Antecedentes
He estado luchando para que mis teléfonos SIP se registren detrás de un nuevo enrutador y cambien a nuestra nueva oficina. Nuestra PBX está alojada fuera del sitio. He trabajado con nuestro proveedor para intentar varios enfoques diferentes. Hemos intentado NAT normal para conectarse a su controlador de borde de sesión compatible con NAT. Hemos intentado usar siproxd (el paquete pfSense) para interceptar las solicitudes de registro SIP y registrarse en nombre de los teléfonos. Finalmente, hemos intentado configurar los teléfonos manualmente para registrarse con el siproxd daemon en mi red local.
Durante las pruebas, hemos visto que los teléfonos hacen todo lo siguiente con éxito:
- Póngase en contacto con el servidor FTP alojado por dirección IP
- Descargue la configuración de dicho servidor
- Realizar consultas DNS para resolver la dirección IP del servidor NTP
- Consulta el servidor NTP para configurar la hora
- Realizar consultas DNS para resolver la dirección IP de los servidores SIP
Síntomas
Después de que los teléfonos hayan realizado con éxito todas las tareas de prerregistro, nunca veremos que el intento de registro golpee el cuadro pfSense o la PBX del proveedor. He habilitado el nivel más alto de depuración en siproxd en mi extremo y no he visto ninguna conexión TCP o paquete UDP. Sin embargo, un simple telnet al puerto 5060 desde una estación de trabajo generará los mensajes de registro esperados. La realización de una captura de paquetes en el cuadro pfSense no mostró absolutamente ningún intento de tráfico SIP.
¿Que demonios?
Mi paso final de solución de problemas que me dejó perplejo y me llevó a hacer esta pregunta fue el siguiente. Primero reflejé el puerto del conmutador en el que estaba conectado un teléfono al puerto del conmutador de mi estación de trabajo. Realicé una captura de paquetes de todo el tráfico en la interfaz. Para mi sorpresa, vi paquetes de registro SIP provenientes del teléfono. Aquí hay un ejemplo:
Claramente, el teléfono está tratando de registrarse con las PBX (esas también son las direcciones IP correctas).
Mi siguiente paso fue duplicar el puerto del conmutador que se alimenta al lado de LAN del enrutador pfSense. Vi todo el tráfico FTP, NTP y DNS del teléfono 172.200.22.102 que salía del conmutador, pero no un rastro de los paquetes SIP. ¡Esto es completamente desconcertante para mí! ¿Qué está causando que solo el tráfico SIP desaparezca dentro del switch?
Ambiente
- Hardware
- Enrutador / Cortafuegos: Netgate m1n1wall 2D2
- Conmutador: HP 1810G-24
- Teléfonos: Polycom SoundPoint IP 501
- Software: pfSense 2.0-RC3
Cambiar configuración
El teléfono con la dirección IP 172.22.200.102 está en el puerto 4 de este conmutador, el enlace LAN del enrutador está en el puerto 22.
Puedo compartir más configuraciones que puedan ser necesarias.
Respuestas:
Encontré la solución después de pasar aproximadamente 40 horas en este problema.
Hay una configuración en el interruptor que habilita la protección "Auto DoS". Aparentemente, considera que el tráfico TCP o UDP que tiene puertos de origen o destino coincidentes es un ataque blat y descarta el paquete. Esto es ridículamente miope ya que el tráfico SIP a menudo (¿siempre?) Depende de que los puertos de origen y destino sean 5060.
En caso de que una descripción textual fuera insuficiente:
fuente