Discussions (German)

Registered 4 years 251 days

Lars 4930 Wednesday, 18 March 2020, 06:56 PM

Reverse Proxy

Hallo Zusammen

Ich versuche aktuell einen Reverse Proxy vor unsere Innovaphone PBX zu schalten. Der Reverse Proxy ist vom Internet aus erreichbar und hat ein zweites Interface, über welches dieser intern direkt mit der PBX kommunizieren kann.

Folgende Einstellungen habe ich für den Reverse Proxy vorgenommen (siehe Screenshot).

Aktuell sehe ich jedoch beim verbinden auf den Reverse Proxy folgende Logs auf der IPVA:

20200318-185100 RPRXY-H323S 7 TCP-In <RP_PUBLIC_IP>:1300 <MYPBX_IPHONE_IP>:24100
20200318-185100 H323-IN 6 TCP-Acc <RP_PUBLIC_IP>:1300 <MYPBX_IPHONE_IP>:24100
20200318-185100 H323-IN 6 TCP-Up <RP_PUBLIC_IP>:1300 <MYPBX_IPHONE_IP>:24100
20200318-185100 REVERSE-PROXY 0 <MYPBX_IPHONE_IP> h323s: reject
20200318-185100 H323-IN 6 TCP-Dn <RP_PUBLIC_IP>:1300 <MYPBX_IPHONE_IP>:24100
20200318-185100 H323-IN 6 TCP-Clsd <RP_PUBLIC_IP>:1300 <MYPBX_IPHONE_IP>:24100


  RP_PUBLIC_IP: Reverse Proxy Public IP
  MYPBX_IPHONE_IP: Public IP von Smartphone mit myPBX App

Hat jemand eine Idee, was dieser Fehler (h323s: reject) bedeuten könnte, bzw. woher der kommt? Weitere Logs konnte ich leider keine finden.

Vielen Dank im voraus.

Gruss

Lars

rp.png

Registered 7 years 344 days

Muschelpuster Wednesday, 18 March 2020, 10:41 PM

Re: Reverse Proxy

Hallo Lars,

der ReverseProxy kann in dieser Konstellation laufen, ein TURN mit 2 IPs ist schwierig und ich gehe mal davon aus, dass Du auch diesen auf der RP-Büchse mit laufen lassen willst.

Aber zum akuten Problem: Da Du mit H.323 kommst, gehe ich mal davon aus, dass Du myPBX auf dem IPhone hast. Hat das Phone denn eine GK-ID im User-Profil abbekommen und passt die zum Hostname?

mutmaßliche Grüße

Niels

Registered 4 years 251 days

Lars 4930 Wednesday, 18 March 2020, 11:36 PM

Re: Reverse Proxy

Hallo Niels,

danke für deine rasche Antwort.

Ja, deine Annahme ist richtig, gerne würde ich auch TURN auf diesem Server laufen lassen, sobald das mit dem Signalling über H.323/TLS funktioniert. Die Idee ist, dass unsere PBX über den Reverse Proxy von Smartphones verwendet werden kann, damit wir keinesfalls die PBX direkt ins Internet stellen müssen.

Da liegst du richtig, es handelt sich um die myPBX App auf iPhone. Ich habe bei den Account Einstellungen den Primary Gatekeeper analog dem PBX Hostname gesetzt, somit passt dieser zum Hostnamen. Oder verstehe ich hier etwas falsch?

Danke und Gruss

Lars

Registered 7 years 344 days

Muschelpuster Thursday, 19 March 2020, 07:35 AM

Re: Reverse Proxy

Moin Lars,

das Handling von HTTP(s)-Anfragen macht der RP über die URL, also primär über den Domainnamen. H.323(s) wird jedoch über die Gatekeeper-ID behandelt. Hierbei ist es unerheblich, ob diese eine erreichbare Domain ist, oder auch unlesbarer Zeichensalat. Das muss nur zur PBX passen.

LDAP wird im Übrigen dann auch nicht über den Domainnamen des angegebenen LDAP-Servers, sondern über den Domainanteil des Benutzernamens kanalisiert.

Das liegt daran, dass die Protokolle dem RP nicht wie HTTP(s) die aufgerufene Domain verraten.

Beim TURN gibt es das Problem, dass im ICE die Partner ihre jeweilige TURN-Adresse verraten. Und das nur in Form der aufgelösten IP, nicht als DNS-Namen. Die Anlage und die internen Phones senden also die interne IP, das externe Phone die externe IP. Wenn nun die Anlage die externe IP nicht erreicht und das Phone nicht die interne, dann gibt es aus Sicht der Geräte keinen gemeinsamen TURN auf dem man sich treffen kann. Intereseanterweise gibt es da primär Probleme bei Smartphone-Clients, kaum bei Hardwarphones, die scheinbar im ICE kreativer sind oder diesen seltener beanspruchen.

erklärende Grüße

Niels

Registered 4 years 251 days

Lars 4930 Thursday, 19 March 2020, 09:01 AM

Re: Reverse Proxy

Hi Niels,

vielen Danke für die Hilfe. Der Fehler lag tatsächlich bei der falschen Domain. Das Signalling funktioniert nun einwandfrei.

Danke für den Hinweis wegen dem LDAP, das werde ich später noch angehen.

Der nächste Schritt von meiner Seite wird nun sein, den eigentlichen Voice Traffic zum laufen zu kriegen. Oder bist du der Meinung das so gar nicht funktionieren kann?

Danke vielmals!

Gruss

Lars

Registered 7 years 344 days

Muschelpuster Friday, 20 March 2020, 06:59 PM

Re: Reverse Proxy

Hallo Lars,

grundsätzlich sucht ICE ja immer den kürzesten Weg. Und der TURN ist der Längste und somit die letzte Option. Wenn der Stream zwischen den Endpunkten also vorher durch die Firewall gebracht werden kann, hast Du auch Sprache. Und selbst wenn ein Rückfall auf den TURN erfolgt, klaptt das gegen alle Theorie erstaunlich gut, nur eben bei mir nicht auf dem Smartphone mit myApps.

teiloptimistische Grüße

Niels

Registered 4 years 251 days

Lars 4930 Monday, 23 March 2020, 10:09 AM

Re: Reverse Proxy

Hallo Niels,

danke für die Klarstellung.

Gruss

Lars

You are here