Das Notes Forum

Domino 9 und frühere Versionen => ND9: Administration & Userprobleme => Thema gestartet von: chock am 13.07.15 - 07:03:42

Titel: Push Benachrichtigung IBM Verse
Beitrag von: chock am 13.07.15 - 07:03:42

Hallo Forum,

wir haben unseren Traveler Server 9.0.1FP4 auf die Version 9.0.1.6 installiert. Nun sind wir die Verse App am testen und bekommen keine Push Benachrichtigungen sobald eine neue Mail eingeht auf das iPhone. Neue Kalendereinträge werden gepusht.
Auf dem Server erscheinen folegnde Meldungen:

Code

Traveler: SEVERE *system Couldn't connect to APNS server Exception Thrown: java.net.ConnectException: Connection timed out: connect  
Exception in thread "pool-2-thread-202" com.notnoop.exceptions.NetworkIOException: java.net.ConnectException: Connection timed out: connect
	at com.notnoop.apns.internal.ApnsConnectionImpl.socket(ApnsConnectionImpl.java:248)
	at com.notnoop.apns.internal.ApnsConnectionImpl.sendMessage(ApnsConnectionImpl.java:267)
	at com.notnoop.apns.internal.ApnsConnectionImpl.sendMessage(ApnsConnectionImpl.java:258)
	at com.notnoop.apns.internal.ApnsPooledConnection$2.run(ApnsPooledConnection.java:77)
	at java.util.concurrent.ThreadPoolExecutor$Worker.runTask(ThreadPoolExecutor.java:895)
	at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:918)
	at java.lang.Thread.run(Thread.java:767)
Caused by: java.net.ConnectException: Connection timed out: connect
	at java.net.PlainSocketImpl.doConnect(PlainSocketImpl.java:412)
	at java.net.PlainSocketImpl.connectToAddress(PlainSocketImpl.java:271)
	at java.net.PlainSocketImpl.connect(PlainSocketImpl.java:258)
	at java.net.SocksSocketImpl.connect(SocksSocketImpl.java:376)
	at java.net.Socket.connect(Socket.java:546)
	at com.ibm.jsse2.SSLSocketImpl.connect(SSLSocketImpl.java:805)
	at com.ibm.jsse2.SSLSocketImpl.<init>(SSLSocketImpl.java:776)
	at com.ibm.jsse2.SSLSocketFactoryImpl.createSocket(SSLSocketFactoryImpl.java:4)
	at com.notnoop.apns.internal.ApnsConnectionImpl.socket(ApnsConnectionImpl.java:210)
	... 6 more
Traveler: SEVERE *system Couldn't connect to APNS server Exception Thrown: java.net.ConnectException: Connection timed out: connect  
 Traveler: SEVERE *system Couldn't send message after 3 retries, Message(Id=201; Token=EB280AD7BF99CFE61F6AFBFC532F2439CE73966EF7CBCB0FE29EF8428D889AAB; Payload={"aps":{"badge":144,"content-available":1},"FLAGS":"010708011003c0010100
020633373734343101073236363038303406","account":"3"}) Exception Thrown: com.notnoop.exceptions.NetworkIOException: java.net.ConnectException: Connection timed out: connect  

Der Notes.ini Eintrag NTS_PUSH_ENABLE_APNS=false scheint nicht mehr zu funktionieren, er wird beim Start des Servers direkt wieder aus der notes.ini entfernt.
Jemand eine Idee waran es liegen könnte? Danke.

Gruss Christian

Titel: Re: Push Benachrichtigung IBM Verse
Beitrag von: stoeps am 13.07.15 - 07:40:03

Moin,

http://www-01.ibm.com/support/docview.wss?uid=swg1LO84586

der hat in FP4 schon nicht mehr funktioniert.

Habt ihr den entsprechenden Port zu den APNS auf? https://support.apple.com/en-us/HT203609

Titel: Re: Push Benachrichtigung IBM Verse
Beitrag von: chock am 13.07.15 - 08:10:22

Zitat von: stoeps am 13.07.15 - 07:40:03

Moin,

http://www-01.ibm.com/support/docview.wss?uid=swg1LO84586

der hat in FP4 schon nicht mehr funktioniert.

Habt ihr den entsprechenden Port zu den APNS auf? https://support.apple.com/en-us/HT203609

Hallo,

danke für die Rückmeldung und die Info mit dem Notes.ini Befehl.
Ports haben wir im Moment nur den 2195 und 443 offen. Dann werden wir die anderen auch mal öffnen.
Gebe bescheid sobald dies erledigt ist.

Viele Grüße
Christian

Titel: Re: Push Benachrichtigung IBM Verse
Beitrag von: chock am 14.07.15 - 06:40:26

Hallo,

die Ports 2195 und 2196 sind nun geöffnet, aber die Meldung ist noch die gleiche. Ich habe mit Netstat mal die Ports geprüft und auch mal eine Verbindugnn zu 2195 gefunden.
Muss der Port 5223 auch geöffnet werden? Oder kommuniziert das Device direkt mit dem Apple Dienst?

Gruß
Christian

Titel: Re: Push Benachrichtigung IBM Verse
Beitrag von: chock am 14.07.15 - 10:37:36

Hallo,

Probelm wurde gelöst, war doch noch ein problem mit der FW. Über Telnet gateway.push.apple.com auf die Ports 2195 und 2196 konnte keine Verbimdung aufgebaut werden, dadurch haben wir den Fehler gefunden.

