Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 13664 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VOIP setup

JudyA
Hi there

Our Gigaset A580 IP handset works fine connected direct to a HomeHub3 router - makes calls, call quality etc all good.

Our UTM 9.209-8 is connected to the HH3 router with 3 internal LAN segments, all have DHCP & DNS and work fine for net browsing.

When I move the A580IP handset to the internal voip LAN, I cannot make calls. There's a ring tone, but no connection. I've:
. set DHCP & DNS on for the voip LAN
. set the handset to dynamic DHCP and it gets correct IP, default gateway and DNS
. set general firewall rules (DNS, term apps, web surfing) for the voip lan
. added firewall rule: voip -> voip protocols -> any
. added firewall rule: any -> voip protocols -> voip server (are these correct?)
. set a masq rule for voip to external using primary address (needed?)

On Network protection / voip, I've set
. sip server network = voip server
. sip client network = voip(network)
. expectation mode = any

My voip server network definition is
. type = network
. ip address = 217.14.138.10 (as i'm using voiptalk.org - is this format correct?)
. netmask = 255.255.255.0
. interface = voip

My firewall log shows:
udp/5065: 329 packets
NTP udp/123: 66 packets
SIP udp/5060: 34 packets

I've turned off all the good things and just have the firewall active.

As you can see, I'm new to the UTM and stumbling around in the dark!
Please could you share what I'm doing wrong / how to debug this...

Many thanks, Judy


This thread was automatically locked due to age.
  • 0
    I haven't used voiptalk.org, but have a couple of others running.  Here is what I would suggest.

    1) VoIP Server Network Definition
    The address you have is the www address.  You want ..
    Type = DNS Group
    Host Name = voiptalk.org
    Looks like this will resolve to a single address, but will "future proof" if they add others.

    2) Remove the firewall rules you added.  When you create the server/client networks in Network Protection /VoIP that will open the firewall up as necessary.

    3) VoIP Expectation Mode - Start with "Client / Server Networks" or "Strict".  Only use "Any" as a last resort, huge security hole.

    4) I see udp/5065 in the logs.  That would indicate that you have an Outbound Proxy to  nat.voiptalk.org:5065 configured on the phone.   My guess is that it will not be needed if the UTM SIP ALG is doing what I expect it to do.  So, remove the Outbound Proxy config from the phone and give it a try.  If it is really required, then you will have to add the FW rules to allow it.
  • 0
    Thank you!
    Firewall rules removed as above
    VoIP redefined as:

    VOIP there is voiptalk.org[77.240.48.94]

    The A580 web config shows


    The A580 couldn't connect if I disabled the outbound proxy on the phone, so I tried to set one up:

    going to (voip server) is voiptalk.org[217.14.138.10/32]
    destination (voip nat out) is nat.voiptalk.org[77.240.48.201]

    Todays' firewall traffic is:
    udp/5065: 542 packets
    SIP (udp/5060): 212 packets
    NTP (udp/123): 176 packets
    NAT has set  a firewall rule for Voip(network) -> voip nat out using VoIP protocols.

    Should I be setting SNAT and/or DNAT? 
    Is my NAT syntax correct?
    Is STUN part of the solution? 
    Do I need other firewall rules?

    Thanks again, Judy
  • 0
    When I've had a VoIP provider that did not use 5060/5061 for the SIP signalling, putting entries under Network Protection / VoIP didn't seem to do anything.  I just went with standard FW rules.  So, it would just be ..

    * Just MASQ for the VoIP internal network.  No SNAT/DNAT.
    * ANY FW rule from the phone or voice VLAN to the necessary VoIP provider hosts.

    If the VoIP provider does not proxy the audio (RTP), then that complicates the matter even more and would require more holes in the FW.
  • 0
    Hi, and thanks again for your help.

    I've placed both voiptalk.org and nat.voiptalk.org as sip server networks
    Also added FW rule from the phone LAN, ANY protocol to ANY
    I've removed everything under NAT

    The handset and the phone's webadmin say 'server is not accessible'.

    Could the issue be the HomeHub3 router upstream of Sophos? Is there double NAT here?

    I've set nothing in the HH3 to make this work, and the phone works fine connected direct to the HH3 so authetication and passwords are ok.
    Others using this phone get it working with STUN off.

    Cheers Judy
  • 0
    Anyone? Then I'm just going to connect the Voip phone upstream of Sophos until I have time to look into this further...
    Thanks