[Resolvido] SIP conecta - Conexão de voz não funciona



  • Olá galera, tudo bom?

    Seguinte, sou meio novo ainda com o pfSense, mas acredito que esteja fazendo alguma coisa de errado com essa configuração de SIP. Coloquei em anexo um esquema de como que é minha rede para o protocolo SIP (foi em paint mesmo  :D ). Estou mandando em anexo também os prints de todas as telas das configs que eu achei que fosse necessárias, após ler e ler muito aqui no forúm…

    Porém, analisando o log do firewall, o ramal IP até consegue "passar" pela regra da porta SIP, porém, fica nisso somente. Ele não consegue, digamos, terminar a conexão finanlizando o handshake com meu PABX/VOIP.

    (Editado)- Configurações da máquina PABXVOIP:


    Eu realmente precisso desse SIP funcional, pois temos aqui um escritório fora do estado (dá pra ver pelo diagrama da rede), e ele sempre funcionou no router antigo. Que tive que mudar pois eu achei necessário realizar o bloqueio de acesso à internet durante o horario de serviço, mais o cache (squid), mais outras inúmeras opções que esse bendito pfSense nos dá.

    Estou muito orgulhoso do que aprendi, e muito frustrado por não conseguir fazer o protocolo SIP funcionar…. Não entendo o porque até agora... alguma alma santa pode me ajudar??

    PS: Eu tentei fazer uma pergunta em outro Topic, http://forum.pfsense.org/index.php/topic,46692.0.html mas fui completamente ignorado  :'( Acredito que devo ter feito alguma coisa de errado… Caso sim, estou aberto a sugestões de como me portar.

    Bom, era isso. Espero que alguém possa me ajudar, pois já não sei mais o que fazer. Fico aberto a sugestões, principalmente se vcs precisarem de mais informações de logs do pfSense daqui.

    Agradeço desde já a ajuda de todos. Um abraço.

    Atenciosamente,
    Adolfo Rodrigues.


    ![firewall_lan (Small).JPG](/public/imported_attachments/1/firewall_lan (Small).JPG)
    ![firewall_lan (Small).JPG_thumb](/public/imported_attachments/1/firewall_lan (Small).JPG_thumb)
    ![firewall_wan (Small).JPG](/public/imported_attachments/1/firewall_wan (Small).JPG)
    ![firewall_wan (Small).JPG_thumb](/public/imported_attachments/1/firewall_wan (Small).JPG_thumb)
    ![NAT_Outbound (Small).JPG](/public/imported_attachments/1/NAT_Outbound (Small).JPG)
    ![NAT_Outbound (Small).JPG_thumb](/public/imported_attachments/1/NAT_Outbound (Small).JPG_thumb)
    ![NAT_Outbound_Rule (Small).JPG](/public/imported_attachments/1/NAT_Outbound_Rule (Small).JPG)
    ![NAT_Outbound_Rule (Small).JPG_thumb](/public/imported_attachments/1/NAT_Outbound_Rule (Small).JPG_thumb)
    ![NAT_PortForward (Small).JPG_thumb](/public/imported_attachments/1/NAT_PortForward (Small).JPG_thumb)
    ![NAT_PortForward (Small).JPG](/public/imported_attachments/1/NAT_PortForward (Small).JPG)



  • a sua internet é um ADSL embratel, tem certeza que é o pfsense . Você já testou essa conexão SIP fora do pfsense ?? ?
    já vi caso que a operadora esta dificuldade portas voip..



  • PS: Eu tentei fazer uma pergunta em outro Topic, http://forum.pfsense.org/index.php/topic,46692.0.html mas fui completamente ignorado  Acredito que devo ter feito alguma coisa de errado… Caso sim, estou aberto a sugestões de como me portar.

    Voltei no topico para dar uma olhada e quase não consegui achar seu post, passei batido por ele  :D

    Perguntas:
    O seu pfsense recebe o ip direto do provedor ou você ainda passa por algum modem?
    Ele esta em modo bridge?
    Você conferiu se não existe nenhuma configuração habilitada(como no outro post) que esta impedindo a comunição do seu voip?

    Sugestões:

    • A sua segunda regra na lan esta liberando acesso irrestrito a internet, inutilizando qualquer outra regra após ela.

    • A sua regra na lan permitindo udp está com o destino errado, mude de wan address para o ip do provedor.

