Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 2 subscribers
  • Views 15566 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Newbie/RED phone sytem problem\

MikeSwann
We have a 3com V3000 phone system. Our office network is DCHP'ed by the fire wall and has a .1.1 domain. The RED hardware has a .4.1 domain and DCHP's locally.


We have a  3com 3102 handset  that we configured in the office by auto discovery. We took it to the remote office and get the error message "wait for NCP M". System is set up for IP on the Fly.

 

We have the RED device set for "any" communication each direction with the "in office" system.  

The phone is the only thing connected to the VPN device. Angry IP reports no ip address for any of the handsets when scanned from the .1.1 or .4.1 domain. The NBX Telephone configuration>Telephones>IP settings is not reporting an address for the remote phone.  I tried forcing setting an IP address, subnet and gateway at the correct domain to the hand set, but this did not work either. 

The odd thing is if I plug in my laptop in the RED that has a soft phone installed, it works fine.  SBS communicates fine too.

Here is a traffic monitor that is going on at the VPN device with only the handset connected:

Proto Source IP Port Destination IP Port Bytes in Pkt in Bytes out Pkt out

udp 0.0.0.0 68 255.255.255.255 67 1146 3 0 0

icmp 192.168.4.1 - 192.168.4.254 - 48 1 0 0 (I am guessing this is the hand set)

Something that is troubling, is the udp 0.0.0.0 response on the packet monitor. Its always paired with the vpn device, 1628 times a day.

Another thing is I cant ping any of the known devices, laptop or handset on the RED from the office. Is this normal?

Any recommendations?

thanks in advance.


This thread was automatically locked due to age.
  • 0
    First thing is that the ANY rule really means "most, but not all".  A good example of this is ICMP which is handled separately.  The first things that I would look at are the documentation for the PBX and phone to determine the specific ports necessary for correct functioning.  Then I would check the packet filter and IPS logs to see what if anything is being blocked.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    First thing is that the ANY rule really means "most, but not all".  A good example of this is ICMP which is handled separately.  The first things that I would look at are the documentation for the PBX and phone to determine the specific ports necessary for correct functioning.  Then I would check the packet filter and IPS logs to see what if anything is being blocked.


    Yep, I figured  that out that on the SSL/VPN/soft phone.[:)]

    More knowledge is better, I wish I knew what IMCP was, lol. 

    This has forced me to learn more about networking than I ever wanted to know.
  • 0
    Internet Control Message Protocol - Wikipedia, the free encyclopedia

    You picked a great product for learning networking.  You get enterprise class features with as much ease of management as possible through WebAdmin.

    udp 0.0.0.0 68 255.255.255.255 67 1146 3 0 0

    This is your device screaming out for a DHCP address.

    The RED hardware has a .4.1 domain and DCHP's locally

    Do you mean that you have setup a separate DHCP server instance on the Astaro to service the RED network or on some firewall at the remote site?
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Scott_Klassen
    [Do you mean that you have setup a separate DHCP server instance on the Astaro to service the RED network or on some firewall at the remote site?


    The gateway on the ASG is 192.168.1.1 and it assigns IP addresses, the gateway on the RED is 192.168.4.1.  My laptop and hand set on the RED obtained 192.168.4.253:254. I am assuming the RED is assigning IP addresses as well. Again, the only rules/filters we have set up is to allow "any" traffic both ways between internal and the RED.

    As for domains; according to buttonpuncher, this is wrong and am considering rebuilding the RED interface at at 192.20.1.1. I cannot ping any devices on the red from the office either.

    The 3com Phone system, V3000 (192.168.1.15) uses an Ethernet /VOIP system and has an "IP on the fly" and it issues IP addresses to hand sets.

    To make a long story longer, I never had thought about a UTM firewall until my business got buried in Asian spam. This is foreign to me. My 24yo "Internet expert" that recommended astaro, ran away when we tried to get the phone system across the firewall and I am having a hard time finding anyone that has a deep knowledge/competence of this product locally. I have a business to run, not learn how to administer an astaro, I am not a network guy. This is why its been taking 2 years to get this RED implemented. Still, We need this functionally and "eventually a blind squirrel finds a nut".

    With that being said, I did manage to get the 3com softphone (pcXset) rules/filters set all by myself and it work flawlessly on the SSL/VPN. I respect the Astaro as a powerful corperate security tool and its capabilites. I'll gladly except all the help I can get.

    OK, done ranting.
  • 0 in reply to MikeSwann
    Where abouts are you located?
  • 0
    Given the information in the last post, I think we need to lay a little groundwork to get you assistance in the future.  

    Since you are a business licensee, you have a support agreement.  In WebAdmin>>Management>>Licensing>>Overview Tab, do you have Standard or Premium support?  If standard support, you can place support requests with your reseller (the company that you bought the Astaro and licenses through).  If you have premium support, you can contact Astaro support directly.  Since you do not have internal IT, I would heavily suggest getting Premium support if you don't already have it.  You can also touch base with Astaro to see if there is a reseller local to you who can put "boots on the ground" to help you through difficult implementations.  Many resellers also offer a service, for additional cost, where they will handle all configuration changes and updates remotely, so that you don't have to worry about it anymore.

    One thing that I'm seeing with a little googleing is that there is an auto-configuration setting on the phone.  Is this turned on?

    A couple more ideas:

    From a google posting.  Basically meaningless to me, since I can't see your phone systems or settings, but might help you:
    You have not gotten the downloader from the 3Com Asterisk appliance yet. You need to remove the mac address (make them all ffff's) of the NCP from the phone - it is attempting to connect to it at Layer 2 and not booting to L3 to get its download from the appliance. 

    Layer 2 is what the NBX uses by default 
    Layer 3 is what 3Com Asterisk, VCX Connect, VCX and NBX in Standard IP Mode use. 

    Once you do that you should see something indicating using Layer 3 or IP - than get a downloading message. After the phone reboots you should get prompted for a local address (if not then go into the menu and follow the directions) 



    The other thing is maybe trying a granular packet filter rule, ordered to the top, allowing SIP and ports 2093-2096.  These were the only documented ports needed that I could find, but there may be others.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0 in reply to Simon Shaw
    Where abouts are you located?


    Long Beach, California.
  • 0 in reply to Scott_Klassen
    Given the information in the last post, I think we need to lay a little groundwork to get you assistance in the future.  

    Since you are a business licensee, you have a support agreement.  In WebAdmin>>Management>>Licensing>>Overview Tab, do you have Standard or Premium support?  If standard support, you can place support requests with your reseller (the company that you bought the Astaro and licenses through).  If you have premium support, you can contact Astaro support directly.  Since you do not have internal IT, I would heavily suggest getting Premium support if you don't already have it.  You can also touch base with Astaro to see if there is a reseller local to you who can put "boots on the ground" to help you through difficult implementations.  Many resellers also offer a service, for additional cost, where they will handle all configuration changes and updates remotely, so that you don't have to worry about it anymore.

    One thing that I'm seeing with a little googleing is that there is an auto-configuration setting on the phone.  Is this turned on?

    A couple more ideas:

    From a google posting.  Basically meaningless to me, since I can't see your phone systems or settings, but might help you:



    The other thing is maybe trying a granular packet filter rule, ordered to the top, allowing SIP and ports 2093-2096.  These were the only documented ports needed that I could find, but there may be others.


    Hi, we have standard support and have tried factory as well as recommended local service providers. It was a waste of time and competency was the issue.  All that happened is my firewall got opened up and was getting alot of ips attempts. I have been trial and erroring as time permits and making slow progress.


    FYI, this has been going on for months now and unfortunately money is tight. When money was no object, the techs took the money and I got silly excuses as to why it didn't work.


    I have a similar thread over at the HP/3com forum and was able to get the softphone app on my laptop to work correctly by applying filters and rules to the ssl/vpn and the internal network. 1040 is control, 2093-2096 is audio and 143 is for something else but they didn't say what. Seems to work fine with 1040 and 2093-2096 to go out on the ssl/vpn.

    I still think my main problem is that I cant ping from inside, out to the red devices. The handset doesn't get an IP and outlook cant receive from SBS. They never get an IP address that can be seen internally. Other than that, I get some partial functionality. once i have this, I will try some rules and filters.

    I have some time, I am going to review buttonpuncher's thread and experiment some more.

    Small business sucks.
  • 0
    Sounds like your reseller isn't very helpful to you.  Here are my two suggestions:

    1)  Call up Astaro sales and let them know that you want to switch resellers.  They will be able to suggest some knowledgeable resellers that you can try.  Call them up and interview before you commit to switching to one.  Also ask for customer references that you can contact.

    2)  I realize that times are tight, but in your situation I think that it would definitely save you time/money to upgrade your support contract from Standard to Premium.  Depending on how much time you have on your subscriptions, it should cost you in the realm of $250-$300 per year (less if you are using a software version with a low number of users license).  Much nicer to get a problem looked into in 4 hours than having to beat your head into a wall for weeks.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    Scott,

    I tried buttonpuncher's recommendations: my exchange server works and can ping both ways.

    Now to the phone. Its still not obtaining an IP from the 3com V3000 phone server at 912.168.1.15, its gateway is set to the ASG and the DNS is set to the SBS server. (I almost wish there was a 3rd dns entry allowed for the red network/DCHP setup). 

    The ICMP looks like the default setup allows plenty of traffic both ways to the internal and red networks.

    I am tired of messing with this tonight. I am going to try some packet filter/network rules tomorrow. One question, the red and internal are on different network addresses ( 192.168.1.1 and 192.20.1.1) Would an any-DCHP-any rule make a difference now that I do not have a problem to ping from/to either location? Another weird question, can you ping a mac address?

    If all this doesnt work, I'll hit the HP/NBX forum for some ideas. Then I am going to assign static IP's at the phone and the V3000 phone server.
Unfiltered HTML