Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 7430 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

PBX behind ASG

dema
Hi,

On my internal Network I have installed a PBX (trixbox).
Outgoing Calls are working fine, Incoming not!

On the ASG I have configured the VoIP Security (SIP):
SIP server networks > Any
SIP client networks > Internal (Network)

The high ports (Voice) are opened dynamically.
Is this the case also for SIP (5060)?
Since I didn’t open 5060 and outgoing calls are working.

For Inbound Calls I have configured a DNAT Roule but Incoming calls are not working.
What I’m doing wrong?

Thank you for the help
dema


This thread was automatically locked due to age.
  • 0
    Do you see any packets being blocked in the Packet Filter live log?  What about the Intrusion Prevention live log?

    Cheers - Bob
  • 0
    Hi Bob,
    In the Packet filter Log, I see nothing (neither blocked nor accepted), the same behavior in the Intrusion Prevention live log.
     
    Cheers
    vladi
  • 0
    Hi,

    I have found out that the trixbox could not register to the SIP-Provider.
    So I opened the Port 5060 from the trixbox to the SIP-Provider.
    The result was still the same > the trixbox could not register to the sip-provider.
    To make a Test I disabled the “SIP Protocol Support” (ASG - VoIP Security). And suddenly the trixbox could register to the sip-provider?!
    After some investigation I found out that to register, the port 5060 (trixbox > SIP-Provider) have to be open and the “SIP Protocol Support” (ASG - VoIP Security) have to be disabled. Once the trixbox is registered to the SIP-Provider, I can enable the “SIP Protocol Support” without a problem.

    I cannot always enable/disable the “SIP Protocol Support” to allow the trixbox to register.

    After some Testing I found that the following configuration is working for me (It is not clear to me why, but it works):
    - Port 5060 from the trixbox to the sip-provider is open.
    - DNAT Roule for the the high Ports (Voice)

    Remarks:
    Why is “SIP Protocol Support” (ASG - VoIP Security) not working in my case? Or I’m doing something wrong?
    Why don’t I have to make a DNAT Rule for 5060?
    Why don’t I have to open the high Ports (Voice) from the trixbox to the SIP-Provider?

    Thank you
    Cheers
    vladi
  • 0
    vladi,
    someting I would try:
    - instead having on the "SIP server networks" any, you put in there the sip server only.
    - dissable any other additional rules for voip.
    The idea is that astaro does the rules by itself, also the inbound rules, but if there is any astaro might not do it correct.

    just an idea, cheers
  • 0
    Hi zwaedi,

    To test I have configured the ASG like you said:
    - "SIP server networks" only the sip server of the provider
    - I have disabled all rules for VoIP (packet filter and NAT)

    Now the trixbox cannot register to the sip-provider > “[Dec 8 22:04:46] NOTICE[12074] chan_sip.c: -- Registration for '*********x@sip.netvoip.ch' timed out, trying again (Attempt #27)”

    I see noting in the packet filter log!?

    Cheers vladi
  • 0
    hmm,
    and if you disable all the sip settings, work with nat and firewall rules ?
    has your sip provider a stun server available you can use ?
  • 0
    With disabled “SIP Protocol Support” I have to configure the following rules, and then all works fine:
    - Port 5060 from the trixbox to the sip-provider
    - DNAT Roule for the the high Ports (Voice)
    It seems that my SIP-Provider have not a STUN Server (I have not found any information in this regard).

    vladi

    P.S.: for the NAT Settings of the Trixbox see the attachment
  • 0
    I have “updated” my ASG to the new Version (8.003).
    Before 8.003 I had the Version 7.504.
    Now with only VoIP-SIP (SIP server networks and SIP client networks) enabled on the ASG, all works fine! 
     All other additional rules (packet filter and NAT) for VoIP are disabled. 
     
    Cheers vladi
  • 0 in reply to dema
    I have “updated” my ASG to the new Version (8.003).
    Before 8.003 I had the Version 7.504.
    Now with only VoIP-SIP (SIP server networks and SIP client networks) enabled on the ASG, all works fine! 
     All other additional rules (packet filter and NAT) for VoIP are disabled. 
     
    Cheers vladi


    Hmmm...

    I have latest ASG vesrion at home and all is working fine with my VoIP phone, but there is something that makes me think now (after reading this thread).

    For my VoIP to work properly (FreePhoneLine.ca), I had to open all UDP ports from 5060-65535 outbound. My SIP client box is Linksys PAP2.

    So, I have no DNAT specifically setup for my SIP client.All is translated properly to my public IP from ISP. 
    My VoIP box has static IP internal, but my question is why this didn't work when I enabled VoIP Security section. As per my understanding, this was supposed to setup rules automatically???

    Anyway, all is working fine, but for this to work, I had to do the following:

    1) LAN->WAN rule (5060-65535 UDP) to allow Linksys box internal IP connect to freephoneline.ca proxy server on the WAN side

    Could I have done it different (better) way, as I am opening bunch of ports outbound to a single IP on the WAN though?

    Thanks,

    Zoro