SIP (voip) port forwarding vraagje

[krisken]

Ten einde mijn Linksys PAP2T eindelijk werkende te krijgen via pfsense, heb ik even de manual erbij genomen en bekeken wat ik juist moet portforwarden. Volgens de handleiding zou dit moeten volstaan:

5060-5061 UDP (sip protocol)
53 UDP (dns)
69 UDP (tftp)
10000-20000 UDP (onbekend, maar ik vermoed dat dit is voor RTP is)

Als ik echter inlog als admin op de PAP2T zie ik bij "sip" de volgende poorten als RTP : 16384 tot 16482. Ik heb dus deze ingesteld op de port forwarding ipv 10000 tot 20000.

Echter...het werkt nog steeds niet! Ik krijg wel een kiestoon, maar niemand kan mij bereiken op mijn weepee nummer. Echter als ik een softfone (x-lite) opstart...lukt dit wel.

Iemand enig idee wat ik over het hoofd zie?

[MarkDM]

En ben je geregistreerd bij Weepee ?

- volgens de PAP2T
- volgens de statuspage bij Weepee ?

[VOiD]

Zou het kunnen dat je softphone werkt omdat die STUN gebruikt en je PAP2T niet ?

[krisken]

Zou het kunnen dat je softphone werkt omdat die STUN gebruikt en je PAP2T niet ?

VOiD,
Dat _kan_ zijn, maar op de softphone heb ik nooit een stun server ingesteld...

[VOiD]

Ik denk dat die X-lite dat automatisch doet. Al eens geprobeerd als je STUN activeert op je PAP2T ? De DNS en TFTP zijn niet nodig om te forwarden volgens mij (DNS lijkt me zelfs geen goed idee).

[krisken]

En ben je geregistreerd bij Weepee ?

- volgens de PAP2T
- volgens de statuspage bij Weepee ?

Dit zie ik bij weepee zelf

Laatst geregisteerd op vrijdag 29 oktober 2010, de volgende validering van de registratie is om 13:04:59 uur.
IP Adres: 91.182.5.229 Port: 61755 Last latency: 54ms
Provider (cached): 83.101.6.45 - Unknown Useragent (cached): Linksys/PAP2T-5.1.6(LS)

De 2 ip's zijn door mijn dual wan configuratie. Normaal zou dit altijd via belgacom (dus het 91 ip) moeten gaan doch dit is mij nog niet gelukt om dit zo in te stellen.

Ik denk dat die X-lite dat automatisch doet. Al eens geprobeerd als je STUN activeert op je PAP2T ? De DNS en TFTP zijn niet nodig om te forwarden volgens mij (DNS lijkt me zelfs geen goed idee).

Eerlijk gezegd dit nog niet geprobeerd, daar ik liever rechtstreeks zou werken ipv via stun.

[krisken]

//edit : stun1.weepee.org gebruikt, no luck :s

[philippe_d]

Dit zie ik bij weepee zelf
Laatst geregisteerd op vrijdag 29 oktober 2010, de volgende validering van de registratie is om 13:04:59 uur.
IP Adres: 91.182.5.229 Port: 61755 Last latency: 54ms
Provider (cached): 83.101.6.45 - Unknown Useragent (cached): Linksys/PAP2T-5.1.6(LS)

Kris ....
Dit lijkt me het bewijs dat jouw port-forwarding niet werkt, anders zou jouw PAP2T registreren op poort 5060. Nu heeft de NAT van je router de PAP2T poort 5060 vertaald naar 61755. Niet dat daar iets mis mee is, maar zou toch niet mogen als je de poorten goed hebt geforward.
Ik denk ook wel dat je problemen hebt met je pfense door de dual WAN ?
Philippe.

[VOiD]

Goeie opmerking Philippe.

Kris,

Ik zou eerst proberen met één enkele WAN verbinding ipv. via 2. Dit kan nooit werken volgens mij. En zelfs als het zou werken dan ga je zelf onnodig jitter veroorzaken door de verschillende delay van de verbindingen.

Kan je niet in de pfsense instellen dat de PAP2T altijd via dezelfde verbinding naar buiten moet ?

[krisken]

Goeie opmerking Philippe.

Kris,

Ik zou eerst proberen met één enkele WAN verbinding ipv. via 2. Dit kan nooit werken volgens mij. En zelfs als het zou werken dan ga je zelf onnodig jitter veroorzaken door de verschillende delay van de verbindingen.

