Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 3 subscribers
  • Views 2845 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help configuring SIP in firewall...

mikeshappell
After I realized that our SIP security settings were not working properly this morning (see other thread on this topic), I disabled and re-enabled the SIP security in the firewall. While this fixed the vulnerability, it left us with a new problem, no voice (media) traffic was being passed by the firewall.

My SIP provider uses two different IPs for our VoIP service. I have a signaling IP and a media IP. My thought was that I just needed to add both IPs to the SIP server networks and things would just work.  However, this is not the case. The firewall allows the signaling traffic without issue, but the media traffic to the media IP is dropped.

The only way that I found to get this to work was to add a separate packet filter rule for the media IP which allowed traffic from our VoIP network (which contains all of the phones and the PBX) to the media IP for ANY protocol. This does seem to solve the issue, but I am not sure if this is the best or correct configuration approach.  Any guidance on this topic would be appreciated.  Thanks in advance.

Mike


This thread was automatically locked due to age.
  • 0
    You need to find out specifically what ports need to be open for the service that you are using.  They all use something additional besides SIP, such as RTP (http://www.voip-info.org/wiki/view/RTP).  You need to check with your SIP provider and PBX vendor to find out all ports/protocols needed.  Use that as the basis for your packet filter rule instead of any.
  • 0 in reply to Scott_Klassen
    So first, the SIP monitor in the firewall does not handle a separate media IP in the way that it handles the SIP IP?

    Second, the media IP is for RTP traffic and will use random ports to create the media channel. My reading of the documentation said that the SIP monitor will detect the ports that need to be opened and handle that automatically. I would have thought it would have also detected (or at least supported) the media IP as well.

    Mike
  • 0
    So first, the SIP monitor in the firewall does not handle a separate media IP in the way that it handles the SIP IP?
    Correct, it only handles the base SIP protocol.  It can't handle the other stuff, because no two providers/PBXs use the same port scheme.  There's no standarization to base it on.

    use random ports
    Yes, but there is always a defined range.  The last one I set up used UDP 10k-20K, but others can be different.  To be honest, I don't even use the SIP proxy.  My PBX won't support it as it adds too much latency.  No provider will have config information about Astaro or other UTM devices, but almost all have some guidance about Cisco.  If your PBX says don't use Cisco SIP fixup, then don't use the SIP proxy and instead set things up with NAT rules.
  • 0
    I thought the SIP monitor in 8.201 (or any of the later versions of the firewall) is NOT a SIP proxy, but rather a packet inspection monitor that will just manage ports (specifically so you do not need to open a large number of ports, when only a handful are in use at any point in time). My understanding from the reading I have done is that the SIP proxy was removed in favor of this newer (better) mechanism.

    Mike