74 REGISTER
        Contact: <sip:+31<Telefoonnummer>@<W.A.N.IP>:5060>
        Max-Forwards: 70
        User-Agent: N300A IP/42.258.00.000.000
        Expires: 3600
        Allow: INVITE, ACK, CANCEL, BYE, OPTIONS, INFO, SUBSCRIBE, NOTIFY, REFER, UPDATE
        Content-Length: 0

16:00:28.932938 IP (tos 0x0, ttl 62, id 0, offset 0, flags [df], proto UDP (17), length 692)
    145.7.97.53.5060 > <W.A.N.IP>.5060: SIP, length: 664
        SIP/2.0 401 Unauthorized
        Call-ID: 1<removed>4@<W_A_N_IP>
        Via: SIP/2.0/UDP <W.A.N.IP>:5060;received=<W.A.N.IP>;branch=z9hG4bK9969648218d33fcb18abbc75701f14fd;rport=5060
        To: "KPN" <sip:+31<Telefoonnummer>@ims.imscore.net>;tag=5d8bfaa3-60bb837c3789bdbd
        From: "KPN" <sip:+31<Telefoonnummer>@ims.imscore.net>;tag=4191534086
        CSeq: 74 REGISTER
        Date: Sat, 05 Jun 2021 14:00:28 GMT
        Server: Alcatel-Lucent-HPSS/3.0.3
        WWW-Authenticate: Digest realm="ims.imscore.net",
           nonce="b7c9036dbf3054aea94060bb837ce9703dc8f84c2008",
           opaque="ALU:QbkRBthOEgEQAkgVEwwHRAIBHgkdHwQCQ1lFR0FWGBJzMS5qLCs0ZiAnOC8iPCp-PzcnbmBmYWg_",
           algorithm=MD5,
           qop="auth"
        Content-Length: 0

 

 

De volgende acties geprobeerd (waarvan een aantal tegen beter weten in en verschillende tot ongenoegen van mn huisgenoten): 

  • Gigaset gereset + verschillende firmwares getest
    • Met stun server, zonder stun server getest
    • Vanwege de "SIP/2.0 401 Unauthorized" via de servicetool mn wachtwoord opnieuw ingesteld (bevestigingsmail gehad) 
  • USG opnieuw geprovisioned
    • Conntrack Sip module gechecked en ataat uit
    • Conntrack h.323 ook uit gezet 
    • Portforward op 5060 ingesteld (en weer verwijderd wegens niet helpen)

Voordat ik ga testen met de EB (eerst als vervanging van de usg an als dat werkt achter de usg) vroeg ik mij af of iemand nog ideeen heeft :)

 

Configuratie schermen van mn N300a IP

 

 

icon

Beste antwoord door Bart_Z 15 juli 2021, 15:12

Dat zou maar zo eens kunnen @Vulpen, ik stuur je de aanmeldnaam die ik heb staan privé.

Bekijk origineel

36 reacties

Reputatie 7

Het is al een tijdje niet meer nodig om een stun server te gebruiken maar aan de andere kant zou dat ook het probleem niet mogen veroorzaken.

Reputatie 1
Badge

Grumble,

Via de Experiabox (v10) gaat alles goed. zonder werkt het niet. Het zal dus ergens in de USG-3P zitten.

Even ter bevestiging:

  • VLAN 7 configureren is niet meer nodig (ik werk verder niet met VLANS dus alles zou gewoon moeten werken.
  • Portforwarding/handmatige nat rules zouden niet nodig moeten zijn

Nu zie ik wel als ik langer het verkeer monitor op de USG dat er meerdere register pakketten naar 145.7.97.53 gaan over port 5060 voordat er één 401 terugkomt.

Is dat normaal gedrag? 

 

 

Reputatie 7

Via de Experiabox (v10) gaat alles goed. zonder werkt het niet. Het zal dus ergens in de USG-3P zitten.

Dat is de vraag. Er zijn veel mensen geweest waarbij het instellen van het SIP wachtwoord niet goed lijkt te gaan ondanks het feit dat de SIP servicetool geen foutmeldingen geeft.

Heb jij een mail ontvangen dat het SIP wachtwoord aangepast is?

 

Even ter bevestiging:

  • VLAN 7 configureren is niet meer nodig (ik werk verder niet met VLANS dus alles zou gewoon moeten werken.
  • Portforwarding/handmatige nat rules zouden niet nodig moeten zijn

Klopt helemaal.

 

Nu zie ik wel als ik langer het verkeer monitor op de USG dat er meerdere register pakketten naar 145.7.97.53 gaan over port 5060 voordat er één 401 terugkomt.

Is dat normaal gedrag? 

Dat er uiteindelijk een 401 terugkomt is natuurlijk niet de bedoeling en duidt op een foutieve login door een foutieve Username, Authentification name of Authentification password.