Kan je niet in de pfsense instellen dat de PAP2T altijd via dezelfde verbinding naar buiten moet ?

Dat kan inderdaad, als uitgaande mail gebruik ik bvb altijd relay.skynet.be ipv de dommel mailserver. Dus moest ik dit zodanig instellen dat pfsense voor de uitgaande mail enkel het belgacomaccount gebruikt. Eens instellen/testen! Bedankt voor deze opmerking!

[krisken]

Bij deze wat screenshotjes...Ik krijg dat maar niet op 5060, de poort (wat ik ook instel of verander) blijft op 61755.
Misschien iemand een idee wat het probleem kan zijn?
Hopelijk weten jullie raad!

pfsense (firewall-nat-portforward)
http://krisken.dommel.be/pfsense/voip/f ... orward.jpg

pfsense (firewall-rules-nat)
http://krisken.dommel.be/pfsense/voip/f ... es-nat.jpg

pfsense (firewall-rules-skynet)
http://krisken.dommel.be/pfsense/voip/f ... skynet.jpg

pap2t (info)
http://krisken.dommel.be/pfsense/voip/pap2t-info.jpg

pap2t (sip)
http://krisken.dommel.be/pfsense/voip/pap2t-sip.jpg

[philippe_d]

Kris ...
Ik ben geen specialist in netwerken en portforwarding.
Maar ik denk dat je moet kiezen tussen manueel ports forwarden *OF* automatisch (UPnP)
Als je kiest voor manueel moet je misschien UPnP disablen ?
En in de meeste gevallen is STUN nodig als je met een firewall werkt (hoeft niet perse de stun van weePee te zijn).

Wat ik ook soms doe als ik een 2de ATA gebruik, zijn alternatieve poorten gebruiken, zoals:
SIP: Linksys poort 5060 forwarden naar WAN poort 5070.
RTP: Linksys poort 16384 (+16) forwarden naar bijvoorbeeld WAN poort 5024 (+16).
Dit om conflicten te vermijden met gebruikte poorten (vb softphone).

Philippe.

[krisken]

Stun staat inmiddels aan op de ATA, en uPNP is disabled (was reeds zo). Echter nog altijd geen geluk ermee...
Ook heb ik (standaard!!!) andere poorten voor RTP : zie de screenshot van de ATA. Ik heb deze zo gelaten en zo de portforward gedaan.

[VOiD]

Kris,

Mischien dat dit http://doc.pfsense.org/index.php/Static_Port een oplossing is ?

[MarkDM]

Ten einde mijn Linksys PAP2T eindelijk werkende te krijgen via pfsense,

Nog enkele vraagjes:
Werkt alles als je de PAP2T rechtreeks met een modem verbindt ? Ik bedoel zonder Pfsense ertussen ?
Zo weet je zeker dat de PAP2T in orde is.

Ik krijg wel een kiestoon

Dat wijst erop dat de registratie lukt, via Pfsense, ok. Maar kan je effectief een uitgaand gesprek voeren ? Waar beide partijen elkaar horen ?

[krisken]

De PAP2T werkt prima als ik deze bvb rechtstreeks aan een telenetmodem hang, en deze dus een public IP krijgt. Ook in het datacenter, waar ik deze rechtstreeks achter de switch heb gehangen, werkte deze meteen. De PAP2T is dus volgens mij wel in orde.

Ik kan kiestoon krijgen en een nummer bellen. Ik hoor de mensen perfect, maar niemand hoort mij bij een gesprek.

VOiD : ik kijk je link nu even na.

[krisken]

Laatst geregisteerd op vrijdag 29 oktober 2010, de volgende validering van de registratie is om 20:50:47 uur.
IP Adres: 91.182.60.228 Port: 5060 Last latency: 80ms
Provider (cached): 83.101.6.45 - Unknown Useragent (cached): Linksys/PAP2T-5.1.6(LS)

Is al iets beter dus nu, maar nog altijd geen beltoon als ik probeer mijn VOIP nummer bij weepee te bellen met mijn gsm...

[sventunus]

Excuses om hier een 3j oud topic te bumpen, maar ik zit met hetzelfde probleem, en aangezien de oplossing hier niet vermeld staat hoop ik deze alsnog te vernemen van iemand. Krisken?

