Kurzfassung: Sollten Anrufe auf Ihrem PBX/Ihrer Telefonanlage (wie FreePBX, 3CX, asterisk, etc.) nach 30s abbrechen, liegt das in den meisten Fällen an falschem NAT. In unserem Falle lag dies an einem asymmetrischen Mapping von externen und internen Bind-Ports der Telefonanlage (z.B. 10060 -> 5060 intern). In manchen SIP Packets wird jedoch der interne Port gesendet, weshalb der Verbindungsaufbau des Gesprächs nicht korrekt funktioniert.
Kürzlich trat ein Kunde mit einem besonders hartnäckigen Problem an uns heran: Sämtliche Anrufe über die Telefonanlage (PBX) brachen – egal ob ein- oder ausgehend – zuverlässig nach exakt 30 Sekunden ab. Ein bekanntes Fehlerbild, das oft auf Schwierigkeiten mit Network-Address-Translation (NAT) hindeutet.
Die Fehlersuche: Vom Client zur Firewall des Kunden
Gemeinsam mit dem Kunden starteten wir die systematische Fehlersuche:
- Endgeräte & TK-Anlage: Zuerst wurden die Client-Softphones und die Konfiguration der TK-Anlage selbst geprüft. Logs wurden analysiert, Einstellungen verglichen – ohne Erfolg. Die Anlage und die Clients funktionierten genau wie erwartet.
- Netzwerkinfrastruktur im Fokus: Da die Kernkomponenten unauffällig waren, richteten wir den Blick auf die Netzwerktopologie des Kunden, speziell auf die Firewall, die für die Verbindung der TK-Anlage zum Internet und die Umsetzung via NAT (Network Address Translation) zuständig ist.
Die Ursache: Asymmetrisches NAT auf der Kunden-Firewall
Bei der Analyse der Firewall-Konfiguration des Kunden stießen wir auf die Ursache: Die NAT-Regel für den SIP-Port (UDP/TCP 5060) war asymmetrisch eingerichtet.
- Was bedeutet das?
- Symmetrisches NAT (oft benötigt): Leitet externen Traffic auf Port X an den internen Zielport X weiter (z.B.
externe_ip:5060 -> interne_ip_pbx:5060). Die Ports bleiben gleich. - Asymmetrisches NAT (Problemfall): Leitet externen Traffic auf Port Y an den internen Zielport X weiter (z.B.
externe_ip:10060 -> interne_ip_pbx:5060). Die Ports ändern sich.
- Symmetrisches NAT (oft benötigt): Leitet externen Traffic auf Port X an den internen Zielport X weiter (z.B.
- Warum ist das problematisch für SIP? SIP-Geräte teilen sich während des Verbindungsaufbaus ihre Ports mit (z.B. im
Contact-Header) mit. Bei asymmetrischem NAT stimmen diese signalisierten Ports nicht mit den tatsächlich von der Firewall verwendeten externen Ports überein. Dies führt oft dazu, dass Antwortpakete, insbesondere die wichtigeACK-Bestätigung, den Empfänger nicht erreichen. OhneACKbricht die Verbindung nach einem Standard-Timeout von typischerweise 30 Sekunden ab.
Die Lösung und das Learning
Nachdem wir die fehlerhafte NAT-Konfiguration identifiziert hatten, konnte der Kunden die Regel auf seiner Firewall auf symmetrisches NAT (5060 -> 5060) korrigieren. Das Problem war damit sofort behoben – die Anrufe liefen wieder.
Dieser Fall zeigt exemplarisch, wie wichtig es bei der Fehlersuche, gerade im VoIP-Umfeld, ist, die gesamte Kommunikationskette zu betrachten. Es genügt nicht, nur die Endpunkte oder die zentrale Anwendung (TK-Anlage) zu prüfen. Die Netzwerkinfrastruktur, insbesondere Firewalls und deren NAT-Einstellungen, spielen eine entscheidende Rolle und sind oft die Quelle für scheinbar unerklärliche Probleme.