[Çözüldü] Fortigate 60E Voip Ses Sorunu

Policy kurallarında sadece içerden Dışarıya bir kuralım var.

@necatiguner Merhaba,

Tcpdump ile capture alıp inceleminizi öneririm. Call  server ip phone rtp ip adresini belirtmiyor olabilir.

FlowChart mutlaka inceleyin. Sorunun firewall danolduğunu sanmıyorum.

Call server ve ip telefon modeli nedir?

@emir-keseroutlook-com-tr 

Emir Bey Selamlar;
Santral Telesis; ip telefonlar Yealink ve Gigaset Voip telefonlardır.
Santral başka bir networkte. Karşı networkde sadece fiber modem var onun arkasına bağlı.
Bizim tarafta fortigate networküne bağlı ip telefonlarda ses problemi var.
Sorunun fortigate kaynaklı olduğunu şöyle tespit ettim. Cihazlardan ses alamıyorken Policy ayarlarından Voip Profile seçeneğini aktif edince bir anda ses gelmeye başladı, Sonraki aramalarda yine trafiği kesti.
Aynı ip telefonu fortigate harici herhangibir networke bağlayınca hiçbir problem olmadan sorunsuz kullanabiliyoruz.

@necatiguner Santralin olduğu yerdeki router da sip alg devre dışı ise aktif, aktif ise devre dışı bırakmanızı tavsiye ederim. Ayrıca fortinet de port fwd yapmadan yeni policy oluşurup source ip address fiber router public ip adresini yazınız. Service all seçiniz. Buna ragmen çift yönlü ses iletimi gerçekleşmez ise fiber modem de DMZ deneyebiliriz siniz. Tabi media server ip adresi farklı ise dmz deneyemezsiniz. Call server rtp kendi içinde karşılıyor ise denemeniz mümkündür. Bunların dışında ipsec tunnel ile de çözüme ulaşabilir siniz.

fortinet de port fwd yapmadan yeni policy oluşurup source ip address fiber router public ip adresini yazınız. Service all seçiniz.

Bu kuraldan kastınız aşağıdaki gibi bir kural mı?

@necatiguner Evet kural doğru. Ayrıca CLI aşağıdaki komutlar yardımı ile sip alg ve voip devre dışı bırabilir siniz.

config system settings

set sip-helper disable

set sip-nat-trace disable

set default-voip-alg-mode kernel-helper-based

end

config system session-helper
show

delete 13
end

config voip profile
edit default
config sip
set rtp disable
end
end

execute reboot

İyi günler,

@emir-keseroutlook-com-tr 
İlgili kuralı daha önceden oluşturmuştum, tekrar oluşturdum fakat bu kuraldan hiç veri trafiği geçmiyor.

Fortigate bulunduğu ve fiber modemin bulunduğu lokasyonlarda internet servis sağlayıcınız hangi operatör.

@emir-keseroutlook-com-tr 

Her ikiside Türktelekom...

Fortigate bağlı olan Modemi söküp Normal Moda alıp (Fortigatete köprü modunda çalışıyor) internete bağlanıp ip telefonuda bu internete bağlayınca telefon görüşmelerini sorunsuzca sağlayabiliyorum.

İp Telefonu fortigate bağlayınca sıkıntı yaşıyorum.

@emir-keseroutlook-com-tr 

Bir yapıda ip santral kullanılıyor ve gayet akıcı.

Ayrıca bu trafiğin döndüğü alana sabit olarak bir 2Mbit gibi bir değer atarsanız iyi olur.

Bizde config aşağıdaki gibi.

config system settings
set sip-nat-trace disable
set default-voip-alg-mode kernel-helper-based
set gui-dos-policy enable
set gui-voip-profile enable
set gui-dynamic-routing enable
set gui-sslvpn-personal-bookmarks enable
set gui-sslvpn-realms enable
set gui-policy-based-ipsec enable
set gui-multiple-utm-profiles enable
set gui-ips enable
set gui-advanced-policy enable
set gui-allow-unnamed-policy enable
end

Fortigate 7.0.1 e geçirdim; denedim problem devam etti;

Bendeki ayarlarda aşağıdaki gibi

config system settings
set sip-nat-trace disable
set default-voip-alg-mode kernel-helper-based
set gui-voip-profile enable
set gui-dynamic-routing enable
set gui-file-filter disable
set gui-application-control disable
set gui-endpoint-control disable
set gui-antivirus disable
set gui-webfilter disable
set gui-videofilter disable
set gui-dnsfilter disable
end

Sorun düzeldi mi peki?

Herkese Selamlar;
Yukarıdaki yöntemlerle sorunum düzelmedi.
Fortigate Supportta bir kayıt açtım. Config dosyası yolladım. Buna istinaden bir cevap döndü. 2 yöntem önerdi.

1. yöntemi uyguladım çalışmadı...
2. yöntemi uyguladım çalışıyor.

