Forum

Fortigate 60E Voip ...
 
Bildirimler
Hepsini Temizle

[Çözüldü] Fortigate 60E Voip Ses Sorunu

17 Yazılar
4 Üyeler
8 Reactions
5,198 Görüntüleme
(@necatiguner)
Gönderiler: 136
Estimable Member
Konu başlatıcı
 

Herkese Merhaba;
Fortigate 60E 6.4.6 versiyonu olan bir cihaza; ip telefon bağladık. (Santral Başka biryerde)
ip telefonda ses sorunu var; Telefon çalıyor ama ses hem gitmiyor hemde gelmiyor.
Policy kurallarında ve CLI üzerinde internetteki kod bloklarını dedim çalışmadı.

config system settings
set default-voip-alg-mode kernel-helper-based
set sip-expectation disable
set sip-nat-trace disable
end

config system session-helper 
show
delete 13
end

config voip profile
edit default
config sip
set rtp disable
end
end

execute reboot

Sonrasında Policy ayarlarında VoİP profile seçeneği vardı. Bunu aktif ettim. Bunu aktif edince Ses geldi sonrasında 2. aramada sesi yine kesti. Çözemedim. 

Çözüm önerisi olan var mıdır?

 
Gönderildi : 04/08/2021 11:34

(@necatiguner)
Gönderiler: 136
Estimable Member
Konu başlatıcı
 

Policy kurallarında sadece içerden Dışarıya bir kuralım var.

image
 
Gönderildi : 04/08/2021 11:43

(@emir-keseroutlook-com-tr)
Gönderiler: 12
Active Member
 

@necatiguner Merhaba,

Tcpdump ile capture alıp inceleminizi öneririm. Call  server ip phone rtp ip adresini belirtmiyor olabilir.

FlowChart mutlaka inceleyin. Sorunun firewall danolduğunu sanmıyorum.

Call server ve ip telefon modeli nedir?

 
Gönderildi : 04/08/2021 18:03

(@necatiguner)
Gönderiler: 136
Estimable Member
Konu başlatıcı
 

@emir-keseroutlook-com-tr 

Emir Bey Selamlar;
Santral Telesis; ip telefonlar Yealink ve Gigaset Voip telefonlardır.
Santral başka bir networkte. Karşı networkde sadece fiber modem var onun arkasına bağlı.
Bizim tarafta fortigate networküne bağlı ip telefonlarda ses problemi var.
Sorunun fortigate kaynaklı olduğunu şöyle tespit ettim. Cihazlardan ses alamıyorken Policy ayarlarından Voip Profile seçeneğini aktif edince bir anda ses gelmeye başladı, Sonraki aramalarda yine trafiği kesti.
Aynı ip telefonu fortigate harici herhangibir networke bağlayınca hiçbir problem olmadan sorunsuz kullanabiliyoruz.

 
Gönderildi : 05/08/2021 08:32

(@emir-keseroutlook-com-tr)
Gönderiler: 12
Active Member
 

@necatiguner Santralin olduğu yerdeki router da sip alg devre dışı ise aktif, aktif ise devre dışı bırakmanızı tavsiye ederim. Ayrıca fortinet de port fwd yapmadan yeni policy oluşurup source ip address fiber router public ip adresini yazınız. Service all seçiniz. Buna ragmen çift yönlü ses iletimi gerçekleşmez ise fiber modem de DMZ deneyebiliriz siniz. Tabi media server ip adresi farklı ise dmz deneyemezsiniz. Call server rtp kendi içinde karşılıyor ise denemeniz mümkündür. Bunların dışında ipsec tunnel ile de çözüme ulaşabilir siniz.

 

 
Gönderildi : 05/08/2021 09:24

(@necatiguner)
Gönderiler: 136
Estimable Member
Konu başlatıcı
 

fortinet de port fwd yapmadan yeni policy oluşurup source ip address fiber router public ip adresini yazınız. Service all seçiniz.

Bu kuraldan kastınız aşağıdaki gibi bir kural mı?

image

 

 
Gönderildi : 05/08/2021 09:48

(@emir-keseroutlook-com-tr)
Gönderiler: 12
Active Member
 

@necatiguner Evet kural doğru. Ayrıca CLI aşağıdaki komutlar yardımı ile sip alg ve voip devre dışı bırabilir siniz.

config system settings

set sip-helper disable

set sip-nat-trace disable

set default-voip-alg-mode kernel-helper-based

end

config system session-helper
show

delete 13
end

config voip profile
edit default
config sip
set rtp disable
end
end

execute reboot

 

İyi günler,

 
Gönderildi : 05/08/2021 09:55

(@necatiguner)
Gönderiler: 136
Estimable Member
Konu başlatıcı
 

@emir-keseroutlook-com-tr 
İlgili kuralı daha önceden oluşturmuştum, tekrar oluşturdum fakat bu kuraldan hiç veri trafiği geçmiyor.

