Forum
Herkese Merhaba;
Fortigate 60E 6.4.6 versiyonu olan bir cihaza; ip telefon bağladık. (Santral Başka biryerde)
ip telefonda ses sorunu var; Telefon çalıyor ama ses hem gitmiyor hemde gelmiyor.
Policy kurallarında ve CLI üzerinde internetteki kod bloklarını dedim çalışmadı.
config system settings
set default-voip-alg-mode kernel-helper-based
set sip-expectation disable
set sip-nat-trace disable
end
config system session-helper
show
delete 13
end
config voip profile
edit default
config sip
set rtp disable
end
end
execute reboot
Çözüm önerisi olan var mıdır?
Policy kurallarında sadece içerden Dışarıya bir kuralım var.
@necatiguner Merhaba,
Tcpdump ile capture alıp inceleminizi öneririm. Call server ip phone rtp ip adresini belirtmiyor olabilir.
FlowChart mutlaka inceleyin. Sorunun firewall danolduğunu sanmıyorum.
Call server ve ip telefon modeli nedir?
Emir Bey Selamlar;
Santral Telesis; ip telefonlar Yealink ve Gigaset Voip telefonlardır.
Santral başka bir networkte. Karşı networkde sadece fiber modem var onun arkasına bağlı.
Bizim tarafta fortigate networküne bağlı ip telefonlarda ses problemi var.
Sorunun fortigate kaynaklı olduğunu şöyle tespit ettim. Cihazlardan ses alamıyorken Policy ayarlarından Voip Profile seçeneğini aktif edince bir anda ses gelmeye başladı, Sonraki aramalarda yine trafiği kesti.
Aynı ip telefonu fortigate harici herhangibir networke bağlayınca hiçbir problem olmadan sorunsuz kullanabiliyoruz.
@necatiguner Santralin olduğu yerdeki router da sip alg devre dışı ise aktif, aktif ise devre dışı bırakmanızı tavsiye ederim. Ayrıca fortinet de port fwd yapmadan yeni policy oluşurup source ip address fiber router public ip adresini yazınız. Service all seçiniz. Buna ragmen çift yönlü ses iletimi gerçekleşmez ise fiber modem de DMZ deneyebiliriz siniz. Tabi media server ip adresi farklı ise dmz deneyemezsiniz. Call server rtp kendi içinde karşılıyor ise denemeniz mümkündür. Bunların dışında ipsec tunnel ile de çözüme ulaşabilir siniz.
fortinet de port fwd yapmadan yeni policy oluşurup source ip address fiber router public ip adresini yazınız. Service all seçiniz.
Bu kuraldan kastınız aşağıdaki gibi bir kural mı?
@necatiguner Evet kural doğru. Ayrıca CLI aşağıdaki komutlar yardımı ile sip alg ve voip devre dışı bırabilir siniz.
config system settings
set sip-helper disable
set sip-nat-trace disable
set default-voip-alg-mode kernel-helper-based
end
config system session-helper
show
delete 13
end
config voip profile
edit default
config sip
set rtp disable
end
end
execute reboot
İyi günler,
@emir-keseroutlook-com-tr
İlgili kuralı daha önceden oluşturmuştum, tekrar oluşturdum fakat bu kuraldan hiç veri trafiği geçmiyor.
Fortigate bulunduğu ve fiber modemin bulunduğu lokasyonlarda internet servis sağlayıcınız hangi operatör.
Her ikiside Türktelekom...
Fortigate bağlı olan Modemi söküp Normal Moda alıp (Fortigatete köprü modunda çalışıyor) internete bağlanıp ip telefonuda bu internete bağlayınca telefon görüşmelerini sorunsuzca sağlayabiliyorum.
İp Telefonu fortigate bağlayınca sıkıntı yaşıyorum.
Bir yapıda ip santral kullanılıyor ve gayet akıcı.