1-2 saattir test ediyorum görüşmelerde veya seste herhangibir sıkıntı yaşamıyorum ama ilerleyen saatlerde birşey değişirmi emin değilim. Sorun yaşarsam tekrar paylaşırım sizlerle.

Dear Customer,
Thank you for the response.
Please try the following:
1. run "unset voip-profile" under policy #22 to remove the VoIP Profile, then reset the sessions (or restart the test SIP phone) and test again

2. if the previous step doesn't help, also add back the SIP session helper:

config system session-helper
edit 13
set name sip
set protocol 17
set port 5060
next

Then reset sessions (or restart the test SIP phone) and test again. If you use non-default SIP port make sure you specify it in the port value

Thank you,

Geri dönüş ve bilgi için çok teşekkürler. Geçmiş olsun.

Herkese Merhaba,
2 Konuya açıklık getirmek için konuya tekrar ekleme yapmak istiyorum;

Fortigate tarafındaki SIP iletişim sorunu (Sesin hiç gelmemesi, Sesin Tek taraflı gelmesi, İlk Görüşmede ses gelip gidiyor ama ikinci görüşmede kesilmesi veya Konuşmanın belirli bir sürede örneğin 30. saniyede kesilmesi gibi) ve çözümüne dair detay yazmak istedim.

Burda ki senaryo önem arz ediyor.

1. Seneryoda herhangibir güvenlik duvarına bağlı olmayan, Normal bir adsl veya fiber modem networkunde bulunan santrale,
Fortigate e bağlı bir VOİP Telefonla iletişim kurmak istediğimizde ses problemi yaşıyorsak aşağıdaki adımları izlemeliyiz.

İçerden Dışarı kural yazıyoruz. Sip telefonlar için bir ip grubu oluşturun. Kuralda VOİP Profile seçeneğini açın. Ayarlar aşağıdaki gibi olsun. Hem resim paylaşıyorum hemde Komutları paylaşıyorum.

Not: Dışardan içeri bir kural yazmanıza gerek yoktur.

config firewall policy
edit 4
set name "SipTelefonlar"
set srcintf "internal"
set dstintf "wan1"
set action accept
set srcaddr "SipTelefonlar"
set dstaddr "all"
set schedule "always"
set service "ALL"
set utm-status enable
set ssl-ssh-profile "certificate-inspection"
set voip-profile "default"
set logtraffic all
set nat enable
set comments "SipTelefonlarKurali"
next
end

Bu kurala ek olarak, Aşağıdaki komut satırını CLI den girin

config system session-helper
edit 13
set name sip
set protocol 17
set port 5060
next

Buradaki port numarası olan 5060 portu sizin SES İLETİMİNDE kullandığınız port numarasıdır. Eğer ses için farklı bir port kullanıyorsanız burayı değiştirmeyi unutmayın.

Cihazı yeniden başlatıp test ediniz.....

2. Senaryoda ise Fortigate bağlı olan SANTRALE dışardan bir ip telefonla iletişime geçmek istediğinizde yaşadığınız problemlerin (Sesin hiç gelmemesi, Sesin Tek taraflı gelmesi, İlk Görüşmede ses gelip gidiyor ama 2. görüşmede kesilmesi veya Konuşmanın belirli bir sürede örneğin 30. saniyede kesilmesi gibi) çözümü için aşağıdaki yöntemi uygulayınız.

Dışardan-İçeri bir kural yazıyoruz.

config firewall policy
edit 8
set name "Santral UdpTcp"
set srcintf "wan1"
set dstintf "internal"
set action accept
set srcaddr "Turkey"
set dstaddr "SantralSip"
set schedule "always"
set service "TCP 1-65500" "UDP 1-65500"
set inspection-mode proxy
set ssl-ssh-profile "certificate-inspection"
set logtraffic all
set comments "Santral UdpTcp"
next
end

Burdaki Source Adres sizde ilk başta ALL seçebilirsiniz (set srcaddr "Turkey") Destination adresteki yerde santralinizin ip adresi olacak (set dstaddr "SantralSip")
Önemli olan nokta Servis kısmında yeni bir tanımlama yapın (set service "TCP 1-65500" "UDP 1-65500") burdaki tanımlama TCP ve UDP olarak 1 den 65500 e kadar tüm portları açın. Service kısmında "ALL" yapmayın. ALL yaptığınızda sorun devam edebiliyor.
Önemli diğer nokta ise NAT kapalı olacak arkadaşlar...

Ek olarak Santral İp sine içerden dışarı Normal standart bir kural yazmanız gerek. Onun örneğini de paylaşıyorum. (Resim 2) 

Sonrasında Sırası ile aşağıdaki komutları giriniz.

1-

config system settings
set default-voip-alg-mode kernel-helper-based
set sip-expectation disable
set sip-nat-trace disable
end

2-

Detaylı açıklama için teşekkürler.