Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 11715 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VoIP settings (no voice/audio)

seh2000
Hi,

For private reasons I have been away from this forum and as taro during this period I used an old Linksys Router/DD-WRT as FW! [:$]
Yesterday I installed ASG 8.3 on my real box, but forgot to save the configuration. [:$]
So I had to start from scratch and no my "problem" is my VoIP is not working - that is I have no voice/audio.

My network configuration is:

Cable Modem > ASG >  
> (eth1) LAN  (x.x.1.100) > LAN Switch
> (eth2) VoIP (x.x.2.100) > Voice GW (x.x.2.104)

My ASG Configuration is:
Firewall = VoIP (network) > DNS
Firewall = VoIP (network) > VoIP Protocols (H323) + (RTP 16384:16482) + (SIP 5060:5080)
Global SIP Settings > SIP server networks (VoIP Provider x.x.x.x and x.x.x.x)
Global SIP Settings > SIP client networks (VoIP Network)

With this settings I can register, initiate and receive calls, but no voice/audio for both.
If I in FW make the rule VoIP Network to ANY with services set to ANY then I get voice/audio.

Packet filter logs is full of entries like this:

2012:01:20-15:48:04 fw ulogd[6112]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth2" outitf="eth3" srcmac="0:e:8:cf[:D]4:7b" dstmac="x:x:x:x:x:x" srcip="x.x.2.104" dstip="x.x.x.x" proto="17" length="200" tos="0x18" prec="0xa0" ttl="249" srcport="16400" dstport="58818"   

The Firewall log file is already +7MB...

Did a forum search before I posted here, but could not really find some info that could help me.

I know this is properly a silly problem, but I really appreciate help!


BR// Steen


This thread was automatically locked due to age.
  • 0
    Well, I'm a little confused.  I the log line, eth3 appears, but you haven't mentioned it.  Since the default drop is out of the forward chain, maybe you meant eth2 is the LAN and eth3 is VoIP?  The packet being dropped looks like an RTP response - why did it arrive so late that the Astaro thought it wasn't?

    Is there a reason you don't want to use the built-in VoIP support?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    Sorry my fault!
    I got 4 interfaces in the box, but use only eth1, eth2, and eth3 as they are Intel based, while eth0 is RT based.
    eth1 = LAN - x.x.1.100
    eth2 = VoIP - x.x.2.100
    eth3 = WAN
    Not too sure what you mean with "why arrive so late" have I overlooked something? I just copied one entry of many, shall I out all in a text file?
    Yes. the dropped packets is RTP Response, but I have a FW rule that opens for the RTP ports range used by the VoIP GW (16384:16482) and also a SIP rule for the range 5060:5080.

    Please explain the build in VoIP support, I assume this was what I used under Network Security > VoIP > SIP > Global SIP Settings, but here I might be wrong. So your input is highly appreciated.  


    Cheers Steen
  • 0
    Another thought; check the Intrusion Prevention log to confirm that traffic from the "Voice GW" is not seen as UDP floods.

    Also, please confirm that none of your Host definitions (especially, the one for the Voice GW) is bound to an interface, that all Host/Network definitions have 'Interface: >'.

    There are others here better at VoIP than I am, but, to start, please [Go Advanced] below and show pictures of the 'SIP' and 'H.323' tabs.

    For now, that one log line is enough.  It says that the response from your "Voice GW" is not recognized as a response, and, since there's no Firewall rule allowing such traffic, it is default dropped (60002).  One reason could be that the "Voice GW" did not respond quickly enough - did VoIP work correctly before?  If you have any related D/SNAT rules, please show a picture of them.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    I did check the Intrusion Prevention log - should have told [:$] - it zero or no entries.

    I got two firewall rules that allows for RTP traffic for ports 16384 to 16482 and for SIP traffic for ports 5060 to 5080, but the FW as you say says not open! See attached screenshots.

    I have no DNAT/SNAT rules as I understood not needed...