Ik heb een pfSense 2.1 draaien met daarachter een SPA-3102.
LAN is 192.168.13.0/24, de SPA-3102 heeft IP 192.168.13.7 op z'n WAN-interface.

Volgende port forwards staan geconfigureerd in pfSense:


Volgende Outbound NAT rules:


En volgende firewall rules op de WAN-interface:


Ook vanuit de LAN zijn de nodige rules aanwezig om de nodige traffiek naar buiten toe te laten.

Maar de SPA-3102 slaagt er niet in om zich te registreren bij WeePee.

Kan iemand me op de goede weg zetten?
Ik heb niet noodzakelijk specifieke instructies nodig om het werkende te krijgen achter pfSense. Indien iemand een ATA draaiende heeft achter een firewall en me kan zeggen welke NATting & firewall rules ik nodig heb voor een SPA-3102/PAP2T (ongeveer hetzelfde toestel), dan zou ik verder moeten geraken.

Alvast bedankt!

[sventunus]

Even melden dat ik het aan de praat heb gekregen.

Mochten er nog mensen zijn die een ATA hebben draaien achter een pfSense: hier is hoe je het werkende krijgt.
Onderstaande instructies zijn specifiek voor een Linksys PAP2T of een Sipura SPA-3102. Ze gaan grotendeels ook op voor andere ATA's, maar dan moet je even nagaan welke poorten er (voornamelijk) voor RTP en SIP gebruikt worden.

Stap 1: installeer siproxd op je pfSense en configureer als volgt. Poorten 16384-16482 voor RTP zijn specifiek voor PAP2T/SPA3102, YMMV.



192.168.13.7 is het interne adres van mijn ATA. Pas IP aan naar die van jou.

Stap 2: Stel 2 port forwards in via Firewall => NAT op de/een WAN interface. Vervang ook hier weer de poorten en IP met degenen die voor jouw setup van toepassing zijn.


Stap 3: Maak firewall rules aan op je WAN & LAN interfaces (enkel de rules naar/van IP 192.168.13.7 zijn hier relevant). Wijzig IP & poorten weer naargelang jouw setup.
WAN rules:


LAN rules:


Dat zou moeten volstaan. Reboot je pfSense en herstart daarna ook je ATA.
Verifiëer dat je ATA herkend wordt door siproxd door in de GUI te surfen naar Services => siproxd => Registered Phones


Je connectie is pas ok wanneer je in pfSense bij Diagnostics => States een MULTIPLE:MULTIPLE state ziet staan over UDP bij het IP van je ATA.


Verifiëer uiteraard ook op je ATA dat je kan zien dat de registratie gelukt is.


Tenslotte nog 2 tweaks die specifiek zijn voor een SPA3102/PAP2T:
1/ Onder Voice => SIP => NAT Support Parameters: pas de NAT Keep Alive Intvl aan naar een waarde van 50


2/ Onder Voice => Line1 => NAT Settings: wijzig NAT Keep Alive Enable naar "yes"


Voor de volledigheid: het kan waarschijnlijk ook zonder siproxd met 2 manuele Outbound NAT rules vanuit het IP van je ATA. Dat heb ik nog niet getest. Ik ben blij dat het nu werkt, maar ga voor de volledigheid zeker ook siproxd nog eens desinstalleren en het op die manier proberen. Zal de uitkomst daarvan ook in deze post laten weten.
Hoop dat ik hiermee misschien enkele andere tweakers een aantal uren zoekwerk heb kunnen besparen

Mvg,
Sven

[sventunus]

Leuk detail

Schrap die port forwards!
Minder dan een uur nadat ik deze rules had ingesteld werden er connecties geregistreerd over mijn firewall
Geen erg, de boel stond dicht genoeg zodat er geen schade aangericht kon worden, maar toch...

De port forwards heb je dus niet nodig.
Heb ze zonet verwijderd en ik kan nog steeds bellen naar m'n 03-nr met m'n GSM.

Ik onderzoek de rest van de instellingen sowieso ook nog verder & update de post hier.

[MarkDM]

Ik gebruik een gewone modem-router met NAT. Er zijn inderdaad geen portforwardings nodig.

[MClaeys]

Morgen eens wat dingen van proberen want wij krijgen geen oproepen binnen op t moment.