 
Gönderildi : 05/08/2021 10:05

(@emir-keseroutlook-com-tr)
Gönderiler: 12
Active Member
 

Fortigate bulunduğu ve fiber modemin bulunduğu lokasyonlarda internet servis sağlayıcınız hangi operatör.

 

 
Gönderildi : 05/08/2021 10:34

(@necatiguner)
Gönderiler: 136
Estimable Member
Konu başlatıcı
 

@emir-keseroutlook-com-tr 

Her ikiside Türktelekom...

Fortigate bağlı olan Modemi söküp Normal Moda alıp (Fortigatete köprü modunda çalışıyor) internete bağlanıp ip telefonuda bu internete bağlayınca telefon görüşmelerini sorunsuzca sağlayabiliyorum.

İp Telefonu fortigate bağlayınca sıkıntı yaşıyorum.

 
Gönderildi : 05/08/2021 10:48

(@riza-sahan)
Gönderiler: 18032
_
 

@emir-keseroutlook-com-tr 

Bir yapıda ip santral kullanılıyor ve gayet akıcı.

Ayrıca bu trafiğin döndüğü alana sabit olarak bir 2Mbit gibi bir değer atarsanız iyi olur.

Bizde config aşağıdaki gibi.

config system settings
set sip-nat-trace disable
set default-voip-alg-mode kernel-helper-based
set gui-dos-policy enable
set gui-voip-profile enable
set gui-dynamic-routing enable
set gui-sslvpn-personal-bookmarks enable
set gui-sslvpn-realms enable
set gui-policy-based-ipsec enable
set gui-multiple-utm-profiles enable
set gui-ips enable
set gui-advanced-policy enable
set gui-allow-unnamed-policy enable
end

1984 doğumluyum. 4 yaşından bu yana İstanbul’da yaşıyorum. Sırası ile aşağıdaki okullarda eğitim gördüm. Paşaköy ilkokulu (1990-1995) Kartal Zekeriyya Güçer İlköğretim Okulu(1995-1998) Ümraniye Teknik ve Endüstri Meslek Lisesi Bilgisayar Bölümü(1998-2001) Kocaeli Üniversitesi Bilgisayar Programcılığı(2002-2004) Anadolu Ünv. İşletme Fakültesi(2006-2009) Lise yıllarından sonra bir bilgisayar firmasının teknik servisinde mesleğe merhaba dedim. Outsource olarak Citibank ytl ve bina taşınma projesinde yer alarak 8 ay görev yaptım. Bu görevden sonra şu an çalışmakta olduğum yerde bilgi işlem sorumlusu olarak göreve başladım ve 18 yıldır görevimin başındayım.

 
Gönderildi : 05/08/2021 12:24

(@necatiguner)
Gönderiler: 136
Estimable Member
Konu başlatıcı
 

Fortigate 7.0.1 e geçirdim; denedim problem devam etti;

Bendeki ayarlarda aşağıdaki gibi

config system settings
set sip-nat-trace disable
set default-voip-alg-mode kernel-helper-based
set gui-voip-profile enable
set gui-dynamic-routing enable
set gui-file-filter disable
set gui-application-control disable
set gui-endpoint-control disable
set gui-antivirus disable
set gui-webfilter disable
set gui-videofilter disable
set gui-dnsfilter disable
end

 
Gönderildi : 06/08/2021 20:01

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33322
Illustrious Member Yönetici
 

Sorun düzeldi mi peki?

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 07/08/2021 00:22

(@necatiguner)
Gönderiler: 136
Estimable Member
Konu başlatıcı
 

Herkese Selamlar;
Yukarıdaki yöntemlerle sorunum düzelmedi.
Fortigate Supportta bir kayıt açtım. Config dosyası yolladım. Buna istinaden bir cevap döndü. 2 yöntem önerdi.

1. yöntemi uyguladım çalışmadı...
2. yöntemi uyguladım çalışıyor.

1-2 saattir test ediyorum görüşmelerde veya seste herhangibir sıkıntı yaşamıyorum ama ilerleyen saatlerde birşey değişirmi emin değilim. Sorun yaşarsam tekrar paylaşırım sizlerle.

Dear Customer,
Thank you for the response.
Please try the following:
1. run "unset voip-profile" under policy #22 to remove the VoIP Profile, then reset the sessions (or restart the test SIP phone) and test again

2. if the previous step doesn't help, also add back the SIP session helper:

config system session-helper
edit 13
set name sip
set protocol 17
set port 5060
next

Then reset sessions (or restart the test SIP phone) and test again. If you use non-default SIP port make sure you specify it in the port value

Thank you,

 
Gönderildi : 10/08/2021 10:04

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33322
Illustrious Member Yönetici
 

Geri dönüş ve bilgi için çok teşekkürler. Geçmiş olsun.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 10/08/2021 13:40

(@necatiguner)
Gönderiler: 136
Estimable Member
Konu başlatıcı
 

Herkese Merhaba,
2 Konuya açıklık getirmek için konuya tekrar ekleme yapmak istiyorum;

Fortigate tarafındaki SIP iletişim sorunu (Sesin hiç gelmemesi, Sesin Tek taraflı gelmesi, İlk Görüşmede ses gelip gidiyor ama ikinci görüşmede kesilmesi veya Konuşmanın belirli bir sürede örneğin 30. saniyede kesilmesi gibi) ve çözümüne dair detay yazmak istedim.

