Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 29 replies
  • Subscribers 2 subscribers
  • Views 7201 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[7.002] Got someone VoIP Security working?

PabloDiablo
I got a VoIP-phone. When VOIP Security is disabled it works perfectly. But when VOIP Security is enabled, I can call but I can't hear anything!!! I'm Using a Siemens C450 IP-phone. Can someone help me?


This thread was automatically locked due to age.
  • 0 in reply to PabloDiablo
    fobe,
    sorry for the delay I have been at an athletics competition for 3 days.
     
    I your VOiP provider doesn't require you to use a SIP proxyy for outgoing, leave that field blank, but put the ASG address in the other fireld.
     
    i don't use any extra NAT rules.
     
    I added the SIP port as a UDP packet to the VOiP definitions.
     
    Ian M
  • 0 in reply to RFCat_vk_01
    Well I added a new defintion: "SIP UDP" using source port 5060 and protocol UDP and added this one to the VoIP-protocols in the "definitions". Now the VoIP Protocols got H323,SIP and SIP UDP. Still I can't hear anything! I see the following lines in the Packet Filter Live log (running as hell):

    ulogd[2555]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" initf="eth0" outitf="eth1" dstmac="00:0e:a6:bb:27[:D]b" srcmac="00:01:e3:76:c1:fc" srcip="voip.phone.ip" dstip="sip.provider.ip" proto="17" length="200" tos="0x00" prec="0xc0" ttl="127" srcport="5004" dstport="37352"
    ulogd[2555]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" initf="eth0" outitf="eth1" dstmac="00:0e:a6:bb:27[:D]b" srcmac="00:01:e3:76:c1:fc" srcip="voip.phone.ip" dstip="sip.provider.ip" proto="17" length="200" tos="0x00" prec="0xc0" ttl="127" srcport="5004" dstport="37352"
    ulogd[2555]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" initf="eth0" outitf="eth1" dstmac="00:0e:a6:bb:27[:D]b" srcmac="00:01:e3:76:c1:fc" srcip="voip.phone.ip" dstip="sip.provider.ip" proto="17" length="200" tos="0x00" prec="0xc0" ttl="127" srcport="5004" dstport="37352"
    ulogd[2555]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" initf="eth0" outitf="eth1" dstmac="00:0e:a6:bb:27[:D]b" srcmac="00:01:e3:76:c1:fc" srcip="voip.phone.ip" dstip="sip.provider.ip" proto="17" length="200" tos="0x00" prec="0xc0" ttl="127" srcport="5004" dstport="37352"
    ulogd[2555]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" initf="eth0" outitf="eth1" dstmac="00:0e:a6:bb:27[:D]b" srcmac="00:01:e3:76:c1:fc" srcip="voip.phone.ip" dstip="sip.provider.ip" proto="17" length="200" tos="0x00" prec="0xc0" ttl="127" srcport="5004" dstport="37352"
    ulogd[2555]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" initf="eth0" outitf="eth1" dstmac="00:0e:a6:bb:27[:D]b" srcmac="00:01:e3:76:c1:fc" srcip="voip.phone.ip" dstip="sip.provider.ip" proto="17" length="200" tos="0x00" prec="0xc0" ttl="127" srcport="5004" dstport="37352"
    ulogd[2555]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" initf="eth0" outitf="eth1" dstmac="00:0e:a6:bb:27[:D]b" srcmac="00:01:e3:76:c1:fc" srcip="voip.phone.ip" dstip="sip.provider.ip" proto="17" length="200" tos="0x00" prec="0xc0" ttl="127" srcport="5004" dstport="37352"
    ulogd[2555]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" initf="eth0" outitf="eth1" dstmac="00:0e:a6:bb:27[:D]b" srcmac="00:01:e3:76:c1:fc" srcip="voip.phone.ip" dstip="sip.provider.ip" proto="17" length="200" tos="0x00" prec="0xc0" ttl="127" srcport="5004" dstport="37352"
    ulogd[2555]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" initf="eth0" outitf="eth1" dstmac="00:0e:a6:bb:27[:D]b" srcmac="00:01:e3:76:c1:fc" srcip="voip.phone.ip" dstip="sip.provider.ip" proto="17" length="200" tos="0x00" prec="0xc0" ttl="127" srcport="5004" dstport="37352"
    ulogd[2555]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" initf="eth0" outitf="eth1" dstmac="00:0e:a6:bb:27[:D]b" srcmac="00:01:e3:76:c1:fc" srcip="voip.phone.ip" dstip="sip.provider.ip" proto="17" length="200" tos="0x00" prec="0xc0" ttl="127" srcport="5004" dstport="37352"
    ulogd[2555]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" initf="eth0" outitf="eth1" dstmac="00:0e:a6:bb:27[:D]b" srcmac="00:01:e3:76:c1:fc" srcip="voip.phone.ip" dstip="sip.provider.ip" proto="17" length="200" tos="0x00" prec="0xc0" ttl="127" srcport="5004" dstport="37352"
    ulogd[2555]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" initf="eth0" outitf="eth1" dstmac="00:0e:a6:bb:27[:D]b" srcmac="00:01:e3:76:c1:fc" srcip="voip.phone.ip" dstip="sip.provider.ip" proto="17" length="200" tos="0x00" prec="0xc0" ttl="127" srcport="5004" dstport="37352"
    ulogd[2555]: id="2016" severity="info" sys="SecureNet" sub="packetfilter" name="SIP call RTP" action="SIP call RTP" fwrule="60018" initf="eth0" outitf="eth1" dstmac="00:0e:a6:bb:27[:D]b" srcmac="00:01:e3:76:c1:fc" srcip="voip.phone.ip" dstip="sip.provider.ip" proto="17" length="200" tos="0x00" prec="0xc0" ttl="127" srcport="5004" dstport="37352"

