Forum
Merhaba Arkadaşlar;
Şirketimize Fortigate 40c Fw kurulumu yaptım, uzak masaüstü, dvr kamera, openfire gibi sistemlerin port yönlendirmelerini yaptım sorunsuz şekilde çalışıyor fakat karel ms48 ip santralim içeriden dışarıdaki ip telefonları aramıyor meşgule düşüyor, araştırdığımda sip paketlerini engellediğini gördüm,
config system settings - enter
set sip-helper disable - enter
end -enter
config system session-helper -enter
delete 12 - enter
end - enter
gibi işlemleri tamamlamama rağmen içeriden şubeleri arayamıyorum, dışarıdan telefon geliyor 151 152 gibi numaralarımızdan.
içeriden aramaların izine açılması için ne yapabilirim?
Hayırlı işler
Santralin bulunduğu yerden dışarıya sadece o santrali içeren bir policy oluştur.
Bütün servisleri aç, filtre, dlp, ips vs kullanıyorsun kapatıp dene bakalım çalışıyor mu.
Eğer çalışıyorsa santralin içerden dışarıya iletişim için kullanacağı portları açman yeterli olcaktır.
Benzer bir sistemi bende kullanıyorum. Manuellerde santral için açman gereken bi portu atlamış olabilirsinz.
dediklerinizi uyguladım fakat hala dışarıdaki ip telefonları aramıyor meşgul görünüyor, santralin web arayüzüne girdiğimde kayıtlı telefonların olmadığını görüyorum, normal olarak bağladığımda kayıtlı telefonlar 5 dk içerisinde düşüyor.
dışarıdan içeriye yönlendirilen portlarım şunlar
6000 - 6200 udp
14200 - 14203 tcp&udp
24001 - 24001 tcp&udp
24997 - 24999 tcp&udp
5060 - 5060 udp
5070 - 5070 udp
ben burada tcp&udp olanları Fw'de SCTP olarak işaretledim çünkü TCP ve UDP seçeneği yoktu SCTP tahmininde bulundum.
dışarıya çıkış için şöyle bir policy yazmıştım
internal => wan1 - santral ip - all - allways - accept olarak belirledim burada bir hatam olabilir mi ?
Bir de şu an Fw'nin çalışma modu "NAT" durumda, bunun bir etkisi olabilir mi?
+ olarak çift adsl kullanıyorum, Fw santralime diğer ip atamasını mı yapıyor diye düşünüp diğer hattı wan2'den çıkarıp yine denedim sonuç değişmedi
santralim internal bacaklardan birinde değil de ağda kullandığımız switch'e bağlı durumda
Bir de şu an Fw'nin çalışma modu "NAT" durumda, bunun bir etkisi olabilir mi?
Şirkette kullanığım yapıda vpn yok ve nat durumunda değil. Nat işaretlediğim zaman şubeler merkezdeki santrale bağlanamıyor.
Sizde natı kaldırıp bi deneyin.
bahsettiğim policy'nin değil de çalışma modu ( operation mode )'un "NAT" olması. Dolayısıyla operation mode'u değiştirirsem bütün yapım baştan aşağı sıfırlanmış olacak, modemleri bridge mod'dan çıkarıp normale alacağım, herşeyi baştan yapmam anlamına geliyor. Lakin Nat modunda santralleri faal durumda çalıştırdığını yazan arkadaşlarımızı da görmüştüm o bakımdan bütün iç yapıyı değiştiremiyorum, kurulumundan hiç anlamıyordum servisine para vermemek için cozumpark'ın makalelerini okuyarak bütün istediklerimi gerçekleştirebildim sağolsunlar varolsunlar.
Solediğiniz natı değiştirmeyin
Vpn varmi? Policy olustururken web filterin ustunde nat kutucugu olmasi lazim, sizde isaretli mi deil mi?
Vpn yok, santral policy'lerinde de nat işaretli değil web filterin üstündeki
Bulabildiniz mi bişey?
Vpnde yoksa dışardan içeri portları kontrol etmek lazım. Nmap işe yarayabilir, udpleride kontrol ediyor. Birde gerekirse santralin manuelinden bakın, eksik port olabilir, servis eksik hatırlar. Aslında bu tür yapılarda vpn yapmak kesin çözüm.
yok hayır hala bir çözüme ulaşamadım, arama yapamıyorum vpn dediğiniz şubeler arası vpn mi ?