Reputatie 1
Badge

Dat is de vraag. Er zijn veel mensen geweest waarbij het instellen van het SIP wachtwoord niet goed lijkt te gaan ondanks het feit dat de SIP servicetool geen foutmeldingen geeft.

Heb jij een mail ontvangen dat het SIP wachtwoord aangepast is?

Ja en ook langere tijd gewacht (30 minuten tot een uur)  voordat ik die gebruikte. 

 

Dat er uiteindelijk een 401 terugkomt is natuurlijk niet de bedoeling en duidt op een foutieve login door een foutieve Username, Authentification name of Authentification password.

ok het is dus niet zo dat op elk register verzoek een antwoord van de sip server terug zou moeten komen.  

 

Dan maar eens kijken of er aan de andere kant bij KPN iets verklaard kan worden...

Reputatie 7

Dat er uiteindelijk een 401 terugkomt is natuurlijk niet de bedoeling en duidt op een foutieve login door een foutieve Username, Authentification name of Authentification password.

ok het is dus niet zo dat op elk register verzoek een antwoord van de sip server terug zou moeten komen.  

Ik heb het SIP protocol nooit in detail gemonitored maar ik zou verwachten dat op elk bericht ook een antwoord terug zou komen.

Aan de andere kant denk ik niet dat die uitgaande berichten 100% hetzelfde zijn en dat het dus best kan zijn dat een foutief gevuld bericht gedropt wordt en er helemaal geen antwoord teruggestuurd wordt.

 

Welke codecs heb je gedefinieerd voor verbinding?

 

Ik hoop dat er ook snel een moderator van KPN zal reageren en dat hij/zij zal kijken of er.toevallig nog een order administratief open staat die de wijziging van het SIP wachtwoord blokkeert.

Reputatie 1
Badge

Verschillende codec sets geprobeerd (allemaal die hier op het forum in screenshots van N300 te vinden zijn. o.a. die van jou)

op dit moment de G722 en de G711 a  alleen

Via de chat heeft “Mart” even gekeken of er nog orders open stonden en dat was niet het geval, verder kon hij in de systemen iig niets raars vinden…. dus dan worden de opties een stuk kleiner.

Ik hoop dat er nog ergens een USG-3P gebruiker op dit forum rondzwerft die ook Voip draaiend heeft zonder gebruik van de EB.  

anders moet ik toch maar eens gaan kijken om de EB maar aan eth2 te koppelen  om de voip dienst in leven te houden maar dat zou een knieval betekenen…. 

 

 

Reputatie 1
Badge

Ok blijkbaar zat ik me te focussen op een aanname die blijkbaar niet klopt…

de SIP/2.0 401 Unauthorized is een “goede” melding in het hele register verhaal.

 

F1 en F2 zie ik op de USG langs komen, maar of 3 ook gaat vraag ik me nu af

Reputatie 7
Badge +17

Er staan inderdaad geen orders meer open. Wat het dan wel kan zijn? Geen idee, ik heb hier geen verstand van. :( Ik hoop ook dat er nog iemand langskomt met de oplossing. Ik heb dan ook voor het gemak de titel nog even aangevuld met type router. 

Reputatie 7

Ik neem aan dat je op de N300A iP de overzicht pagina van de lijnen wel gerefreshed hebt immers het opbouwen van de verbinding kost tijd het die pagina wordt niet automatisch bijgewerkt.

Reputatie 1
Badge

jup,

Als ik via tcpdump het verkeer volg zie ik wel het register verzoek van de client aan de server, met een response van de server met het verzoek om de authenticatie mee te sturen 

WWW-Authenticate: Digest realm="ims.imscore.net",
nonce="b7c9060c0ce0b36dbf3054aea940e9703dc",
opaque="ALU:QbkRBthOEgEQAkgVEwwHRAIBHgkdHwQCQ1l0BWGBJzMS5qLCs0ZiAnOC8iPCp-zcnbmBmYWg_",
algorithm=MD5,
qop="auth"

alleen het 2e verzoek van de client die een zelfde soort authentication deel maar dan met een md5 hash waarin je credentials zitten versleuteld enzo word niet verstuurd. 

 

Daarnaast zie ik dat de CSeq waarde ook niet opvolgend is. dus er worden ergens pakketten gedropt…. nu nog de vraag waar, en hoe

nu zie ik zowel op de eth0 kant als de eth1 kant de F1 en de F2 langs komen dus maar de F3 niet..

 

 

Reputatie 1
Badge

Even een update:

de USG is niet heel goed in het tcpdumpen van alle verkeer. Verkeer op de netgear ervoor analyseren met wireshark geeft mooi de hele handshake weer.

Nadeel is alleen dat de server nu het volgende antwoord geeft:

SIP;cause=403;text="Challenge Response Mismatch."

