Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 3 subscribers
  • Views 2847 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help configuring SIP in firewall...

mikeshappell
After I realized that our SIP security settings were not working properly this morning (see other thread on this topic), I disabled and re-enabled the SIP security in the firewall. While this fixed the vulnerability, it left us with a new problem, no voice (media) traffic was being passed by the firewall.

My SIP provider uses two different IPs for our VoIP service. I have a signaling IP and a media IP. My thought was that I just needed to add both IPs to the SIP server networks and things would just work.  However, this is not the case. The firewall allows the signaling traffic without issue, but the media traffic to the media IP is dropped.

The only way that I found to get this to work was to add a separate packet filter rule for the media IP which allowed traffic from our VoIP network (which contains all of the phones and the PBX) to the media IP for ANY protocol. This does seem to solve the issue, but I am not sure if this is the best or correct configuration approach.  Any guidance on this topic would be appreciated.  Thanks in advance.

Mike


This thread was automatically locked due to age.
Parents
  • 0
    So first, the SIP monitor in the firewall does not handle a separate media IP in the way that it handles the SIP IP?
    Correct, it only handles the base SIP protocol.  It can't handle the other stuff, because no two providers/PBXs use the same port scheme.  There's no standarization to base it on.

    use random ports
    Yes, but there is always a defined range.  The last one I set up used UDP 10k-20K, but others can be different.  To be honest, I don't even use the SIP proxy.  My PBX won't support it as it adds too much latency.  No provider will have config information about Astaro or other UTM devices, but almost all have some guidance about Cisco.  If your PBX says don't use Cisco SIP fixup, then don't use the SIP proxy and instead set things up with NAT rules.
Reply
  • 0
    So first, the SIP monitor in the firewall does not handle a separate media IP in the way that it handles the SIP IP?
    Correct, it only handles the base SIP protocol.  It can't handle the other stuff, because no two providers/PBXs use the same port scheme.  There's no standarization to base it on.

    use random ports
    Yes, but there is always a defined range.  The last one I set up used UDP 10k-20K, but others can be different.  To be honest, I don't even use the SIP proxy.  My PBX won't support it as it adds too much latency.  No provider will have config information about Astaro or other UTM devices, but almost all have some guidance about Cisco.  If your PBX says don't use Cisco SIP fixup, then don't use the SIP proxy and instead set things up with NAT rules.
Children
No Data