Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 4002 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VLAN setup for IP phones

AndrewD
VLANs are a new area for me so I wanted to get some verification that we're setting this up correctly. I got the following instructions from our new VOIP provider who have never set up their system through a Sophos UTM device, so we're working on figuring out the proper settings. Below I have listed their requirement first and then my current understanding of the setting to use in parentheses.  Hardware will be arriving later this week and we will be able to test everything at that point, but I wanted to get a head start.


  • The port being used to connect to the network will need to have VLAN 10 tagged. (Set up a new Ethernet VLAN interface on the same hardware port as our existing [untagged] internal network?)
  • UDP 5060: list of external IPs to forward to internal VOIP gateway device on VLAN 10 network (seems like basic NAT function will work here).
  • UDP 10000-20000: All IPs (In/Out) to VLAN 10 (no idea what this means or how to configure, working on clarification. Any ideas?)


This thread was automatically locked due to age.
Parents
  • 0
    Depends on your current version of UTM whether or not you can use tagged VLAN traffic together with untagged traffic on the same interface. You may need to use another interface for this.

    UDP 10000-20000 -> Your VLAN10 is a new subnet, so you have to enable this traffic for this subnet in the firewall:

    VLAN10 subnet -> UDP port range -> Internet IPv4 (or maybe limited to the providers IP-range) -> Allow
    Also the reverse rule should be setup:
    Internet IPv4 (or providers subnet) -> UDP port range -> VLAN10 subnet -> Allow

    Managing several Sophos UTMs and Sophos XGs both at work and at some home locations, dedicated to continuously improve IT-security and feeling well helping others with their IT-security challenges.

    Sometimes I post some useful tips on my blog, see blog.pijnappels.eu/category/sophos/ for Sophos related posts.

  • 0 in reply to apijnappels
    Don't forget the VOIP helper (SIP) when setting up your configuration.
    Also you should setup up QOS. There is a very good sticky on QOS, I can't remember which part of the forum it lives. Also when setting up the VOIP (SIP) don't foget to enable strict to stop unwanted connections.

    Ian M
  • 0 in reply to RFCat_vk_01
    It appears our switch does allow tagged and untagged traffic, but we will have to test later this week to make sure. If not we have plenty of interfaces left to use. Is there a best practice one way or the other?

    apijnappels, your description of the 10k ports finally made that click for me, thanks. Already have that set up and waiting to turn on.

    RFCat_vk, I did find that QoS thread yesterday - very helpful. We are going to set that up as well so now I can get that done for them also. Looking at the SIP settings, it appears to be another way to do the port forwarding they're asking us to set up manually. Does that sound accurate? I'll bring it up with them, but considering their unfamiliarity with the UTM already we may be going manually.
  • 0 in reply to AndrewD
    Hi,
    you might like to try using the VoIP helper/security first, it in theory opens the ports as your phone requires them. It also provides protection from would be hackers/illegal phone users.
    From memory it also helps with incoming calls. I have it setup for my two voip phones on different companies, but don't get many incoming calls. I installed these phones to try out some of the features during one of the betas.
    My son uses it as his "landline" on his UTM.

    Ian M
Reply
  • 0 in reply to AndrewD
    Hi,
    you might like to try using the VoIP helper/security first, it in theory opens the ports as your phone requires them. It also provides protection from would be hackers/illegal phone users.
    From memory it also helps with incoming calls. I have it setup for my two voip phones on different companies, but don't get many incoming calls. I installed these phones to try out some of the features during one of the betas.
    My son uses it as his "landline" on his UTM.

    Ian M
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?