Ayrıca bu trafiğin döndüğü alana sabit olarak bir 2Mbit gibi bir değer atarsanız iyi olur.
Bizde config aşağıdaki gibi.
config system settings
set sip-nat-trace disable
set default-voip-alg-mode kernel-helper-based
set gui-dos-policy enable
set gui-voip-profile enable
set gui-dynamic-routing enable
set gui-sslvpn-personal-bookmarks enable
set gui-sslvpn-realms enable
set gui-policy-based-ipsec enable
set gui-multiple-utm-profiles enable
set gui-ips enable
set gui-advanced-policy enable
set gui-allow-unnamed-policy enable
end
1984 doğumluyum. 4 yaşından bu yana İstanbul’da yaşıyorum. Sırası ile aşağıdaki okullarda eğitim gördüm. Paşaköy ilkokulu (1990-1995) Kartal Zekeriyya Güçer İlköğretim Okulu(1995-1998) Ümraniye Teknik ve Endüstri Meslek Lisesi Bilgisayar Bölümü(1998-2001) Kocaeli Üniversitesi Bilgisayar Programcılığı(2002-2004) Anadolu Ünv. İşletme Fakültesi(2006-2009) Lise yıllarından sonra bir bilgisayar firmasının teknik servisinde mesleğe merhaba dedim. Outsource olarak Citibank ytl ve bina taşınma projesinde yer alarak 8 ay görev yaptım. Bu görevden sonra şu an çalışmakta olduğum yerde bilgi işlem sorumlusu olarak göreve başladım ve 18 yıldır görevimin başındayım.
Fortigate 7.0.1 e geçirdim; denedim problem devam etti;
Bendeki ayarlarda aşağıdaki gibi
config system settings
set sip-nat-trace disable
set default-voip-alg-mode kernel-helper-based
set gui-voip-profile enable
set gui-dynamic-routing enable
set gui-file-filter disable
set gui-application-control disable
set gui-endpoint-control disable
set gui-antivirus disable
set gui-webfilter disable
set gui-videofilter disable
set gui-dnsfilter disable
end
Sorun düzeldi mi peki?
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Herkese Selamlar;
Yukarıdaki yöntemlerle sorunum düzelmedi.
Fortigate Supportta bir kayıt açtım. Config dosyası yolladım. Buna istinaden bir cevap döndü. 2 yöntem önerdi.
1. yöntemi uyguladım çalışmadı...
2. yöntemi uyguladım çalışıyor.
1-2 saattir test ediyorum görüşmelerde veya seste herhangibir sıkıntı yaşamıyorum ama ilerleyen saatlerde birşey değişirmi emin değilim. Sorun yaşarsam tekrar paylaşırım sizlerle.
Dear Customer,
Thank you for the response.
Please try the following:
1. run "unset voip-profile" under policy #22 to remove the VoIP Profile, then reset the sessions (or restart the test SIP phone) and test again
2. if the previous step doesn't help, also add back the SIP session helper:
config system session-helper
edit 13
set name sip
set protocol 17
set port 5060
next
Then reset sessions (or restart the test SIP phone) and test again. If you use non-default SIP port make sure you specify it in the port value
Thank you,
Geri dönüş ve bilgi için çok teşekkürler. Geçmiş olsun.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Herkese Merhaba,
2 Konuya açıklık getirmek için konuya tekrar ekleme yapmak istiyorum;
Fortigate tarafındaki SIP iletişim sorunu (Sesin hiç gelmemesi, Sesin Tek taraflı gelmesi, İlk Görüşmede ses gelip gidiyor ama ikinci görüşmede kesilmesi veya Konuşmanın belirli bir sürede örneğin 30. saniyede kesilmesi gibi) ve çözümüne dair detay yazmak istedim.
Burda ki senaryo önem arz ediyor.