Titel: Re: Push Benachrichtigung IBM Verse
Beitrag von: daija am 02.12.15 - 10:11:10

Verstehe ich das richtig, dass die Ports vom eigenen Traveler Server zum Apple Server geöffnet werden müssen?

Titel: Re: Push Benachrichtigung IBM Verse
Beitrag von: Tode am 02.12.15 - 10:18:35

ja, das verstehst Du richtig. Und zwar nicht nur zu einem Server, sondern zu einem ganzen Subnetz: 17.0.0.0/8

Titel: Re: Push Benachrichtigung IBM Verse
Beitrag von: daija am 02.12.15 - 10:31:20

ah', ok, danke.
Wie ist das bei Android Devices?

Titel: Re: Push Benachrichtigung IBM Verse
Beitrag von: kuabuab am 02.12.15 - 10:32:20

Unser IT-Security verantwortliche weigert sich diese Ports zu öffnen, was ich irgend wie auch verstehe.  :-\

Titel: Re: Push Benachrichtigung IBM Verse
Beitrag von: Tode am 02.12.15 - 10:53:19

Keine Ports = Kein Push, kein Workaround... So einfach ist das... Das muss dann die Security vor den Entscheidern vertreten, die Push haben wollen, nicht mehr Du...

Titel: Re: Push Benachrichtigung IBM Verse
Beitrag von: daija am 08.12.15 - 15:19:12

Nochmal eine Frage zu den Ports:
Müssen die vier Ports (5223, 2195, 2196, 443) nur ausgehend oder auch eingehend geöffnet sein?

In der Apple Technote https://support.apple.com/en-us/HT203609 steht etwas von "...you'll need a direct, unproxied connection to the APNs servers..." - wer nutzt denn bitteschön keinen Proxy?

Titel: Re: Push Benachrichtigung IBM Verse
Beitrag von: Pfefferminz-T am 08.12.15 - 15:40:12

https://www-01.ibm.com/support/knowledgecenter/SSYRPW_9.0.1/push_messaging_proxy.dita

IBM Traveler supports the sending of APNS and GCM message through a proxy server.

Nur ausgehend.

Titel: Re: Push Benachrichtigung IBM Verse
Beitrag von: omega am 09.12.15 - 09:28:40

Ihr solltet nicht Client-Proxy und Server-Proxy durcheinanderwerfen.
Das Iphone darf laut Apple keine Proxy-verwenden.
Der Traveler-Server schon. Allerdings sehe ich hier im Falle des Iphones auch nicht, wie der Push an die Native Mail-App über Proxy laufen kann.
Das gilt meines Erachtens nur für Verse, Todo und andere Apps.

Titel: Re: Push Benachrichtigung IBM Verse
Beitrag von: daija am 09.12.15 - 10:12:26

ich habe jetzt mal folgende Parameter in der notes.ini gesetzt und den domino server neu gestartet:

NTS_PUSH_APNS_APPLE_VERSE_IBM_PRODUCTION_PROXY_SERVER=%unser proxy server%
NTS_PUSH_APNS_APPLE_VERSE_IBM_PRODUCTION_PROXY_PORT=%user proxy port%
NTS_PUSH_APNS_APPLE_VERSE_IBM_PRODUCTION_SERVER = gateway.push.apple.com
NTS_PUSH_APNS_APPLE_VERSE_IBM_PRODUCTION_SERVER_CONNECTIONS = 15

Jetzt erhalte ich:
Traveler: SEVERE *system Couldn't connect to APNS server Exception Thrown: java.net.ProtocolException: Unable to create tunnel through proxy server.

Titel: Re: Push Benachrichtigung IBM Verse
Beitrag von: omega am 09.12.15 - 10:21:11

Die Zielport lässt euer Proxy auch durch?

Titel: Re: Push Benachrichtigung IBM Verse
Beitrag von: daija am 10.12.15 - 12:21:29

Es funktioniert jetzt.
Aber dass man den ganzen Block 17.0.0.0/8 freigeben muss, ist etwas unschön.

Titel: Re: Push Benachrichtigung IBM Verse
Beitrag von: Pfefferminz-T am 10.12.15 - 12:25:03

Dafür kann man sich bei Apple bedanken...

Titel: Re: Push Benachrichtigung IBM Verse
Beitrag von: hallo.dirk am 10.12.15 - 13:18:21

 

Zitat von: daija am 10.12.15 - 12:21:29

Es funktioniert jetzt.
Aber dass man den ganzen Block 17.0.0.0/8 freigeben muss, ist etwas unschön.

a) das 17er Netz gehört Apple
b) Apple gibt für seine Dienste immer einen FQDN an
c) Apple wechslet regelmäßig die IP's hinter den FQDN's

Dagegen haben wir dann FW Admins, die in der Regel nur auf eine IP administrieren.
Das beißt sich natürlich, denn der FW Admin wird selten bis gar nicht bereit sein, eine FW Regel auf einen DNS Namen zu setzen.
Da hier 2 Ansichten kollidieren, wüsste ich aber nicht wie man das, außer "Service nach --> 17.*" lösen könnte.

Es ist halt so :-: