Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 29 replies
  • Subscribers 2 subscribers
  • Views 7181 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[7.002] Got someone VoIP Security working?

PabloDiablo
I got a VoIP-phone. When VOIP Security is disabled it works perfectly. But when VOIP Security is enabled, I can call but I can't hear anything!!! I'm Using a Siemens C450 IP-phone. Can someone help me?


This thread was automatically locked due to age.
Parents
  • 0
    Please describe your configuration in the VOIP Security.
    What packet filters you have active.
    Your NAT rules.
    The definitions you are using.


    Ian M
  • 0 in reply to RFCat_vk_01
    Okay, here is the configuration of ASG:
    VOIP Security-> SIP Protocol Support:
    SIP server networks: Any (and i tried also only my SIP Provider server)
    SIP client networks: my VOIP-telephone IP.

    VoIP Telephone configuration:
    Everything is filled in correctly. All information is directing to my SIP Provider. Further IP/subnetmask is in the range of the LAN and gateway is directed to my ASG-box. The only important information is that:
    Proxy server port: 5060
    Registrar server port: 5060
    Listen ports  
    SIP port: 5060
    RTP port: 5004

    Used codecs: G711 a law & G729
    STUN server and NAT is disabled.

    I got a Siemens C450 IP VoIP-telephone. When VoIP security is disabled I can make calls and I hear the other party and the other party hears me. When VOIP Security is enabled can make a phone call, the other phone(s) are ringing but when it's picked up both party's don't hear anything!!!
    In the Packet Filter Live Log the following is showed:
    ulogd[2541]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" initf="eth0" outitf="eth1" dstmac="xx:xx:xx:xx:xx:xx" srcmac="xx:xx:xx:xx:xx:xx" srcip="voip-phone ip" dstip="sip-provider ip" proto="17" length="200" tos="0x00" prec="0xc0" ttl="127" srcport="5004" dstport="36594" 
    ulogd[2541]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" initf="eth0" outitf="eth1" dstmac="xx:xx:xx:xx:xx:xx" srcmac="xx:xx:xx:xx:xx:xx" srcip="voip-phone ip" dstip="sip-provider ip" proto="17" length="200" tos="0x00" prec="0xc0" ttl="127" srcport="5004" dstport="36594"

    And it fills so FAST that the live log must stop the script-window! I also tried to set the service SIP to UDP and not TCP but that doesn't help.Also I tried to set the RTP port to 20000 (for example) that doesn't do the trick. hopefully you have enough information otherwise please let me know.
  • 0 in reply to PabloDiablo
    fobe,
    it will take me a couple of days to work through this, I have a job interview coming up and I need to study. First one in about 10 or so years.

    Ian M
  • 0 in reply to RFCat_vk_01
    Okay, GOOD LUCK!!! I'll wait patiently for your help.
Reply Children
  • 0 in reply to PabloDiablo
    fobe,
    while waiting for my account to be configured, just received a phone call advising in the next couple of hpurs. I have been playing.
    My system is a Linksys PAP2T.

    I think you are missing a packet filter rule covering the range 16384:16482. I couldn't determine UDP or TCP so made it both.

    Now to get SIP security working I needed to put the ASG in the SIP phone as the SIP proxy, not the proxies required by the VOiP provider.
    On my box it is called SIP Settings SIP-Proxy require and that has stopped a lot of reject packets appearing in the packet filter log.

    Still playing. Further experimentation to go.

    Ian M
  • 0 in reply to RFCat_vk_01
    fobe,
    from my experiments I found the SIP proxy (VOiP Security) appears to be only picking up TCP packets while it should be picking up UDP packets.

    The SIP definition in the Definitions menu is defined as a TCP type packet where as it should be defined as a UDP packet type. I will try changing it later tonight an see what happens.

