Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 2 subscribers
  • Views 94867 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help Troubleshooting Obihai Obi 202 connectivity problem

Rinchen
Howdy,

I have two Obihai.com VOIP boxes plus an iPhone app by them. These all work on the modem side of the UTM but not behind the UTM.

I've:

  •  enabled the SIP protocol support without luck.
  •  setup a generic proxy for the ports needed without luck. 
  •  tried to putting them into the NAT area with no luck.  
  •  checked IPS (no hits), and even disabled it with no luck.  
  •  checked the FW logs (I run a very open firewall) and there are no hits. 
  •  checked web filtering just in case, no luck.  
  •  opened up EVERY log file and scanned for the affected IP address, nothing found.
  •  posted in the Obihai forums as well (converation on-going)
 

Because I'm not seeing any evidence anywhere I'm having a difficult time trying to track down the culprit.  The only thing I can think of that I've been avoiding is trying to install etherape/wireshark and do it by hand. Any ideas from anyone on how to troubleshoot this?


This thread was automatically locked due to age.
  • 0
    Hi, 

    tcpdump is available on the console. You can dump to a file, and use a USB stick or SCP to copy the file to a workstation and view it in Wireshark


    If the VOIP Security system doesn't work, try the following:
    a. make sure you have Masquerading set up for your LAN
    b. make sure you have PacketFilter rules allowing the traffic in and out
    c. create a DNAT for incoming SIP traffic from Obihai's servers

    when you mention 'scanning for the affected IP address', are you looking for the server IPs, or your LAN IPs? The LAN IPs are unlikely to show up if the DNAT isn't working right.

    If you still have trouble, please post screenshots of all relevant configuration pages.

    Barry
  • 0 in reply to BarryG
    a. make sure you have Masquerading set up for your LAN


    http://screencloud.net/v/BLhS

    b. make sure you have PacketFilter rules allowing the traffic in and out


    http://screencloud.net/v/tWRg

    c. create a DNAT for incoming SIP traffic from Obihai's servers


    http://screencloud.net/v/75AN

    when you mention 'scanning for the affected IP address', are you looking for the server IPs, or your LAN IPs? The LAN IPs are unlikely to show up if the DNAT isn't working right.

    I've looked for the LAN IPs as well as 50.18.254.230

    Thanks,

    Joey
  • 0
    Hi, Rinchen, and welcome to the User BB!

    We can't know if those links are safe and on a safe site.  Please replace them by attaching pictures to your post here.  Touch Edit, then Go Advanced to add attachments.  Thanks for understanding.

    Cheers - Bob
  • 0
    Hi, your MASQ and your DNAT both seem to be wrong.

    Futhermore, the picture you posted for the MASQ (your first link) is actually a 'No NAT'.


    The MASQ should be setup on the Masquerading tab, and should contain:
    Source Network: Internal Network
    Destination: Internet IPv4
    Use: External WAN Address

    DNAT:
    Source: ANY (or Obihai's servers, if you know all of them)
    Dest: External WAN Address
    Service: SIP or whatever Obihai uses
    Change Dest to: Obi10000

    Barry
  • 0 in reply to BarryG
    Hi,

    Thanks for the replies.

    @bob: Thanks I didn't see the attach option before.

    @barry: 

     > your MASQ and your DNAT both seem to be wrong.
     > Futhermore, the picture you posted for the MASQ (your first link) is actually a 'No NAT'.

    I appologize I pasted up the wrong screenshot for MASQ. It was an old one from when I was playing around with no nats.



     >DNAT:
     >Source: ANY (or Obihai's servers, if you know all of them)
     >Dest: External WAN Address
     >Service: SIP or whatever Obihai uses
     
     I left his as OBI 10000 which is the 10000 port forward. Incoming SIP works fine with the SIP helper turned on. It's just the OBi service that seems to not work. By that I mean Obi doesn't see the device as being online even though I can make and receive non-Obi SIP calls. Based on the port forwarding information, the only non-standard port it uses is 10000, hence me trying this.
     
     >Change Dest to: Obi10000

     That's the service in my setup, not the dest. The dest is coded as Obi 202 and I assume this is what you meant.
     

     
     Based on the changes above, it still does not appear to be working. The dashboard is showing my device offline. Note the iphone and the obi 202 are behind the UTM, the home phone is in front of the UTM.


     
    So if my DNAT is correct now then I must be interpreting this incorrectly:
    In order for your OBi to be able to send packets w/o interruption, please allow the following ports for OUTGOING:
    TCP: 6800, 5222, 5223
    UDP: 5060, 5061, 16600 to 16998

    Allow INCOMING on 10000 


     Thanks,
     
     J
  • 0
    Hi,

    1. you don't need to have anything in the 'change service to' box in the DNAT as you're not changing the service.

    2. do you have the Obi10000 service defined as:
    TCP / UDP
    source port: 1-65535
    dest port: 10000
    ?

    If so, double-check the IPS and Firewall logs.

    Barry
  • 0 in reply to BarryG
    > 1. you don't need to have anything in the 'change service to' box in the DNAT as you're not changing the service.

    Adjusted.

    > 2. do you have the Obi10000 service defined as:

    Yes that's correct although the documentation says it just needs to be UDP, I have it set for TCP/UDP.

    There is nothing in the FW log with either the external Obi IP, the internal IP, or the 10000 service (LOTS of uPNP from my networ though).  The IPS log is empty (0 bytes).
  • 0
    @barry,

    Thanks for the earlier tip on tcpdump. I'm dumping now to trace the flow of the provisioning calls.
  • 0 in reply to Rinchen
    I think I've made some progress here but it's still not working for me. 

    tcpdump shows me

    13:55:34.649110 IP ec2-204-236-134-243.us-west-1.compute.amazonaws.com > 10.10.10.147: ICMP ec2-204-236-134-243.us-west-1.compute.amazonaws.com udp port ndmp unreachable, length 36


    and when I pipe that into wireshark I see

    10.10.10.147 204.236.134.243 UDP 88 Source port: ndmp  Destination port: ndmp
    User Datagram Protocol, Src Port: ndmp (10000), Dst Port: ndmp (10000)


    and the response I get is

    204.236.134.243 10.10.10.147 ICMP 70 Destination unreachable (Port unreachable)
     and when I inspect the UDP packet I see the destination is the same as the outgoing source, 10.10.10.147

    So I setup an SNAT rule



    However I still see the error. I've confirmed this UDP only.
  • 0 in reply to Rinchen
    Since this is the same setup roughly as a generic proxy, I turned off the snat and dnat and setup a generic proxy on EXTERNAL but that did not fix it.