Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 17825 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall is dropping port 5060

DarthPerzi
Hi, 
i have a Sophos UTM 9 Firewall at our Company.

We have strange Phone Problems at our Network.
For the Phonecalls we need the Port 5060 incoming and outgoning to our firewall.

I made the following rule at our firewall:

IP Address of the Phone Company --> tcp 5060 --> WAN Port (Network)
and
Address of the Phone Company --> udp 5060 --> WAN Port (Network)

When i have a look at the live Protokoll of the Firewall i have many packages from the phone company who will be dropped by default.

What can i do to let the Packets into my network?

Thanks a lot
BR
Michael


This thread was automatically locked due to age.
  • 0
    Hi,
    you don't need all those rules, the UTM has a SIP helper (proxy) which when enabled overcomes most of the those issues.
    Depending on what other ports you need, but the basics are:-
    webadmin -> network protection -> VOIP -> SIP

    Ian
  • 0
    Hi, Michal, and welcome to the User BB!

    Your rules were ineffective.  You could have used a NAT rule like 'DNAT : 
    {Phone Company} -> {TCP/UDP 5060} -> WAN Port (Address) : to {internal VoIP server}', but Ian's prescription is better.

    Cheers - Bob
  • 0 in reply to RFCat_vk_01
    Hi,
    you don't need all those rules, the UTM has a SIP helper (proxy) which when enabled overcomes most of the those issues.
    Depending on what other ports you need, but the basics are:-
    webadmin -> network protection -> VOIP -> SIP

    Ian


    Hi Ian, thanks for the fast reply,
    our Telephone System is not located in our Company. They told me not to use the SIP Helper. They said it will not work with NFON.
  • 0 in reply to BAlfson
    Hi, Michal, and welcome to the User BB!

    Your rules were ineffective.  You could have used a NAT rule like 'DNAT : 
    {Phone Company} -> {TCP/UDP 5060} -> WAN Port (Address) : to {internal VoIP server}', but Ian's prescription is better.

    Cheers - Bob


    Thanks for the fast reply´s and the warm welcome.

    i tried to make a NAT Rule like this:
    NFON IP Address --> UDP 5060 --> WAN Port (Address) --> Internal LAN (Network) [We dont have a VOIP Server, the VOIP Server is located at the internet, and we only have IP Phones located in the Network] 

    This NAT Rule will not work because the UTM9 dont allows this.
    What can i do in this case?

    Thanks
    Michael
  • 0
    Michael, this is not possible with IPv4.  How did this work before you installed the UTM?

    Cheers - Bob
  • 0
    Michael, I have exactly the same, SIP-server located on Internet, but enabling the SIP proxy solves the problems.
    You can succesfully forward TCP/UDP 5060, but the RTP streams (speech) are random ports you don't want to open by default (just because you would create a huge hole in your firewall).
    Just try to enable the SIP proxy, you internal network are your clients and the server networks are your providers' IP-addresses. You don't need any other rules and the ports will be dynamically opened only when requested by either side of the SIP-connection and closed again when no longer needed.
  • 0
    Thanks for the Replies.
    I installed the SIP Proxy but i have still the same failure.

    The Firewall is dropping much packets of UDP 5060
    The ip Addresses at the picture are:

    109.68.96.128 (NFON - our IP Telephone Company)
    213.61.104.82 (WAN Port of my Firewall)

    Do you have any ideas ?

    Thanks a lot for the replies
    BR
    Michael
  • 0 in reply to BAlfson
    Michael, this is not possible with IPv4.  How did this work before you installed the UTM?

    Cheers - Bob


    The UTM9 was not installed by me, we have this Problems now for a long time at our company.
  • 0 in reply to DarthPerzi
    Hi Michael,
    please post your SIP configuration. There is something odd with the setup.
    I have two different VoIP phones at home from two different ISPs, totally different configurations and ports. Both work through the SIP helper without an issue.
    I have a VoIP network allow any out rule, no IPS and the packet filter rule is quite high up the rule list, above ordinary traffic.

    Ian
  • 0
    Michael, please show the two lines at 9:37:19 from the full Firewall log file.

    What is 213.61.104.91?

    Cheers - Bob