    Ian M
  • 0 in reply to RFCat_vk_01
    Why should I open ports 16384:16482 ? My RTP port is 5004?!?! And how would the rule must look like/configured? BTW, I got the option (in my voip-phone) "Proxy server address" & "Outbound proxy", which should I fill in the ASG-box?
  • 0 in reply to PabloDiablo
    fobe,
    my understanding is the usual range for RTP is 16384:16482 that was all.

    In my setup the outbound proxy server is the one provided by the ISP and so is Proxy server address. There was another entry for a local proxy.

    Without telling your VOiP phone to use the ASG as a proxy the SIP security won't function, so the only way is to use a packet filter.

    Now the strange part is during the beta testing Astaro said the SIP proxy had been removed and helpers put in its place. Yet there is a still a SIP proxy log file. If I don't put the ASG in as the SIP proxy in my VOiP phone all I get are lots of blocked packets in the packet filter log.

    So somewhere somebody got it wrong, there is good possibility it is me, but I don't think so.

    Ian M
  • 0 in reply to RFCat_vk_01
    but what must I fill in in Prosy server and outbound server?????
  • 0 in reply to PabloDiablo
    Must I fill in both the ASG-box IP or the IP of my SIP provider? And how does the NAT rule lookes like?
  • 0 in reply to PabloDiablo
    fobe,
    sorry for the delay I have been at an athletics competition for 3 days.
     
    I your VOiP provider doesn't require you to use a SIP proxyy for outgoing, leave that field blank, but put the ASG address in the other fireld.
     
    i don't use any extra NAT rules.
     
    I added the SIP port as a UDP packet to the VOiP definitions.
     
    Ian M
  • 0 in reply to RFCat_vk_01
    Well I added a new defintion: "SIP UDP" using source port 5060 and protocol UDP and added this one to the VoIP-protocols in the "definitions". Now the VoIP Protocols got H323,SIP and SIP UDP. Still I can't hear anything! I see the following lines in the Packet Filter Live log (running as hell):