    • A sua regra de outbound nat também esta errada, mude a destination de 192.168.254 para o ip do seu provedor.

    • Retire o source port da regra de nat da wan, deixe any



  • @marcelloc:

    PS: Eu tentei fazer uma pergunta em outro Topic, http://forum.pfsense.org/index.php/topic,46692.0.html mas fui completamente ignorado   Acredito que devo ter feito alguma coisa de errado… Caso sim, estou aberto a sugestões de como me portar.

    Voltei no topico para dar uma olhada e quase não consegui achar seu post, passei batido por ele  :D

    Perguntas:
    O seu pfsense recebe o ip direto do provedor ou você ainda passa por algum modem?
    Ele esta em modo bridge?
    Você conferiu se não existe nenhuma configuração habilitada(como no outro post) que esta impedindo a comunição do seu voip?

    Sugestões:

    • A sua segunda regra na lan esta liberando acesso irrestrito a internet, inutilizando qualquer outra regra após ela.

    • A sua regra na lan permitindo udp está com o destino errado, mude de wan address para o ip do provedor.

    • A sua regra de outbound nat também esta errada, mude a destination de 192.168.254 para o ip do seu provedor.

    • Retire o source port da regra de nat da wan, deixe any

    O meu problema era o modem adsl que tinha problema na firmware e nao abria a porta sip nem ftp….. pode ser tambem!

    abcs



  • Gente,

    Vamos fazer o correto… coloca o modem em modo bridge.. e seja feliz.. é um problema a menos..



  • @marcelloc:

    PS: Eu tentei fazer uma pergunta em outro Topic, http://forum.pfsense.org/index.php/topic,46692.0.html mas fui completamente ignorado   Acredito que devo ter feito alguma coisa de errado… Caso sim, estou aberto a sugestões de como me portar.

    Voltei no topico para dar uma olhada e quase não consegui achar seu post, passei batido por ele  :D

    Perguntas:
    O seu pfsense recebe o ip direto do provedor ou você ainda passa por algum modem?
    Ele esta em modo bridge?
    Você conferiu se não existe nenhuma configuração habilitada(como no outro post) que esta impedindo a comunição do seu voip?

    Sugestões:

    • A sua segunda regra na lan esta liberando acesso irrestrito a internet, inutilizando qualquer outra regra após ela.
    • A sua regra na lan permitindo udp está com o destino errado, mude de wan address para o ip do provedor.
    • A sua regra de outbound nat também esta errada, mude a destination de 192.168.254 para o ip do seu provedor.

    • Retire o source port da regra de nat da wan, deixe any


  • Ops… Aparentemente, essa regra de any-any udp bloqueia a net completamente... Retirada!

    Porém, ainda estou tendo problemas em conectar o SIP... ???



  • @adolfo_rodrigues:

    Como vou fazer isso se a WAN não tem IP fixo?

    Definindo wan address na configuração do nat/regra

    @adolfo_rodrigues:

    Coloquei um print da nova regra, mas não achei como colocar o ip do meu provedor. Assim, quando vc fala provedor, vc diz minha internet ou meu PABX? Se for o PABX, quando tento colocar o ip dele e salvo, o pfSense muda pra 192.168.254.0/24…. não sei porque...

    Você não esta usando um provedor sip? resolva o nome do host que você configura nos clientes/central com o nslookup por exemplo e você terá o ip do provedor.

    Desta forma a sua regra de outbound nat com static port aplicada somente para o trafego entre seus telefones/central e o provedor

    @adolfo_rodrigues:

    Te juro que vou pedir mais ajuda… não entendi como fazer isso, pois a interface wan/udp falaria com minha lan/udp no ip do meu pabx, não é isso? Ou eu não estou entendendo direito esse conceito?

    A regra de nat que você configurou diz que o pacote tem que chegar do provedor com as porta 5060 de origem e destino 5060, mas normalmente o a porta cliente da comunicação é maior que 1024

    provedor.porta_alta -> seu_ip_da_wan.porta_5060

    Desta forma, a sua regra de nat tem "aceitar" qualquer porta cliente do ip remoto e não somente a 5060
    Da mesma forma as portas de rtp.
    Você esta usando central telefonica para comunicar com o provedor ou os telefones fazem conexão direta?

    @adolfo_rodrigues:

    O meu problema era o modem adsl que tinha problema na firmware e nao abria a porta sip nem ftp….. pode ser tambem!

