Problemas VOIP - Time Out



  • Pessoal, sei que já tem tópicos falando a respeito disso, porém não consegui encontrar uma solução.

    Seguinte, tento conectar em um servidor SIP: 186.209.144.188 (fornecedor externo), porém não consigo fazer o registro na rede deles. Se eu configurar meu link direto no aparelho, ele conecta normal.

    Minhas configurações de Wan são:

    IPv4 TCP/UDP * * BBP address 80 - 443 * none
    IPv4 * * * * * * none

    Minhas configurações de Lan são:

    IPv4 TCP 192.168.0.59 * * * * none Roteador Upgrade
    IPv4 * * * * * * none

    Já tentei de tudo que é jeito e nada de funcionar. Já instalei até a extensão siproxd e nada. Coloquei Firewall Optimization Options em conservative e nada tmb.

    Alguma ideia?



  • Suas regras estão extremamente permissivas. Começa conferindo a definição de gateway, outbound nat, etc…

    O registro do sip é a parte fácil. Normalmente o pessoal "trava" no rtp.



  • A unica coisa que mexi foi tirar a outbound NAT de hybrido e colocar manual, ai eu tirei é a Rewrite Sorce Port, que na própria documentação do PFSENSE pede pra tirar pra não dar problema no áudio.

    O problema não é nem no registro, é que alguma coisa ta segurando a conexão e dando Time Out. Uso uma ferramenta boa pra teste de SIP, é a Star Trinity SIP Tester.

    Sobre a configuração de Gateway e outbound nat eu mandei em anexo, acho que é isso que pediu.






  • As regras, gateways, nat e faixa de rede estão ok.

    As estações/clientes sip tem o firewall como gateway?

    Várias operadoras restringem o acesso somente aos ips de cliente. Já passou seu ip público para ser liberado o acesso no provedor?



  • As estações pegam o gateway automático do DHCP, utilizo proxy + squidguard, minha máquina é liberada no bypass e pode acessar qualquer coisa. O IP público esta OK, quando eu configuro o IP na minha máquina ou no ATA, ele funciona normal.

    Todas as máquinas pegam a configuração igual aos prints que mandei.






  • Tem certeza que o problema está no registro do SIP?

    Uma coisa que mata qualquer comunicação SIP é o duplo nat. Sua wan não está com o ip público. consegue passar seu roteador para bridge?

    Recomendo usar o tcpdump na console para verificar como o trafego está saindo e o que vem do provedor.



  • Nesse caso o meu fornecedor me fornece esse IP roteável, mas tenho outro IP público mesmo e não funciona no mesmo jeito. Como assim NAT duplo? Não fiz nenhum NAT pra VOIP. Vou testar o que falou e te dou a resposta.



  • Fiz um tcpdump da wan, monitorei a saida para o IP 186.209.144.188 e fiz da lan, saída para a porta 5060. Segue print.

    Ao meu ver não tem nada de mais acontecendo, ou faltou algum parametro no comando?




  • @MPFontana:

    Como assim NAT duplo? Não fiz nenhum NAT pra VOIP.

    Sua wan é 172.16 e sua lan é 192.168. Seus dispositivos sip sofrem nat da lan(192.168) para a wan(172.16) e em seguida no roteador o nat acontece da rede 172.16 para o ip válido.

    @MPFontana:

    Fiz um tcpdump da wan, monitorei a saida para o IP 186.209.144.188 e fiz da lan, saída para a porta 5060. Segue print.

    Só tem pacote saindo, nada volta do seu provedor. Se o pacote entra pela lan e sai da wan, o firewall já fez sua parte.



  • Entendi sobre a NAT. O exemplo a seguir eu coloquei o meu PC pra sair por outro LINK que é por IP Público, vou fazer outro teste e mostrar pra vc.

    Por hora só tenho a agradecer pela atenção, só desculpe te encher de perguntas, é que já tentei de tudo e não acho a solução.








  • Cara, me desculpe, não sei mais o que fazer, eu testei minha máquina configurada com os 2 Links direto nela, sem passar pelo firewall e funcionaram que é uma beleza, isso que to achando super estranho.




  • @MPFontana:

    Cara, me desculpe, não sei mais o que fazer.

    Deixa o sip passando por no máximo um nat como já sugeri acima.

    @MPFontana:

    eu testei minha máquina configurada com os 2 Links direto nela

    configurou o ip direto, sem nat ái funcionou.

    O ip de saída do firewall é o mesmo que utilizou no teste direto acima?



  • Tenho om Mikrotik com o ip 186.251.x.116, se eu coloco minha máquina nela, o SIP funciona.

    No meu pfsense, coloco o gateway 186.251.x.117 ou o mesmo IP e não funciona.

    Este IP ai é publico e não funciona, por isso acho que não seja NAT de mais no caminho.

    O teste acima eu fiz com o ip 186.251.x.117 configurado no firewall.



  • @MPFontana:

    Tenho om Mikrotik com o ip 186.251.x.116, se eu coloco minha máquina nela, o SIP funciona.

    maquina ip privado -> microtik (nat simples) -> saida ip publico 116 pra provedor

    @MPFontana:

    No meu pfsense, coloco o gateway 186.251.x.117 ou o mesmo IP e não funciona.

    Este IP ai é publico e não funciona, por isso acho que não seja NAT de mais no caminho.

    O teste acima eu fiz com o ip 186.251.x.117 configurado no firewall.

    Quando você se refere a gateway 186.251.x.117, você quer dizer que configura o ip da wan do pfsense com endereço público?

    Vou tentar resumir tudo novamente.
    Se o ip 186.251.x.116 no provedor tem acesso ao sip, você com um nat simples(ip privado atras do microtik) vai conseguir registrar

    Se o ip 186.251.x.117 está na mesma rede wan que o mikrotic(ao lado dele, não atrás dele) com um nat simples ou acesso direto você vai conseguir conectar desde que o ip 186.251.x.117  tenha acesso ao sip do provedor(isso depende de regra do provedor, não sua)

    Se o pfsense está atrás do mikrotic com ip inválido e o sip atras do pfSense, você está passando por duplo nat(um no pfsense outro no mikrotic). Nessa situação, o máximo que vai acontecer é o registro do SIP mas o RTP sempre vai dar problema.

    A questão não é de forma alguma "defeito" do pfSense. Tenho firewalls pfSense em redes com provedores voip e tanto chamadas de entrada quanto de saída funcionam.



  • @marcelloc:

    Se o ip 186.251.x.117 está na mesma rede wan que o mikrotic(ao lado dele, não atrás dele) com um nat simples ou acesso direto você vai conseguir conectar desde que o ip 186.251.x.117  tenha acesso ao sip do provedor(isso depende de regra do provedor, não sua)

    Meu PFSense e o Mikrotik estão um do lado do outro. Eu sei que não é defeito nem nada, mas alguma questão de configuração que eu não to conseguindo achar.