    ulogd[2555]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" initf="eth0" outitf="eth1" dstmac="00:0e:a6:bb:27[:D]b" srcmac="00:01:e3:76:c1:fc" srcip="voip.phone.ip" dstip="sip.provider.ip" proto="17" length="200" tos="0x00" prec="0xc0" ttl="127" srcport="5004" dstport="37352"
    ulogd[2555]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" initf="eth0" outitf="eth1" dstmac="00:0e:a6:bb:27[:D]b" srcmac="00:01:e3:76:c1:fc" srcip="voip.phone.ip" dstip="sip.provider.ip" proto="17" length="200" tos="0x00" prec="0xc0" ttl="127" srcport="5004" dstport="37352"
    ulogd[2555]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" initf="eth0" outitf="eth1" dstmac="00:0e:a6:bb:27[:D]b" srcmac="00:01:e3:76:c1:fc" srcip="voip.phone.ip" dstip="sip.provider.ip" proto="17" length="200" tos="0x00" prec="0xc0" ttl="127" srcport="5004" dstport="37352"
    ulogd[2555]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" initf="eth0" outitf="eth1" dstmac="00:0e:a6:bb:27[:D]b" srcmac="00:01:e3:76:c1:fc" srcip="voip.phone.ip" dstip="sip.provider.ip" proto="17" length="200" tos="0x00" prec="0xc0" ttl="127" srcport="5004" dstport="37352"
    ulogd[2555]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" initf="eth0" outitf="eth1" dstmac="00:0e:a6:bb:27[:D]b" srcmac="00:01:e3:76:c1:fc" srcip="voip.phone.ip" dstip="sip.provider.ip" proto="17" length="200" tos="0x00" prec="0xc0" ttl="127" srcport="5004" dstport="37352"
    ulogd[2555]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" initf="eth0" outitf="eth1" dstmac="00:0e:a6:bb:27[:D]b" srcmac="00:01:e3:76:c1:fc" srcip="voip.phone.ip" dstip="sip.provider.ip" proto="17" length="200" tos="0x00" prec="0xc0" ttl="127" srcport="5004" dstport="37352"
    ulogd[2555]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" initf="eth0" outitf="eth1" dstmac="00:0e:a6:bb:27[:D]b" srcmac="00:01:e3:76:c1:fc" srcip="voip.phone.ip" dstip="sip.provider.ip" proto="17" length="200" tos="0x00" prec="0xc0" ttl="127" srcport="5004" dstport="37352"
    ulogd[2555]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" initf="eth0" outitf="eth1" dstmac="00:0e:a6:bb:27[:D]b" srcmac="00:01:e3:76:c1:fc" srcip="voip.phone.ip" dstip="sip.provider.ip" proto="17" length="200" tos="0x00" prec="0xc0" ttl="127" srcport="5004" dstport="37352"
    ulogd[2555]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" initf="eth0" outitf="eth1" dstmac="00:0e:a6:bb:27[:D]b" srcmac="00:01:e3:76:c1:fc" srcip="voip.phone.ip" dstip="sip.provider.ip" proto="17" length="200" tos="0x00" prec="0xc0" ttl="127" srcport="5004" dstport="37352"
    ulogd[2555]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" initf="eth0" outitf="eth1" dstmac="00:0e:a6:bb:27[:D]b" srcmac="00:01:e3:76:c1:fc" srcip="voip.phone.ip" dstip="sip.provider.ip" proto="17" length="200" tos="0x00" prec="0xc0" ttl="127" srcport="5004" dstport="37352"
    ulogd[2555]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" initf="eth0" outitf="eth1" dstmac="00:0e:a6:bb:27[:D]b" srcmac="00:01:e3:76:c1:fc" srcip="voip.phone.ip" dstip="sip.provider.ip" proto="17" length="200" tos="0x00" prec="0xc0" ttl="127" srcport="5004" dstport="37352"
    ulogd[2555]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" initf="eth0" outitf="eth1" dstmac="00:0e:a6:bb:27[:D]b" srcmac="00:01:e3:76:c1:fc" srcip="voip.phone.ip" dstip="sip.provider.ip" proto="17" length="200" tos="0x00" prec="0xc0" ttl="127" srcport="5004" dstport="37352"
    ulogd[2555]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" initf="eth0" outitf="eth1" dstmac="00:0e:a6:bb:27[:D]b" srcmac="00:01:e3:76:c1:fc" srcip="voip.phone.ip" dstip="sip.provider.ip" proto="17" length="200" tos="0x00" prec="0xc0" ttl="127" srcport="5004" dstport="37352"

    and so on and on...

    When I fill in the proxy server the ASG box, the Packet Filter drops it because the ASG-box isn't allowing the voip-phone on port 5060. What am I doing wrong?
  • 0 in reply to PabloDiablo
    fobe,
    have a look at this site and see if it adds any extra info.
     
    http://forums.blueface.ie/showthread.php?t=515
     
    I can't find a handbook for it, but satill looking. The url below is ISP (VOiP) compatability list, have a look and se if your ISP (VOiP) is included.
     
    http://gigaset.siemens.com/shc/0,1935,hq_en_0_122378_rArNrNrNrN_variation%253A-5_pageType%253ATechnical%2Bdata_imagePos%253A0,00.html#content
     
    Ian M
     
     
    Go to this site and have look at the pdf file page 50, 51 and 52. They cover configuring your phone with local (proxy) and DNS etc.
     
    Ian M
    http://shc-download.siemens.com/repository/1307/130708/A31008-M1713-V101-1-7619_en_IRL_NET.pdf
  • 0 in reply to RFCat_vk_01
    Well it's configured the right way. The links above is the I configured my voip-phone. I don't use NAT or STUN for the phone. My provider is in the list of supported SIP-providers. When VoIP Security is DISABLED the phone works PERFECTLY but only when I enable VoIP Security and the SIP-section it can make calls but you don't hear anything (both party's) and in the SIP connections I made about 500 calls !!!! and the I see in the packet filter live log that packages coming and fills the live log so fast it must be stopped manually! (see my earlier post). So something else is the problem.....