innovaphone Forum

You are here

Help with Search (new window)
Picture of Rolando 3657
Registered 7 years 32 days
Rolando 3657 Tuesday, 17 July 2018, 03:37 PM
reverse proxy rejecting h323s
Der Reverse Proxy sollte eigentlich h323 auf port 1300 weiterleiten.
Auf den Reverse-Proxy ausgestellt ist ein wildcart let's-encrypt zertifikat.
Auf dem Reverse-Proxy ist die IP in der whitelist.

Auf dem Telefon ist h323/tls eingestellt.
Diese Anfrage wird jedoch auf dem reverse-proxy rejected:
20180717-153115 REVERSE-PROXY 1 109.164.212.*** h323s: reject

https://imgur.com/4USjJye
https://imgur.com/uCE6UoR
Picture of Kevin 2055
Registered 9 years 300 days
Kevin 2055 Tuesday, 17 July 2018, 04:17 PM
Re: reverse proxy rejecting h323s
Sorry,
Hier noch mal die Screenshots.
innovaphone_IP232.png

Picture of Kevin 2055
Registered 9 years 300 days
Kevin 2055 Tuesday, 17 July 2018, 04:09 PM in response to Rolando 3657
Re: reverse proxy rejecting h323s
Hallo Rolando,

ist auf dem RP die innovaphone Device Certification Authority noch vorhanden und meldet scih das Telefon mit diesem Zertifikat? Oder hast Du fü das Telefon ebenfalls ein neues Zertifikat ausgestellt?

Ich bin mir nicht ganz sicher, glaube aber, dass der RP die Anfrage aufgrund des nicht vertrauten Zertifikats abweist.

Gruß
Kevin


Telefon:

Reverse Proxy und PBX:
Picture of Rolando 3657
Registered 7 years 32 days
Rolando 3657 Tuesday, 17 July 2018, 04:17 PM
Re: reverse proxy rejecting h323s
Die zwei Zertifikate von Innovaphone sind noch in der trust-list.
Picture of Rolando 3657
Registered 7 years 32 days
Rolando 3657 Tuesday, 17 July 2018, 04:21 PM
Re: reverse proxy rejecting h323s
leider kann ich deine screenshots nicht sehen.
Picture of Carlos 1853
Registered 10 years 70 days
Carlos 1853 Tuesday, 17 July 2018, 04:31 PM
Re: reverse proxy rejecting h323s
Hast du den Hacken "Reverse Proxy" für die betroffenen User und HW-IDs markiert?

Picture of Rolando 3657
Registered 7 years 32 days
Rolando 3657 Tuesday, 17 July 2018, 04:35 PM
Re: reverse proxy rejecting h323s
ja
Picture of Carlos 1853
Registered 10 years 70 days
Carlos 1853 Tuesday, 17 July 2018, 04:56 PM
Re: reverse proxy rejecting h323s
Ist die GK-ID am Telefon gleich dem definierten Host im RP (so dass der RP weißt wohin mit der Registrierungsanfrage)?
Picture of Rolando 3657
Registered 7 years 32 days
Rolando 3657 Tuesday, 17 July 2018, 05:26 PM
Re: reverse proxy rejecting h323s
Vielen dank, jetzt kommt die Anfrage weiter, jedoch bleibt es jetzt bei der pbx hängen:
20180717-172323 GK 0 REGISTER-IN(192.168.0.20:2182),GK-ID=mygatekeeperid,H323=0090332fcbc4,Certificate=*.mydomain

Picture of Kevin 2055
Registered 9 years 300 days
Kevin 2055 Wednesday, 18 July 2018, 08:17 AM
Re: reverse proxy rejecting h323s
Moin Rolando,

hier sieht man leider nur das Register-In. Kannst Du aus dem Syslog auch ein Register-DN und eine Reason entnehmen?
Picture of Rolando 3657
Registered 7 years 32 days
Rolando 3657 Wednesday, 18 July 2018, 09:25 AM
Re: reverse proxy rejecting h323s
Hey Kevin,
Aktuell sehe ich sonst nichts. Ich logge nur "H.323-NAT" und "H.323 Registrations", müsste noch etwas anderes geloggt werden?
Picture of Carlos 1853
Registered 10 years 70 days
Carlos 1853 Wednesday, 18 July 2018, 10:37 AM
Re: reverse proxy rejecting h323s
Markier mal den Hacken "Asume TLS" neben der RP-Address auf deinem PBX unter --> PBX --> Config.


