Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 16886 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Understanding NAT and H.323 calls

dirktrilsbeek
Hi,

i have a problem setting up video conferencing between a single system in our network and several systems on the internet. The software used is Polycom RealPresence Desktop.

Setup: a single computer with the polycom software installed within our network should be able to contact (and be contacted by) several conference systems, all of which have public IP addresses. To allow the external systems contact the local computer, a public IP address was designated for that purpose.

As i have a small number of external systems i need to contact, i added 2 NAT rules - SNAT from the internal system to a network group containing the external systems. That rule changes the source IP address to the public IP address designated for video conferencing. Currently that rule contains "any" protocol.

The second rule is DNAT - from the external network group to the public IP address the destination is changed to the local system, again for all protocols. 

Both NAT rules have the automatic firewall rule enabled.

I tried connecting several external systems (demo systems from polycom). While i was able to connect, i received neither audio nor video. I then discovered the h.323 helper, added my local system as gatekeeper and client (we don't actually have a gatekeeper), tried again and was surprised, because suddenly i received video (no audio, though). Surprised, because i can't figure out why the 2 NAT rules wouldn't work, as i allowed all protocols in both rules. I had a look at the firewall log to see if there was anything dropped or blocked but nothing from the external IP address showed up.

On a side note: the live protocol of the firewall shows a lot of "H.323 call" entries, but when i download the whole log file, those entries are missing.

I'm sure i am missing something here, so any help would be appreciated.


This thread was automatically locked due to age.
  • 0
    Hi ,

    It's simple H.323 does not work over NAT .
    There is a module for that in Sophos UTM , but in your situation it won't help.


    All my best.
    Gilpeled.
  • 0
    Hi, Dirk, and welcome to the User BB!

    Just checking - you had disabled the NAT rules before trying the H.323 proxy?

    In WebAdmin, please check the Host definition of your local H.323 system to be sure that it's not bound to a specific interface.

    Cheers - Bob
  • 0 in reply to BAlfson
    you may have misunderstood me. Currently it seems to work (with the h.323 helper activated), but i just wanted to understand why NAT alone doesn't work. As far as i understand it, all packets arriving from one of the external systems should arrive at the local system, so i'm a bit stumped.
  • 0 in reply to dirktrilsbeek
    it seems i got the answer. The remote system sends its data to the IP address extracted from the data the internal system sent, not to the gateway address. So it tries to send streams to a private IP address, not to the public address. The h.323 helper seems to modify the data accordingly.
  • 0
    Hi ,

    I guess I did understand you :-)
    With the UTM special module it should work.
    But behind a NAT it won't work.
    H.323 does not work over NAT , it is a protocol that can not be passed over NAT.
    Even if you will succeed to pass video with some luck , the audio will never work or will work only one way.
    That's the way H.323 work is designed :-)


    All my best.
    Gilpeled
  • 0
    Hi,

    this could be a little "off topic" but following your thoughts, gilipeled, will i have problems running voip on remote branch offices, if i use a RED (taking in consideration that the VOIP server is on the main office)?
  • 0
    Hi ,

    To give a answer for that we will need you to post a diagram of what you wang to accomplish .
    Try to post it here in the forum so all the experts here will try to help you with.
    I will try also to ask the support for you , when I  will talk to them .

    All my best ,
    Gilpeled
  • 0
    Hi Gil (again [:)]).

    I´ve a draft of the network scheme - this is actually a test environment that we want to test before implementing on a POC.
    Now, what happens is that when i try to make a phone call i cannot hear anything. From what i´ve read, H.323 cannot work with NAT (there is some interesting info NAT and VOIP - voip-info.org).

    I´ve taken some pcaps and i see some errors stating "Destination unreachable (Port unreachable).

    If, instead of a RED, i use another UTM making a IPsec tunnel (for example) the Voip works without any problem.
  • 0
    Hi, is the server on the other end of the tunnel, or is it on the internet (via the tunnel)?

    Barry
  • 0
    Hi ,

    Over an IPSec tunnel sure it will work because the tunnel is made between the local nets of each side and no NAT is involved .
    RED. Is a bit different cause it acts like an interface and then you have to use NAT to foreword it to your internal LAN .
    When this is done the NAT is casing the problem.
    We all need to think on a creative way to avoid that NAT.
    So guys , please help and let's think on a creative. Solution , maybe a bridge or something else.
    But I think that an IPSEC is not a bad solution also .

    I will do some tests with my REDS and see if I can make it work.

    All my best ,
    Gilipeled