1. Seneryoda herhangibir güvenlik duvarına bağlı olmayan, Normal bir adsl veya fiber modem networkunde bulunan santrale,
Fortigate e bağlı bir VOİP Telefonla iletişim kurmak istediğimizde ses problemi yaşıyorsak aşağıdaki adımları izlemeliyiz.
İçerden Dışarı kural yazıyoruz. Sip telefonlar için bir ip grubu oluşturun. Kuralda VOİP Profile seçeneğini açın. Ayarlar aşağıdaki gibi olsun. Hem resim paylaşıyorum hemde Komutları paylaşıyorum.
Not: Dışardan içeri bir kural yazmanıza gerek yoktur.
config firewall policy
edit 4
set name "SipTelefonlar"
set srcintf "internal"
set dstintf "wan1"
set action accept
set srcaddr "SipTelefonlar"
set dstaddr "all"
set schedule "always"
set service "ALL"
set utm-status enable
set ssl-ssh-profile "certificate-inspection"
set voip-profile "default"
set logtraffic all
set nat enable
set comments "SipTelefonlarKurali"
next
end
Bu kurala ek olarak, Aşağıdaki komut satırını CLI den girin
config system session-helper
edit 13
set name sip
set protocol 17
set port 5060
next
Buradaki port numarası olan 5060 portu sizin SES İLETİMİNDE kullandığınız port numarasıdır. Eğer ses için farklı bir port kullanıyorsanız burayı değiştirmeyi unutmayın.
Cihazı yeniden başlatıp test ediniz.....
2. Senaryoda ise Fortigate bağlı olan SANTRALE dışardan bir ip telefonla iletişime geçmek istediğinizde yaşadığınız problemlerin (Sesin hiç gelmemesi, Sesin Tek taraflı gelmesi, İlk Görüşmede ses gelip gidiyor ama 2. görüşmede kesilmesi veya Konuşmanın belirli bir sürede örneğin 30. saniyede kesilmesi gibi) çözümü için aşağıdaki yöntemi uygulayınız.
Dışardan-İçeri bir kural yazıyoruz.
config firewall policy
edit 8
set name "Santral UdpTcp"
set srcintf "wan1"
set dstintf "internal"
set action accept
set srcaddr "Turkey"
set dstaddr "SantralSip"
set schedule "always"
set service "TCP 1-65500" "UDP 1-65500"
set inspection-mode proxy
set ssl-ssh-profile "certificate-inspection"
set logtraffic all
set comments "Santral UdpTcp"
next
end
Burdaki Source Adres sizde ilk başta ALL seçebilirsiniz (set srcaddr "Turkey") Destination adresteki yerde santralinizin ip adresi olacak (set dstaddr "SantralSip")
Önemli olan nokta Servis kısmında yeni bir tanımlama yapın (set service "TCP 1-65500" "UDP 1-65500") burdaki tanımlama TCP ve UDP olarak 1 den 65500 e kadar tüm portları açın. Service kısmında "ALL" yapmayın. ALL yaptığınızda sorun devam edebiliyor.
Önemli diğer nokta ise NAT kapalı olacak arkadaşlar...
Ek olarak Santral İp sine içerden dışarı Normal standart bir kural yazmanız gerek. Onun örneğini de paylaşıyorum. (Resim 2)
Sonrasında Sırası ile aşağıdaki komutları giriniz.
1-
config system settings
set default-voip-alg-mode kernel-helper-based
set sip-expectation disable
set sip-nat-trace disable
end
2-
config system session-helper
show
delete 13
end
3-
config voip profile
edit default
config sip
set rtp disable
end
4-
execute reboot
Çok önemli diğer nokta ise Hem 1. senaryoda; hemde 2. senaryoda VOİP telefonlarınızı (Santrali değil) fortigate reboot edildikten sonra muhakkak YENİDEN BAŞLATINIZ. yeniden başlatmazsanız sorun devam edebilir çözüm olmadığını düşünebilirsiniz.
Umarım birilerine yardımcı olur.
Detaylı açıklama için teşekkürler.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************