    and so on and on...

    When I fill in the proxy server the ASG box, the Packet Filter drops it because the ASG-box isn't allowing the voip-phone on port 5060. What am I doing wrong?
  • 0 in reply to PabloDiablo
    fobe,
    have a look at this site and see if it adds any extra info.
     
    http://forums.blueface.ie/showthread.php?t=515
     
    I can't find a handbook for it, but satill looking. The url below is ISP (VOiP) compatability list, have a look and se if your ISP (VOiP) is included.
     
    http://gigaset.siemens.com/shc/0,1935,hq_en_0_122378_rArNrNrNrN_variation%253A-5_pageType%253ATechnical%2Bdata_imagePos%253A0,00.html#content
     
    Ian M
     
     
    Go to this site and have look at the pdf file page 50, 51 and 52. They cover configuring your phone with local (proxy) and DNS etc.
     
    Ian M
    http://shc-download.siemens.com/repository/1307/130708/A31008-M1713-V101-1-7619_en_IRL_NET.pdf
  • 0 in reply to RFCat_vk_01
    Well it's configured the right way. The links above is the I configured my voip-phone. I don't use NAT or STUN for the phone. My provider is in the list of supported SIP-providers. When VoIP Security is DISABLED the phone works PERFECTLY but only when I enable VoIP Security and the SIP-section it can make calls but you don't hear anything (both party's) and in the SIP connections I made about 500 calls !!!! and the I see in the packet filter live log that packages coming and fills the live log so fast it must be stopped manually! (see my earlier post). So something else is the problem.....
  • 0 in reply to PabloDiablo
    fobe,
    what is the SIP definition you added?
     
    "SIP RTP" UDP 1:65535 5004
     
    I would have for purely personal reasons used "SIP RTP" UDP 1030:65535 5004.
     
    The packet filter log is showing internal 5004 external ***xx, where as you want internal ***xx external 5004.
     
    Ian M
  • 0 in reply to RFCat_vk_01
    Well if I'm getting it right I must do the following:

    Make a new definition "SIP RTP", protocol: UDP, source port 1030:65535, destination port: 5004. Add this in the definition "VoiP protocols".

    And then activate VoIP Security-> SIP.

    Correct me if I'm wrong... BTW, in the packet filter log it says: "srcport="5004" dstport="37352", so the destiniation port is not 5004 but in this example 37352...... In the VoIP-phone I can only put 1 port to use RTP and this is standard 5004.
  • 0 in reply to PabloDiablo
    fobe,
    basically it is saying that your sip phone can use any port internally, but you want it to be 5004 externally. You could just do a one for one eg "SIP RTP" 5004 5004 UDP.
     
    I don't believe you add it to the SIP group, but have it as a seperate PF rule, that is how I got mine to work. But I am not an expert and your answer is just as valid.
     
    Ian M
  • 0 in reply to RFCat_vk_01
    So, 1 extra nat rule; 
    1)make a definition: name: SIP RTP / protocol: UDP / source port:5004, dest. port: 5004
    2)NAT RULE:source: voip.phone.ip / protocol: SIP RTP / destination: sip.provider.ip
    3)Enable VoIP Security for SIP
    ?)Do I also must enable UDP for SIP-protocol?

    This what I should do....?

    I did the 3 steps above; same results. Can call but I don't hear anything and the Packet Filter Live Log is running (as above) like hell.....
  • 0 in reply to PabloDiablo
    fobe,
    it needs to be a PF rule not a NAT rule.
     
    Ian M
  • 0 in reply to RFCat_vk_01
    Sorry I typed it wrong. I made a PF-rule but it still won't work.