This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multiple VOIP Phones With Internet-based provider

I'm having some issue with getting VOIP to work correctly behind the ASG. 

- I have SIP helper turned on and configured with the IP range of the provider's severs in the SIP Server Networks section.  I have my Internal Network in the SIP Client Networks and expectation set to Strict.

- A firewall rule for any of the internal phones headed outbound to those servers allowing Any service.  

The phone registers with the provider.  Date and time update and voicemail notifications will pop.  No issue.  But if I make a call into the phone there is a dropped packet from the SIP server range to my External IP on port 5060.  The phone doesn't ring.

If I add a DNAT rule and point incoming connections on VOIP protocols from the SIP Server range to my External Adapter address and push them to the phone directly everything seems to work.  

OK, that's all good, but what if I have 2-3 phones?  How can I handle this?


This thread was automatically locked due to age.
  • Hi, 

    1. please post the log entries showing the dropped packet (from the FULL log, not the live log)

    2. UTM version #?

    Barry
  • Firmware version is 9.109-1. 

    Log file excerpt is here:


    2014:02:25-17:36:30 asg ulogd[4482]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="49" initf="eth0" outitf="eth1" srcmac="0:4:f2:b4:3f[:D]9" dstmac="fc:75:16:e3:40:17" srcip="192.168.10.93" dstip="208.73.24.98" proto="17" length="200" tos="0x18" prec="0xa0" ttl="63" srcport="2222" dstport="26898" 
    2014:02:25-17:36:35 asg ulogd[4482]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="49" initf="eth0" outitf="eth1" srcmac="0:4:f2:b4:3f[:D]9" dstmac="fc:75:16:e3:40:17" srcip="192.168.10.93" dstip="208.73.24.98" proto="17" length="108" tos="0x18" prec="0xa0" ttl="63" srcport="2223" dstport="26899" 
    2014:02:25-17:36:49 asg ulogd[4482]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="1" initf="eth0" outitf="eth1" srcmac="0:1a:92:6d:5e:98" dstmac="fc:75:16:e3:40:17" srcip="192.168.10.2" dstip="54.251.33.77" proto="6" length="52" tos="0x00" prec="0x00" ttl="127" srcport="65185" dstport="443" tcpflags="SYN" 
    2014:02:25-17:37:05 asg ulogd[4482]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="0:1:5c:31:26:1" dstmac="0:1a:92:6d:5e:98" srcip="208.73.24.82" dstip="76.122.X.XX" proto="6" length="60" tos="0x00" prec="0x20" ttl="23" srcport="56748" dstport="5060" tcpflags="SYN" 
    2014:02:25-17:37:08 asg ulogd[4482]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="0:1:5c:31:26:1" dstmac="0:1a:92:6d:5e:98" srcip="208.73.24.82" dstip="76.122.X.XX" proto="6" length="60" tos="0x00" prec="0x20" ttl="23" srcport="56748" dstport="5060" tcpflags="SYN" 
    2014:02:25-17:37:11 asg ulogd[4482]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="0:1:5c:31:26:1" dstmac="0:1a:92:6d:5e:98" srcip="208.73.24.82" dstip="76.122.X.XX" proto="6" length="60" tos="0x00" prec="0x20" ttl="23" srcport="56748" dstport="5060" tcpflags="SYN" 
    2014:02:25-17:37:15 asg ulogd[4482]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="0:1:5c:31:26:1" dstmac="0:1a:92:6d:5e:98" srcip="208.73.24.82" dstip="76.122.X.XX" proto="6" length="44" tos="0x00" prec="0x20" ttl="23" srcport="56748" dstport="5060" tcpflags="SYN" 

  • OK.

    Can you post your Network Definition for the SIP Provider Networks?

    Barry
  • OK.

    Can you post your Network Definition for the SIP Provider Networks?

    Barry


    Sure, no problem.

    Name: Broadsmart SIP Servers
    Type: Network
    IPv4 Address: 208.73.24.0
    Netmask: /24
  • Do you have more than one External IP? Is the one in the logs the primary External address?

    I'm pretty much out of ideas; do you have a support contract?

    Barry
  • Do you have more than one External IP? Is the one in the logs the primary External address?

    I'm pretty much out of ideas; do you have a support contract?

    Barry


    I have one external for this location. 

    This one, dstip="76.122.X.XX", is just an obfuscated external WAN IP.

     I'm actually testing it at home before deploying it in one of our 6 locations that all have premium support.  I have a feeling that Support will give me static about giving me help since I'm trying to do it on my Home license... I'm trying to "do the right thing" and plan ahead before actual deployment where it then becomes an emergency making us all look dumb because it doesn't work right.  If I can't make it work right here then I can't make it work right on those sites with full licensing.  

    Any thoughts for how to approach it with support so they will help me configure it here before moving it to other locations?
  • Hi, you're right that Sophos support may not want to help, but you can try your reseller.

    Barry
  • Support certainly won't help you with a Home-use license.  Six locations?  What does your reseller have to say about this?  I'm sending you a PM.

    Cheers - Bob
  • I just wanted to update the thread with the results.

    I worked with my reseller on this who has several cloud hosted VoIP phones in his office.  

    What we determined was that all we needed to do was the following.


    • Turn off Network Protection -> VoIP
    • Create a Firewall Rule for the Subnet of the phones (in this case, Internal) to the previously created Broadsmart SIP Servers Network definition.  Rule: Internal -> Any -> Broadsmart SIP Servers


    And that was it.