Oftewel…. ik moet voor de 100.000ste keer mijn gebruikersnaam en wachtwoord controleren…

de overige onderdelen (URI/Method/nonce/Realm) die voor de challenge response gebruikt worden kunnen niet fout zijn

(technische uitleg over de handshake voor de geinterresserden een youtube filmpje)

Reputatie 7

Dat zou ook kunnen betekenen dat KPN jouw IP adres niet als onderdeel van het KPN netwerk ziet.

Ben je een ex TFT abonnee?

Gebruik je een VPN verbinding?

Reputatie 1
Badge

Ik gebruik verder geen VPN (hiervoor) en ben al een jaar of 10 KPN gebruiker. En aangezien het in de eerste week na de omzetting van koper naar glas werkte was dat niet mijn eerste zoekrichting en de EB werkt wel gewoon naar behoren.

Maar goed nog steeds word mn N300 niet geregistreerd terwijl het nu de 100.001e poging was. 

Misschien dat @Bart_Z of een van zijn collega moderators iets met mijn SIP account kan doen of checken of er qua IP iets is wat de registratie tegenhoud.

Mocht dat ook niets opleveren moeten we volgende week maar weer een “Maintenance” moment plannen voor alle huisgenoten om de EB weer te plaatsen en dan het sip registratie verkeer van de EB maar eens opvangen om te zien of bijvoorbeeld mijn account toch anders is dan wat ik terugkrijg van de servicetool

 

Hoi @Vulpen . Ik los liefst zelf issues op maar als ik hieraan begin begeef ik mij op glad ijs.

Wij hebben een techdesk. Die ondersteunen (best effort) dit soort zaken. Er zit wel een kostenplaatje aan maar is ook maandelijks opzegbaar. 

@Vulpen Nog een oplossing gevonden? Zit hier exact met hetzelfde probleem. 

Heb zelf voor de techdesk betaald, maar daar ben ik helemaal niets veder mee gekomen dan sluit de experiabox maar weer aan dan doet ie het wel weer.

Reputatie 1
Badge

@vdberg10 Wegens drukte met andere zaken nog niet veel verder mee gekomen dus zit nog steeds op hetzelfde punt. Heb nog niet de techdesk route gestart maar jou opmerking doet me niet 1 2 3 veel hoop geven. Maar nooit geschoten is altijd mis dus ben nog wel van plan die route te gaan nemen (zodra ik het zelf wat rustiger heb en de huisgenoten ook wat minder de verbinding nodig hebben… :))

Reputatie 1
Badge

@Erwin_  @Bart_Z ik zie nu in de draad van vdberg10 dat hij blijkbaar een andere aanmeldnaam heeft gekregen. kun jij dat voor mij controleren of ik daar ook misschien last van heb? via de servicetool zie ik de naam die ik tot nu toe gebruikt heb wel correct

 

Reputatie 7
Badge +17

Dat zou maar zo eens kunnen @Vulpen, ik stuur je de aanmeldnaam die ik heb staan privé.

Reputatie 1
Badge

@Bart_Z  De servicetool geeft nog mijn foutieve aaba account weer maar degene die je mij hebt gegeven werkt met het wachtwoord. Dank je. 

 

Dank allen die input hebben gegeven en mee hebben gewerkt aan de oplossing. we hebben hier weer telefoon

Reputatie 7
Badge +17

@Vulpen, de tool gaf nog de oude weer inderdaad. Dat gaat ergens mis en gaan we verder uitzoeken. Fijn dat het nu werkt. :)

@Bart_Z Kan er bij mij iets dergelijks aan de hand zijn? Vorige week technisch gemigreerd van Telfort naar KPN (vlan34 dhcp → vlan6 pppoe). Sinds die tijd werkt SIP achter eigen modem niet meer. Meerdere malen procedure van ophalen SIP gebruikersnaam en aanpassen wachtwoord uitgevoerd. Als ik de KPN box weer aansluit dan werkt VOIP wel goed.
Laatste dagen verschillende topics gevolgd die hier over gaan. Daarbij lees ik dat oorzaak kan zijn dat er nog een order open staat. Andere oorzaak die ik lees is dat er een andere gebruikersnaam actief is dan dat er in de SIP tool wordt getoond.

Zou je beide zaken voor me kunnen checken? Dank alvast!

Reputatie 7
Badge +17

@Alleyway, er staat inderdaad nog een order open. Deze zou snel afgerond moeten worden. Verder heb ik je het aanmeldnummer privé gestuurd.

Bedankt @Bart_Z . Het aanmeldnummer uit de PM klopt. Dus de open order zal nu nog in de weg zitten. Ik zal het binnenkort nog eens proberen.

Reputatie 7
Badge +17

Ja dan zal die het zijn ja. Als het over enkele dagen nog niet werkt. Laat het even weten. Ga ik kijken wat ik hier in kan betekenen om die order te laten afronden. 

@Bart_Z 
Ik heb hetzelfde probleem na de migratie van Telfort naar KPN.
Kun je mijn username ook controleren?

 

Alvast bedankt!

Reageer