    Já vi modems que ao habilitar o ALG simplesmente bloqueiam o sip, mas como você mesmo falou, não deve ser este o seu problema.

    @adolfo_rodrigues:

    Ops… Aparentemente, essa regra de any-any udp bloqueia a net completamente... Retirada!

    A unica change desta alteração parar o seu trafego é não existir nenhuma outra regra de outbound nat configurada para permitir o nat na wan.



  • Marcelo,

    Acho que depois dessas suas configs, eu resolvi colocar uma informação que não deve ter ficado muito clara.

    Eu tenho uma central PABX que tem uma placa VOIP/SIP. Ou seja, os meus ramais IP "se logam" nela (tanto via rede interna quanto via internet com redirecionamento de porta) e "recebem" um ramal dentro da minha faixa de DDR, por exemplo. Ou seja, meus telefones IP não falam com nenhum local externo à empresa, que não com minha própria central telefônica, PABX.

    Caso queiram ligar para um ramal, digitam apenas um ramal. Caso sejam liberados para fazer ligações externas, digitam o 0 + número. Assim como se estivessem em um ramal físico do PABX.

    O problema é que o ramal IP não consegue enxergar meu PABX para completar as comunicações. No meu linksys, router anterior, era somente colocar o port forwarding:

    Sei que existem confgurações mais precisas para se fazer no pfSense, afinal, ele é muito mais complexo do que um router comum, mais acreditava que era apenas configurar uma regra de NAT/PortForward que ele ia realizar o procedimento ok.

    Lendo aqui no forum é que descobri que tem que fazer também um Outbound para poder funcionar direito com vários ramais IP. Mas até agora, nem a primeira opção funcionou. Por isso postei prints do meu PABX, para o caso de eu precisar escolher alguma configuração diferente…

    Então, dito isso, vem meus questionamentos:

    Tenho que realizar os seguintes procedimentos para fazer isso funcionar?:

    a) Configurar NAT/PortForward para as portas do SIP e RDP, no meu caso 5060 e 12000-12031 e criar as regras associadas a esses NATs como segue:

    b) Em NAT/Outbound criar uma regra para permitir acesso ao PABX.
    1 -Como preencher essa regra?
    2 - Quando coloco "Manual" o pfSense cria regras automáticas. Essa nova regra substitui alguma delas, ou é uma regra nova?
    3 - Qual a posição que essa regra de Outbound deve ter?

    Desculpa qualquer coisa, mas agradeço muito sua ajuda nesse meu "perrengue" que estou tendo :P

    Abraço



  • Ficou bem mais claro agora.

    Se a sua central esta configurada para usar rtp apenas na faixa 12000-12031, então seu nat de entrada já está ok.

    Tente criar dois outbound nat, nas primeiras posições.

    primeira

    interface wan
    source ip da central
    qualquer protocolo
    static port yes

    segunda
    interface lan
    destination ip da central
    qualquer protocolo
    static port yes

    A segunda regra vai forçar o nat entre os clientes ip e a sua central.
    Esta regra não obrigatória. Se funcionar, o unico prejuízo é ter o ip da lan do firewall e não dos clientes nos logs da central.

    att,
    Marcello Coutinho



  • Cara, valeu novamente.

    Fiz, e, aparentemente, o meu telefone IP passou a conectar. Chamo entre ramais, mas o audio não sai. Em nenhum dos dois lados….

    Veja se fiz corretamente:

    Fiquei encucado novamente com o fato de onde coloco o ip da central, o pfSense muda para meu ip geral da rede 192.168.254.0/24… e não deixa o ip da central 192.168.254.25... Isso está certo?

    Abraço



  • Muda para 192.168.254.25/32

    O /32 significa host ou rede de um host só.

    De qualquer forma esta configuração deveria ter funcionado.

    Na sua central você configuração de nat?

    No asterisk precisamos informar a faixa de rede local e qual o ip publico ou dns publico.

    att,
    Marcello Coutinho



  • @marcelloc:

    Muda para 192.168.254.25/32

    O /32 significa host ou rede de um host só.

    De qualquer forma esta configuração deveria ter funcionado.

    Na sua central você configuração de nat?

    No asterisk precisamos informar a faixa de rede local e qual o ip publico ou dns publico.

    att,
    Marcello Coutinho

    Marcelo, fiz o que vc falou, e funcionou no que tenho na bancada aqui(SIP via 3g via iPhone), o audio ficou meio lerdinho mas não quero nada já que foi via 3g.