Burda ki senaryo önem arz ediyor.

1. Seneryoda herhangibir güvenlik duvarına bağlı olmayan, Normal bir adsl veya fiber modem networkunde bulunan santrale,
Fortigate e bağlı bir VOİP Telefonla iletişim kurmak istediğimizde ses problemi yaşıyorsak aşağıdaki adımları izlemeliyiz.

İçerden Dışarı kural yazıyoruz. Sip telefonlar için bir ip grubu oluşturun. Kuralda VOİP Profile seçeneğini açın. Ayarlar aşağıdaki gibi olsun. Hem resim paylaşıyorum hemde Komutları paylaşıyorum.

Not: Dışardan içeri bir kural yazmanıza gerek yoktur.

config firewall policy
edit 4
set name "SipTelefonlar"
set srcintf "internal"
set dstintf "wan1"
set action accept
set srcaddr "SipTelefonlar"
set dstaddr "all"
set schedule "always"
set service "ALL"
set utm-status enable
set ssl-ssh-profile "certificate-inspection"
set voip-profile "default"
set logtraffic all
set nat enable
set comments "SipTelefonlarKurali"
next
end

image

Bu kurala ek olarak, Aşağıdaki komut satırını CLI den girin

config system session-helper
edit 13
set name sip
set protocol 17
set port 5060
next

Buradaki port numarası olan 5060 portu sizin SES İLETİMİNDE kullandığınız port numarasıdır. Eğer ses için farklı bir port kullanıyorsanız burayı değiştirmeyi unutmayın.

Cihazı yeniden başlatıp test ediniz.....

2. Senaryoda ise Fortigate bağlı olan SANTRALE dışardan bir ip telefonla iletişime geçmek istediğinizde yaşadığınız problemlerin (Sesin hiç gelmemesi, Sesin Tek taraflı gelmesi, İlk Görüşmede ses gelip gidiyor ama 2. görüşmede kesilmesi veya Konuşmanın belirli bir sürede örneğin 30. saniyede kesilmesi gibi) çözümü için aşağıdaki yöntemi uygulayınız.

Dışardan-İçeri bir kural yazıyoruz.

config firewall policy
edit 8
set name "Santral UdpTcp"
set srcintf "wan1"
set dstintf "internal"
set action accept
set srcaddr "Turkey"
set dstaddr "SantralSip"
set schedule "always"
set service "TCP 1-65500" "UDP 1-65500"
set inspection-mode proxy
set ssl-ssh-profile "certificate-inspection"
set logtraffic all
set comments "Santral UdpTcp"
next
end

Burdaki Source Adres sizde ilk başta ALL seçebilirsiniz (set srcaddr "Turkey") Destination adresteki yerde santralinizin ip adresi olacak (set dstaddr "SantralSip")
Önemli olan nokta Servis kısmında yeni bir tanımlama yapın (set service "TCP 1-65500" "UDP 1-65500") burdaki tanımlama TCP ve UDP olarak 1 den 65500 e kadar tüm portları açın. Service kısmında "ALL" yapmayın. ALL yaptığınızda sorun devam edebiliyor.
Önemli diğer nokta ise NAT kapalı olacak arkadaşlar...

Ek olarak Santral İp sine içerden dışarı Normal standart bir kural yazmanız gerek. Onun örneğini de paylaşıyorum. (Resim 2) 

image
image

Sonrasında Sırası ile aşağıdaki komutları giriniz.

1-

config system settings
set default-voip-alg-mode kernel-helper-based
set sip-expectation disable
set sip-nat-trace disable
end

 

2-

config system session-helper 
show
delete 13
end

 

3-

config voip profile
edit default
config sip
set rtp disable
end

4-

execute reboot

Çok önemli diğer nokta ise Hem 1. senaryoda; hemde 2. senaryoda VOİP telefonlarınızı (Santrali değil) fortigate reboot edildikten sonra muhakkak YENİDEN BAŞLATINIZ. yeniden başlatmazsanız sorun devam edebilir çözüm olmadığını düşünebilirsiniz.

Umarım birilerine yardımcı olur.

 

 
Gönderildi : 19/11/2021 09:55

Hakan Uzuner
(@hakanuzuner)
Gönderiler: 33322
Illustrious Member Yönetici
 

Detaylı açıklama için teşekkürler.

Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************

 
Gönderildi : 19/11/2021 10:29

Paylaş: