SIP Firewall Rules - Phones cant reach SIP server

Sorry, should have noted that the PBX provider I'm trying to reach is MyPBX.org.  

Server address 123456.123456.sip.pbxww.com (substituted the real subdomains with 123456).

Hi, 

1. please post the log entry from the full log, not the live log... the protocol info is missing.

2. please show the definition of the VOIP protocols group, if you have modified it. 

Barry

Sorry, hope this is the right one!

2015:01:22-13:20:19 SGF-GW1-1 ulogd[4823]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0.2" mark="0x207c" app="124" srcmac="00:0b:82:6e:ad:ff" dstmac="00:1a:8c:f0:56:c0" srcip="10.0.2.11" dstip="10.0.3.1" proto="17" length="72" tos="0x00" prec="0x00" ttl="64" srcport="51045" dstport="53" 

Service Definitions:
SIP - TCP/UDP - 1:65535 → 5060:5065

SIP over SSL - TCP - 1:65535 → 5060:5061

RTP - UDP - 1:65535 → 5000:20000

Do the phones need NAT traversal enabled?

Where is 10.0.3.1 in your network?

Barry

10.0.3.1 is the gateway for my server VLAN.

For testing purposes, I made a VOIP virtual interface.  

FW Rule: VOIP Net -> ANY service -> ANY network

I also configured the built in UTM VOIP for:
SIP server = ANY
SIP Client Net: VOIP Net
Expec Mode: ANY

MASQ NAT rule: VOIP Net -> EXT WAN interface

Log says:
2015:01:22-13:21:11 SGF-GW1-1 ulogd[4823]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0.2" mark="0x207c" app="124" srcmac="00:0b:82:6e:ad:ff" dstmac="00:1a:8c:f0:56:c0" srcip="10.0.0.10" dstip="10.0.0.1" proto="17" length="61" tos="0x00" prec="0x00" ttl="64" srcport="44206" dstport="53"

Marzetti, it's hard to understand what your problem is when we get lines that represent three different problems.  The last two lines you posted are the firewall dropping DNS requests coming from clients that are not permitted such requests.

The first line you posted is incomplete - we need to see that complete line.  It represents some (we can't see what port or dstip) packet that is not allowed out.  I guess that you have no masq rule for that subnet.

Cheers - Bob

Hi all,
Sorry for the lateness.  We ended up abandoning the provider, since their support was terrible (for this and other things).  

Bob - The source IP is actually the VOIP phone.  And yes, it looks like I provided the incorrect logs.

However, I did work with Sophos support and they found that the provider seemed to be returning malformed packets.

This is what we pulled from the log (censored *.*.*.* is our public IP):
10:59:11.168972 IP 10.0.0.10.5060 > 46.19.208.89.5060: SIP, length: 655
10:59:11.168999 IP *.*.*.*.5060 > 46.19.208.89.5060: SIP, length: 655
10:59:11.258079 IP 46.19.208.89 > *.*.*.*: ICMP 46.19.208.89 udp port 5060 unreachable, length 556
10:59:11.258109 IP 46.19.208.89 > 10.0.0.10: ICMP 46.19.208.89 udp port 5060 unreachable, length 556

We ended up running Wire-shark, and while I don't necessarily agree, Sophos is saying that the packets appear malformed, inbound from the provider.

And here is the wireshark capture.  Censored in RED is our public IP.