    Porém, o que eu tenho no escritório no para, não está pegando, veja na imagem

    Que o meu teste recebeu as portas rdp para audio. mas o outro, fica conectando várias vezes…Mais ou menos a cada dois minutos. Só que no ramal IP não tem essa programação de keep alive... Nem eu via isso no outro router...

    Será que ainda falta alguma coisa? Ou tenho mesmo que correr pro sidproxy?

    ói:
    pass Mar 8 15:08:29 WAN 189.127.162.186:5060 192.168.254.25:5060 UDP
    pass Mar 8 15:06:29 WAN 189.127.162.186:5060 192.168.254.25:5060 UDP
    pass Mar 8 15:04:27 WAN 189.127.162.186:5060 192.168.254.25:5060 UDP

    ???Seguidos... fica se reconectando... sozinho  ???

    Vai entender. Luz??



  • O seu telefone remoto tem configuração de stun?

    este serviço é importante para acertar a informação de ip que vai dentro do pacote.

    Na minha opinião, se o iphone via 3g foi, a configuração do pfsense já está ok.

    para monitorar melhor os pacotes, use o comando tcpdump na console do pfsense ou via ssh.

    exemplo:
    tcpdump -ni interface_wan host ip_wan



  • Fala Marcelo,

    Ele tem configuração de STUN sim. Porém, agora vai da minha sapiencia, eu não faço a mínima idéia do que significa isso. Se vc vir no print do meu PABX, essa configuração está feita e habilitada. Agora, o ramal que tenho aqui na minha rede interna não fica fazendo essas conexões toda hora.

    Vc consegue me explicar o que é STUN? Vou dar uma pesquisada aqui no Google pra ver quais informações eu consigo. Enquanto isso (na sala de justiça), estou esperando chegar um outro ramal para eu colocar na bancada aqui em outra rede. Só assim eu vou conseguir testar todas as configs por completo, inclusive, dois ou mais ramais realizando chamadas ao mesmo tempo.

    Valeu por tudo, e desculpe o incômodo :P



  • o stun(apesar de parecer nome de ferramenta de tunelamento) busca o ip real que o cliente esta usando e atualiza a informação no conteúdo do pacote sip e/ou rdp.

    segue lista de servidores stup publicos

    http://www.voip-info.org/wiki/view/STUN



  • Oi Marcelo,

    Estou lendo uma documentação sobre esse serviço de STUN, encontrei um sistema que pode ser instalado em uma máquina internamente na sua rede, http://sourceforge.net/projects/stun/ isso pode funcionar?

    Estou perguntando pois temos uma política de proteção de dados aqui na empresa que pesamos qual tipo de informação deixamos que "vaze" de dentro, ou seja, se existe um sistema que faz isso, porque não instalá-lo nos nossos servidores?

    Vale a pena o trabalho? ou é melhor utilizar os públicos mesmo? Caso sejam os públicos, vc pode me indicar um de qualidade/confiança?

    Obrigado.



  • Pode usar o publico mesmo, a única informação que 'vaza' é o ip real que o cliente esta usando. Voz ou informação de senhas não trafegam no stun.

    De qualquer forma, seu servidor voip já deveri estar funcionando do lado de fora, as três configurações(publicação do nat, stun nos clientes e a configuração do servidor/central) são suficientes para funcionar.



  • Valeu Marcelo.

    Muito obrigado mesmo pela ajuda dispensada. Obrigado também às outras pessoas que ajudaram. Espero que eu consiga ajudar também, posteriormente, outras pessoas que porventura tenham o mesmo problema.

    @marcelloc:

    De qualquer forma, seu servidor voip já deveri estar funcionando do lado de fora, as três configurações(publicação do nat, stun nos clientes e a configuração do servidor/central) são suficientes para funcionar.

    Eu já testei com um aqui na bancada. Só falto mesmo testar com vários funcionando ao mesmo tempo. Valeu mesmo!!!

    Estou adquirindo mais alguns ramais IP desses, e vou testar vários falando entre si, para que eu possa bater o martelo finalmente nessa configuração que tanto me deu dor de cabeça.

    Mais informações eu posto aqui. Obrigado novamente galera!! Abraço a todos.

    Uma última pergunta, como faço pra mudar o titulo do tópico para (Resolvido) ?? Valeu


Log in to reply