    The FW log got a strange entry ( 2 ):

    1)
    2012:01:21-11:17:40 fw ulogd[5895]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth2" outitf="eth3" srcmac="***" dstmac="***" srcip="x.x.2.104" dstip="x.x.x.x" proto="17" length="200" tos="0x18" prec="0xa0" ttl="249" srcport="16416" dstport="60636" 

    Despite the port 16416 is set to open it is dropped... 

    2)
    2012:01:21-11:17:40 fw ulogd[5895]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth2" outitf="eth1" srcmac="***" dstmac="***" srcip="x.x.2.104" dstip="x.x.1.188" proto="17" length="62" tos="0x00" prec="0x00" ttl="249" srcport="2202" dstport="514" 

    This entry came right after all the ones where port 16416 is dropped, but I do not recall to have any device on LAN and do not know what VoIP GW tries to communicate with the LAN part...


    Cheers Steen
  • 0
    OK, if your phones are in "Internal (Network)" and your "VoIP (Network)" includes only the VoIP GW, I think you need to change the configuration:

    - Put "VoIP GW" in 'SIP server networks' and "Internal (Network)" in 'SIP client networks'.
    - Create a NAT rule 'CallCentric -> VoIP Protocols -> External (Address) : DNAT to VoIP GW' {leave Destination service empty and select auto firewall rules}.
    - Create a Firewall rule 'VoIP GW -> VoIP Protocols -> CallCentric : Allow'.
    - Make sure you have a masquerading rule 'VoIP (Network) -> External'.



    If I'm right about your topology (phones not in "VoIP (Network)", then the more-standard naming convention would have been "DMZ" instead of "VoIP" for the interface to which "VoIP GW" is connected.  That might have made it easier for the rest of us to figure this out faster - that is, if I've understood correctly!

    Does it work now?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    Hmm, I'll try to do the suggested configuration changes and I am sorry for any confusion I have created. I took my description of the network topology in the initial posting would be OK and sorry if my naming convention is wrong.
    However I fail to see why I need to use DMZ or set up as DMZ in the "old" setup for sure I had not set the ASG up using DMZ. As I explained I been away from this for a while (been sick) and the other day I upgraded to 8.3, but forgot to save the old configuration, the setup is the same...I could properly hang the VoIP GW on the LAN, but I have always had the VoIP GW on its own port on the AGS box.  

    I do not have any VoIP phones, what I have is a VoIP GateWay where to I have "normal" phones connected, and there should be no connection between the two "LAN's".  

    I attached a topology diagram which perhaps can help.

    Cheers Steen
  • 0
    Sorry, I didn't mean to imply that your naming convention was wrong, just that I thought that I was mislead because I had assumed that the VoIP phones were in the same network.  In fact, since there are no VoIP phones in "Internal (Network)" at all, your naming seems fine to me!
    2)
    2012:01:21-11:17:40 fw ulogd[5895]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth2" outitf="eth1" srcmac="***" dstmac="***" srcip="x.x.2.104" dstip="x.x.1.188" proto="17" length="62" tos="0x00" prec="0x00" ttl="249" srcport="2202" dstport="514"

    This entry came right after all the ones where port 16416 is dropped, but I do not recall to have any device on LAN and do not know what VoIP GW tries to communicate with the LAN part...

    Is the Voice GW set to send syslog entries to that .1.188 IP?

    Hopefully, one of the VoIP gurus will come by and give a cleaner answer, but, for now, try this Band-Aid approach:

    1. Create a new Service TCP/UDP named "RTP Response" with Destination 1:65535 and  Source=16380:16485
    2. Add a Firewall rule: 'VoIP GW -> RTP Response -> CallCentric : Allow'


    I bet we run into another problem when that's in place.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    LoL, did not take it like that [:$]) my fault for not to be more clear!

    The - Oops!!! - the VoIP GW had the x.x.1.188 address for my old syslog server, just that I had set to no logging, as it was the old server address I forgot it was the syslog server address. 

    I did the new FW rule and now I have Voice/Audio from A to B and from B to A. [:)] [;)] THANKS!!!!!!!

    I will monitor and revert with updates.


    Cheers Steen