wir haben einen CompanyFlex der Telekom und nutzen entsprechend auch den STUN Server von denen.

Ich sehe im Firewall Log, dass unsere IPVA zuerst korrekt via udp dst port 3478 den STUN Server anspricht, sowohl über die via DNS aufgelöste IP als auch eine weitere.

Ich vermute mal die Telekom hat da irgend eine Cluster/HA config.

Ein paar Sekunden später versucht die IPVA erneut Pakete vom selben src/highport zu dem Telekom Server zu schicken, dieses mal aber udp dst port 1.

Das wird logischer Weise von unserer Firewall geblockt.

Hat jemand dieses Verhalten auch schonmal beobachtet und weiß ggf warum versucht wird via udp port 1 den server zu erreichen?

Ich will das jetzt nicht einfach in der Firewall freigeben, ohne es zu verstehen.

Vielen Dank vorab.