Push Benachrichtigung IBM Verse

[chock]

Hallo Forum,

wir haben unseren Traveler Server 9.0.1FP4 auf die Version 9.0.1.6 installiert. Nun sind wir die Verse App am testen und bekommen keine Push Benachrichtigungen sobald eine neue Mail eingeht auf das iPhone. Neue Kalendereinträge werden gepusht.
Auf dem Server erscheinen folegnde Meldungen:

Code

Traveler: SEVERE *system Couldn't connect to APNS server Exception Thrown: java.net.ConnectException: Connection timed out: connect  
Exception in thread "pool-2-thread-202" com.notnoop.exceptions.NetworkIOException: java.net.ConnectException: Connection timed out: connect
	at com.notnoop.apns.internal.ApnsConnectionImpl.socket(ApnsConnectionImpl.java:248)
	at com.notnoop.apns.internal.ApnsConnectionImpl.sendMessage(ApnsConnectionImpl.java:267)
	at com.notnoop.apns.internal.ApnsConnectionImpl.sendMessage(ApnsConnectionImpl.java:258)
	at com.notnoop.apns.internal.ApnsPooledConnection$2.run(ApnsPooledConnection.java:77)
	at java.util.concurrent.ThreadPoolExecutor$Worker.runTask(ThreadPoolExecutor.java:895)
	at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:918)
	at java.lang.Thread.run(Thread.java:767)
Caused by: java.net.ConnectException: Connection timed out: connect
	at java.net.PlainSocketImpl.doConnect(PlainSocketImpl.java:412)
	at java.net.PlainSocketImpl.connectToAddress(PlainSocketImpl.java:271)
	at java.net.PlainSocketImpl.connect(PlainSocketImpl.java:258)
	at java.net.SocksSocketImpl.connect(SocksSocketImpl.java:376)
	at java.net.Socket.connect(Socket.java:546)
	at com.ibm.jsse2.SSLSocketImpl.connect(SSLSocketImpl.java:805)
	at com.ibm.jsse2.SSLSocketImpl.<init>(SSLSocketImpl.java:776)
	at com.ibm.jsse2.SSLSocketFactoryImpl.createSocket(SSLSocketFactoryImpl.java:4)
	at com.notnoop.apns.internal.ApnsConnectionImpl.socket(ApnsConnectionImpl.java:210)
	... 6 more
Traveler: SEVERE *system Couldn't connect to APNS server Exception Thrown: java.net.ConnectException: Connection timed out: connect  
 Traveler: SEVERE *system Couldn't send message after 3 retries, Message(Id=201; Token=EB280AD7BF99CFE61F6AFBFC532F2439CE73966EF7CBCB0FE29EF8428D889AAB; Payload={"aps":{"badge":144,"content-available":1},"FLAGS":"010708011003c0010100
020633373734343101073236363038303406","account":"3"}) Exception Thrown: com.notnoop.exceptions.NetworkIOException: java.net.ConnectException: Connection timed out: connect  

Der Notes.ini Eintrag NTS_PUSH_ENABLE_APNS=false scheint nicht mehr zu funktionieren, er wird beim Start des Servers direkt wieder aus der notes.ini entfernt.
Jemand eine Idee waran es liegen könnte? Danke.

Gruss Christian

[stoeps]

Moin,

http://www-01.ibm.com/support/docview.wss?uid=swg1LO84586

der hat in FP4 schon nicht mehr funktioniert.

Habt ihr den entsprechenden Port zu den APNS auf? https://support.apple.com/en-us/HT203609

[chock]

Moin,

http://www-01.ibm.com/support/docview.wss?uid=swg1LO84586

der hat in FP4 schon nicht mehr funktioniert.

Habt ihr den entsprechenden Port zu den APNS auf? https://support.apple.com/en-us/HT203609

Hallo,

danke für die Rückmeldung und die Info mit dem Notes.ini Befehl.
Ports haben wir im Moment nur den 2195 und 443 offen. Dann werden wir die anderen auch mal öffnen.
Gebe bescheid sobald dies erledigt ist.

Viele Grüße
Christian

[chock]

Hallo,

die Ports 2195 und 2196 sind nun geöffnet, aber die Meldung ist noch die gleiche. Ich habe mit Netstat mal die Ports geprüft und auch mal eine Verbindugnn zu 2195 gefunden.
Muss der Port 5223 auch geöffnet werden? Oder kommuniziert das Device direkt mit dem Apple Dienst?

Gruß
Christian

[chock]

Hallo,

Probelm wurde gelöst, war doch noch ein problem mit der FW. Über Telnet gateway.push.apple.com auf die Ports 2195 und 2196 konnte keine Verbimdung aufgebaut werden, dadurch haben wir den Fehler gefunden.

[daija]

Verstehe ich das richtig, dass die Ports vom eigenen Traveler Server zum Apple Server geöffnet werden müssen?

[Tode]

ja, das verstehst Du richtig. Und zwar nicht nur zu einem Server, sondern zu einem ganzen Subnetz: 17.0.0.0/8

[daija]

ah', ok, danke.
Wie ist das bei Android Devices?

[kuabuab]

Unser IT-Security verantwortliche weigert sich diese Ports zu öffnen, was ich irgend wie auch verstehe.  

[Tode]

Keine Ports = Kein Push, kein Workaround... So einfach ist das... Das muss dann die Security vor den Entscheidern vertreten, die Push haben wollen, nicht mehr Du...

[daija]

Nochmal eine Frage zu den Ports:
Müssen die vier Ports (5223, 2195, 2196, 443) nur ausgehend oder auch eingehend geöffnet sein?

In der Apple Technote https://support.apple.com/en-us/HT203609 steht etwas von "...you'll need a direct, unproxied connection to the APNs servers..." - wer nutzt denn bitteschön keinen Proxy?

[Pfefferminz-T]

https://www-01.ibm.com/support/knowledgecenter/SSYRPW_9.0.1/push_messaging_proxy.dita

IBM Traveler supports the sending of APNS and GCM message through a proxy server.

Nur ausgehend.

[omega]

Ihr solltet nicht Client-Proxy und Server-Proxy durcheinanderwerfen.
Das Iphone darf laut Apple keine Proxy-verwenden.
Der Traveler-Server schon. Allerdings sehe ich hier im Falle des Iphones auch nicht, wie der Push an die Native Mail-App über Proxy laufen kann.
Das gilt meines Erachtens nur für Verse, Todo und andere Apps.

[daija]

ich habe jetzt mal folgende Parameter in der notes.ini gesetzt und den domino server neu gestartet:

NTS_PUSH_APNS_APPLE_VERSE_IBM_PRODUCTION_PROXY_SERVER=%unser proxy server%
NTS_PUSH_APNS_APPLE_VERSE_IBM_PRODUCTION_PROXY_PORT=%user proxy port%
NTS_PUSH_APNS_APPLE_VERSE_IBM_PRODUCTION_SERVER = gateway.push.apple.com
NTS_PUSH_APNS_APPLE_VERSE_IBM_PRODUCTION_SERVER_CONNECTIONS = 15

Jetzt erhalte ich:
Traveler: SEVERE *system Couldn't connect to APNS server Exception Thrown: java.net.ProtocolException: Unable to create tunnel through proxy server.

[omega]

Die Zielport lässt euer Proxy auch durch?

[daija]

Es funktioniert jetzt.
Aber dass man den ganzen Block 17.0.0.0/8 freigeben muss, ist etwas unschön.

[Pfefferminz-T]

Dafür kann man sich bei Apple bedanken...

[hallo.dirk]

 

Es funktioniert jetzt.
Aber dass man den ganzen Block 17.0.0.0/8 freigeben muss, ist etwas unschön.

a) das 17er Netz gehört Apple
b) Apple gibt für seine Dienste immer einen FQDN an
c) Apple wechslet regelmäßig die IP's hinter den FQDN's

Dagegen haben wir dann FW Admins, die in der Regel nur auf eine IP administrieren.
Das beißt sich natürlich, denn der FW Admin wird selten bis gar nicht bereit sein, eine FW Regel auf einen DNS Namen zu setzen.
Da hier 2 Ansichten kollidieren, wüsste ich aber nicht wie man das, außer "Service nach --> 17.*" lösen könnte.

Es ist halt so