Evet şubeler arası vpn
merhaba
aynı problemi bende yaşıyorum... sorun çözümsüz kalmış görünüyor, çözüm bulanların katkıları tüm forumu da aydınlatacaktır..
selamlar.
Merhabalar. Zamanında benimde buna benzer sıkıntım vardı. 2 vlan arası görüşmede (1. vlan IP Telefon - 2. Vlan otomasyon) bir türlü ses alış verişi olmuyordu. Analiz ettiğimde sip voip gibi paketleri bilinmeyen olarak gözüküyordu ve engelliyordu. En son olarak System>Config>Features kısmında protokolun açık olmadığını gördüm (1. Fotoğraf). Voip kısmını açtında sonra Security kısmında Voip diye kısım açıldı (2.Fotoğraf). Aynı şekilde Policy kısmında da. Tabikide sorunum çözülmüştü. Belki sizede bir fikir verir.
İyi çalışmalar.
bilgi için teşekkürler tarık bey, voip açık bende de. başka bir saçmalığı var ama bakalım çözeceğiz.
merhaba,
portları dışardan içeriye açtığınız söylemişsiniz. içerden dışarıya açtınız mı peki ? paketler gelip geri dönmüyor olabilir mi ?
Merhaba,
Aşagıdaki CLI komut satırından dener misinz? Yalnız sip 12 fgt 5.0 versiyonundan sonra 13 oldu kontrol edin. Farklı bir rakamda olmuş olabilir.
selamlar.
Open the Fortigate CLI from the dashboard.
Enter the following commands in FortiGate’s CLI:
config system settings
set sip-helper disable
set sip-nat-trace disable
reboot the device
Reopen CLI and enter the following commands – do not enter the text after //:
config system session-helper
show //locate the SIP entry, usually 12, but can vary.
delete 12 //or the number that you identified from the previous command.
Disable RTP processing as follows:
config voip profile
edit default
config sip
set rtp disable
destek için teşekkürler serkan bey, bunları da denedik, sonuç olmadı..
destek için teşekkürler serkan bey, bunları da denedik, sonuç olmadı..
Merhabalar,
Konu eski epey ama aynı sorun bendede Karel DS200 santral da var. Neler neler yapmadım ama sonuç sıfır. İçeriden İçeriye sorun yok, Dışarıdan (3G,LTE) İçeriye sorun yok. Ama maalesef içeriden dışarıdaki bir SIP abonesinde çalıyor açıyoruz ama ses yok. Bu kadar yıldır bunu çözeni göremedim umarım biri bulmuştur. Cihazım 60D firmware 5.6.4
İyi günler dilerim
Merhaba,
bu zincir yazışmada sanki ürün ile ilgili sorun olduğu , sip/voice trafiği ile ilgili sorun olduğu ve çözümü olmadığı gibi bir algı var.
ARKADAŞLAR, yanlış/eksik config yapılmasından kaynaklı problem yaşıyorsunuz, FortiGate firewall arkasında ( model ve os bağımsız ) sorunsuz olarak SIP trafiği yapabilirsiniz, bugüne kadar onlarca kurumda benzeri yapılandırmalar yaptım, aktif olarak sip/voice trafiği her yöne taşıyabilirsiniz.
burada sip helper ile ilgili yapılması gereken yazılmış ancak bu yeterli olmayabiliyor bir çok yapıda, burada sorunu doğru analiz etmeniz gerekiyor. Problem kullandığınız ürünün udp paketlerini nasıl alıp verdiği ile ilgili, paketleri snifer çalıştırıp incelmeniz gerekiyor. paketler nat lanıyor mu açık mı gönderiliyor sip server 'dan/ip santral den. buna göre siz policy yazarken nat ı açmanız ve uygun bir local yada real nat yazmanız gerekebilir.
Ip santral / SIP Server tarafında NAT açık mı onu da kontrol etmeniz gerekiyor.
Bunlardan daha enteresan ses gidip geliyor ama numara tuşladığımızda ( robot menü tuşlama ) trafik fw e den kaynaklı numarayı sip server algılayamıyor gibi sorunlarda inceledim ve çözüm ürettim. FortiGate 'in sip/voice trafiği ile ilgili bir genel sorunu yok.
debug almak için aşağıdaki cli i da kullanabilirsiniz.
diagnose debug disable
diagnose debug flow trace stop
diagnose debug flow filter clear
diagnose debug reset
diagnose debug flow filter addr 192.168.1.903
diagnose debug flow show console enable
diagnose debug flow show function-name enable
diagnose debug console timestamp enable
diagnose debug flow trace start 999
diagnose debug enable