Picture of Rolando 3657
Registered 7 years 32 days
Rolando 3657 Wednesday, 18 July 2018, 10:48 AM
Re: reverse proxy rejecting h323s
Ist bereits so konfiguriert.
Picture of Kevin 2055
Registered 9 years 300 days
Kevin 2055 Wednesday, 18 July 2018, 11:19 AM
1 of 1 users consider this post helpful
Re: reverse proxy rejecting h323s
OK,

noch mal vom Anfang eine kleine Checkliste:
- Zertifikate auf Telefon, RP und PBX passen alle
- Serial-No. des Telefons steht als Hardware ID im Nutzerobjekt
- TLS only und Reverse Proxy sind auf dieser Hardware ID angehakt.
- auf dem Telefon im Reiter Phone > User-1 ist H323/TLS ausgewählt und im Primary GK ist die URL eingetragen die vom RP auf die PBX umgeleitet wird
- Auf der PBX > Config > General steht im Feld Reverse Proxy Addresses die interne IP-Adresse des RP und der Haken bei Assume TLS ist gesetzt
- hinter PBX Name im Feld DNS steht die selbe URL wie in der Weiterleitung vom RP

Passt das alles soweit?

korrekte Einträge auf PBX und Reverse Proxy

unternehmen.url > IP Master PBX Port 1300
master.unternehmen.url > IP Master PBX Port 1300
slave.unternehmen.url > IP Slave PBX Port 1300
unternehmen.url/slave > IP Slave PBX Port 1300

Auf der PBX > Config > General steht hinter PBX Name im Feld DNS der volle DNS-Name

auf dem Telefon ist im Feld Primary GK die URL
master.unternehmen.url
und im Feld GK Identifier
unternehmen.url

Sollte das Objekt auf der Slave-PBX liegen, müsste ein PBX Redirect stattfinden, wenn alle DNS A Records korrekt eingetragen sind.

Ist dem nicht so, einfach als primary GK
slave.unternehmen.url
und GK ID
unternehmen.url/slave
Picture of Rolando 3657
Registered 7 years 32 days
Rolando 3657 Wednesday, 18 July 2018, 11:38 AM
Re: reverse proxy rejecting h323s
Bei GK Identifier auf dem Telefon ist auch "master.unternehmen.url" eingetragen. Sonst wird die Anfrage auf dem reverse-proxy rejected.
Der Rest stimmt überein.
Picture of Kevin 2055
Registered 9 years 300 days
Kevin 2055 Wednesday, 18 July 2018, 11:49 AM
1 of 1 users consider this post helpful
Re: reverse proxy rejecting h323s
Dann füge auf dem Reverse Proxy bitte "unternehmen.url > IP Master PBX Port 1300" noch hinzu und trage im GK ID "unternehmen.url" ein.

Klappt das?
Picture of Rolando 3657
Registered 7 years 32 days
Rolando 3657 Wednesday, 18 July 2018, 11:57 AM
Re: reverse proxy rejecting h323s
Das klappt! Nun frage ich mich jedoch, wie ich so zusätzliche pbx konfigurieren kann.
Picture of Kevin 2055
Registered 9 years 300 days
Kevin 2055 Wednesday, 18 July 2018, 12:05 PM
Re: reverse proxy rejecting h323s
Cool, freut mich!

Wie eben geschrieben, muss jede PBX zwei mal im RP auftauchen:
master.unternehmen.url
unternehmen.url/master
slave.unternehmen.url
unternehmen.url/slave
slave2.unternehmen.url
unternehmen.url/slave2
usw. usw.

zusätzlich muss immer "unternehmen.url" auf die Master zeigen.

Wenn nun die DNS A Einträge intern wie extern korrekt gesetzt sind, brauchst du immer nur den Master angeben, egal auf welcher PBX der Nutzer konfiguriert wurde. Die Master macht dann einen Redirect.

Intern immer auf die interne IP der jeweiligen PBX und extern immer die öffentliche IP des RP.
Picture of Kevin 2055
Registered 9 years 300 days
Kevin 2055 Wednesday, 18 July 2018, 11:55 AM in response to Rolando 3657
Re: reverse proxy rejecting h323s
EDIT:
"unternehmen.url" muss nicht im DNS auftauchen. Es reicht wenn es so auf dem RP eingetragen wird.
Picture of Rolando 3657
Registered 7 years 32 days
Rolando 3657 Wednesday, 18 July 2018, 12:04 PM
Re: reverse proxy rejecting h323s
Weshalb auch immer hatte ich den falschen system name gewählt.
Vielen Dank für die Unterstützung.
← You can define your color theme preference here