Help us enhance your Sophos Community experience. Share your thoughts in our Sophos Community survey.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 2 subscribers
  • Views 50833 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VoIP helper: SIP works, but no RTP...

marcB72
Hi there,

after years of using Astaro (since V3.1) I have now a problem which
I have not solved yet (Version 9.204-20).
End of this week our phone line will be switched to IP (VoIP). Therefor I prepare the UTM for this day and want to test it with a sipgate.de account. The internal PBX is a Starface. VoIP Support is enabled and all Sipgate servers and the IP of the local PBX is entered correctely at the VoIP Support
page. (Strict mode)
Internet access with PPPoE from the UTM.

With wireshark I inspected the packets on the pbx going to the UTM:
registering and dialing is working as expected. Phones are ringing but no tone is going in any direction!
The Ports stated in the SIP-Session description are used by the pbx for outgoing RTP. But UTM is blocking them all. (Default DROP)
Strange thing: Outgoing packets are marked as 'UDP' - Default DROP ; Incoming packets are marked as 'RTP' - Default DROP. Wireshark shows the outgoing packets as RTP and not as UDP... Is the helper not recognising the RTP packets correctely?

If I enter a Firewall rule (PBX -> AllSipgateServer -> Any) everything works fine - but I do not want to have an 'ANY' Rule in the list...

What's going wrong here?

Thanks for your help in advance

Marc


This thread was automatically locked due to age.
Parents
  • 0
    As a workaround I set the SipSupport from 'Strict' to 'Client/Server Network'.
    After that, everything is working without additional FW-Rules or NAT-Rules.

    But that is not that behaviour as it should be:
    T-Online and Sipgate both have only one IP for SIP-Traffic(registration/Invitation/Sessiondescription...) but using different server for the RTP. In mode 'Strict' any RTP Ports should be opended dynamically according to Sessiondescriptions sent between addresses used for Registration.
    any other traffic should be blocked.

    The mode 'Client/Server Networks' is less restrivtive but not the mode normally should be used in most cases...

    Hope there will be a fix in the SIP-Helpers soon!
    CU
    Marc
Reply
  • 0
    As a workaround I set the SipSupport from 'Strict' to 'Client/Server Network'.
    After that, everything is working without additional FW-Rules or NAT-Rules.

    But that is not that behaviour as it should be:
    T-Online and Sipgate both have only one IP for SIP-Traffic(registration/Invitation/Sessiondescription...) but using different server for the RTP. In mode 'Strict' any RTP Ports should be opended dynamically according to Sessiondescriptions sent between addresses used for Registration.
    any other traffic should be blocked.

    The mode 'Client/Server Networks' is less restrivtive but not the mode normally should be used in most cases...

    Hope there will be a fix in the SIP-Helpers soon!
    CU
    Marc
Children
No Data
Unfiltered HTML