IP-Adresse(n) der Telekom-Telefonie-Server ermitteln
Benötigt man beispielsweise für die Konfiguration einer Firewall die IP-Adresse(n) der Telekom-Telefonie-Server, muss man diese zunächst ermitteln.
Als Schnellschuss auf einer Windows-basierten 3CX hilft dann schon mal, sofern der SIP-Trunk erfolgreich registriert ist, bereits dieser Einzeiler in der Eingabeaufforderung:
netstat | find "5060"
Unter Debian-Linux sieht der Befehl so aus:
netstat | grep "sip"
oder
netstat -n | grep "5060"
Als Ausgabe erhält man die aktuellen Verbindungen, anhand derer man die IP-Adresse ablesen kann.
Versucht man hingegen direkt beispielsweise “sip-trunk.telekom.de” DNS-mässig aufzulösen, erhält man keine IP-Adresse, da kein Host A oder CNAME-Eintrag vorhanden ist. Der Hintergrund ist, das direkt für diesen FQDN keine IP-Adresse, sondern nur Service-Einträge (SRV) hinterlegt sind.
Diese Einträge kann man mit
nslookup -querytype=SRV _sip._tcp.reg.sip-trunk.telekom.de
auslesen. Die Ausgabe unter Windows sieht dann so aus:
Server: firewall.test.local Address: 192.168.1.1 Nicht autorisierende Antwort: _sip._tcp.reg.sip-trunk.telekom.de SRV service location: priority = 0 weight = 5 port = 5060 svr hostname = n-ipr-a01.sip-trunk.telekom.de _sip._tcp.reg.sip-trunk.telekom.de SRV service location: priority = 10 weight = 5 port = 5060 svr hostname = d-ipr-a01.sip-trunk.telekom.de _sip._tcp.reg.sip-trunk.telekom.de SRV service location: priority = 1 weight = 5 port = 5060 svr hostname = n-ipr-a02.sip-trunk.telekom.de
Die Ausgabe unter Linux sieht so aus:
Server: 192.168.1.1 Address: 192.168.1.1#53 Non-authoritative answer: _sip._tcp.reg.sip-trunk.telekom.de service = 0 5 5060 n-ipr-a01.sip-trunk.telekom.de. _sip._tcp.reg.sip-trunk.telekom.de service = 10 5 5060 d-ipr-a01.sip-trunk.telekom.de. _sip._tcp.reg.sip-trunk.telekom.de service = 1 5 5060 n-ipr-a02.sip-trunk.telekom.de. Authoritative answers can be found from:
Da man nun die FQDN’s der eigentlichen Server kennt, kann man deren IP-Adressen auflösen:
nslookup n-ipr-a01.sip-trunk.telekom.de
Die Windows-Ausgabe sieht so aus:
Server: firewall.test.local Address: 192.168.1.1 Nicht autorisierende Antwort: Name: n-ipr-a01.sip-trunk.telekom.de Address: 217.0.15.67
Die Linux-Ausgabe so:
Server: 192.168.1.1 Address: 192.168.1.1#53 Non-authoritative answer: Name: n-ipr-a01.sip-trunk.telekom.de Address: 217.0.15.67
Für “_sip._udp.tel.t-online.de” kann die gleiche Heransgehensweise verwendet werden.
Quelle:
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Cooler Artikel. Es ist immer wieder ein Graus, die richtigen Befehle zu finden die DNS-SRV Einträge abzufragen. Allerdings geht der Trend zunehmend zu NAPTR: https://de.wikipedia.org/wiki/NAPTR_Resource_Record
Hallo Andy,
prima Darstellung, problematisch für viele Firewalls.
Ergänzend sei dazu noch bemerkt, daß die Telekom ihre SIP-Server im Adressbereich 217.0.24.0/22 stehen hat (https://ipinfo.io/AS3320/217.0.0.0/13-217.0.24.0/22), den man als Workaround für Freigaben nutzen kann.
Ich habe mittlerweile schlicht 217.0.0.0/13 freigeschaltet, da die Telekom die SIP-Server ausgebaut hat und man immer wieder neue IP-Ranges freischalten musste, was tierisch nervt.