Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 2865 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multiple VoIP DMZ question

jengle21
I have a general VoIP deployment best/practices type question which may lead to more specific practical implementation questions. 

I currently have a PIAF instance connected exclusively to a DMZ interface. The PIAF instance is utilizing a GV number (XMPP)for making and receiving calls domestically and works just fine.

I would like to install another DMZ interface for my viatalk (International) VoIP service. I would prefer not to put anything in front of my UTM WAN interface but would be open to the idea if it makes more sense. 

Looking into the ports that need to be forwarded for viatalk (SIP) I am thinking that there may be a problem trying to "split" these two VoIP services onto separate DMZ interfaces.

Are there any ideas/recommendations on how to best accomplish this task? TIA for any thoughts or comments.


This thread was automatically locked due to age.
  • 0
    Hi, you can use the UTM's VOIP Proxy (aka VOIP Security) for SIP services; I would recommend trying that with ViaTalk (instead of using DNATs).

    If you're using XMPP for Google Voice, I don't know if that works with the VOIP proxy or not. 
    Are you doing DNATs for it now? On which services/ports?

    Barry
  • 0
    I believe XMPP (Jabber) is TCP 5222 and what Google uses for GV service offerings. 
    I guess the main concern I have would be w/regard to the content (RTP range) since XMPP and SIP apparently use different ports (5222 vs 5060/5061).
     
    It looks like I currently have the following rules set for DMZ 1: (Which actually now I wonder how an Inbound call "knows" to be routed to the DMZ if I don't have any other rules  telling UTM as such)

    Firewall:
    DMZ --> Any --> Any
    NAT/Masquerading
    DMZ (Network) --> External (WAN)
  • 0 in reply to jengle21
    (Which actually now I wonder how an Inbound call "knows" to be routed to the DMZ if I don't have any other rules  telling UTM as such)


    My guess would be that the XMPP device/application keeps a connection open to the GV servers.

    Anyways, you could DNAT the port(s) if needed, as long as they don't overlap with SIP ports.

    Barry
  • 0
    Thank you for all your help.
    So if I am understanding you correctly it sounds like if there is any overlap in the RTP ports between the two services (e.g. 10000-20000 TCP/UDP) I should manually configure one of the services to only use a subset of those ports (e.g. 10000-14999) and manually configure DNAT as necessary within UTM.
  • 0
    My experiences with SIP devices lead me to believe that only a few ports are needed inbound (DNAT).

    I don't know enough about XMPP, but if it's working, leave it alone, and try the VOIP Proxy for the SIP device.

    Barry
  • 0


    You shouldn't use DMZ -> any - any since it also allows connections from you DMZ back to your LAN. In stead try using something like DMZ -> Internet IPv4 / v6 -> any